Windows 샌드박스, Windows 10에 간단한 구성 파일 도입

Windows Sandbox는 PC에 지속적인 영향을 미칠 염려 없이 신뢰할 수 없는 소프트웨어를 실행할 수 있는 격리된 임시 데스크톱 환경입니다. Windows Sandbox는 이제 최소한의 스크립팅 지원을 제공하는 간단한 구성 파일(.wsb 파일 확장명)을 지원합니다. 최신 Windows 참가자 빌드 18342에서 이 기능을 사용할 수 있습니다.

Windows 샌드박스에 설치된 모든 소프트웨어는 샌드박스에만 유지되며 호스트에 영향을 줄 수 없습니다. Windows Sandbox가 닫히면 모든 파일과 상태가 포함된 모든 소프트웨어가 영구적으로 삭제됩니다.

Windows 샌드박스에는 다음과 같은 속성이 있습니다.

• 윈도우의 일부 – 이 기능에 필요한 모든 것이 Windows 10 Pro 및 Enterprise와 함께 제공됩니다. VHD를 다운로드할 필요가 없습니다!
• 깨끗한 – Windows Sandbox가 실행될 때마다 Windows를 새로 설치한 것처럼 깨끗합니다.
• 일회용의 – 장치에 아무 것도 지속되지 않습니다. 응용 프로그램을 닫은 후 모든 것이 삭제됩니다.
• 안전한 – 커널 격리를 위해 하드웨어 기반 가상화 사용
• 효율적인 – 통합 커널 스케줄러, 스마트 메모리 관리 및 가상 GPU 사용

Windows 샌드박스 기능을 사용하기 위한 전제 조건은 다음과 같습니다.

• Windows 10 Pro 또는 Enterprise 빌드 18305 이상
• AMD64 아키텍처
• BIOS에서 활성화된 가상화 기능
• 최소 4GB RAM(8GB 권장)
• 최소 1GB의 여유 디스크 공간(SSD 권장)
• 최소 2개의 CPU 코어(하이퍼스레딩이 있는 4개의 코어 권장)

Windows Sandbox를 활성화하고 사용하는 방법을 배울 수 있습니다. 여기.

Windows 샌드박스 구성 파일

샌드박스 구성 파일은 XML로 형식이 지정되며 .wsb 파일 확장자를 통해 Windows 샌드박스와 연결됩니다. 구성 파일을 통해 사용자는 Windows Sandbox의 다음 측면을 제어할 수 있습니다.

1. vGPU(가상화 GPU)
   • 가상화된 GPU를 활성화 또는 비활성화합니다. vGPU가 비활성화된 경우 Sandbox는 다음을 사용합니다. 경사 (소프트웨어 래스터라이저).
2. 네트워킹
   • Sandbox에 대한 네트워크 액세스를 활성화 또는 비활성화합니다.
3. 공유 폴더
   • 읽기 또는 쓰기 권한이 있는 호스트의 폴더를 공유합니다. 호스트 디렉토리를 노출하면 악성 소프트웨어가 시스템에 영향을 미치거나 데이터를 훔칠 수 있습니다.
4. 시작 스크립트
   • 샌드박스에 대한 로그온 작업입니다.

*.wsb 파일을 두 번 클릭하면 Windows Sandboxю에서 열립니다.

지원되는 구성 옵션

VGpu

GPU 공유를 활성화하거나 비활성화합니다.

값

지원되는 값:

• 장애를 입히다 – 샌드박스에서 vGPU 지원을 비활성화합니다. 이 값이 설정되면 Windows Sandbox는 가상화된 GPU보다 느릴 수 있는 소프트웨어 렌더링을 사용합니다.
• 기본 – vGPU 지원의 기본값입니다. 현재 이것은 vGPU가 활성화되었음을 의미합니다.

참고: 가상화된 GPU를 활성화하면 잠재적으로 샌드박스의 공격 표면이 증가할 수 있습니다.

네트워킹

샌드박스에서 네트워킹을 활성화하거나 비활성화합니다. 네트워크 액세스를 비활성화하면 샌드박스에 의해 노출되는 공격 표면을 줄일 수 있습니다.

