Windows Sandbox מציג קבצי תצורה פשוטים ב-Windows 10
Windows Sandbox היא סביבת שולחן עבודה מבודדת, זמנית, שבה אתה יכול להפעיל תוכנות לא מהימנות ללא חשש להשפעה מתמשכת על המחשב האישי שלך. ל-Windows Sandbox יש כעת תמיכה בקובצי תצורה פשוטים (סיומת קובץ.wsb), המספקים תמיכה מינימלית ב-scripting. אתה יכול להשתמש בתכונה זו בגרסה האחרונה של Windows Insider build 18342.
כל תוכנה המותקנת ב-Windows Sandbox נשארת בארגז החול בלבד ואינה יכולה להשפיע על המארח שלך. לאחר סגירת Windows Sandbox, כל התוכנה עם כל הקבצים והמצב שלה נמחקות לצמיתות.
ל-Windows Sandbox יש את המאפיינים הבאים:
- חלק מווינדוס - כל הנדרש עבור תכונה זו נשלח עם Windows 10 Pro ו-Enterprise. אין צורך להוריד VHD!
- טהור - בכל פעם ש-Windows Sandbox פועל, הוא נקי כמו התקנה חדשה לגמרי של Windows
- חַד פַּעֲמִי - שום דבר לא נמשך במכשיר; הכל נזרק לאחר סגירת האפליקציה
- לבטח - משתמש בווירטואליזציה מבוססת חומרה לבידוד ליבה, המסתמך על ה-hypervisor של מיקרוסופט כדי להפעיל ליבה נפרדת המבודדת את Windows Sandbox מהמארח
- יָעִיל - משתמש בתזמון ליבה משולב, ניהול זיכרון חכם ו-GPU וירטואלי
יש את הדרישות המוקדמות הבאות לשימוש בתכונת Windows Sandbox:
- Windows 10 Pro או Enterprise build 18305 ואילך
- ארכיטקטורת AMD64
- יכולות וירטואליזציה מופעלות ב-BIOS
- לפחות 4GB של זיכרון RAM (מומלץ 8GB)
- לפחות 1 GB של שטח דיסק פנוי (מומלץ SSD)
- לפחות 2 ליבות מעבד (4 ליבות עם היפר-שרשור מומלץ)
אתה יכול ללמוד כיצד להפעיל ולהשתמש ב-Windows Sandbox פה.
קבצי תצורה של ארגז חול של Windows
קובצי התצורה של ארגז חול מעוצבים כ-XML ומשויכים ל-Windows Sandbox באמצעות סיומת הקובץ .wsb. קובץ תצורה מאפשר למשתמש לשלוט בהיבטים הבאים של Windows Sandbox:
-
vGPU (GPU וירטואלי)
- הפעל או השבת את ה-GPU הווירטואלי. אם vGPU מושבת, Sandbox ישתמש לְעַקֵם (רסטרייזר תוכנה).
-
רשת
- הפעל או השבת גישה לרשת ל-Sandbox.
-
תיקיות משותפות
- שתף תיקיות מהמארח עם הרשאות קריאה או כתיבה. שים לב שחשיפת ספריות מארח עלולה לאפשר לתוכנה זדונית להשפיע על המערכת שלך או לגנוב נתונים.
-
סקריפט הפעלה
- פעולת כניסה עבור ארגז החול.
על ידי לחיצה כפולה על קובץ *.wsb תפתח אותו ב-Windows Sandboxю
אפשרויות תצורה נתמכות
VGpu
מפעיל או משבית שיתוף GPU.
ערך
ערכים נתמכים:
- השבת - משבית את תמיכת vGPU בארגז החול. אם ערך זה מוגדר, Windows Sandbox ישתמש בעיבוד תוכנה, שיכול להיות איטי יותר מ-GPU וירטואלי.
- בְּרִירַת מֶחדָל - זהו ערך ברירת המחדל עבור תמיכת vGPU; כרגע זה אומר ש-vGPU מופעל.
הערה: הפעלת GPU וירטואלי עשויה להגדיל את משטח ההתקפה של ארגז החול.
רשת
מפעיל או משבית את הרשת בארגז החול. ניתן להשתמש בהשבתת גישה לרשת כדי להקטין את משטח ההתקפה שנחשף על ידי ארגז החול.
