Windows Sandbox เปิดตัวไฟล์กำหนดค่าอย่างง่ายใน Windows 10

Windows Sandbox เป็นสภาพแวดล้อมเดสก์ท็อปแบบแยกส่วนชั่วคราวซึ่งคุณสามารถเรียกใช้ซอฟต์แวร์ที่ไม่น่าเชื่อถือโดยไม่ต้องกลัวว่าพีซีของคุณจะได้รับผลกระทบอย่างถาวร ตอนนี้ Windows Sandbox รองรับไฟล์การกำหนดค่าอย่างง่าย (นามสกุลไฟล์ .wsb) ซึ่งให้การสนับสนุนสคริปต์เพียงเล็กน้อย คุณสามารถใช้คุณลักษณะนี้ใน Windows Insider รุ่น 18342 รุ่นล่าสุดได้

ซอฟต์แวร์ใดๆ ที่ติดตั้งใน Windows Sandbox จะอยู่ในแซนด์บ็อกซ์เท่านั้นและจะไม่ส่งผลต่อโฮสต์ของคุณ เมื่อปิด Windows Sandbox ซอฟต์แวร์ทั้งหมดที่มีไฟล์และสถานะทั้งหมดจะถูกลบออกอย่างถาวร

Windows Sandbox มีคุณสมบัติดังต่อไปนี้:

• ส่วนของวินโดว์ – ทุกอย่างที่จำเป็นสำหรับฟีเจอร์นี้มาพร้อมกับ Windows 10 Pro และ Enterprise ไม่จำเป็นต้องดาวน์โหลด VHD!
• บริสุทธิ์ – ทุกครั้งที่ Windows Sandbox ทำงาน จะสะอาดเหมือนการติดตั้ง Windows ใหม่เอี่ยม
• แบบใช้แล้วทิ้ง – ไม่มีอะไรคงอยู่บนอุปกรณ์ ทุกอย่างจะถูกละทิ้งหลังจากที่คุณปิดแอปพลิเคชัน
• ปลอดภัย – ใช้การจำลองเสมือนบนฮาร์ดแวร์สำหรับการแยกเคอร์เนล ซึ่งอาศัยไฮเปอร์ไวเซอร์ของ Microsoft เพื่อเรียกใช้เคอร์เนลแยกต่างหากซึ่งแยก Windows Sandbox ออกจากโฮสต์
• มีประสิทธิภาพ – ใช้ตัวกำหนดตารางเวลาเคอร์เนลในตัว การจัดการหน่วยความจำอัจฉริยะ และ GPU เสมือน

มีข้อกำหนดเบื้องต้นต่อไปนี้สำหรับการใช้คุณลักษณะ Windows Sandbox:

• Windows 10 Pro หรือ Enterprise รุ่น 18305 หรือใหม่กว่า
• สถาปัตยกรรม AMD64
• เปิดใช้งานความสามารถการจำลองเสมือนใน BIOS
• RAM อย่างน้อย 4GB (แนะนำ 8GB)
• พื้นที่ว่างบนดิสก์อย่างน้อย 1 GB (แนะนำให้ใช้ SSD)
• แกน CPU อย่างน้อย 2 คอร์ (4 คอร์พร้อมไฮเปอร์เธรดดิ้งแนะนำ)

คุณสามารถเรียนรู้วิธีเปิดใช้งานและใช้งาน Windows Sandbox ที่นี่.

ไฟล์การกำหนดค่า Windows Sandbox

ไฟล์การกำหนดค่าแซนด์บ็อกซ์มีรูปแบบเป็น XML และเชื่อมโยงกับ Windows Sandbox ผ่านนามสกุลไฟล์ .wsb ไฟล์การกำหนดค่าทำให้ผู้ใช้สามารถควบคุมลักษณะต่อไปนี้ของ Windows Sandbox:

