Windows Sandbox wprowadza proste pliki konfiguracyjne w Windows 10
Windows Sandbox to izolowane, tymczasowe środowisko pulpitu, w którym można uruchamiać niezaufane oprogramowanie bez obaw o trwałe uszkodzenie komputera. Windows Sandbox obsługuje teraz proste pliki konfiguracyjne (rozszerzenie pliku .wsb), które zapewniają minimalną obsługę skryptów. Możesz użyć tej funkcji w najnowszej kompilacji niejawnego programu testów systemu Windows 18342.
Wszelkie oprogramowanie zainstalowane w Windows Sandbox pozostaje tylko w piaskownicy i nie ma wpływu na hosta. Po zamknięciu Windows Sandbox całe oprogramowanie wraz ze wszystkimi jego plikami i stanem jest trwale usuwane.
Windows Sandbox ma następujące właściwości:
- Część systemu Windows – wszystko, co jest wymagane do tej funkcji, jest dostarczane z systemami Windows 10 Pro i Enterprise. Nie musisz pobierać VHD!
- Dziewiczy – za każdym razem, gdy działa Windows Sandbox, jest tak czysty, jak zupełnie nowa instalacja Windows
- Jednorazowy – nic nie pozostaje na urządzeniu; wszystko jest odrzucane po zamknięciu aplikacji
- Bezpieczne – wykorzystuje wirtualizację sprzętową do izolacji jądra, która polega na hipernadzorcy Microsoftu do uruchomienia oddzielnego jądra, które izoluje Windows Sandbox od hosta
- Wydajny – wykorzystuje zintegrowany harmonogram jądra, inteligentne zarządzanie pamięcią i wirtualny procesor graficzny
Istnieją następujące wymagania wstępne dotyczące korzystania z funkcji Windows Sandbox:
- Windows 10 Pro lub Enterprise w wersji 18305 lub nowszej
- Architektura AMD64
- Funkcje wirtualizacji włączone w BIOS-ie
- Co najmniej 4 GB pamięci RAM (zalecane 8 GB)
- Co najmniej 1 GB wolnego miejsca na dysku (zalecane SSD)
- Co najmniej 2 rdzenie procesora (zalecane 4 rdzenie z wielowątkowością)
Możesz dowiedzieć się, jak włączyć i używać Windows Sandbox TUTAJ.
Pliki konfiguracyjne Windows Sandbox
Pliki konfiguracyjne piaskownicy są sformatowane jako XML i powiązane z piaskownicą systemu Windows za pośrednictwem rozszerzenia pliku wsb. Plik konfiguracyjny pozwala użytkownikowi kontrolować następujące aspekty Windows Sandbox:
-
vGPU (zwirtualizowany procesor graficzny)
- Włącz lub wyłącz zwirtualizowany procesor GPU. Jeśli vGPU jest wyłączone, Sandbox użyje OSNOWA (rasteryzator oprogramowania).
-
Sieć
- Włącz lub wyłącz dostęp sieciowy do piaskownicy.
-
Udostępnione foldery
- Udostępniaj foldery z hosta z uprawnieniami do odczytu lub zapisu. Należy pamiętać, że ujawnienie katalogów hostów może pozwolić złośliwemu oprogramowaniu na wpłynięcie na system lub kradzież danych.
-
Skrypt startowy
- Akcja logowania do piaskownicy.
Dwukrotne kliknięcie na plik *.wsb otworzy go w Windows Sandboxю
Obsługiwane opcje konfiguracji
VGpu
Włącza lub wyłącza udostępnianie GPU.
wartość
Obsługiwane wartości:
- Wyłączyć – wyłącza obsługę vGPU w piaskownicy. Jeśli ta wartość jest ustawiona, Windows Sandbox użyje renderowania programowego, które może być wolniejsze niż zwirtualizowany GPU.
- Domyślny – jest to domyślna wartość obsługi vGPU; obecnie oznacza to, że vGPU jest włączone.
Uwaga: włączenie zwirtualizowanego procesora GPU może potencjalnie zwiększyć powierzchnię ataku w piaskownicy.
