Το Windows Sandbox παρουσιάζει απλά αρχεία διαμόρφωσης στα Windows 10
Το Windows Sandbox είναι ένα απομονωμένο, προσωρινό, επιτραπέζιο περιβάλλον όπου μπορείτε να εκτελείτε μη αξιόπιστο λογισμικό χωρίς τον φόβο μόνιμης επίδρασης στον υπολογιστή σας. Το Windows Sandbox έχει πλέον υποστήριξη για απλά αρχεία διαμόρφωσης (επέκταση αρχείου .wsb), τα οποία παρέχουν ελάχιστη υποστήριξη δέσμης ενεργειών. Μπορείτε να χρησιμοποιήσετε αυτήν τη δυνατότητα στην πιο πρόσφατη έκδοση 18342 του Windows Insider.
Οποιοδήποτε λογισμικό είναι εγκατεστημένο στο Windows Sandbox παραμένει μόνο στο sandbox και δεν μπορεί να επηρεάσει τον κεντρικό υπολογιστή σας. Μόλις κλείσει το Windows Sandbox, όλο το λογισμικό με όλα τα αρχεία και την κατάστασή του διαγράφονται οριστικά.
Το Windows Sandbox έχει τις ακόλουθες ιδιότητες:
- Μέρος των Windows – όλα όσα απαιτούνται για αυτήν τη δυνατότητα διατίθενται με τα Windows 10 Pro και Enterprise. Δεν χρειάζεται να κατεβάσετε ένα VHD!
- Πρωτόγονος – κάθε φορά που εκτελείται το Windows Sandbox, είναι τόσο καθαρό όσο μια ολοκαίνουργια εγκατάσταση των Windows
- Αναλώσιμα – τίποτα δεν επιμένει στη συσκευή. όλα απορρίπτονται αφού κλείσετε την εφαρμογή
- Ασφαλής – χρησιμοποιεί εικονικοποίηση βασισμένη σε υλικό για απομόνωση πυρήνα, η οποία βασίζεται στον hypervisor της Microsoft για την εκτέλεση ενός ξεχωριστού πυρήνα που απομονώνει το Sandbox των Windows από τον κεντρικό υπολογιστή
- Αποτελεσματικός – χρησιμοποιεί ενσωματωμένο προγραμματιστή πυρήνα, έξυπνη διαχείριση μνήμης και εικονική GPU
Υπάρχουν οι ακόλουθες προϋποθέσεις για τη χρήση της δυνατότητας Sandbox των Windows:
Διαφήμιση
- Windows 10 Pro ή Enterprise build 18305 ή νεότερη έκδοση
- Αρχιτεκτονική AMD64
- Οι δυνατότητες εικονικοποίησης είναι ενεργοποιημένες στο BIOS
- Τουλάχιστον 4 GB μνήμης RAM (συνιστάται 8 GB)
- Τουλάχιστον 1 GB ελεύθερου χώρου στο δίσκο (συνιστάται SSD)
- Τουλάχιστον 2 πυρήνες CPU (συνιστώνται 4 πυρήνες με hyperthreading)
Μπορείτε να μάθετε πώς να ενεργοποιείτε και να χρησιμοποιείτε το Windows Sandbox ΕΔΩ.
Αρχεία διαμόρφωσης Windows Sandbox
Τα αρχεία διαμόρφωσης Sandbox είναι μορφοποιημένα ως XML και συσχετίζονται με το Windows Sandbox μέσω της επέκτασης αρχείου .wsb. Ένα αρχείο διαμόρφωσης επιτρέπει στον χρήστη να ελέγχει τις ακόλουθες πτυχές του Windows Sandbox:
-
vGPU (εικονική GPU)
- Ενεργοποιήστε ή απενεργοποιήστε την εικονική GPU. Εάν η vGPU είναι απενεργοποιημένη, θα χρησιμοποιηθεί το Sandbox ΣΤΗΜΟΝΙ (ραστεροποιητής λογισμικού).
-
Δικτύωση
- Ενεργοποιήστε ή απενεργοποιήστε την πρόσβαση δικτύου στο Sandbox.
