: aabbabcd: 要如何設定？讓瀏覽器以外的程式無法在沙盒裡連網？ 那個是sandboxie的功能，可以在每個沙盤的選項裡設定， 可以限制每個沙盤裡可以啟動的程式，除了放行的程式， 其他程式都不能啟動執行。 而且凡是下載回來和安裝在沙盤裡的程式都不能被啟動執行， 即使它和放行的程式同名。 譬如說，我在沙盒裡放行iexplore.exe， 所以安裝在系統的IE可以在沙盒裡啟動， 但是在沙盒裡另外下載或安裝的iexplore.exe， 即使和我放行的程式同名，也不能被啟動和執行。 同樣sandboxie也可以設定允許連網的程式， 在沙盤裡另外下載回來的程式即使同名，也不能連網。 還有允許程式直接存取的資料夾， 安裝在系統的程式在沙盒裡執行時， 可以直接存取沙盒外的資料夾。 例如讓Fx或Chrome可以直接存取它的設定資料夾， 或者避免被改首頁只允許存取書籤和瀏覽記錄檔， 這樣書籤和瀏覽記錄就可以直接寫進真實系統。 但是在沙盤裡下載回來或安裝的程式， 即使和放行的程式同名，也不能直接存取這些資料夾。 譬如說我在沙盒裡另外下載了一個chrome.exe， 這個chrome.exe也不能直接存取Chrome的設定資料檔， 如果要允許在沙盤裡下載回來的chrome.exe可以存取設定檔， 有另外一個選項叫做「完全存取」， 允許完全存取的資料夾就可以被沙盒內的程式直接寫入真實系統。 也可以設定程式禁止存取某個資料夾或者只能讀寫某個資料夾。 還有登錄資料庫也是，可以設定限制程式直接存取的範圍。 另外還有一個很重要的選項是降低權限， 之前sandboixe有一個弱點被攻擊， 隔天就被修補好了，但是即使這個弱點沒有被修補， 只要有開啟「降低沙盤內程式的權限」這個功能， 這個攻擊也無法成功，所以降低權限可以再更進一步提高安全。 上面功能免費版都可以使用， 付費版的sandboixe主要是多了三個很重要的功能， 一個是指定應用程式強制入沙，無論在系統何處開啟這個程式， 被誰開啟這個程式，反正只要這個程式被執行， 就一定強制進入指定的沙盤。 另一個功能指定資料夾強制入沙， 譬如說從網路下載回來的所有來路不明的程式， 全部放在強制入沙的資料夾裡，在這個資料夾底下的任何操作， 開啟任何程式，全部強制進入指定的沙盤。 第三個功能可以建立多個獨立的沙盤，為每個沙盤設定不同的選項。 譬如說為Fx建立一個沙盤，為Chrome建立一個沙盤，為IE建立一個沙盤， 然後每個沙盤設定不同的策略， 也可以獨立清空個別沙盤內的資料而不會互相影響。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.36.76 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1461897558.A.7B8.html 我覺得不麻煩耶，在沙盒裡使用和在沙盒外使用沒有差別， 如果有開放直接存取設定資料夾和下載資料夾的話， 也不用再手動復原資料回真實系統， 沙盒裡只有cache和不需要的檔案，要清理的時候 只要清空沙盤就好了，清理速度反而更快更方便。 唯一不同的只有在沙盤裡開啟的程序和它觸發的子程序 都會受到沙盤的隔離和限制， 限制的話譬如說不能加載驅動，不能修改沙盤外的程序， 不能底層磁碟操作，修改MBR，重新啟動系統等等。 反正在瀏覽器的沙盤裡本來就不會做這些操作， 有這些操作的話反而很奇怪，可能是中毒了。 而隔離的話因為存取都被重定向到沙盒裡， 而非直接寫入真實系統， 所以也不用每一步都詢問使用者要不要放行， 操作起來不會有干擾，就和在沙盒外使用一模一樣， 所以不會覺得麻煩。 優點就是...因為沙盤可以針對 特定功能的程序和這個程序觸發的子程序作隔離和限制， 所以環境很單純，我們不需要寫通用而且複雜的規則， 大部分情況甚至什麼限制啟動的設定都不需要， 就讓程序在沙盤裡亂寫一通也無所謂， 所以可以當作最後一道防線。 如果不幸防毒防火牆防漏洞等防護軟體通通失敗了， 最後還可以把傷害鎖在沙盒裡。 另外備份也很重要，就算沒有中勒索病毒，硬碟也可能壞掉， 備份+沙盒 沙盒可以補救備份空窗期新加入的檔案， 所以二者不衝突，一起用更好用。 ※ 編輯: mayuyu (61.219.36.81), 04/30/2016 01:10:18