Beim Sandboxing besteht einfach das Problem, dass der Host nicht kompromitiert sein darf. Das ist gar nicht so einfach zu bewerkstelligen.
Wenn Du VM's hostest oder administrierst, brauchst Du eine solide virenfreie Basis, sonst bringt das gar nichts. Falls mit der Administrations/Host- Maschine noch irgend etwas anderes gemacht wird, bringt das wenig. Allenfalls ein XEON mit dem TXT Feature könnte da Abhilfe schaffen, weil man dort die Möglichkeit hat, Anwendungen komplett abzuschotten und deren GUI (Ein- und Ausgabe) zu verschlüsseln, so wie ich das verstanden habe. Das nimmt dann Unrat wie Keyloggern und Trojanern die Basis, weil sie nicht mehr auf die gelockten Anwendungen zugreifen können. Ich habe leider einen x79 i7 in der Workstation, der das TXT Feature nicht bietet. Auf einem meiner x79 Boards hätte es ein Anschluss für das Trusted Computing Modul, doch leider muss auch die CPU das unterstützen. Ich habe aber keinerlei Erfahrungen in dem Bereich, das habe ich auch nur so nachgelesen.
Bei meiner Workstation bleibt das OS für lange Zeit erhalten. Selbst wenn ich TXT hätte, und ich die Anwendungen (z.B vSphere Client oder VMware WS) bei einer frischen Installation gelockt hätte, müsste ich das bei jedem Update wiederholen. Wenn sich in dieser langen Zeit (2-4 Jahre für eine Windows Installation) irgendwann doch mal etwas in eine Anwendung einnisten könnte, dann bestände die Möglichkeit, dass das erneute Fingerprinten nichts bringen würde, weil die Anwendung bereits kompromitiert ist/war, und der Schadcode eventuell halt übernommen würde. Gerade wenn auch auf dem Host virtuallisiert wird (Entwicklung/Office z.B.).
Bei mir ists zur Zeit zum Glück nur eine Test- / Entwicklungsumgebung. Ich hätte in den nächsten Jahren die Gelegenheit, bei mir zu Hause dann noch einige Dienste hosten zu können, da die Stadtwerke bei mir 4 Fasern FTTH einziehen werden bis 2016. Da könnte ich dann 4 Gigabit Fasern mit fixen IP's von verschiedenen Anbietern anmieten. Falls das soweit kommt, müsste ich definitiv eine eigene Workstation für die Administration der Hypervisoren und das ausführen der lokalen VM's haben. Im Moment mache ich auf meiner Workstation alles, von arbeiten (in VM's) über Multimedia bis Gaming. Wenn ich irgend ein Trojaner oder so nen Mist auf der Workstation einfange, bringen mir all die Firewalls, 4 Port Netzwerkkarten und die ganze Virtualisierung wenig. Ist die Workstation infiziert, ist das ganze Netzwerk in Gefahr.
Ich weiss, ich wiederhole mich: Ich finde es eine Frechheit, dass auf x79 das Trusted Computing nicht implementiert ist. Die Linie hat Intel sogar auf der X99 Plattform weitergeführt. Das sollte auf allen besseren Chipsätzen/CPU's vorhanden sein, meiner Meinung nach. Sind ja auch teuer genug, die Intel Sachen. Mit einer weiten Verbreitung dieser Technik liesse sich der Boden der gängigen Schadsoftware viel effektiver entziehen als mit jeder Client-Sicherheitssuite oder Hardwarelösung. Das hat auf jeden Fall meine Erfahrung gezeigt.