-
Κοινόχρηστοι φάκελοι
- Κοινή χρήση φακέλων από τον κεντρικό υπολογιστή με δικαιώματα ανάγνωσης ή εγγραφής. Λάβετε υπόψη ότι η αποκάλυψη καταλόγων κεντρικού υπολογιστή μπορεί να επιτρέψει σε κακόβουλο λογισμικό να επηρεάσει το σύστημά σας ή να υποκλέψει δεδομένα.
-
Σενάριο εκκίνησης
- Ενέργεια σύνδεσης για το sandbox.
Κάνοντας διπλό κλικ σε ένα αρχείο *.wsb, θα το ανοίξετε στο Windows Sandboxю
Υποστηριζόμενες επιλογές διαμόρφωσης
VGpu
Ενεργοποιεί ή απενεργοποιεί την κοινή χρήση GPU.
αξία
Υποστηριζόμενες τιμές:
- Καθιστώ ανίκανο – απενεργοποιεί την υποστήριξη vGPU στο sandbox. Εάν οριστεί αυτή η τιμή, το Windows Sandbox θα χρησιμοποιήσει απόδοση λογισμικού, η οποία μπορεί να είναι πιο αργή από την εικονική GPU.
- Προκαθορισμένο – αυτή είναι η προεπιλεγμένη τιμή για την υποστήριξη vGPU. επί του παρόντος αυτό σημαίνει ότι το vGPU είναι ενεργοποιημένο.
Σημείωση: Η ενεργοποίηση της εικονικής GPU μπορεί ενδεχομένως να αυξήσει την επιφάνεια επίθεσης του sandbox.
Δικτύωση
Ενεργοποιεί ή απενεργοποιεί τη δικτύωση στο sandbox. Η απενεργοποίηση της πρόσβασης στο δίκτυο μπορεί να χρησιμοποιηθεί για τη μείωση της επιφάνειας επίθεσης που εκτίθεται από το Sandbox.
αξία
Υποστηριζόμενες τιμές:
- Καθιστώ ανίκανο – απενεργοποιεί τη δικτύωση στο sandbox.
- Προκαθορισμένο – αυτή είναι η προεπιλεγμένη τιμή για την υποστήριξη δικτύου. Αυτό επιτρέπει τη δικτύωση δημιουργώντας έναν εικονικό διακόπτη στον κεντρικό υπολογιστή και συνδέει το sandbox σε αυτόν μέσω ενός εικονικού NIC.
Σημείωση: Η ενεργοποίηση της δικτύωσης μπορεί να εκθέσει μη αξιόπιστες εφαρμογές στο εσωτερικό σας δίκτυο.
MappedFolders
Αναδιπλώνει μια λίστα αντικειμένων MappedFolder.
λίστα αντικειμένων MappedFolder.
Σημείωση: Τα αρχεία και οι φάκελοι που έχουν αντιστοιχιστεί από τον κεντρικό υπολογιστή μπορεί να παραβιαστούν από εφαρμογές στο Sandbox ή ενδεχομένως να επηρεάσουν τον κεντρικό υπολογιστή.
MappedFolder
Καθορίζει έναν μεμονωμένο φάκελο στον κεντρικό υπολογιστή που θα είναι κοινόχρηστος στην επιφάνεια εργασίας του κοντέινερ. Οι εφαρμογές στο Sandbox εκτελούνται στον λογαριασμό χρήστη "WDAGUtilityAccount". Επομένως, όλοι οι φάκελοι αντιστοιχίζονται στην ακόλουθη διαδρομή: C:\Users\WDAGUtilityAccount\Desktop.
Π.χ. Το "C:\Test" θα αντιστοιχιστεί ως "C:\users\WDAGUtilityAccount\Desktop\Test".
διαδρομή προς τον φάκελο κεντρικού υπολογιστή αξία
HostFolder: Καθορίζει το φάκελο στον κεντρικό υπολογιστή που θα μοιραστεί στο sandbox. Σημειώστε ότι ο φάκελος πρέπει να υπάρχει ήδη ως κεντρικός υπολογιστής διαφορετικά το κοντέινερ θα αποτύχει να ξεκινήσει εάν δεν βρεθεί ο φάκελος.
