Windows Sandbox führt einfache Konfigurationsdateien in Windows 10 ein

Windows Sandbox ist eine isolierte, temporäre Desktop-Umgebung, in der Sie nicht vertrauenswürdige Software ausführen können, ohne befürchten zu müssen, dass Ihr PC dauerhaft beeinträchtigt wird. Windows Sandbox unterstützt jetzt einfache Konfigurationsdateien (.wsb-Dateierweiterung), die minimale Skriptunterstützung bieten. Sie können diese Funktion im neuesten Windows Insider Build 18342 verwenden.

Jede in Windows Sandbox installierte Software verbleibt nur in der Sandbox und kann Ihren Host nicht beeinträchtigen. Sobald die Windows Sandbox geschlossen ist, wird die gesamte Software mit all ihren Dateien und ihrem Status dauerhaft gelöscht.

Windows Sandbox hat die folgenden Eigenschaften:

• Teil von Windows – alles, was für diese Funktion erforderlich ist, wird mit Windows 10 Pro und Enterprise geliefert. Sie müssen keine VHD herunterladen!
• Unberührt – Jedes Mal, wenn Windows Sandbox ausgeführt wird, ist es so sauber wie eine brandneue Installation von Windows
• Einweg – nichts bleibt auf dem Gerät bestehen; alles wird verworfen, nachdem Sie die Anwendung geschlossen haben
• Sicher – nutzt hardwarebasierte Virtualisierung für die Kernel-Isolation, die auf dem Hypervisor von Microsoft beruht, um einen separaten Kernel auszuführen, der Windows Sandbox vom Host isoliert
• Effizient – verwendet integrierten Kernel-Scheduler, intelligente Speicherverwaltung und virtuelle GPU

Es gibt die folgenden Voraussetzungen für die Verwendung der Windows-Sandbox-Funktion:

• Windows 10 Pro oder Enterprise Build 18305 oder höher
• AMD64-Architektur
• Im BIOS aktivierte Virtualisierungsfunktionen
• Mindestens 4 GB RAM (8 GB empfohlen)
• Mindestens 1 GB freier Speicherplatz (SSD empfohlen)
• Mindestens 2 CPU-Kerne (4 Kerne mit Hyperthreading empfohlen)

Sie können erfahren, wie Sie Windows Sandbox aktivieren und verwenden HIER.

Windows-Sandbox-Konfigurationsdateien

Sandbox-Konfigurationsdateien werden als XML formatiert und über die Dateierweiterung .wsb mit Windows Sandbox verknüpft. Eine Konfigurationsdatei ermöglicht es dem Benutzer, die folgenden Aspekte von Windows Sandbox zu steuern:

1. vGPU (virtualisierte GPU)
   • Aktivieren oder deaktivieren Sie die virtualisierte GPU. Wenn vGPU deaktiviert ist, verwendet Sandbox KETTE (Software-Rasterizer).
2. Vernetzung
   • Aktivieren oder deaktivieren Sie den Netzwerkzugriff auf die Sandbox.
3. Geteilte Ordner
   • Geben Sie Ordner vom Host mit Lese- oder Schreibberechtigungen frei. Beachten Sie, dass das Offenlegen von Hostverzeichnissen es bösartiger Software ermöglichen kann, Ihr System zu beeinträchtigen oder Daten zu stehlen.
4. Startskript
   • Anmeldeaktion für die Sandbox.

Durch Doppelklick auf eine *.wsb-Datei öffnen Sie diese in der Windows Sandboxю

Unterstützte Konfigurationsoptionen

VGpu

Aktiviert oder deaktiviert die GPU-Freigabe.

Wert

Unterstützte Werte:

• Deaktivieren – deaktiviert die vGPU-Unterstützung in der Sandbox. Wenn dieser Wert festgelegt ist, verwendet Windows Sandbox Software-Rendering, das langsamer sein kann als virtualisierte GPU.
• Standard – Dies ist der Standardwert für die vGPU-Unterstützung; Derzeit bedeutet dies, dass vGPU aktiviert ist.

Hinweis: Das Aktivieren der virtualisierten GPU kann möglicherweise die Angriffsfläche der Sandbox erhöhen.

Vernetzung

Aktiviert oder deaktiviert das Netzwerk in der Sandbox. Das Deaktivieren des Netzwerkzugriffs kann verwendet werden, um die Angriffsfläche der Sandbox zu verringern.