1. vGPU ( GPU เสมือนจริง)
   • เปิดหรือปิด GPU เสมือนจริง หากปิดใช้ vGPU แซนด์บ็อกซ์จะใช้ WARP (ซอฟต์แวร์แรสเตอร์ไรเซอร์).
2. ระบบเครือข่าย
   • เปิดหรือปิดการเข้าถึงเครือข่ายไปยัง Sandbox
3. โฟลเดอร์ที่ใช้ร่วมกัน
   • แชร์โฟลเดอร์จากโฮสต์โดยมีสิทธิ์อ่านหรือเขียน โปรดทราบว่าการเปิดเผยไดเรกทอรีโฮสต์อาจทำให้ซอฟต์แวร์ที่เป็นอันตรายส่งผลต่อระบบของคุณหรือขโมยข้อมูล
4. สคริปต์เริ่มต้น
   • การดำเนินการเข้าสู่ระบบสำหรับแซนด์บ็อกซ์

โดยดับเบิลคลิกที่ไฟล์ *.wsb จะเป็นการเปิดใน Windows Sandboxю

ตัวเลือกการกำหนดค่าที่รองรับ

VGpu

เปิดหรือปิดการแชร์ GPU

ค่า

ค่าที่รองรับ:

• ปิดการใช้งาน – ปิดใช้งานการสนับสนุน vGPU ในแซนด์บ็อกซ์ หากตั้งค่านี้ไว้ Windows Sandbox จะใช้การเรนเดอร์ซอฟต์แวร์ ซึ่งอาจช้ากว่า GPU เสมือนจริง
• ค่าเริ่มต้น – นี่คือค่าเริ่มต้นสำหรับการรองรับ vGPU ปัจจุบันนี้หมายความว่า vGPU เปิดใช้งานอยู่

หมายเหตุ: การเปิดใช้งาน GPU เสมือนจริงอาจเพิ่มพื้นผิวการโจมตีของแซนด์บ็อกซ์ได้

ระบบเครือข่าย

เปิดหรือปิดใช้งานเครือข่ายในแซนด์บ็อกซ์ การปิดใช้งานการเข้าถึงเครือข่ายสามารถใช้เพื่อลดพื้นผิวการโจมตีที่ Sandbox เปิดเผย

ค่า

ค่าที่รองรับ:

• ปิดการใช้งาน – ปิดการใช้งานเครือข่ายในแซนด์บ็อกซ์
• ค่าเริ่มต้น – นี่คือค่าเริ่มต้นสำหรับการสนับสนุนเครือข่าย สิ่งนี้ทำให้สามารถเชื่อมต่อเครือข่ายได้โดยการสร้างสวิตช์เสมือนบนโฮสต์ และเชื่อมต่อแซนด์บ็อกซ์กับมันผ่าน NIC เสมือน

หมายเหตุ: การเปิดใช้งานเครือข่ายอาจทำให้แอปพลิเคชันที่ไม่น่าเชื่อถือปรากฏบนเครือข่ายภายในของคุณ

MappedFolders

ตัดรายการออบเจ็กต์ MappedFolder

รายการออบเจ็กต์ MappedFolder 

หมายเหตุ: ไฟล์และโฟลเดอร์ที่แมปจากโฮสต์อาจถูกบุกรุกโดยแอปในแซนด์บ็อกซ์หรืออาจส่งผลต่อโฮสต์

โฟลเดอร์ที่แมป

ระบุโฟลเดอร์เดียวบนเครื่องโฮสต์ซึ่งจะถูกแชร์บนเดสก์ท็อปคอนเทนเนอร์ แอปในแซนด์บ็อกซ์ทำงานภายใต้บัญชีผู้ใช้ “WDAGUtilityAccount” ดังนั้น โฟลเดอร์ทั้งหมดจะถูกแมปภายใต้เส้นทางต่อไปนี้: C:\Users\WDAGUtilityAccount\Desktop

เช่น. “C:\Test” จะถูกจับคู่เป็น “C:\users\WDAGUtilityAccount\Desktop\Test”

