Windows Sandbox predstavlja preproste konfiguracijske datoteke v sistemu Windows 10
Windows Sandbox je izolirano, začasno namizno okolje, v katerem lahko izvajate nezaupljivo programsko opremo brez strahu pred trajnim vplivom na vaš računalnik. Windows Sandbox ima zdaj podporo za preproste konfiguracijske datoteke (datotečna razširitev .wsb), ki zagotavljajo minimalno podporo za skripte. To funkcijo lahko uporabite v najnovejši različici Windows Insider 18342.
Vsaka programska oprema, nameščena v Windows Sandbox, ostane samo v peskovniku in ne more vplivati na vašega gostitelja. Ko je Windows Sandbox zaprt, se vsa programska oprema z vsemi datotekami in stanjem trajno izbriše.
Windows Sandbox ima naslednje lastnosti:
- Del sistema Windows – vse, kar je potrebno za to funkcijo, je dobavljeno z Windows 10 Pro in Enterprise. VHD-ja ni treba prenesti!
- Neokrnjeno – vsakič, ko se Windows Sandbox zažene, je čist kot popolnoma nova namestitev sistema Windows
- Za enkratno uporabo – na napravi ne ostane nič; vse se zavrže, ko zaprete aplikacijo
- Varno – za izolacijo jedra uporablja virtualizacijo, ki temelji na strojni opremi, ki se zanaša na Microsoftov hipervizor za zagon ločenega jedra, ki izolira Windows Sandbox od gostitelja
- Učinkovito – uporablja integriran načrtovalnik jedra, pametno upravljanje pomnilnika in virtualni GPU
Obstajajo naslednji predpogoji za uporabo funkcije Windows Sandbox:
Oglas
- Windows 10 Pro ali Enterprise build 18305 ali novejši
- Arhitektura AMD64
- Zmogljivosti virtualizacije so omogočene v BIOS-u
- Vsaj 4 GB RAM-a (priporočeno 8 GB)
- Vsaj 1 GB prostega prostora na disku (priporočen SSD)
- Vsaj 2 jedri CPU (priporočeno 4 jedra s hipernitjem)
Naučite se lahko omogočiti in uporabljati Windows Sandbox TUKAJ.
Konfiguracijske datoteke peskovnika Windows
Konfiguracijske datoteke peskovnika so oblikovane kot XML in so povezane s peskovnikom Windows prek razširitve datoteke .wsb. Konfiguracijska datoteka omogoča uporabniku nadzor nad naslednjimi vidiki peskovnika Windows:
-
vGPU (virtualiziran GPU)
- Omogočite ali onemogočite virtualizirani GPU. Če je vGPU onemogočen, bo uporabil peskovnik WARP (programski raster).
-
Mreženje
- Omogočite ali onemogočite omrežni dostop do peskovnika.
-
Mape v skupni rabi
- Skupna raba map z gostitelja z dovoljenji za branje ali pisanje. Upoštevajte, da lahko razkritje gostiteljskih imenikov omogoči, da zlonamerna programska oprema vpliva na vaš sistem ali ukrade podatke.
-
Zagonski skript
- Dejanje prijave za peskovnik.
Če dvokliknete datoteko *.wsb, jo odprete v Windows Sandbox
Podprte možnosti konfiguracije
VGpu
Omogoči ali onemogoči skupno rabo GPU.
vrednost
Podprte vrednosti:
- Onemogoči – onemogoči podporo vGPU v peskovniku. Če je ta vrednost nastavljena, bo Windows Sandbox uporabljal programsko upodabljanje, ki je lahko počasnejše od virtualiziranega GPU-ja.
- Privzeto – to je privzeta vrednost za podporo vGPU; trenutno to pomeni, da je vGPU omogočen.
Opomba: Omogočanje virtualizirane GPU lahko potencialno poveča napadalno površino peskovnika.
