Windows Sandbox predstavuje jednoduché konfiguračné súbory v systéme Windows 10
Windows Sandbox je izolované, dočasné, desktopové prostredie, kde môžete spúšťať nedôveryhodný softvér bez obáv z trvalého dopadu na váš počítač. Windows Sandbox teraz podporuje jednoduché konfiguračné súbory (prípona súboru .wsb), ktoré poskytujú minimálnu podporu skriptovania. Túto funkciu môžete použiť v najnovšom zostavení programu Windows Insider 18342.
Akýkoľvek softvér nainštalovaný v karanténe systému Windows zostáva iba v karanténe a nemôže ovplyvniť vášho hostiteľa. Po zatvorení Windows Sandbox sa natrvalo odstráni všetok softvér so všetkými jeho súbormi a stavom.
Windows Sandbox má nasledujúce vlastnosti:
- Časť systému Windows – všetko potrebné pre túto funkciu sa dodáva s Windows 10 Pro a Enterprise. Nie je potrebné sťahovať VHD!
- Nedotknutý – pri každom spustení systému Windows Sandbox je čistý ako úplne nová inštalácia systému Windows
- Jednorazové – na zariadení nič nezostáva; po zatvorení aplikácie sa všetko zahodí
- Zabezpečiť – používa hardvérovú virtualizáciu na izoláciu jadra, ktorá sa spolieha na hypervízor Microsoftu, ktorý spúšťa samostatné jadro, ktoré izoluje Windows Sandbox od hostiteľa
- Efektívne – využíva integrovaný plánovač jadra, inteligentnú správu pamäte a virtuálny GPU
Na používanie funkcie Windows Sandbox sú potrebné nasledujúce predpoklady:
- Windows 10 Pro alebo Enterprise zostava 18305 alebo novšia
- architektúra AMD64
- Možnosti virtualizácie povolené v systéme BIOS
- Aspoň 4 GB RAM (odporúča sa 8 GB)
- Aspoň 1 GB voľného miesta na disku (odporúča sa SSD)
- Aspoň 2 jadrá CPU (odporúča sa 4 jadrá s hyperthreadingom)
Môžete sa dozvedieť, ako povoliť a používať Windows Sandbox TU.
Konfiguračné súbory Windows Sandbox
Konfiguračné súbory karantény sú naformátované ako XML a sú priradené k karanténe systému Windows prostredníctvom prípony súboru .wsb. Konfiguračný súbor umožňuje používateľovi ovládať nasledujúce aspekty Windows Sandbox:
-
vGPU (virtualizovaný GPU)
- Povoliť alebo zakázať virtualizovaný GPU. Ak je vGPU vypnuté, použije sa Sandbox WARP (softvérový rasterizátor).
-
vytváranie sietí
- Povoliť alebo zakázať sieťový prístup k pieskovisku.
-
Zdieľané priečinky
- Zdieľajte priečinky z hostiteľa s povoleniami na čítanie alebo zápis. Upozorňujeme, že odhalenie hostiteľských adresárov môže umožniť škodlivému softvéru ovplyvniť váš systém alebo ukradnúť údaje.
-
Spúšťací skript
- Akcia prihlásenia do karantény.
Dvojitým kliknutím na súbor *.wsb ho otvoríte v karanténe Windows
Podporované možnosti konfigurácie
VGpu
Povolí alebo zakáže zdieľanie GPU.
hodnotu
Podporované hodnoty:
- Zakázať – zakáže podporu vGPU v karanténe. Ak je táto hodnota nastavená, Windows Sandbox použije softvérové vykresľovanie, ktoré môže byť pomalšie ako virtualizované GPU.
- Predvolené – toto je predvolená hodnota pre podporu vGPU; momentálne to znamená, že vGPU je povolené.
Poznámka: Povolenie virtualizovaného GPU môže potenciálne zvýšiť útočnú plochu karantény.
vytváranie sietí
Povolí alebo zakáže vytváranie sietí v karanténe. Zakázanie prístupu k sieti možno použiť na zníženie plochy útoku vystavenej karanténom.
hodnotu
Podporované hodnoty:
- Zakázať – deaktivuje sieťovanie v karanténe.
