Windows Sandbox introducerar enkla konfigurationsfiler i Windows 10
Windows Sandbox är en isolerad, tillfällig skrivbordsmiljö där du kan köra opålitlig programvara utan rädsla för varaktig påverkan på din dator. Windows Sandbox har nu stöd för enkla konfigurationsfiler (filtillägget .wsb), som ger minimalt skriptstöd. Du kan använda den här funktionen i den senaste Windows Insider build 18342.
All programvara som installeras i Windows Sandbox stannar bara i sandlådan och kan inte påverka din värd. När Windows Sandbox är stängd raderas all programvara med alla dess filer och status permanent.
Windows Sandbox har följande egenskaper:
- En del av Windows – allt som krävs för den här funktionen levereras med Windows 10 Pro och Enterprise. Du behöver inte ladda ner en VHD!
- Ren – varje gång Windows Sandbox körs är den lika ren som en helt ny installation av Windows
- Disponibel – ingenting kvarstår på enheten; allt kasseras efter att du stänger programmet
- Säkra – använder hårdvarubaserad virtualisering för kärnisolering, som förlitar sig på Microsofts hypervisor för att köra en separat kärna som isolerar Windows Sandbox från värden
- Effektiv – använder integrerad kärnschemaläggare, smart minneshantering och virtuell GPU
Det finns följande förutsättningar för att använda Windows Sandbox-funktionen:
Annons
- Windows 10 Pro eller Enterprise build 18305 eller senare
- AMD64 arkitektur
- Virtualiseringsfunktioner aktiverade i BIOS
- Minst 4 GB RAM (8 GB rekommenderas)
- Minst 1 GB ledigt diskutrymme (SSD rekommenderas)
- Minst 2 CPU-kärnor (4 kärnor med hypertrådning rekommenderas)
Du kan lära dig hur du aktiverar och använder Windows Sandbox HÄR.
Windows Sandbox-konfigurationsfiler
Sandbox-konfigurationsfiler är formaterade som XML och associeras med Windows Sandbox via filtillägget .wsb. En konfigurationsfil låter användaren kontrollera följande aspekter av Windows Sandbox:
-
vGPU (virtualiserad GPU)
- Aktivera eller inaktivera den virtualiserade GPU: n. Om vGPU är inaktiverat kommer Sandbox att använda VARP (programvara rasteriserare).
-
Nätverk
- Aktivera eller inaktivera nätverksåtkomst till sandlådan.
-
Delade mappar
- Dela mappar från värden med läs- eller skrivbehörigheter. Observera att exponering av värdkataloger kan tillåta skadlig programvara att påverka ditt system eller stjäla data.
-
Startskript
- Inloggningsåtgärd för sandlådan.
Genom att dubbelklicka på en *.wsb-fil öppnar du den i Windows Sandboxю
Konfigurationsalternativ som stöds
VGpu
Aktiverar eller inaktiverar GPU-delning.
värde
Värden som stöds:
- Inaktivera – inaktiverar vGPU-stöd i sandlådan. Om detta värde är inställt kommer Windows Sandbox att använda mjukvarurendering, som kan vara långsammare än virtualiserad GPU.
- Standard – detta är standardvärdet för vGPU-stöd; för närvarande betyder det att vGPU är aktiverad.
Obs: Aktivering av virtualiserad GPU kan potentiellt öka sandlådans attackyta.
Nätverk
Aktiverar eller inaktiverar nätverk i sandlådan. Inaktivering av nätverksåtkomst kan användas för att minska attackytan som exponeras av sandlådan.
värde
Värden som stöds:
- Inaktivera – inaktiverar nätverk i sandlådan.
- Standard – detta är standardvärdet för nätverksstöd. Detta möjliggör nätverkande genom att skapa en virtuell switch på värden och ansluter sandlådan till den via ett virtuellt nätverkskort.
Obs! Aktivering av nätverk kan exponera opålitliga applikationer för ditt interna nätverk.
Mapped Folders
Omsluter en lista över MappedFolder-objekt.
lista över MappedFolder-objekt.
Obs: Filer och mappar som mappas från värden kan äventyras av appar i sandlådan eller potentiellt påverka värden.
Mappad Folder
Anger en enskild mapp på värddatorn som kommer att delas på behållarens skrivbord. Appar i sandlådan körs under användarkontot "WDAGUtilityAccount". Därför mappas alla mappar under följande sökväg: C:\Users\WDAGUtilityAccount\Desktop.
T.ex. "C:\Test" kommer att mappas som "C:\users\WDAGUtilityAccount\Desktop\Test".
sökvägen till värdmappen värde
HostFolder: Anger mappen på värddatorn som ska delas med sandlådan. Observera att mappen redan måste finnas på värden annars kommer behållaren inte att starta om mappen inte hittas.
Endast läs: Om sant, upptvingar skrivskyddad åtkomst till den delade mappen från behållaren. Värden som stöds: sant/falskt.
Obs: Filer och mappar som mappas från värden kan äventyras av appar i sandlådan eller potentiellt påverka värden.
LogonCommand
Anger ett enskilt kommando som kommer att anropas automatiskt efter att behållaren loggat in.
kommando som ska anropas
Kommando: En sökväg till en körbar fil eller ett skript inuti behållaren som kommer att köras efter inloggning.
Obs: Även om mycket enkla kommandon fungerar (att starta en körbar fil eller ett skript), bör mer komplicerade scenarier som involverar flera steg placeras i en skriptfil. Denna skriptfil kan mappas till behållaren via en delad mapp och sedan köras via LogonCommand-direktivet.
Konfigurationsexempel
Exempel 1
Följande konfigurationsfil kan användas för att enkelt testa nedladdade filer inuti sandlådan. För att uppnå detta inaktiverar skriptet nätverk och vGPU och begränsar den delade nedladdningsmappen till skrivskyddad åtkomst i behållaren. För enkelhetens skull öppnar inloggningskommandot nedladdningsmappen inuti behållaren när den startas.
Downloads.wsb
Inaktivera Inaktivera C:\Users\Public\Nedladdningar Sann explorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads
Exempel 2
Följande konfigurationsfil installerar Visual Studio Code i behållaren, vilket kräver en något mer komplicerad LogonCommand-installation.
Två mappar mappas till behållaren; den första (SandboxScripts) innehåller VSCodeInstall.cmd, som kommer att installera och köra VSCode. Den andra mappen (CodingProjects) antas innehålla projektfiler som utvecklaren vill modifiera med VSCode.
Med VSCode-installationsskriptet redan mappat till behållaren kan LogonCommand referera till det.
VSCodeInstall.cmd
REM Ladda ner VSCode. curl -L " https://update.code.visualstudio.com/latest/win32-x64-user/stable" --utgång C:\users\WDAGUtilityAccount\Desktop\vscode.exe REM Installera och kör VSCode. C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes
VSCode.wsb
C:\SandboxScripts Sann C:\CodingProjects falsk C:\users\wdagutilityaccount\desktop\SandboxScripts\VSCodeInstall.cmd
Källa: Microsoft