Windows Sandbox predstavlja jednostavne konfiguracijske datoteke u sustavu Windows 10

Windows Sandbox izolirano je, privremeno, desktop okruženje u kojem možete pokrenuti nepouzdani softver bez straha od trajnog utjecaja na vaše računalo. Windows Sandbox sada ima podršku za jednostavne konfiguracijske datoteke (.wsb ekstenzija datoteke), koje pružaju minimalnu podršku za skriptiranje. Ovu značajku možete koristiti u najnovijoj verziji sustava Windows Insider 18342.

Svaki softver instaliran u Windows Sandbox ostaje samo u pješčanom okruženju i ne može utjecati na vaš host. Kada se Windows Sandbox zatvori, sav softver sa svim njegovim datotekama i stanjem trajno se briše.

Windows Sandbox ima sljedeća svojstva:

• Dio sustava Windows – sve što je potrebno za ovu značajku isporučuje se uz Windows 10 Pro i Enterprise. Nema potrebe za preuzimanjem VHD-a!
• iskonski – svaki put kada se Windows Sandbox pokrene, čist je poput potpuno nove instalacije sustava Windows
• Jednokratna – ništa ne ostaje na uređaju; sve se odbacuje nakon što zatvorite aplikaciju
• Siguran – koristi virtualizaciju temeljenu na hardveru za izolaciju kernela, koja se oslanja na Microsoftov hipervizor za pokretanje zasebne jezgre koja izolira Windows Sandbox od hosta
• Učinkovit – koristi integrirani planer kernela, pametno upravljanje memorijom i virtualni GPU

Postoje sljedeći preduvjeti za korištenje značajke Windows Sandbox:

• Windows 10 Pro ili Enterprise verzija 18305 ili novija
• AMD64 arhitektura
• Mogućnosti virtualizacije omogućene u BIOS-u
• Najmanje 4 GB RAM-a (preporučeno 8 GB)
• Najmanje 1 GB slobodnog prostora na disku (preporučuje se SSD)
• Najmanje 2 jezgre CPU-a (4 jezgre s preporučljivom hiperthreadingom)

Možete naučiti kako omogućiti i koristiti Windows Sandbox OVDJE.

Konfiguracijske datoteke sustava Windows Sandbox

Konfiguracijske datoteke Sandboxa formatirane su kao XML i povezane su sa Windows Sandboxom preko .wsb ekstenzije datoteke. Konfiguracijska datoteka omogućuje korisniku da kontrolira sljedeće aspekte Windows Sandboxa:

1. vGPU (virtualizirani GPU)
   • Omogućite ili onemogućite virtualizirani GPU. Ako je vGPU onemogućen, Sandbox će koristiti WARP (softverski rasterizator).
2. Umrežavanje
   • Omogućite ili onemogućite mrežni pristup Sandboxu.
3. Dijeljene mape
   • Dijelite mape s hosta s dopuštenjima za čitanje ili pisanje. Imajte na umu da otkrivanje host direktorija može dopustiti zlonamjernom softveru da utječe na vaš sustav ili ukrade podatke.
4. Skripta za pokretanje
   • Radnja prijave za sandbox.

Dvostrukim klikom na *.wsb datoteku otvorit ćete je u Windows Sandboxu

Podržane opcije konfiguracije

VGpu

Omogućuje ili onemogućuje dijeljenje GPU-a.

vrijednost

Podržane vrijednosti:

• Onemogući – onemogućuje podršku za vGPU u sandboxu. Ako je ova vrijednost postavljena, Windows Sandbox će koristiti softversko prikazivanje, koje može biti sporije od virtualiziranog GPU-a.
• Zadano – ovo je zadana vrijednost za vGPU podršku; trenutno to znači da je vGPU omogućen.

Napomena: Omogućavanje virtualiziranog GPU-a potencijalno može povećati površinu napada u pješčanom okruženju.