ערך
ערכים נתמכים:
- השבת - משבית את הרשת בארגז החול.
- בְּרִירַת מֶחדָל - זהו ערך ברירת המחדל לתמיכה ברשת. זה מאפשר יצירת רשת על ידי יצירת מתג וירטואלי במארח, ומחבר את ארגז החול אליו באמצעות רשת NIC וירטואלית.
הערה: הפעלת רשת יכולה לחשוף יישומים לא מהימנים לרשת הפנימית שלך.
Mapped Folders
עוטף רשימה של אובייקטים MappedFolder.
רשימה של אובייקטים MappedFolder.
הערה: קבצים ותיקיות שמופו מהמארח עלולים להיפגע על ידי אפליקציות בארגז החול או להשפיע על המארח.
Mapped Folder
מציין תיקיה בודדת במחשב המארח שתשותף על שולחן העבודה של המכולה. אפליקציות בארגז החול מופעלות תחת חשבון המשתמש "WDAGUtilityAccount". לפיכך, כל התיקיות ממפות תחת הנתיב הבא: C:\Users\WDAGUtilityAccount\Desktop.
לְמָשָׁל. "C:\Test" ימופה כ-"C:\users\WDAGUtilityAccount\Desktop\Test".
נתיב לתיקיית המארח ערך
HostFolder: מציין את התיקיה במחשב המארח לשיתוף עם ארגז החול. שים לב שהתיקיה חייבת כבר להתקיים במארח או שהמכולה לא תפעל אם התיקיה לא תימצא.
לקריאה בלבד: אם נכון, אוכף גישת קריאה בלבד לתיקיה המשותפת מתוך המכולה. ערכים נתמכים: נכון/לא נכון.
הערה: קבצים ותיקיות שמופו מהמארח עלולים להיפגע על ידי אפליקציות בארגז החול או להשפיע על המארח.
LogonCommand
מציין פקודה יחידה שתופעל אוטומטית לאחר הכניסה של המיכל.
פקודה שיש להפעיל
פקודה: נתיב לקובץ הפעלה או סקריפט בתוך המיכל שיבוצע לאחר הכניסה.
הערה: למרות שפקודות פשוטות מאוד יעבדו (השקת קובץ הפעלה או סקריפט), יש להכניס תרחישים מסובכים יותר הכוללים מספר שלבים בקובץ סקריפט. ניתן למפות את קובץ הסקריפט הזה לתוך הקונטיינר באמצעות תיקיה משותפת, ולאחר מכן להפעיל אותו באמצעות הנחיית LogonCommand.
דוגמאות לתצורה
דוגמה 1
ניתן להשתמש בקובץ התצורה הבא כדי לבדוק בקלות קבצים שהורדו בתוך ארגז החול. כדי להשיג זאת, הסקריפט משבית את הרשת ואת ה-vGPU, ומגביל את תיקיית ההורדות המשותפות לגישה לקריאה בלבד במיכל. מטעמי נוחות, פקודת הכניסה פותחת את תיקיית ההורדות בתוך המכולה כאשר היא מופעלת.
Downloads.wsb
השבת השבת C:\Users\Public\Downloads נָכוֹן explorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads
דוגמה 2
קובץ התצורה הבא מתקין את Visual Studio Code במיכל, מה שדורש הגדרת LogonCommand קצת יותר מסובכת.
שתי תיקיות ממפות לתוך המיכל; הראשון (SandboxScripts) מכיל VSCodeInstall.cmd, אשר יתקין ויפעיל את VSCode. ההנחה היא שהתיקיה השנייה (CodingProjects) מכילה קבצי פרויקט שהמפתח רוצה לשנות באמצעות VSCode.
כאשר הסקריפט של מתקין VSCode כבר ממופה בקונטיינר, ה-LoginCommand יכול להפנות אליו.
VSCodeInstall.cmd
REM הורדת VSCode. תלתל -L " https://update.code.visualstudio.com/latest/win32-x64-user/stable" --פלט C:\users\WDAGUtilityAccount\Desktop\vscode.exe REM התקן והפעל את VSCode. C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes
VSCode.wsb
C:\SandboxScripts נָכוֹן C:\CodingProjects שֶׁקֶר C:\users\wdagutilityaccount\desktop\SandboxScripts\VSCodeInstall.cmd
מָקוֹר: מיקרוסופט