เส้นทางไปยังโฟลเดอร์โฮสต์ค่า

โฟลเดอร์โฮสต์: ระบุโฟลเดอร์บนเครื่องโฮสต์เพื่อแชร์ไปยังแซนด์บ็อกซ์ โปรดทราบว่าโฟลเดอร์ต้องมีโฮสต์อยู่แล้ว ไม่เช่นนั้นคอนเทนเนอร์จะล้มเหลวในการเริ่มทำงานหากไม่พบโฟลเดอร์

อ่านเท่านั้น: ถ้าเป็นจริง บังคับใช้การเข้าถึงแบบอ่านอย่างเดียวในโฟลเดอร์ที่ใช้ร่วมกันจากภายในคอนเทนเนอร์ ค่าที่รองรับ: จริง/เท็จ

หมายเหตุ: ไฟล์และโฟลเดอร์ที่แมปจากโฮสต์อาจถูกบุกรุกโดยแอปในแซนด์บ็อกซ์หรืออาจส่งผลต่อโฮสต์

คำสั่งเข้าสู่ระบบ

ระบุคำสั่งเดียวที่จะเรียกใช้โดยอัตโนมัติหลังจากคอนเทนเนอร์ล็อกออน

คำสั่งให้เรียกใช้

สั่งการ: เส้นทางไปยังไฟล์เรียกทำงานหรือสคริปต์ภายในคอนเทนเนอร์ที่จะดำเนินการหลังจากเข้าสู่ระบบ

หมายเหตุ: แม้ว่าคำสั่งง่ายๆ จะใช้งานได้ (การเปิดใช้ไฟล์เรียกทำงานหรือสคริปต์) แต่ควรใส่สถานการณ์ที่ซับซ้อนกว่าที่เกี่ยวข้องกับหลายขั้นตอนลงในไฟล์สคริปต์ ไฟล์สคริปต์นี้อาจถูกแมปลงในคอนเทนเนอร์ผ่านโฟลเดอร์ที่ใช้ร่วมกัน จากนั้นดำเนินการผ่านคำสั่ง LogonCommand

ตัวอย่างการกำหนดค่า

ตัวอย่างที่ 1

ไฟล์กำหนดค่าต่อไปนี้สามารถใช้เพื่อทดสอบไฟล์ที่ดาวน์โหลดภายในแซนด์บ็อกซ์ได้อย่างง่ายดาย เพื่อให้บรรลุสิ่งนี้ สคริปต์ปิดใช้งานเครือข่ายและ vGPU และจำกัดโฟลเดอร์ดาวน์โหลดที่แชร์ให้เข้าถึงแบบอ่านอย่างเดียวในคอนเทนเนอร์ เพื่อความสะดวก คำสั่งล็อกออนจะเปิดโฟลเดอร์ดาวน์โหลดภายในคอนเทนเนอร์เมื่อเริ่มทำงาน

Downloads.wsb

ปิดการใช้งานปิดการใช้งานC:\Users\Public\Downloadsจริงexplorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads

ตัวอย่าง 2

ไฟล์ปรับแต่งต่อไปนี้จะติดตั้ง Visual Studio Code ในคอนเทนเนอร์ ซึ่งต้องมีการตั้งค่า LogonCommand ที่ซับซ้อนกว่าเล็กน้อย

สองโฟลเดอร์ถูกแมปลงในคอนเทนเนอร์ อันแรก (SandboxScripts) มี VSCodeInstall.cmd ซึ่งจะติดตั้งและรัน VSCode โฟลเดอร์ที่สอง (CodingProjects) จะถือว่ามีไฟล์โครงการที่ผู้พัฒนาต้องการแก้ไขโดยใช้ VSCode

ด้วยสคริปต์ตัวติดตั้ง VSCode ที่แมปลงในคอนเทนเนอร์แล้ว LogonCommand สามารถอ้างอิงได้

VSCodeInstall.cmd

REM ดาวน์โหลด VSCode ขด -L " https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Desktop\vscode.exe REM ติดตั้งและเรียกใช้ VSCode C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes

VSCode.wsb

C:\SandboxScriptsจริงC:\CodingProjectsเท็จC:\users\wdagutilityaccount\desktop\SandboxScripts\VSCodeInstall.cmd

แหล่งที่มา: Microsoft