Windows Sandbox представляет простые файлы конфигурации в Windows 10

Windows Sandbox - это изолированная временная среда рабочего стола, в которой вы можете запускать ненадежное программное обеспечение, не опасаясь длительного воздействия на ваш компьютер. Windows Sandbox теперь поддерживает простые файлы конфигурации (расширение файла .wsb), которые обеспечивают минимальную поддержку сценариев. Вы можете использовать эту функцию в последней сборке Windows Insider 18342.

Любое программное обеспечение, установленное в Windows Sandbox, остается только в песочнице и не может повлиять на ваш хост. После закрытия Windows Sandbox все программное обеспечение со всеми его файлами и состоянием удаляется безвозвратно.

Windows Sandbox имеет следующие свойства:

• Часть Windows - все необходимое для этой функции поставляется с Windows 10 Pro и Enterprise. Нет необходимости скачивать VHD!
• Нетронутый - каждый раз, когда запускается Windows Sandbox, она такая же чистая, как и новая установка Windows.
• Одноразовый - на устройстве ничего не сохраняется; все сбрасывается после закрытия приложения
• Безопасный - использует аппаратную виртуализацию для изоляции ядра, которая полагается на гипервизор Microsoft для запуска отдельного ядра, которое изолирует Windows Sandbox от хоста.
• Эффективный - использует встроенный планировщик ядра, интеллектуальное управление памятью и виртуальный графический процессор

Для использования функции Windows Sandbox необходимы следующие предварительные условия:

• Windows 10 Pro или Enterprise, сборка 18305 или новее
• Архитектура AMD64
• Возможности виртуализации включены в BIOS
• Не менее 4 ГБ ОЗУ (рекомендуется 8 ГБ)
• Не менее 1 ГБ свободного дискового пространства (рекомендуется SSD)
• Минимум 2 ядра ЦП (рекомендуется 4 ядра с гиперпоточностью)

Вы можете узнать, как включить и использовать Windows Sandbox ЗДЕСЬ.

Файлы конфигурации Windows Sandbox

Файлы конфигурации песочницы имеют формат XML и связаны с Windows Sandbox через расширение файла .wsb. Файл конфигурации позволяет пользователю контролировать следующие аспекты Windows Sandbox:

1. vGPU (виртуализированный графический процессор)
   • Включение или отключение виртуализированного графического процессора. Если vGPU отключен, Sandbox будет использовать WARP (программный растеризатор).
2. Сети
   • Включение или отключение сетевого доступа к песочнице.
3. Общие папки
   • Делитесь папками с хоста с разрешениями на чтение или запись. Обратите внимание, что раскрытие каталогов хоста может позволить вредоносному программному обеспечению повлиять на вашу систему или украсть данные.
4. Сценарий запуска
   • Действие входа в песочницу.

Дважды щелкнув файл * .wsb, вы откроете его в Windows Sandbox.

Поддерживаемые параметры конфигурации

VGpu

Включает или отключает совместное использование графического процессора.

ценить

Поддерживаемые значения:

• Запрещать - отключает поддержку vGPU в песочнице. Если установлено это значение, Windows Sandbox будет использовать программный рендеринг, который может быть медленнее, чем виртуализированный графический процессор.
• Дефолт - это значение по умолчанию для поддержки vGPU; в настоящее время это означает, что vGPU включен.

Примечание. Включение виртуализированного графического процессора потенциально может увеличить поверхность атаки «песочницы».

Сети

Включает или отключает сеть в песочнице. Отключение доступа к сети может быть использовано для уменьшения уязвимости для атаки, открытой для песочницы.

ценить

Поддерживаемые значения:

• Запрещать - отключает сеть в песочнице.
• Дефолт - это значение по умолчанию для сетевой поддержки. Это делает возможным создание сети путем создания виртуального коммутатора на хосте и подключения к нему песочницы через виртуальную сетевую карту.

Примечание. Включение сети может сделать доступными для вашей внутренней сети ненадежные приложения.

MappedFolders

Оборачивает список объектов MappedFolder.

список объектов MappedFolder. 

Примечание. Файлы и папки, сопоставленные с хоста, могут быть скомпрометированы приложениями в песочнице или потенциально могут повлиять на хост.

MappedFolder

Задает одну папку на главном компьютере, к которой будет предоставлен общий доступ на рабочем столе контейнера. Приложения в песочнице запускаются под учетной записью пользователя «WDAGUtilityAccount». Следовательно, все папки отображаются по следующему пути: C: \ Users \ WDAGUtilityAccount \ Desktop.

Например. «C: \ Test» будет отображаться как «C: \ users \ WDAGUtilityAccount \ Desktop \ Test».

путь к папке хостаценить

HostFolder: Указывает папку на главном компьютере для совместного использования в песочнице. Обратите внимание, что папка уже должна существовать на хосте, иначе контейнер не запустится, если папка не будет найдена.

Только для чтения: Если true, обеспечивает доступ только для чтения к общей папке из контейнера. Поддерживаемые значения: истина / ложь.

Примечание. Файлы и папки, сопоставленные с хоста, могут быть скомпрометированы приложениями в песочнице или потенциально могут повлиять на хост.

Вход в систему

Задает одну команду, которая будет вызываться автоматически после входа контейнера в систему.

вызываемая команда

Команда: Путь к исполняемому файлу или сценарию внутри контейнера, который будет выполнен после входа в систему.

Примечание. Хотя очень простые команды будут работать (запуск исполняемого файла или сценария), более сложные сценарии, включающие несколько шагов, должны быть помещены в файл сценария. Этот файл сценария можно сопоставить с контейнером через общую папку, а затем выполнить с помощью директивы LogonCommand.

Примеры конфигурации

Пример 1

Следующий файл конфигурации можно использовать для простого тестирования загруженных файлов внутри песочницы. Для этого сценарий отключает сеть и vGPU, а также ограничивает доступ к общей папке загрузок в контейнере только для чтения. Для удобства команда входа в систему при запуске открывает папку загрузок внутри контейнера.

Downloads.wsb

ЗапрещатьЗапрещатьC: \ Users \ Public \ Downloadsправдаexplorer.exe C: \ users \ WDAGUtilityAccount \ Desktop \ Downloads

Пример 2

Следующий файл конфигурации устанавливает Visual Studio Code в контейнер, что требует немного более сложной настройки LogonCommand.

В контейнер отображаются две папки; первый (SandboxScripts) содержит VSCodeInstall.cmd, который установит и запустит VSCode. Предполагается, что вторая папка (CodingProjects) содержит файлы проекта, которые разработчик хочет изменить с помощью VSCode.

Если сценарий установщика VSCode уже сопоставлен с контейнером, LogonCommand может ссылаться на него.

VSCodeInstall.cmd

REM Скачать VSCode. завиток -L " https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C: \ users \ WDAGUtilityAccount \ Desktop \ vscode.exe REM Установить и запустить VSCode. C: \ users \ WDAGUtilityAccount \ Desktop \ vscode.exe / verysilent / suppressmsgboxes

VSCode.wsb

C: \ SandboxScriptsправдаC: \ CodingProjectsложныйC: \ users \ wdagutilityaccount \ desktop \ SandboxScripts \ VSCodeInstall.cmd

Источник: Microsoft