Windows Tips & News

Windows Sandbox predstavuje jednoduché konfiguračné súbory v systéme Windows 10

click fraud protection

Windows Sandbox je izolované, dočasné, desktopové prostredie, kde môžete spúšťať nedôveryhodný softvér bez obáv z trvalého dopadu na váš počítač. Windows Sandbox teraz podporuje jednoduché konfiguračné súbory (prípona súboru .wsb), ktoré poskytujú minimálnu podporu skriptovania. Túto funkciu môžete použiť v najnovšom zostavení programu Windows Insider 18342.



Akýkoľvek softvér nainštalovaný v karanténe systému Windows zostáva iba v karanténe a nemôže ovplyvniť vášho hostiteľa. Po zatvorení Windows Sandbox sa natrvalo odstráni všetok softvér so všetkými jeho súbormi a stavom.

Windows Sandbox má nasledujúce vlastnosti:

  • Časť systému Windows – všetko potrebné pre túto funkciu sa dodáva s Windows 10 Pro a Enterprise. Nie je potrebné sťahovať VHD!
  • Nedotknutý – pri každom spustení systému Windows Sandbox je čistý ako úplne nová inštalácia systému Windows
  • Jednorazové – na zariadení nič nezostáva; po zatvorení aplikácie sa všetko zahodí
  • Zabezpečiť – používa hardvérovú virtualizáciu na izoláciu jadra, ktorá sa spolieha na hypervízor Microsoftu, ktorý spúšťa samostatné jadro, ktoré izoluje Windows Sandbox od hostiteľa
  • Efektívne – využíva integrovaný plánovač jadra, inteligentnú správu pamäte a virtuálny GPU

Na používanie funkcie Windows Sandbox sú potrebné nasledujúce predpoklady:

  • Windows 10 Pro alebo Enterprise zostava 18305 alebo novšia
  • architektúra AMD64
  • Možnosti virtualizácie povolené v systéme BIOS
  • Aspoň 4 GB RAM (odporúča sa 8 GB)
  • Aspoň 1 GB voľného miesta na disku (odporúča sa SSD)
  • Aspoň 2 jadrá CPU (odporúča sa 4 jadrá s hyperthreadingom)

Môžete sa dozvedieť, ako povoliť a používať Windows Sandbox TU.

Konfiguračné súbory Windows Sandbox

Konfiguračné súbory karantény sú naformátované ako XML a sú priradené k karanténe systému Windows prostredníctvom prípony súboru .wsb. Konfiguračný súbor umožňuje používateľovi ovládať nasledujúce aspekty Windows Sandbox:

  1. vGPU (virtualizovaný GPU)
    • Povoliť alebo zakázať virtualizovaný GPU. Ak je vGPU vypnuté, použije sa Sandbox WARP (softvérový rasterizátor).
  2. vytváranie sietí
    • Povoliť alebo zakázať sieťový prístup k pieskovisku.
  3. Zdieľané priečinky
    • Zdieľajte priečinky z hostiteľa s povoleniami na čítanie alebo zápis. Upozorňujeme, že odhalenie hostiteľských adresárov môže umožniť škodlivému softvéru ovplyvniť váš systém alebo ukradnúť údaje.
  4. Spúšťací skript
    • Akcia prihlásenia do karantény.

Dvojitým kliknutím na súbor *.wsb ho otvoríte v karanténe Windows

Podporované možnosti konfigurácie

VGpu

Povolí alebo zakáže zdieľanie GPU.

hodnotu

Podporované hodnoty:

  • Zakázať – zakáže podporu vGPU v karanténe. Ak je táto hodnota nastavená, Windows Sandbox použije softvérové ​​vykresľovanie, ktoré môže byť pomalšie ako virtualizované GPU.
  • Predvolené – toto je predvolená hodnota pre podporu vGPU; momentálne to znamená, že vGPU je povolené.

Poznámka: Povolenie virtualizovaného GPU môže potenciálne zvýšiť útočnú plochu karantény.

vytváranie sietí

Povolí alebo zakáže vytváranie sietí v karanténe. Zakázanie prístupu k sieti možno použiť na zníženie plochy útoku vystavenej karanténom.

hodnotu

Podporované hodnoty:

  • Zakázať – deaktivuje sieťovanie v karanténe.
  • Predvolené – toto je predvolená hodnota pre sieťovú podporu. To umožňuje vytváranie siete vytvorením virtuálneho prepínača na hostiteľovi a pripojením sandboxu k nemu prostredníctvom virtuálnej NIC.