- Predvolené – toto je predvolená hodnota pre sieťovú podporu. To umožňuje vytváranie siete vytvorením virtuálneho prepínača na hostiteľovi a pripojením sandboxu k nemu prostredníctvom virtuálnej NIC.
Poznámka: Povolenie siete môže odhaliť nedôveryhodné aplikácie vašej internej sieti.
MappedFolders
Zalomí zoznam objektov MappedFolder.
zoznam objektov MappedFolder.
Poznámka: Súbory a priečinky namapované z hostiteľa môžu byť napadnuté aplikáciami v karanténe alebo môžu potenciálne ovplyvniť hostiteľa.
MappedFolder
Určuje jeden priečinok na hostiteľskom počítači, ktorý sa bude zdieľať na pracovnej ploche kontajnera. Aplikácie v karanténe sa spúšťajú pod používateľským účtom „WDAGUtilityAccount“. Všetky priečinky sú teda mapované pod nasledujúcou cestou: C:\Users\WDAGUtilityAccount\Desktop.
napr. „C:\Test“ bude mapované ako „C:\users\WDAGUtilityAccount\Desktop\Test“.
cestu k hostiteľskému priečinku hodnotu
HostFolder: Určuje priečinok na hostiteľskom počítači, ktorý sa má zdieľať v karanténe. Upozorňujeme, že priečinok už musí existovať ako hostiteľ, inak sa kontajner nespustí, ak sa priečinok nenájde.
Iba na čítanie: Ak je pravda, vynúti prístup iba na čítanie k zdieľanému priečinku z kontajnera. Podporované hodnoty: true/false.
Poznámka: Súbory a priečinky namapované z hostiteľa môžu byť napadnuté aplikáciami v karanténe alebo môžu potenciálne ovplyvniť hostiteľa.
LogonCommand
Určuje jeden príkaz, ktorý sa spustí automaticky po prihlásení kontajnera.
príkaz, ktorý sa má vyvolať
príkaz: Cesta k spustiteľnému súboru alebo skriptu v kontajneri, ktorý sa spustí po prihlásení.
Poznámka: Aj keď budú fungovať veľmi jednoduché príkazy (spustenie spustiteľného súboru alebo skriptu), komplikovanejšie scenáre zahŕňajúce viacero krokov by mali byť umiestnené do súboru skriptu. Tento súbor skriptu je možné namapovať do kontajnera prostredníctvom zdieľaného priečinka a potom spustiť pomocou direktívy LogonCommand.
Príklady konfigurácie
Príklad 1
Nasledujúci konfiguračný súbor možno použiť na jednoduché testovanie stiahnutých súborov v karanténe. Aby sa to dosiahlo, skript zakáže sieť a vGPU a obmedzí zdieľaný priečinok sťahovania na prístup len na čítanie v kontajneri. Na uľahčenie príkaz logon po spustení otvorí priečinok na sťahovanie vo vnútri kontajnera.
Downloads.wsb
Zakázať Zakázať C:\Používatelia\Verejné\Stiahnuté súbory pravda explorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads
Príklad 2
Nasledujúci konfiguračný súbor nainštaluje kód Visual Studio do kontajnera, čo si vyžaduje trochu komplikovanejšie nastavenie LogonCommand.
Do kontajnera sú namapované dva priečinky; prvý (SandboxScripts) obsahuje VSCodeInstall.cmd, ktorý nainštaluje a spustí VSCode. Predpokladá sa, že druhý priečinok (CodingProjects) obsahuje súbory projektu, ktoré chce vývojár upraviť pomocou VSCode.
S inštalačným skriptom VSCode už namapovaným do kontajnera môže LogonCommand odkazovať naň.
VSCodeInstall.cmd
REM Stiahnite si VSCode. curl -L" https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Desktop\vscode.exe REM Nainštalujte a spustite VSCode. C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes
VSCode.wsb
C:\SandboxScripts pravda C:\CodingProjects falošné C:\users\wdagutilityaccount\desktop\SandboxScripts\VSCodeInstall.cmd
Zdroj: Microsoft