Sieć
Włącza lub wyłącza sieć w piaskownicy. Wyłączenie dostępu do sieci może być wykorzystane do zmniejszenia powierzchni ataku wystawionej przez piaskownicę.
wartość
Obsługiwane wartości:
- Wyłączyć – wyłącza sieć w piaskownicy.
- Domyślny – jest to domyślna wartość obsługi sieci. Umożliwia to tworzenie sieci poprzez utworzenie wirtualnego przełącznika na hoście i połączenie z nim piaskownicy za pośrednictwem wirtualnej karty sieciowej.
Uwaga: włączenie sieci może ujawnić niezaufane aplikacje w sieci wewnętrznej.
Mapowane foldery
Zawija listę obiektów MappedFolder.
lista obiektów MappedFolder.
Uwaga: pliki i foldery zmapowane z hosta mogą być zagrożone przez aplikacje w piaskownicy lub potencjalnie wpływać na hosta.
Zmapowany folder
Określa pojedynczy folder na komputerze hosta, który będzie udostępniany na pulpicie kontenera. Aplikacje w Sandbox są uruchamiane na koncie użytkownika „WDAGUtilityAccount”. W związku z tym wszystkie foldery są mapowane w następującej ścieżce: C:\Users\WDAGUtilityAccount\Desktop.
Np. „C:\Test” zostanie zmapowane jako „C:\users\WDAGUtilityAccount\Desktop\Test”.
ścieżka do folderu hosta wartość
HostFolder: Określa folder na komputerze hosta, który ma być udostępniony w piaskownicy. Pamiętaj, że folder musi już istnieć na hoście, w przeciwnym razie kontener nie uruchomi się, jeśli folder nie zostanie znaleziony.
Tylko czytać: Jeśli prawda, wymusza dostęp tylko do odczytu do folderu współdzielonego z poziomu kontenera. Obsługiwane wartości: prawda/fałsz.
Uwaga: pliki i foldery zmapowane z hosta mogą być zagrożone przez aplikacje w piaskownicy lub potencjalnie wpływać na hosta.
Polecenie logowania
Określa pojedyncze polecenie, które zostanie wywołane automatycznie po zalogowaniu się kontenera.
polecenie do wywołania
Komenda: Ścieżka do pliku wykonywalnego lub skryptu wewnątrz kontenera, który zostanie wykonany po zalogowaniu.
Uwaga: Chociaż bardzo proste polecenia będą działać (uruchamianie pliku wykonywalnego lub skryptu), bardziej skomplikowane scenariusze obejmujące wiele kroków należy umieścić w pliku skryptu. Ten plik skryptu można zmapować do kontenera za pośrednictwem udostępnionego folderu, a następnie wykonać za pomocą dyrektywy LogonCommand.
Przykłady konfiguracji
Przykład 1
Poniższy plik konfiguracyjny może służyć do łatwego testowania pobranych plików w piaskownicy. Aby to osiągnąć, skrypt wyłącza obsługę sieci i vGPU oraz ogranicza udostępniony folder pobierania do dostępu tylko do odczytu w kontenerze. Dla wygody polecenie logowania otwiera folder pobierania wewnątrz kontenera po jego uruchomieniu.
Downloads.wsb
Wyłączyć Wyłączyć C:\Użytkownicy\Publiczne\Pobrane prawda explorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads
Przykład 2
Poniższy plik konfiguracyjny instaluje kod programu Visual Studio w kontenerze, co wymaga nieco bardziej skomplikowanej konfiguracji LogonCommand.
Do kontenera mapowane są dwa foldery; pierwszy (SandboxScripts) zawiera VSCodeInstall. cmd, który zainstaluje i uruchomi VSCode. Zakłada się, że drugi folder (CodingProjects) zawiera pliki projektu, które deweloper chce zmodyfikować przy użyciu programu VSCode.
Gdy skrypt instalatora VSCode jest już zamapowany na kontener, LogonCommand może się do niego odwoływać.
VSCodeInstall.cmd
REM Pobierz VSCode. zawijanie -L " https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Desktop\vscode.exe REM Zainstaluj i uruchom program VSCode. C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes
VSCode.wsb
C:\Skrypty piaskownicy prawda C:\Projekty kodowania fałszywe C:\users\wdagutilityaccount\desktop\SandboxScripts\VSCodeInstall.cmd
Źródło: Microsoft