Mreženje
Omogoči ali onemogoči mreženje v peskovniku. Onemogočanje dostopa do omrežja lahko uporabite za zmanjšanje površine napada, ki jo izpostavlja peskovnik.
vrednost
Podprte vrednosti:
- Onemogoči – onemogoči mreženje v peskovniku.
- Privzeto – to je privzeta vrednost za podporo omrežja. To omogoča mreženje tako, da na gostitelju ustvari navidezno stikalo in z njim poveže peskovnik prek navideznega NIC.
Opomba: Če omogočite mreženje, lahko nezaupljive aplikacije izpostavite vašemu notranjemu omrežju.
MappedFolders
Zavije seznam objektov MappedFolder.
seznam objektov MappedFolder.
Opomba: aplikacije v peskovniku lahko ogrozijo datoteke in mape, preslikane v gostitelja, ali pa lahko vplivajo na gostitelja.
MappedFolder
Določa eno mapo na gostiteljskem računalniku, ki bo v skupni rabi na namizju vsebnika. Aplikacije v peskovniku se izvajajo pod uporabniškim računom »WDAGUtilityAccount«. Zato so vse mape preslikane na naslednjo pot: C:\Users\WDAGUtilityAccount\Desktop.
npr. “C:\Test” bo preslikan kot “C:\users\WDAGUtilityAccount\Desktop\Test”.
pot do mape gostitelja vrednost
HostFolder: Določa mapo na gostiteljskem računalniku za skupno rabo v peskovniku. Upoštevajte, da mora mapa že obstajati kot gostitelj, sicer se vsebnik ne bo zagnal, če mape ni mogoče najti.
Le za branje: Če je res, uveljavi dostop samo za branje do mape v skupni rabi iz vsebnika. Podprte vrednosti: true/false.
Opomba: aplikacije v peskovniku lahko ogrozijo datoteke in mape, preslikane v gostitelja, ali pa lahko vplivajo na gostitelja.
LogonCommand
Določa en ukaz, ki se bo samodejno poklical po prijavi vsebnika.
ukaz, ki ga je treba priklicati
ukaz: Pot do izvedljive datoteke ali skripta v vsebniku, ki bo izvedena po prijavi.
Opomba: Čeprav bodo zelo preprosti ukazi delovali (zagon izvedljive datoteke ali skripta), je treba v skriptno datoteko postaviti bolj zapletene scenarije, ki vključujejo več korakov. To datoteko skripta je mogoče preslikati v vsebnik prek mape v skupni rabi in nato izvesti prek direktive LogonCommand.
Primeri konfiguracije
Primer 1
Naslednjo konfiguracijsko datoteko lahko uporabite za preprosto testiranje prenesenih datotek v peskovniku. Da bi to dosegel, skript onemogoči mreženje in vGPU ter omejuje mapo za prenose v skupni rabi na dostop samo za branje v vsebniku. Za udobje ukaz za prijavo odpre mapo za prenose znotraj vsebnika, ko se zažene.
Downloads.wsb
Onemogoči Onemogoči C:\Users\Public\Downloads prav explorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads
Primer 2
Naslednja konfiguracijska datoteka namesti Visual Studio Code v vsebnik, kar zahteva nekoliko bolj zapleteno nastavitev LogonCommand.
Dve mapi sta preslikani v vsebnik; prvi (SandboxScripts) vsebuje VSCodeInstall.cmd, ki bo namestil in zagnal VSCode. Predpostavlja se, da druga mapa (CodingProjects) vsebuje projektne datoteke, ki jih želi razvijalec spremeniti z uporabo VSCode.
Ko je skript namestitvenega programa VSCode že preslikan v vsebnik, se lahko LogonCommand sklicuje nanj.
VSCodeInstall.cmd
REM Prenesite VSCode. curl -L " https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Desktop\vscode.exe REM Namestite in zaženite VSCode. C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes
VSCode.wsb
C:\SandboxScripts prav C:\CodingProjects napačno C:\users\wdagutilityaccount\desktop\SandboxScripts\VSCodeInstall.cmd
vir: Microsoft