Μόνο για ανάγνωση: Εάν ισχύει, επιβάλλει πρόσβαση μόνο για ανάγνωση στον κοινόχρηστο φάκελο μέσα από το κοντέινερ. Υποστηριζόμενες τιμές: true/false.
Σημείωση: Τα αρχεία και οι φάκελοι που έχουν αντιστοιχιστεί από τον κεντρικό υπολογιστή μπορεί να παραβιαστούν από εφαρμογές στο Sandbox ή ενδεχομένως να επηρεάσουν τον κεντρικό υπολογιστή.
LogonCommand
Καθορίζει μια μεμονωμένη Εντολή που θα κληθεί αυτόματα μετά τη σύνδεση του κοντέινερ.
εντολή προς επίκληση
Εντολή: Μια διαδρομή προς ένα εκτελέσιμο αρχείο ή σενάριο εντός του κοντέινερ που θα εκτελεστεί μετά τη σύνδεση.
Σημείωση: Αν και πολύ απλές εντολές θα λειτουργήσουν (εκκίνηση ενός εκτελέσιμου αρχείου ή σεναρίου), πιο περίπλοκα σενάρια που περιλαμβάνουν πολλά βήματα θα πρέπει να τοποθετηθούν σε ένα αρχείο σεναρίου. Αυτό το αρχείο σεναρίου μπορεί να αντιστοιχιστεί στο κοντέινερ μέσω ενός κοινόχρηστου φακέλου και στη συνέχεια να εκτελεστεί μέσω της οδηγίας LogonCommand.
Παραδείγματα διαμόρφωσης
Παράδειγμα 1
Το ακόλουθο αρχείο διαμόρφωσης μπορεί να χρησιμοποιηθεί για τον εύκολο έλεγχο των ληφθέντων αρχείων μέσα στο sandbox. Για να επιτευχθεί αυτό, το σενάριο απενεργοποιεί τη δικτύωση και το vGPU και περιορίζει τον κοινόχρηστο φάκελο λήψεων σε πρόσβαση μόνο για ανάγνωση στο κοντέινερ. Για ευκολία, η εντολή σύνδεσης ανοίγει το φάκελο λήψεων στο εσωτερικό του κοντέινερ κατά την εκκίνηση.
Downloads.wsb
Καθιστώ ανίκανο Καθιστώ ανίκανο C:\Users\Public\Downloads αληθής explorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads
Παράδειγμα 2
Το ακόλουθο αρχείο διαμόρφωσης εγκαθιστά τον κώδικα του Visual Studio στο κοντέινερ, το οποίο απαιτεί μια ελαφρώς πιο περίπλοκη ρύθμιση της εντολής σύνδεσης.
Δύο φάκελοι αντιστοιχίζονται στο κοντέινερ. το πρώτο (SandboxScripts) περιέχει το VSCodeInstall.cmd, το οποίο θα εγκαταστήσει και θα εκτελέσει το VSCode. Ο δεύτερος φάκελος (CodingProjects) θεωρείται ότι περιέχει αρχεία έργου που ο προγραμματιστής θέλει να τροποποιήσει χρησιμοποιώντας το VSCode.
Με τη δέσμη ενεργειών εγκατάστασης VSCode ήδη αντιστοιχισμένη στο κοντέινερ, το LogonCommand μπορεί να το αναφέρει.
VSCodeInstall.cmd
REM Λήψη VSCode. μπούκλα -L" https://update.code.visualstudio.com/latest/win32-x64-user/stable" --έξοδος C:\users\WDAGUtilityAccount\Desktop\vscode.exe REM Εγκαταστήστε και εκτελέστε το VSCode. C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes
VSCode.wsb
C:\SandboxScripts αληθής C:\CodingProjects ψευδής C:\users\wdagutilityaccount\desktop\SandboxScripts\VSCodeInstall.cmd
Πηγή: Microsoft