값

지원되는 값:

• 장애를 입히다 – 샌드박스에서 네트워킹을 비활성화합니다.
• 기본 – 이것은 네트워킹 지원의 기본값입니다. 이렇게 하면 호스트에 가상 스위치를 만들어 네트워킹을 활성화하고 가상 NIC를 통해 샌드박스를 호스트에 연결합니다.

참고: 네트워킹을 활성화하면 신뢰할 수 없는 애플리케이션이 내부 네트워크에 노출될 수 있습니다.

매핑된 폴더

MappedFolder 개체 목록을 래핑합니다.

MappedFolder 개체의 목록입니다. 

참고: 호스트에서 매핑된 파일 및 폴더는 샌드박스의 앱에 의해 손상되거나 잠재적으로 호스트에 영향을 줄 수 있습니다.

매핑된 폴더

컨테이너 데스크톱에서 공유할 호스트 시스템의 단일 폴더를 지정합니다. Sandbox의 앱은 "WDAGUtilityAccount" 사용자 계정으로 실행됩니다. 따라서 모든 폴더는 C:\Users\WDAGUtilityAccount\Desktop 경로에 매핑됩니다.

예를 들어 "C:\Test"는 "C:\users\WDAGUtilityAccount\Desktop\Test"로 매핑됩니다.

호스트 폴더 경로값

호스트 폴더: 샌드박스에 공유할 호스트 시스템의 폴더를 지정합니다. 폴더가 호스트에 이미 존재해야 하며 그렇지 않으면 폴더를 찾을 수 없는 경우 컨테이너가 시작되지 않습니다.

읽기 전용: true인 경우 컨테이너 내에서 공유 폴더에 대한 읽기 전용 액세스 권한을 적용합니다. 지원되는 값: true/false.

참고: 호스트에서 매핑된 파일 및 폴더는 샌드박스의 앱에 의해 손상되거나 잠재적으로 호스트에 영향을 줄 수 있습니다.

로그온 명령

컨테이너가 로그온한 후 자동으로 호출될 단일 명령을 지정합니다.

호출할 명령

명령: 로그인 후 실행될 컨테이너 내부의 실행 파일 또는 스크립트에 대한 경로입니다.

참고: 매우 간단한 명령(실행 파일 또는 스크립트 시작)이 작동하지만 여러 단계를 포함하는 더 복잡한 시나리오는 스크립트 파일에 넣어야 합니다. 이 스크립트 파일은 공유 폴더를 통해 컨테이너에 매핑된 다음 LogonCommand 지시문을 통해 실행될 수 있습니다.

구성 예

실시예 1

다음 구성 파일을 사용하여 샌드박스 내에서 다운로드한 파일을 쉽게 테스트할 수 있습니다. 이를 위해 스크립트는 네트워킹 및 vGPU를 비활성화하고 공유 다운로드 폴더를 컨테이너에서 읽기 전용 액세스로 제한합니다. 편의를 위해 로그온 명령은 시작될 때 컨테이너 내부의 다운로드 폴더를 엽니다.

다운로드.wsb

장애를 입히다장애를 입히다C:\Users\Public\Downloads진실explorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads

실시예 2

다음 구성 파일은 약간 더 복잡한 LogonCommand 설정이 필요한 Visual Studio Code를 컨테이너에 설치합니다.

두 개의 폴더가 컨테이너에 매핑됩니다. 첫 번째(SandboxScripts)에는 VSCode를 설치하고 실행할 VSCodeInstall.cmd가 포함되어 있습니다. 두 번째 폴더(CodingProjects)에는 개발자가 VSCode를 사용하여 수정하려는 프로젝트 파일이 포함되어 있다고 가정합니다.

VSCode 설치 프로그램 스크립트가 이미 컨테이너에 매핑되어 있으면 LogonCommand가 이를 참조할 수 있습니다.

VSCodeInstall.cmd

REM 다운로드 VSCode. 컬 -L " https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Desktop\vscode.exe REM VSCode를 설치하고 실행합니다. C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes

VSCode.wsb

C:\SandboxScripts진실C:\CodingProjects거짓C:\users\wdagutilityaccount\desktop\SandboxScripts\VSCodeInstall.cmd

원천: 마이크로소프트