WindowsSandboxがWindows10にシンプルな構成ファイルを導入
Windows Sandboxは、PCに永続的な影響を与えることを恐れずに、信頼できないソフトウェアを実行できる、分離された一時的なデスクトップ環境です。 Windows Sandboxは、最小限のスクリプトサポートを提供する単純な構成ファイル(.wsbファイル拡張子)をサポートするようになりました。 この機能は、最新のWindowsInsiderビルド18342で使用できます。
Windows Sandboxにインストールされているソフトウェアは、サンドボックスにのみ残り、ホストに影響を与えることはできません。 Windows Sandboxを閉じると、すべてのソフトウェアとそのすべてのファイルおよび状態が完全に削除されます。
Windows Sandboxには、次のプロパティがあります。
- Windowsの一部 –この機能に必要なものはすべて、Windows 10ProおよびEnterpriseに付属しています。 VHDをダウンロードする必要はありません!
- 原始的な – Windows Sandboxを実行するたびに、Windowsを新しくインストールするのと同じくらいクリーンです。
- 使い捨て –デバイスには何も持続しません。 アプリケーションを閉じると、すべてが破棄されます
- 安全 –カーネルの分離にハードウェアベースの仮想化を使用します。これは、Microsoftのハイパーバイザーに依存して、WindowsSandboxをホストから分離する別のカーネルを実行します。
- 効率的 –統合されたカーネルスケジューラ、スマートメモリ管理、および仮想GPUを使用します
Windows Sandbox機能を使用するには、次の前提条件があります。
広告
- Windows 10ProまたはEnterpriseビルド18305以降
- AMD64アーキテクチャ
- BIOSで有効になっている仮想化機能
- 少なくとも4GBのRAM(8GBを推奨)
- 少なくとも1GBの空きディスク容量(SSDを推奨)
- 少なくとも2つのCPUコア(ハイパースレッディングを使用する4つのコアを推奨)
WindowsSandboxを有効にして使用する方法を学ぶことができます ここ.
Windowsサンドボックス構成ファイル
サンドボックス構成ファイルはXMLとしてフォーマットされ、.wsbファイル拡張子を介してWindowsサンドボックスに関連付けられます。 構成ファイルを使用すると、ユーザーはWindowsSandboxの次の側面を制御できます。
-
vGPU(仮想化GPU)
- 仮想化GPUを有効または無効にします。 vGPUが無効になっている場合、サンドボックスは ワープ (ソフトウェアラスタライザー)。
-
ネットワーキング
- サンドボックスへのネットワークアクセスを有効または無効にします。
-
共有フォルダ
- 読み取りまたは書き込み権限を持つホストからフォルダーを共有します。 ホストディレクトリを公開すると、悪意のあるソフトウェアがシステムに影響を与えたり、データを盗んだりする可能性があることに注意してください。
-
起動スクリプト
- サンドボックスのログオンアクション。
* .wsbファイルをダブルクリックすると、Windowsサンドボックスで開きます。
サポートされている構成オプション
VGpu
GPU共有を有効または無効にします。
価値
サポートされている値:
- 無効にする –サンドボックスでのvGPUサポートを無効にします。 この値が設定されている場合、Windows Sandboxはソフトウェアレンダリングを使用しますが、これは仮想化されたGPUよりも遅くなる可能性があります。
- ディフォルト –これはvGPUサポートのデフォルト値です。 現在、これはvGPUが有効になっていることを意味します。
注:仮想化GPUを有効にすると、サンドボックスの攻撃対象領域が増える可能性があります。
ネットワーキング
サンドボックスでのネットワークを有効または無効にします。 ネットワークアクセスを無効にすると、サンドボックスによってさらされる攻撃対象領域を減らすことができます。
価値
サポートされている値:
- 無効にする –サンドボックスのネットワークを無効にします。
- ディフォルト –これはネットワークサポートのデフォルト値です。 これにより、ホスト上に仮想スイッチを作成してネットワークを構築し、仮想NICを介してサンドボックスをホストに接続します。
注:ネットワークを有効にすると、信頼できないアプリケーションが内部ネットワークに公開される可能性があります。
MappedFolders
MappedFolderオブジェクトのリストをラップします。
MappedFolderオブジェクトのリスト。
注:ホストからマップされたファイルとフォルダーは、サンドボックス内のアプリによって危険にさらされたり、ホストに影響を与える可能性があります。
MappedFolder
コンテナデスクトップで共有されるホストマシン上の単一のフォルダを指定します。 サンドボックス内のアプリは、ユーザーアカウント「WDAGUtilityAccount」で実行されます。 したがって、すべてのフォルダーは次のパスにマップされます:C:\ Users \ WDAGUtilityAccount \ Desktop。
例えば。 「C:\ Test」は「C:\ users \ WDAGUtilityAccount \ Desktop \ Test」としてマップされます。
ホストフォルダへのパス 価値
HostFolder:サンドボックスと共有するホストマシン上のフォルダーを指定します。 フォルダがすでにホストに存在している必要があることに注意してください。存在しない場合、フォルダが見つからない場合、コンテナは起動に失敗します。
読み取り専用:trueの場合、コンテナ内から共有フォルダへの読み取り専用アクセスを強制します。 サポートされている値:true / false。
注:ホストからマップされたファイルとフォルダーは、サンドボックス内のアプリによって危険にさらされたり、ホストに影響を与える可能性があります。
LogonCommand
コンテナがログオンした後に自動的に呼び出される単一のコマンドを指定します。
呼び出されるコマンド
指示: ログイン後に実行される、コンテナ内の実行可能ファイルまたはスクリプトへのパス。
注:非常に単純なコマンド(実行可能ファイルまたはスクリプトの起動)は機能しますが、複数のステップを含むより複雑なシナリオをスクリプトファイルに配置する必要があります。 このスクリプトファイルは、共有フォルダーを介してコンテナーにマップされ、LogonCommandディレクティブを介して実行されます。
構成例
例1
次の構成ファイルを使用して、サンドボックス内のダウンロードされたファイルを簡単にテストできます。 これを実現するために、スクリプトはネットワークとvGPUを無効にし、共有ダウンロードフォルダーをコンテナー内の読み取り専用アクセスに制限します。 便宜上、logonコマンドは、開始時にコンテナー内のダウンロードフォルダーを開きます。
Downloads.wsb
無効にする 無効にする C:\ Users \ Public \ Downloads NS explorer.exe C:\ users \ WDAGUtilityAccount \ Desktop \ Downloads
例2
次の構成ファイルは、コンテナーにVisual Studio Codeをインストールします。これには、少し複雑なLogonCommandセットアップが必要です。
2つのフォルダーがコンテナーにマップされます。 最初の(SandboxScripts)には、VSCodeをインストールして実行するVSCodeInstall.cmdが含まれています。 2番目のフォルダー(CodingProjects)には、開発者がVSCodeを使用して変更するプロジェクトファイルが含まれていると想定されています。
VSCodeインストーラースクリプトが既にコンテナーにマップされている場合、LogonCommandはそれを参照できます。
VSCodeInstall.cmd
REMVSCodeをダウンロードします。 カール-L " https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\ users \ WDAGUtilityAccount \ Desktop \ vscode.exe REMVSCodeをインストールして実行します。 C:\ users \ WDAGUtilityAccount \ Desktop \ vscode.exe / verysilent / suppressmsgboxes
VSCode.wsb
C:\ SandboxScripts NS C:\ CodingProjects NS C:\ users \ wdagutilityaccount \ desktop \ SandboxScripts \ VSCodeInstall.cmd
ソース: マイクロソフト