Windows Sandbox zavádí jednoduché konfigurační soubory ve Windows 10

Windows Sandbox je izolované, dočasné, desktopové prostředí, kde můžete spouštět nedůvěryhodný software bez obav z trvalého dopadu na váš počítač. Windows Sandbox nyní podporuje jednoduché konfigurační soubory (přípona souboru .wsb), které poskytují minimální podporu skriptování. Tuto funkci můžete použít v nejnovějším sestavení Windows Insider 18342.

Jakýkoli software nainstalovaný v karanténě Windows zůstane pouze v karanténě a nemůže ovlivnit vašeho hostitele. Po zavření Windows Sandbox bude veškerý software se všemi jeho soubory a stavem trvale odstraněn.

Windows Sandbox má následující vlastnosti:

• Část systému Windows – vše potřebné pro tuto funkci je dodáváno s Windows 10 Pro a Enterprise. Není třeba stahovat VHD!
• Nedotčená – pokaždé, když se Windows Sandbox spustí, je čistý jako zbrusu nová instalace systému Windows
• Jednorázový – na zařízení nic nezůstalo; po zavření aplikace se vše zahodí
• Zajistit
   – používá hardwarovou virtualizaci pro izolaci jádra, která se spoléhá na hypervizor Microsoftu, který spouští samostatné jádro, které izoluje Windows Sandbox od hostitele
• Účinný – využívá integrovaný plánovač jádra, inteligentní správu paměti a virtuální GPU

Pro použití funkce Windows Sandbox jsou splněny následující předpoklady:

• Windows 10 Pro nebo Enterprise sestavení 18305 nebo novější
• architektura AMD64
• Možnosti virtualizace povoleny v systému BIOS
• Alespoň 4 GB RAM (doporučeno 8 GB)
• Alespoň 1 GB volného místa na disku (doporučeno SSD)
• Alespoň 2 jádra CPU (doporučena 4 jádra s hyperthreadingem)

Můžete se dozvědět, jak povolit a používat Windows Sandbox TADY.

Konfigurační soubory Windows Sandbox

Konfigurační soubory sandboxu jsou formátovány jako XML a jsou přidruženy k Windows Sandbox prostřednictvím přípony souboru .wsb. Konfigurační soubor umožňuje uživateli ovládat následující aspekty Windows Sandbox:

1. vGPU (virtualizovaný GPU)
   • Povolit nebo zakázat virtualizovaný GPU. Pokud je vGPU zakázáno, použije se Sandbox WARP (softwarový rasterizátor).
2. vytváření sítí
   • Povolte nebo zakažte síťový přístup k sandboxu.
3. Sdílené složky
   • Sdílejte složky z hostitele s oprávněním ke čtení nebo zápisu. Upozorňujeme, že odhalení hostitelských adresářů může umožnit škodlivému softwaru ovlivnit váš systém nebo ukrást data.
4. Spouštěcí skript
   • Akce přihlášení pro sandbox.

Dvojitým kliknutím na soubor *.wsb jej otevřete ve Windows Sandbox®

Podporované možnosti konfigurace

VGpu

Povolí nebo zakáže sdílení GPU.

hodnota

Podporované hodnoty:

• Zakázat – deaktivuje podporu vGPU v karanténě. Pokud je tato hodnota nastavena, Windows Sandbox bude používat softwarové vykreslování, které může být pomalejší než virtualizované GPU.
• Výchozí – toto je výchozí hodnota pro podporu vGPU; aktuálně to znamená, že vGPU je povoleno.

Poznámka: Povolení virtualizovaného GPU může potenciálně zvýšit útočnou plochu sandboxu.

vytváření sítí

Povolí nebo zakáže práci v síti v karanténě. Zakázání přístupu k síti lze použít ke snížení plochy útoku vystavené sandboxem.

hodnota

Podporované hodnoty:

• Zakázat – deaktivuje práci v síti v sandboxu.
• Výchozí – toto je výchozí hodnota pro podporu sítě. To umožňuje vytváření sítí vytvořením virtuálního přepínače na hostiteli a připojením sandboxu k němu prostřednictvím virtuální síťové karty.

Poznámka: Povolení sítě může vystavit nedůvěryhodné aplikace vaší interní síti.

MappedFolders

Zalomí seznam objektů MappedFolder.

seznam objektů MappedFolder. 

Poznámka: Soubory a složky namapované z hostitele mohou být ohroženy aplikacemi v izolovaném prostoru nebo potenciálně ovlivnit hostitele.

MappedFolder

Určuje jednu složku na hostitelském počítači, která bude sdílena na ploše kontejneru. Aplikace v Sandboxu jsou spouštěny pod uživatelským účtem „WDAGUtilityAccount“. Všechny složky jsou tedy mapovány pod následující cestou: C:\Users\WDAGUtilityAccount\Desktop.

Např. „C:\Test“ bude mapováno jako „C:\users\WDAGUtilityAccount\Desktop\Test“.

cestu k hostitelské složcehodnota

HostFolder: Určuje složku na hostitelském počítači, kterou chcete sdílet v karanténě. Všimněte si, že složka již musí existovat jako hostitel, jinak se kontejner nespustí, pokud složka nebude nalezena.

Pouze ke čtení: Pokud je true, vynucuje přístup pouze pro čtení ke sdílené složce z kontejneru. Podporované hodnoty: true/false.

Poznámka: Soubory a složky namapované z hostitele mohou být ohroženy aplikacemi v izolovaném prostoru nebo potenciálně ovlivnit hostitele.

LogonCommand

Určuje jeden příkaz, který bude vyvolán automaticky po přihlášení kontejneru.

příkaz, který má být vyvolán

Příkaz: Cesta ke spustitelnému souboru nebo skriptu uvnitř kontejneru, který bude spuštěn po přihlášení.

Poznámka: Ačkoli budou fungovat velmi jednoduché příkazy (spuštění spustitelného souboru nebo skriptu), složitější scénáře zahrnující více kroků by měly být umístěny do souboru skriptu. Tento soubor skriptu lze namapovat do kontejneru prostřednictvím sdílené složky a poté spustit pomocí direktivy LogonCommand.

Příklady konfigurace

Příklad 1

Následující konfigurační soubor lze použít ke snadnému testování stažených souborů uvnitř karantény. Aby toho bylo dosaženo, skript deaktivuje sítě a vGPU a omezí sdílenou složku pro stahování na přístup v kontejneru pouze pro čtení. Pro usnadnění příkaz logon při spuštění otevře složku pro stahování uvnitř kontejneru.

Downloads.wsb

ZakázatZakázatC:\Users\Veřejné\Stahovánískutečnýexplorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads

Příklad 2

Následující konfigurační soubor nainstaluje kód Visual Studio do kontejneru, což vyžaduje trochu komplikovanější nastavení LogonCommand.

Do kontejneru jsou namapovány dvě složky; první (SandboxScripts) obsahuje VSCodeInstall.cmd, který nainstaluje a spustí VSCode. Předpokládá se, že druhá složka (CodingProjects) obsahuje soubory projektu, které chce vývojář upravit pomocí VSCode.

S instalačním skriptem VSCode již namapovaným do kontejneru může LogonCommand odkazovat na něj.

VSCodeInstall.cmd

REM Stáhnout VSCode. curl -L" https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Desktop\vscode.exe REM Nainstalujte a spusťte VSCode. C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes

VSCode.wsb

C:\SandboxScriptsskutečnýC:\CodingProjectsNepravdivéC:\users\wdagutilityaccount\desktop\SandboxScripts\VSCodeInstall.cmd

Zdroj: Microsoft