Sandbox do Windows apresenta arquivos de configuração simples no Windows 10

O Windows Sandbox é um ambiente de área de trabalho isolado e temporário onde você pode executar software não confiável sem medo de causar um impacto duradouro em seu PC. O Windows Sandbox agora oferece suporte para arquivos de configuração simples (extensão de arquivo .wsb), que fornecem suporte mínimo de script. Você pode usar este recurso no último Windows Insider build 18342.

Qualquer software instalado no Windows Sandbox permanece apenas no sandbox e não pode afetar o seu host. Depois que o Windows Sandbox é fechado, todo o software com todos os seus arquivos e estado são excluídos permanentemente.

O Windows Sandbox tem as seguintes propriedades:

• Parte do Windows - tudo o que é necessário para este recurso vem com o Windows 10 Pro e Enterprise. Não há necessidade de baixar um VHD!
• Intocada - toda vez que o Windows Sandbox é executado, é tão limpo quanto uma nova instalação do Windows
• Descartável - nada persiste no dispositivo; tudo é descartado depois que você fecha o aplicativo
• Seguro - usa virtualização baseada em hardware para isolamento de kernel, que depende do hipervisor da Microsoft para executar um kernel separado que isola o Windows Sandbox do host
• Eficiente - usa agendador de kernel integrado, gerenciamento de memória inteligente e GPU virtual

Existem os seguintes pré-requisitos para usar o recurso Windows Sandbox:

• Windows 10 Pro ou Enterprise build 18305 ou posterior
• Arquitetura AMD64
• Capacidades de virtualização habilitadas no BIOS
• Pelo menos 4 GB de RAM (8 GB recomendado)
• Pelo menos 1 GB de espaço livre em disco (SSD recomendado)
• Pelo menos 2 núcleos de CPU (4 núcleos com hyperthreading recomendado)

Você pode aprender a habilitar e usar o Windows Sandbox AQUI.

Arquivos de configuração do Windows Sandbox

Os arquivos de configuração do sandbox são formatados como XML e estão associados ao Windows Sandbox por meio da extensão de arquivo .wsb. Um arquivo de configuração permite que o usuário controle os seguintes aspectos do Windows Sandbox:

1. vGPU (GPU virtualizado)
   • Habilite ou desabilite a GPU virtualizada. Se vGPU estiver desativado, o Sandbox usará URDIDURA (rasterizador de software).
2. Networking
   • Habilite ou desabilite o acesso de rede ao Sandbox.
3. Pastas partilhadas
   • Compartilhe pastas do host com permissões de leitura ou gravação. Observe que a exposição de diretórios de host pode permitir que software malicioso afete seu sistema ou roube dados.
4. Script de inicialização
   • Ação de logon para a sandbox.

Ao clicar duas vezes em um arquivo * .wsb, você o abrirá no Windows Sandboxю

Opções de configuração suportadas

VGpu

Ativa ou desativa o compartilhamento de GPU.

valor

Valores suportados:

• Desabilitar - desativa o suporte a vGPU na sandbox. Se este valor for definido, o Windows Sandbox usará renderização de software, que pode ser mais lenta do que a GPU virtualizada.
• Predefinição - este é o valor padrão para suporte a vGPU; atualmente, isso significa que o vGPU está ativado.

Nota: Habilitar a GPU virtualizada pode aumentar potencialmente a superfície de ataque da sandbox.

Networking

Habilita ou desabilita a rede na sandbox. Desabilitar o acesso à rede pode ser usado para diminuir a superfície de ataque exposta pelo Sandbox.

valor

Valores suportados:

• Desabilitar - desativa a rede na sandbox.
• Predefinição - este é o valor padrão para suporte de rede. Isso permite a rede criando um switch virtual no host e conectando a sandbox a ele por meio de um NIC virtual.

Nota: Habilitar a rede pode expor aplicativos não confiáveis ​​à sua rede interna.

MappedFolders

Envolve uma lista de objetos MappedFolder.

lista de objetos MappedFolder. 

Nota: Arquivos e pastas mapeados do host podem ser comprometidos por aplicativos na Sandbox ou potencialmente afetar o host.

MappedFolder

Especifica uma única pasta na máquina host que será compartilhada na área de trabalho do contêiner. Os aplicativos na Sandbox são executados com a conta de usuário “WDAGUtilityAccount”. Portanto, todas as pastas são mapeadas no seguinte caminho: C: \ Users \ WDAGUtilityAccount \ Desktop.

Por exemplo. “C: \ Test” será mapeado como “C: \ users \ WDAGUtilityAccount \ Desktop \ Test”.

caminho para a pasta hostvalor

HostFolder: Especifica a pasta na máquina host para compartilhar com a sandbox. Observe que a pasta já deve existir no host ou o contêiner não será iniciado se a pasta não for encontrada.

Somente leitura: Se verdadeiro, impõe acesso somente leitura à pasta compartilhada de dentro do contêiner. Valores com suporte: verdadeiro / falso.

Nota: Arquivos e pastas mapeados do host podem ser comprometidos por aplicativos na Sandbox ou potencialmente afetar o host.

LogonCommand

Especifica um único comando que será chamado automaticamente após o logon do contêiner.

comando a ser invocado

Comando: Um caminho para um executável ou script dentro do contêiner que será executado após o login.

Nota: Embora comandos muito simples funcionem (iniciando um executável ou script), cenários mais complicados envolvendo várias etapas devem ser colocados em um arquivo de script. Esse arquivo de script pode ser mapeado no contêiner por meio de uma pasta compartilhada e, em seguida, executado por meio da diretiva LogonCommand.

Exemplos de configuração

Exemplo 1

O arquivo de configuração a seguir pode ser usado para testar facilmente os arquivos baixados dentro da sandbox. Para conseguir isso, o script desativa a rede e vGPU e restringe a pasta de downloads compartilhada para acesso somente leitura no contêiner. Por conveniência, o comando de logon abre a pasta de downloads dentro do contêiner quando é iniciado.

Downloads.wsb

DesabilitarDesabilitarC: \ Usuários \ Público \ Downloadsverdadeexplorer.exe C: \ users \ WDAGUtilityAccount \ Desktop \ Downloads

Exemplo 2

O arquivo de configuração a seguir instala o Visual Studio Code no contêiner, o que requer uma configuração LogonCommand um pouco mais complicada.

Duas pastas são mapeadas para o contêiner; o primeiro (SandboxScripts) contém VSCodeInstall.cmd, que instalará e executará o VSCode. Presume-se que a segunda pasta (CodingProjects) contenha arquivos de projeto que o desenvolvedor deseja modificar usando VSCode.

Com o script do instalador VSCode já mapeado no contêiner, o LogonCommand pode fazer referência a ele.

VSCodeInstall.cmd

REM Baixe o VSCode. curl -L " https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C: \ users \ WDAGUtilityAccount \ Desktop \ vscode.exe REM Instale e execute o VSCode. C: \ users \ WDAGUtilityAccount \ Desktop \ vscode.exe / verysilent / suppressmsgboxes

VSCode.wsb

C: \ SandboxScriptsverdadeC: \ CodingProjectsfalsoC: \ users \ wdagutilityaccount \ desktop \ SandboxScripts \ VSCodeInstall.cmd

Fonte: Microsoft