@Shiraira2 年前
起因
之前隔离TIM一直使用的是VMware+RemoteAPP方案,但不知道是因为虚拟化后图形性能太差还是其他原因,RemoteAPP运行的TIM经常会短暂卡死,故开始重新考虑Sandboxie方案。
曾经我就使用过Sandboxie方案,但是当时Sandboxie只能阻止应用修改系统,系统上所有的文件对于沙箱内的应用仍然是可读的,如果使用资源访问控制功能,只能进行全有或全无式的权限控制,条目的匹配优先级也不明确。并且没有(似乎?记不太清了)只写权限选项。
最近发现Sandboxie Plus提供了隐私隔离沙箱,可以解决上方的大部分问题,遂决定重新尝试
已知缺陷
无法防止沙箱内程序对整个屏幕进行截图
选材
我这次选用的是最新版本的TIM3.4.2(22058),此版本TIM在Sandboxie中可以脱离QQProtect独立运行,省去了许多事情。
准备
为了使用隐私保护沙箱,我购买了Sandboxie Plus PERSONAL-SMALL
-
先新建一个标准隔离型沙盒Temp1,在沙箱中运行TIM安装包,正常执行安装过程
此步骤是为了取得完整的TIM文件夹 -
找到TIM的安装位置,将TIM文件夹完整复制到宿主机的特定文件夹下
(我将其放在了D:/GreenSoft/TIM下
-
新建数据保护加固型沙盒TIMBOX
在常规选项-限制选项中
勾选防止沙盒进程干扰电源操作
(可选)勾选阻止沙盒进程捕获窗口图像
(可选)在高级选项-隐藏进程中
勾选不允许沙盒内的进程查看其他沙盒里运行的进程
勾选不允许沙盒内的进程查看任何沙盒外运行的进程 -
设置程序控制-必沙程序
文件夹 D:\GreenSoft\TIM (你宿主机的TIM实际目录) 进程 TIM.exe (其实可以不用设置,但为了防止有人目录放置错误导致漏沙,故添加此行) -
设置程序控制-分离程序
文件夹 C:\Program Files\Google\Chrome\Application 文件夹 C:\Program Files\Mozilla Firefox (其实就是要使用的默认浏览器的位置,自行修改) -
设置资源访问-文件例外规则
完全开放 %UserProfile%\Desktop\SBIE (数据保护沙盒无法直接复制文件,需要在桌面建立一个名为SBIE的共享文件夹方便TIM发送接收文件) 完全开放 %UserProfile%\Documents\Tencent Files (用户数据文件直接透传,防止沙箱清空/丢失导致的数据丢失) 完全开放 D:\GreenSoft\TIM (TIM所在目录,不设置的话TIM无法运行) -
设置资源访问-注册表规则(可选,防止TIM读取已安装应用的注册表信息)
仅沙盒内(只写) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ 仅沙盒内(只写) HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ 仅沙盒内(只写) HKEY_CURRENT_USER\software\Microsoft\Windows\Shell\ 只读 HKEY_CURRENT_USER\software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\ 只读 HKEY_CURRENT_USER\software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\ (后面三条是为了让沙箱内程序可以正常拉起默认浏览器打开链接)
结语
至于如何运行TIM,取决于你的个人喜好。
你可以直接在宿主机的TIM.exe上新建快捷方式并放到桌面
也可以在TIM运行期间,在SBIE管理器中右键建立快捷方式
只要Sandboxie不出什么问题漏掉必沙程序,两种方法没有什么区别。