Windows Tips & News

Windows Sandbox wprowadza proste pliki konfiguracyjne w Windows 10

click fraud protection

Windows Sandbox to izolowane, tymczasowe środowisko pulpitu, w którym można uruchamiać niezaufane oprogramowanie bez obaw o trwałe uszkodzenie komputera. Windows Sandbox obsługuje teraz proste pliki konfiguracyjne (rozszerzenie pliku .wsb), które zapewniają minimalną obsługę skryptów. Możesz użyć tej funkcji w najnowszej kompilacji niejawnego programu testów systemu Windows 18342.



Wszelkie oprogramowanie zainstalowane w Windows Sandbox pozostaje tylko w piaskownicy i nie ma wpływu na hosta. Po zamknięciu Windows Sandbox całe oprogramowanie wraz ze wszystkimi jego plikami i stanem jest trwale usuwane.

Windows Sandbox ma następujące właściwości:

  • Część systemu Windows – wszystko, co jest wymagane do tej funkcji, jest dostarczane z systemami Windows 10 Pro i Enterprise. Nie musisz pobierać VHD!
  • Dziewiczy – za każdym razem, gdy działa Windows Sandbox, jest tak czysty, jak zupełnie nowa instalacja Windows
  • Jednorazowy – nic nie pozostaje na urządzeniu; wszystko jest odrzucane po zamknięciu aplikacji
  • Bezpieczne – wykorzystuje wirtualizację sprzętową do izolacji jądra, która polega na hipernadzorcy Microsoftu do uruchomienia oddzielnego jądra, które izoluje Windows Sandbox od hosta
  • Wydajny – wykorzystuje zintegrowany harmonogram jądra, inteligentne zarządzanie pamięcią i wirtualny procesor graficzny

Istnieją następujące wymagania wstępne dotyczące korzystania z funkcji Windows Sandbox:

  • Windows 10 Pro lub Enterprise w wersji 18305 lub nowszej
  • Architektura AMD64
  • Funkcje wirtualizacji włączone w BIOS-ie
  • Co najmniej 4 GB pamięci RAM (zalecane 8 GB)
  • Co najmniej 1 GB wolnego miejsca na dysku (zalecane SSD)
  • Co najmniej 2 rdzenie procesora (zalecane 4 rdzenie z wielowątkowością)

Możesz dowiedzieć się, jak włączyć i używać Windows Sandbox TUTAJ.

Pliki konfiguracyjne Windows Sandbox

Pliki konfiguracyjne piaskownicy są sformatowane jako XML i powiązane z piaskownicą systemu Windows za pośrednictwem rozszerzenia pliku wsb. Plik konfiguracyjny pozwala użytkownikowi kontrolować następujące aspekty Windows Sandbox:

  1. vGPU (zwirtualizowany procesor graficzny)
    • Włącz lub wyłącz zwirtualizowany procesor GPU. Jeśli vGPU jest wyłączone, Sandbox użyje OSNOWA (rasteryzator oprogramowania).
  2. Sieć
    • Włącz lub wyłącz dostęp sieciowy do piaskownicy.
  3. Udostępnione foldery
    • Udostępniaj foldery z hosta z uprawnieniami do odczytu lub zapisu. Należy pamiętać, że ujawnienie katalogów hostów może pozwolić złośliwemu oprogramowaniu na wpłynięcie na system lub kradzież danych.
  4. Skrypt startowy
    • Akcja logowania do piaskownicy.

Dwukrotne kliknięcie na plik *.wsb otworzy go w Windows Sandboxю

Obsługiwane opcje konfiguracji

VGpu

Włącza lub wyłącza udostępnianie GPU.

wartość

Obsługiwane wartości:

  • Wyłączyć – wyłącza obsługę vGPU w piaskownicy. Jeśli ta wartość jest ustawiona, Windows Sandbox użyje renderowania programowego, które może być wolniejsze niż zwirtualizowany GPU.
  • Domyślny – jest to domyślna wartość obsługi vGPU; obecnie oznacza to, że vGPU jest włączone.

Uwaga: włączenie zwirtualizowanego procesora GPU może potencjalnie zwiększyć powierzchnię ataku w piaskownicy.

Sieć

Włącza lub wyłącza sieć w piaskownicy. Wyłączenie dostępu do sieci może być wykorzystane do zmniejszenia powierzchni ataku wystawionej przez piaskownicę.

wartość

Obsługiwane wartości:

  • Wyłączyć – wyłącza sieć w piaskownicy.
  • Domyślny – jest to domyślna wartość obsługi sieci. Umożliwia to tworzenie sieci poprzez utworzenie wirtualnego przełącznika na hoście i połączenie z nim piaskownicy za pośrednictwem wirtualnej karty sieciowej.

