Windows Sandbox introduce fișiere de configurare simple în Windows 10
Windows Sandbox este un mediu desktop izolat, temporar, în care puteți rula software neîncrezător fără teama de un impact de durată asupra computerului dvs. Windows Sandbox are acum suport pentru fișiere de configurare simple (extensie de fișier .wsb), care oferă suport minim de scripting. Puteți utiliza această caracteristică în cea mai recentă versiune Windows Insider 18342.
Orice software instalat în Windows Sandbox rămâne numai în sandbox și nu poate afecta gazda. Odată ce Windows Sandbox este închis, tot software-ul cu toate fișierele și starea acestuia sunt șterse definitiv.
Windows Sandbox are următoarele proprietăți:
- Parte din Windows – tot ceea ce este necesar pentru această funcție este livrat cu Windows 10 Pro și Enterprise. Nu este nevoie să descărcați un VHD!
- Impecabilă – de fiecare dată când Windows Sandbox rulează, este la fel de curat ca o instalare nou-nouță de Windows
- De unică folosință – nu persistă nimic pe dispozitiv; totul este eliminat după ce închideți aplicația
- Sigur – utilizează virtualizarea bazată pe hardware pentru izolarea nucleului, care se bazează pe hypervisorul Microsoft pentru a rula un nucleu separat care izolează Windows Sandbox de gazdă
- Eficient – folosește programatorul integrat de kernel, gestionarea inteligentă a memoriei și GPU virtual
Există următoarele cerințe preliminare pentru utilizarea caracteristicii Windows Sandbox:
Publicitate
- Windows 10 Pro sau Enterprise build 18305 sau o versiune ulterioară
- Arhitectura AMD64
- Capacitățile de virtualizare sunt activate în BIOS
- Cel puțin 4 GB RAM (se recomandă 8 GB)
- Cel puțin 1 GB de spațiu liber pe disc (se recomandă SSD)
- Cel puțin 2 nuclee CPU (se recomandă 4 nuclee cu hyperthreading)
Puteți afla cum să activați și să utilizați Windows Sandbox AICI.
Fișiere de configurare Windows Sandbox
Fișierele de configurare Sandbox sunt formatate ca XML și sunt asociate cu Windows Sandbox prin extensia de fișier .wsb. Un fișier de configurare permite utilizatorului să controleze următoarele aspecte ale Windows Sandbox:
-
vGPU (GPU virtualizat)
- Activați sau dezactivați GPU-ul virtualizat. Dacă vGPU este dezactivat, va folosi Sandbox URZEALĂ (rasterizator software).
-
Rețele
- Activați sau dezactivați accesul la rețea la Sandbox.
-
Dosare partajate
- Partajați foldere de la gazdă cu permisiuni de citire sau scriere. Rețineți că expunerea directoarelor gazdă poate permite software-ului rău intenționat să vă afecteze sistemul sau să fure date.
-
Script de pornire
- Acțiune de conectare pentru sandbox.
Făcând dublu clic pe un fișier *.wsb, îl veți deschide în Windows Sandboxю
Opțiuni de configurare acceptate
VGpu
Activează sau dezactivează partajarea GPU.
valoare
Valori suportate:
- Dezactivați – dezactivează suportul vGPU în sandbox. Dacă această valoare este setată, Windows Sandbox va folosi redarea software, care poate fi mai lentă decât GPU-ul virtualizat.
- Mod implicit – aceasta este valoarea implicită pentru suportul vGPU; în prezent, aceasta înseamnă că vGPU este activat.
Notă: Activarea GPU-ului virtualizat poate crește suprafața de atac a sandbox-ului.
Rețele
Activează sau dezactivează rețeaua în sandbox. Dezactivarea accesului la rețea poate fi folosită pentru a reduce suprafața de atac expusă de Sandbox.
valoare
Valori suportate:
- Dezactivați – dezactivează rețeaua în sandbox.
- Mod implicit – aceasta este valoarea implicită pentru suportul de rețea. Acest lucru permite crearea de rețele prin crearea unui comutator virtual pe gazdă și conectează sandbox-ul la acesta printr-o NIC virtuală.
Notă: Activarea conectării în rețea poate expune aplicațiile neîncrezătoare în rețeaua dumneavoastră internă.
MappedFolders
Încheie o listă de obiecte MappedFolder.
lista de obiecte MappedFolder.
Notă: fișierele și folderele mapate din gazdă pot fi compromise de aplicațiile din Sandbox sau pot afecta gazda.
MappedFolder
Specifică un singur folder pe mașina gazdă care va fi partajat pe desktop-ul containerului. Aplicațiile din Sandbox sunt rulate sub contul de utilizator „WDAGUtilityAccount”. Prin urmare, toate folderele sunt mapate pe următoarea cale: C:\Users\WDAGUtilityAccount\Desktop.
De exemplu. „C:\Test” va fi mapat ca „C:\users\WDAGUtilityAccount\Desktop\Test”.
calea către folderul gazdă valoare
HostFolder: Specifică folderul de pe computerul gazdă de partajat în sandbox. Rețineți că folderul trebuie să existe deja pe gazdă sau containerul nu va porni dacă folderul nu este găsit.
Numai citire: Dacă este adevărat, impune accesul numai în citire la folderul partajat din interiorul containerului. Valori acceptate: adevărat/fals.
Notă: fișierele și folderele mapate din gazdă pot fi compromise de aplicațiile din Sandbox sau pot afecta gazda.
LogonCommand
Specifică o singură comandă care va fi invocată automat după ce containerul se conectează.
comanda care urmează să fie invocată
Comanda: O cale către un executabil sau un script din interiorul containerului care va fi executat după conectare.
Notă: Deși comenzile foarte simple vor funcționa (lansarea unui executabil sau a unui script), scenariile mai complicate care implică mai mulți pași ar trebui plasate într-un fișier script. Acest fișier script poate fi mapat în container printr-un folder partajat și apoi executat prin directiva LogonCommand.
Exemple de configurare
Exemplul 1
Următorul fișier de configurare poate fi folosit pentru a testa cu ușurință fișierele descărcate în interiorul sandbox-ului. Pentru a realiza acest lucru, scriptul dezactivează rețeaua și vGPU și restricționează folderul de descărcări partajat la acces numai în citire în container. Pentru comoditate, comanda de conectare deschide folderul de descărcări din interiorul containerului atunci când acesta este pornit.
Downloads.wsb
Dezactivați Dezactivați C:\Utilizatori\Public\Descărcări Adevărat explorer.exe C:\utilizatori\WDAGUtilityAccount\Desktop\Descărcări
Exemplul 2
Următorul fișier de configurare instalează Visual Studio Code în container, ceea ce necesită o configurare LogonCommand puțin mai complicată.
Două foldere sunt mapate în container; primul (SandboxScripts) conține VSCodeInstall.cmd, care va instala și rula VSCode. Se presupune că al doilea folder (CodingProjects) conține fișiere de proiect pe care dezvoltatorul dorește să le modifice folosind VSCode.
Cu scriptul de instalare VSCode deja mapat în container, LogonCommand îl poate referi.
VSCodeInstall.cmd
REM Descărcați VSCode. curl -L " https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Desktop\vscode.exe REM Instalați și rulați VSCode. C:\utilizatori\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes
VSCode.wsb
C:\SandboxScripts Adevărat C:\CodingProjects fals C:\utilizatori\wdagutilityaccount\desktop\SandboxScripts\VSCodeInstall.cmd
Sursă: Microsoft