Umrežavanje

Omogućuje ili onemogućuje umrežavanje u pješčanom okruženju. Onemogućavanje pristupa mreži može se koristiti za smanjenje površine napada izložene Sandboxu.

vrijednost

Podržane vrijednosti:

• Onemogući – onemogućuje umrežavanje u sandboxu.
• Zadano – ovo je zadana vrijednost za mrežnu podršku. To omogućuje umrežavanje stvaranjem virtualnog prekidača na hostu i povezuje sandbox s njim putem virtualne NIC-a.

Napomena: Omogućavanje umrežavanja može izložiti nepouzdane aplikacije vašoj internoj mreži.

MappedFolders

Omotava popis objekata MappedFolder.

popis objekata MappedFolder. 

Napomena: Datoteke i mape mapirane s hosta mogu biti ugrožene aplikacijama u Sandboxu ili potencijalno utjecati na host.

MappedFolder

Određuje jednu mapu na glavnom računalu koja će se dijeliti na radnoj površini spremnika. Aplikacije u Sandboxu se pokreću pod korisničkim računom "WDAGUtilityAccount". Stoga su sve mape mapirane pod sljedećim putem: C:\Users\WDAGUtilityAccount\Desktop.

Npr. "C:\Test" bit će mapiran kao "C:\users\WDAGUtilityAccount\Desktop\Test".

put do mape hostavrijednost

HostFolder: Određuje mapu na glavnom računalu za dijeljenje u pješčanom okruženju. Imajte na umu da mapa već mora postojati kao host ili se spremnik neće pokrenuti ako mapa nije pronađena.

Samo za čitanje: Ako je istinito, nameće pristup samo za čitanje dijeljenoj mapi unutar spremnika. Podržane vrijednosti: true/false.

Napomena: Datoteke i mape mapirane s hosta mogu biti ugrožene aplikacijama u Sandboxu ili potencijalno utjecati na host.

LogonCommand

Određuje jednu naredbu koja će se automatski pozvati nakon što se spremnik prijavi.

naredba koju treba pozvati

Naredba: Put do izvršne datoteke ili skripte unutar spremnika koja će se izvršiti nakon prijave.

Napomena: Iako će raditi vrlo jednostavne naredbe (pokretanje izvršne datoteke ili skripte), kompliciraniji scenariji koji uključuju više koraka trebali bi se staviti u datoteku skripte. Ova datoteka skripte može se mapirati u spremnik putem dijeljene mape, a zatim izvršiti putem direktive LogonCommand.

Primjeri konfiguracije

Primjer 1

Sljedeća konfiguracijska datoteka može se koristiti za jednostavno testiranje preuzetih datoteka unutar sandboxa. Da bi se to postiglo, skripta onemogućuje umrežavanje i vGPU te ograničava dijeljenu mapu preuzimanja na pristup samo za čitanje u spremniku. Radi praktičnosti, naredba za prijavu otvara mapu preuzimanja unutar spremnika kada se pokrene.

Downloads.wsb

OnemogućiOnemogućiC:\Users\Public\Downloadspraviexplorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads

Primjer 2

Sljedeća konfiguracijska datoteka instalira Visual Studio Code u spremnik, što zahtijeva malo kompliciranije postavljanje LogonCommand-a.

Dvije mape su mapirane u spremnik; prvi (SandboxScripts) sadrži VSCodeInstall.cmd, koji će instalirati i pokrenuti VSCode. Pretpostavlja se da druga mapa (CodingProjects) sadrži projektne datoteke koje programer želi izmijeniti pomoću VSCodea.

Sa skriptom za instalaciju VSCode koja je već mapirana u spremnik, LogonCommand ga može referencirati.

VSCodeInstall.cmd

REM Preuzmite VSCode. kovrča -L" https://update.code.visualstudio.com/latest/win32-x64-user/stable" --izlaz C:\users\WDAGUtilityAccount\Desktop\vscode.exe REM Instalirajte i pokrenite VSCode. C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes

VSCode.wsb

C:\SandboxScriptspraviC:\CodingProjectslažnoC:\users\wdagutilityaccount\desktop\SandboxScripts\VSCodeInstall.cmd

Izvor: Microsoft