Uwaga: włączenie sieci może ujawnić niezaufane aplikacje w sieci wewnętrznej.

Mapowane foldery

Zawija listę obiektów MappedFolder.


lista obiektów MappedFolder. 

Uwaga: pliki i foldery zmapowane z hosta mogą być zagrożone przez aplikacje w piaskownicy lub potencjalnie wpływać na hosta.

Zmapowany folder

Określa pojedynczy folder na komputerze hosta, który będzie udostępniany na pulpicie kontenera. Aplikacje w Sandbox są uruchamiane na koncie użytkownika „WDAGUtilityAccount”. W związku z tym wszystkie foldery są mapowane w następującej ścieżce: C:\Users\WDAGUtilityAccount\Desktop.

Np. „C:\Test” zostanie zmapowane jako „C:\users\WDAGUtilityAccount\Desktop\Test”.

ścieżka do folderu hostawartość

HostFolder: Określa folder na komputerze hosta, który ma być udostępniony w piaskownicy. Pamiętaj, że folder musi już istnieć na hoście, w przeciwnym razie kontener nie uruchomi się, jeśli folder nie zostanie znaleziony.

Tylko czytać: Jeśli prawda, wymusza dostęp tylko do odczytu do folderu współdzielonego z poziomu kontenera. Obsługiwane wartości: prawda/fałsz.

Uwaga: pliki i foldery zmapowane z hosta mogą być zagrożone przez aplikacje w piaskownicy lub potencjalnie wpływać na hosta.

Polecenie logowania

Określa pojedyncze polecenie, które zostanie wywołane automatycznie po zalogowaniu się kontenera.

polecenie do wywołania

Komenda: Ścieżka do pliku wykonywalnego lub skryptu wewnątrz kontenera, który zostanie wykonany po zalogowaniu.

Uwaga: Chociaż bardzo proste polecenia będą działać (uruchamianie pliku wykonywalnego lub skryptu), bardziej skomplikowane scenariusze obejmujące wiele kroków należy umieścić w pliku skryptu. Ten plik skryptu można zmapować do kontenera za pośrednictwem udostępnionego folderu, a następnie wykonać za pomocą dyrektywy LogonCommand.

Przykłady konfiguracji

Przykład 1

Poniższy plik konfiguracyjny może służyć do łatwego testowania pobranych plików w piaskownicy. Aby to osiągnąć, skrypt wyłącza obsługę sieci i vGPU oraz ogranicza udostępniony folder pobierania do dostępu tylko do odczytu w kontenerze. Dla wygody polecenie logowania otwiera folder pobierania wewnątrz kontenera po jego uruchomieniu.

Downloads.wsb

WyłączyćWyłączyćC:\Użytkownicy\Publiczne\Pobraneprawdaexplorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads

Przykład 2

Poniższy plik konfiguracyjny instaluje kod programu Visual Studio w kontenerze, co wymaga nieco bardziej skomplikowanej konfiguracji LogonCommand.

Do kontenera mapowane są dwa foldery; pierwszy (SandboxScripts) zawiera VSCodeInstall. cmd, który zainstaluje i uruchomi VSCode. Zakłada się, że drugi folder (CodingProjects) zawiera pliki projektu, które deweloper chce zmodyfikować przy użyciu programu VSCode.

Gdy skrypt instalatora VSCode jest już zamapowany na kontener, LogonCommand może się do niego odwoływać.

VSCodeInstall.cmd

REM Pobierz VSCode. zawijanie -L " https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Desktop\vscode.exe REM Zainstaluj i uruchom program VSCode. C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes

VSCode.wsb

C:\Skrypty piaskownicyprawdaC:\Projekty kodowaniafałszyweC:\users\wdagutilityaccount\desktop\SandboxScripts\VSCodeInstall.cmd

Źródło: Microsoft

Windows Server Insider Preview kompilacja 16257 jest już dostępna

Windows Server Insider Preview kompilacja 16257 jest już dostępna

ZALECANA: Kliknij tutaj, aby rozwiązać problemy z systemem Windows i zoptymalizować wydajność sys...

Czytaj więcej

Windows Server Insider Preview build 16257 Archives

Ta strona korzysta z plików cookie, aby poprawić wrażenia podczas poruszania się po witrynie. Z t...

Czytaj więcej

Wydano Windows Server vNext LTSC kompilacja 17623

Wydano Windows Server vNext LTSC kompilacja 17623

Firma Microsoft udostępniła dziś nowy test Insider Preview systemu Windows Server. Tym razem jest...

Czytaj więcej