Wert

Unterstützte Werte:

• Deaktivieren – deaktiviert die Vernetzung in der Sandbox.
• Standard – Dies ist der Standardwert für die Netzwerkunterstützung. Dies ermöglicht das Netzwerken, indem ein virtueller Switch auf dem Host erstellt und die Sandbox über eine virtuelle NIC damit verbunden wird.

Hinweis: Durch die Aktivierung des Netzwerks können nicht vertrauenswürdige Anwendungen in Ihrem internen Netzwerk verfügbar gemacht werden.

MappedFolders

Umschließt eine Liste von MappedFolder-Objekten.

Liste der MappedFolder-Objekte. 

Hinweis: Vom Host zugeordnete Dateien und Ordner können durch Apps in der Sandbox kompromittiert werden oder möglicherweise den Host beeinträchtigen.

MappedFolder

Gibt einen einzelnen Ordner auf dem Hostcomputer an, der auf dem Container-Desktop freigegeben wird. Apps in der Sandbox werden unter dem Benutzerkonto „WDAGUtilityAccount“ ausgeführt. Daher werden alle Ordner unter folgendem Pfad abgebildet: C:\Users\WDAGUtilityAccount\Desktop.

Z.B. „C:\Test“ wird als „C:\users\WDAGUtilityAccount\Desktop\Test“ zugeordnet.

Pfad zum Host-OrdnerWert

HostOrdner: Gibt den Ordner auf dem Hostcomputer an, der für die Sandbox freigegeben werden soll. Beachten Sie, dass der Ordner bereits auf dem Host vorhanden sein muss oder der Container nicht gestartet werden kann, wenn der Ordner nicht gefunden wird.

Schreibgeschützt: Bei true wird der schreibgeschützte Zugriff auf den freigegebenen Ordner aus dem Container erzwungen. Unterstützte Werte: wahr/falsch.

Hinweis: Vom Host zugeordnete Dateien und Ordner können durch Apps in der Sandbox kompromittiert werden oder möglicherweise den Host beeinträchtigen.

LogonCommand

Gibt einen einzelnen Befehl an, der automatisch aufgerufen wird, nachdem sich der Container anmeldet.

Befehl aufgerufen werden

Befehl: Ein Pfad zu einer ausführbaren Datei oder einem Skript innerhalb des Containers, das nach der Anmeldung ausgeführt wird.

Hinweis: Obwohl sehr einfache Befehle funktionieren (Starten einer ausführbaren Datei oder eines Skripts), sollten kompliziertere Szenarien mit mehreren Schritten in eine Skriptdatei eingefügt werden. Diese Skriptdatei kann über einen freigegebenen Ordner in den Container gemappt und dann über die LogonCommand-Direktive ausgeführt werden.

Konfigurationsbeispiele

Beispiel 1

Die folgende Konfigurationsdatei kann verwendet werden, um heruntergeladene Dateien innerhalb der Sandbox einfach zu testen. Um dies zu erreichen, deaktiviert das Skript das Netzwerk und die vGPU und beschränkt den freigegebenen Downloadordner auf den schreibgeschützten Zugriff im Container. Der Einfachheit halber öffnet der Logon-Befehl den Downloads-Ordner im Container, wenn er gestartet wird.

Downloads.wsb

DeaktivierenDeaktivierenC:\Benutzer\Öffentlich\Downloadswahrexplorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads

Beispiel 2

Die folgende Konfigurationsdatei installiert Visual Studio Code im Container, was ein etwas komplizierteres LogonCommand-Setup erfordert.

Dem Container werden zwei Ordner zugeordnet; die erste (SandboxScripts) enthält VSCodeInstall.cmd, die VSCode installiert und ausführt. Es wird davon ausgegangen, dass der zweite Ordner (CodingProjects) Projektdateien enthält, die der Entwickler mit VSCode ändern möchte.

Wenn das VSCode-Installationsskript dem Container bereits zugeordnet ist, kann der LogonCommand darauf verweisen.

VSCodeInstall.cmd

REM VSCode herunterladen. Locken -L" https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Desktop\vscode.exe REM VSCode installieren und ausführen. C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes

VSCode.wsb

C:\SandboxScriptswahrC:\CodingProjectsfalschC:\users\wdagutilityaccount\desktop\SandboxScripts\VSCodeInstall.cmd

Quelle: Microsoft