Windows Sandbox เปิดตัวไฟล์กำหนดค่าอย่างง่ายใน Windows 10
Windows Sandbox เป็นสภาพแวดล้อมเดสก์ท็อปแบบแยกส่วนชั่วคราวซึ่งคุณสามารถเรียกใช้ซอฟต์แวร์ที่ไม่น่าเชื่อถือโดยไม่ต้องกลัวว่าพีซีของคุณจะได้รับผลกระทบอย่างถาวร ตอนนี้ Windows Sandbox รองรับไฟล์การกำหนดค่าอย่างง่าย (นามสกุลไฟล์ .wsb) ซึ่งให้การสนับสนุนสคริปต์เพียงเล็กน้อย คุณสามารถใช้คุณลักษณะนี้ใน Windows Insider รุ่น 18342 รุ่นล่าสุดได้
ซอฟต์แวร์ใดๆ ที่ติดตั้งใน Windows Sandbox จะอยู่ในแซนด์บ็อกซ์เท่านั้นและจะไม่ส่งผลต่อโฮสต์ของคุณ เมื่อปิด Windows Sandbox ซอฟต์แวร์ทั้งหมดที่มีไฟล์และสถานะทั้งหมดจะถูกลบออกอย่างถาวร
Windows Sandbox มีคุณสมบัติดังต่อไปนี้:
- ส่วนของวินโดว์ – ทุกอย่างที่จำเป็นสำหรับฟีเจอร์นี้มาพร้อมกับ Windows 10 Pro และ Enterprise ไม่จำเป็นต้องดาวน์โหลด VHD!
- Pristine – ทุกครั้งที่ Windows Sandbox ทำงาน จะสะอาดเหมือนการติดตั้ง Windows ใหม่เอี่ยม
- แบบใช้แล้วทิ้ง – ไม่มีอะไรคงอยู่บนอุปกรณ์ ทุกอย่างจะถูกละทิ้งหลังจากที่คุณปิดแอปพลิเคชัน
- ปลอดภัย – ใช้การจำลองเสมือนบนฮาร์ดแวร์สำหรับการแยกเคอร์เนล ซึ่งอาศัยไฮเปอร์ไวเซอร์ของ Microsoft เพื่อเรียกใช้เคอร์เนลแยกต่างหากซึ่งแยก Windows Sandbox ออกจากโฮสต์
- มีประสิทธิภาพ – ใช้ตัวกำหนดตารางเวลาเคอร์เนลในตัว การจัดการหน่วยความจำอัจฉริยะ และ GPU เสมือน
มีข้อกำหนดเบื้องต้นต่อไปนี้สำหรับการใช้คุณลักษณะ Windows Sandbox:
โฆษณา
- Windows 10 Pro หรือ Enterprise รุ่น 18305 หรือใหม่กว่า
- สถาปัตยกรรม AMD64
- เปิดใช้งานความสามารถการจำลองเสมือนใน BIOS
- RAM อย่างน้อย 4GB (แนะนำ 8GB)
- พื้นที่ว่างบนดิสก์อย่างน้อย 1 GB (แนะนำให้ใช้ SSD)
- แกน CPU อย่างน้อย 2 คอร์ (4 คอร์พร้อมไฮเปอร์เธรดดิ้งแนะนำ)
คุณสามารถเรียนรู้วิธีเปิดใช้งานและใช้งาน Windows Sandbox ที่นี่.
ไฟล์การกำหนดค่า Windows Sandbox
ไฟล์การกำหนดค่าแซนด์บ็อกซ์มีรูปแบบเป็น XML และเชื่อมโยงกับ Windows Sandbox ผ่านนามสกุลไฟล์ .wsb ไฟล์การกำหนดค่าช่วยให้ผู้ใช้สามารถควบคุมลักษณะต่อไปนี้ของ Windows Sandbox:
-
vGPU ( GPU เสมือนจริง)
- เปิดหรือปิด GPU เสมือนจริง หากปิดใช้ vGPU แซนด์บ็อกซ์จะใช้ WARP (ซอฟต์แวร์แรสเตอร์ไรเซอร์).