Poznámka: Povolenie siete môže odhaliť nedôveryhodné aplikácie vašej internej sieti.

MappedFolders

Zalomí zoznam objektov MappedFolder.


zoznam objektov MappedFolder. 

Poznámka: Súbory a priečinky namapované z hostiteľa môžu byť napadnuté aplikáciami v karanténe alebo môžu potenciálne ovplyvniť hostiteľa.

MappedFolder

Určuje jeden priečinok na hostiteľskom počítači, ktorý sa bude zdieľať na pracovnej ploche kontajnera. Aplikácie v karanténe sa spúšťajú pod používateľským účtom „WDAGUtilityAccount“. Všetky priečinky sú teda mapované pod nasledujúcou cestou: C:\Users\WDAGUtilityAccount\Desktop.

napr. „C:\Test“ bude mapované ako „C:\users\WDAGUtilityAccount\Desktop\Test“.

cestu k hostiteľskému priečinkuhodnotu

HostFolder: Určuje priečinok na hostiteľskom počítači, ktorý sa má zdieľať v karanténe. Upozorňujeme, že priečinok už musí existovať ako hostiteľ, inak sa kontajner nespustí, ak sa priečinok nenájde.

Iba na čítanie: Ak je pravda, vynúti prístup iba na čítanie k zdieľanému priečinku z kontajnera. Podporované hodnoty: true/false.

Poznámka: Súbory a priečinky namapované z hostiteľa môžu byť napadnuté aplikáciami v karanténe alebo môžu potenciálne ovplyvniť hostiteľa.

LogonCommand

Určuje jeden príkaz, ktorý sa spustí automaticky po prihlásení kontajnera.

príkaz, ktorý sa má vyvolať

príkaz: Cesta k spustiteľnému súboru alebo skriptu v kontajneri, ktorý sa spustí po prihlásení.

Poznámka: Aj keď budú fungovať veľmi jednoduché príkazy (spustenie spustiteľného súboru alebo skriptu), komplikovanejšie scenáre zahŕňajúce viacero krokov by mali byť umiestnené do súboru skriptu. Tento súbor skriptu je možné namapovať do kontajnera prostredníctvom zdieľaného priečinka a potom spustiť pomocou direktívy LogonCommand.

Príklady konfigurácie

Príklad 1

Nasledujúci konfiguračný súbor možno použiť na jednoduché testovanie stiahnutých súborov v karanténe. Aby sa to dosiahlo, skript zakáže sieť a vGPU a obmedzí zdieľaný priečinok sťahovania na prístup len na čítanie v kontajneri. Na uľahčenie príkaz logon po spustení otvorí priečinok na sťahovanie vo vnútri kontajnera.

Downloads.wsb

ZakázaťZakázaťC:\Používatelia\Verejné\Stiahnuté súborypravdaexplorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads

Príklad 2

Nasledujúci konfiguračný súbor nainštaluje kód Visual Studio do kontajnera, čo si vyžaduje trochu komplikovanejšie nastavenie LogonCommand.

Do kontajnera sú namapované dva priečinky; prvý (SandboxScripts) obsahuje VSCodeInstall.cmd, ktorý nainštaluje a spustí VSCode. Predpokladá sa, že druhý priečinok (CodingProjects) obsahuje súbory projektu, ktoré chce vývojár upraviť pomocou VSCode.

S inštalačným skriptom VSCode už namapovaným do kontajnera môže LogonCommand odkazovať naň.

VSCodeInstall.cmd

REM Stiahnite si VSCode. curl -L" https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Desktop\vscode.exe REM Nainštalujte a spustite VSCode. C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes

VSCode.wsb

C:\SandboxScriptspravdaC:\CodingProjectsfalošnéC:\users\wdagutilityaccount\desktop\SandboxScripts\VSCodeInstall.cmd

Zdroj: Microsoft

Windows 8.1 archívy

Windows už dlho prehráva zvuky pre rôzne udalosti. Windows 8 tiež predstavil niekoľko nových zvuk...

Čítaj viac

Stiahnuť Stiahnite si BlackBlue Style Skin pre AIMP3

Táto webová stránka používa súbory cookie na zlepšenie vášho zážitku pri prechádzaní webom. Z týc...

Čítaj viac

Stiahnuť Stiahnite si Andro_AIO Skin pre AIMP3

Táto webová stránka používa súbory cookie na zlepšenie vášho zážitku pri prechádzaní webom. Z týc...

Čítaj viac