-
ระบบเครือข่าย
- เปิดหรือปิดการเข้าถึงเครือข่ายไปยัง Sandbox
-
โฟลเดอร์ที่ใช้ร่วมกัน
- แชร์โฟลเดอร์จากโฮสต์โดยมีสิทธิ์อ่านหรือเขียน โปรดทราบว่าการเปิดเผยไดเรกทอรีโฮสต์อาจทำให้ซอฟต์แวร์ที่เป็นอันตรายส่งผลต่อระบบของคุณหรือขโมยข้อมูล
-
สคริปต์เริ่มต้น
- การดำเนินการเข้าสู่ระบบสำหรับแซนด์บ็อกซ์
โดยดับเบิลคลิกที่ไฟล์ *.wsb จะเป็นการเปิดใน Windows Sandboxю
ตัวเลือกการกำหนดค่าที่รองรับ
VGpu
เปิดหรือปิดการแชร์ GPU
ค่า
ค่าที่รองรับ:
- ปิดการใช้งาน – ปิดใช้งานการสนับสนุน vGPU ในแซนด์บ็อกซ์ หากตั้งค่านี้ไว้ Windows Sandbox จะใช้การเรนเดอร์ซอฟต์แวร์ ซึ่งอาจช้ากว่า GPU เสมือนจริง
- ค่าเริ่มต้น – นี่คือค่าเริ่มต้นสำหรับการรองรับ vGPU ปัจจุบันนี้หมายความว่า vGPU เปิดใช้งานอยู่
หมายเหตุ: การเปิดใช้งาน GPU เสมือนจริงอาจเพิ่มพื้นผิวการโจมตีของแซนด์บ็อกซ์ได้
ระบบเครือข่าย
เปิดหรือปิดใช้งานเครือข่ายในแซนด์บ็อกซ์ การปิดใช้งานการเข้าถึงเครือข่ายสามารถใช้เพื่อลดพื้นผิวการโจมตีที่ Sandbox เปิดเผย
ค่า
ค่าที่รองรับ:
- ปิดการใช้งาน – ปิดการใช้งานเครือข่ายในแซนด์บ็อกซ์
- ค่าเริ่มต้น – นี่คือค่าเริ่มต้นสำหรับการสนับสนุนเครือข่าย สิ่งนี้ทำให้สามารถเชื่อมต่อเครือข่ายได้โดยการสร้างสวิตช์เสมือนบนโฮสต์ และเชื่อมต่อแซนด์บ็อกซ์กับมันผ่าน NIC เสมือน
หมายเหตุ: การเปิดใช้งานเครือข่ายอาจทำให้แอปพลิเคชันที่ไม่น่าเชื่อถือปรากฏบนเครือข่ายภายในของคุณ
MappedFolders
ตัดรายการออบเจ็กต์ MappedFolder
รายการออบเจ็กต์ MappedFolder
หมายเหตุ: ไฟล์และโฟลเดอร์ที่แมปจากโฮสต์อาจถูกบุกรุกโดยแอปในแซนด์บ็อกซ์หรืออาจส่งผลต่อโฮสต์
โฟลเดอร์ที่แมป
ระบุโฟลเดอร์เดียวบนเครื่องโฮสต์ซึ่งจะถูกแชร์บนเดสก์ท็อปคอนเทนเนอร์ แอปในแซนด์บ็อกซ์ทำงานภายใต้บัญชีผู้ใช้ “WDAGUtilityAccount” ดังนั้น โฟลเดอร์ทั้งหมดจะถูกแมปภายใต้เส้นทางต่อไปนี้: C:\Users\WDAGUtilityAccount\Desktop
เช่น. “C:\Test” จะถูกจับคู่เป็น “C:\users\WDAGUtilityAccount\Desktop\Test”
เส้นทางไปยังโฟลเดอร์โฮสต์ ค่า
โฟลเดอร์โฮสต์: ระบุโฟลเดอร์บนเครื่องโฮสต์เพื่อแชร์ไปยังแซนด์บ็อกซ์ โปรดทราบว่าโฟลเดอร์ต้องมีโฮสต์อยู่แล้ว ไม่เช่นนั้นคอนเทนเนอร์จะล้มเหลวในการเริ่มทำงานหากไม่พบโฟลเดอร์
อ่านเท่านั้น: ถ้าเป็นจริง บังคับใช้การเข้าถึงแบบอ่านอย่างเดียวในโฟลเดอร์ที่ใช้ร่วมกันจากภายในคอนเทนเนอร์ ค่าที่รองรับ: จริง/เท็จ
หมายเหตุ: ไฟล์และโฟลเดอร์ที่แมปจากโฮสต์อาจถูกบุกรุกโดยแอปในแซนด์บ็อกซ์หรืออาจส่งผลต่อโฮสต์
คำสั่งเข้าสู่ระบบ
ระบุคำสั่งเดียวที่จะเรียกใช้โดยอัตโนมัติหลังจากคอนเทนเนอร์ล็อกออน
คำสั่งให้เรียกใช้
สั่งการ: เส้นทางไปยังไฟล์เรียกทำงานหรือสคริปต์ภายในคอนเทนเนอร์ที่จะดำเนินการหลังจากเข้าสู่ระบบ
หมายเหตุ: แม้ว่าคำสั่งง่ายๆ จะใช้งานได้ (การเปิดใช้ไฟล์เรียกทำงานหรือสคริปต์) แต่ควรใส่สถานการณ์ที่ซับซ้อนกว่าที่เกี่ยวข้องกับหลายขั้นตอนลงในไฟล์สคริปต์ ไฟล์สคริปต์นี้อาจถูกแมปลงในคอนเทนเนอร์ผ่านโฟลเดอร์ที่ใช้ร่วมกัน จากนั้นดำเนินการผ่านคำสั่ง LogonCommand
ตัวอย่างการกำหนดค่า
ตัวอย่างที่ 1
ไฟล์กำหนดค่าต่อไปนี้สามารถใช้เพื่อทดสอบไฟล์ที่ดาวน์โหลดภายในแซนด์บ็อกซ์ได้อย่างง่ายดาย เพื่อให้บรรลุสิ่งนี้ สคริปต์จะปิดใช้งานเครือข่ายและ vGPU และจำกัดโฟลเดอร์ดาวน์โหลดที่แชร์ให้เข้าถึงแบบอ่านอย่างเดียวในคอนเทนเนอร์ เพื่อความสะดวก คำสั่งล็อกออนจะเปิดโฟลเดอร์ดาวน์โหลดภายในคอนเทนเนอร์เมื่อเริ่มทำงาน
Downloads.wsb
ปิดการใช้งาน ปิดการใช้งาน C:\Users\Public\Downloads จริง explorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads
ตัวอย่าง 2
ไฟล์ปรับแต่งต่อไปนี้จะติดตั้ง Visual Studio Code ในคอนเทนเนอร์ ซึ่งต้องมีการตั้งค่า LogonCommand ที่ซับซ้อนกว่าเล็กน้อย
สองโฟลเดอร์ถูกแมปลงในคอนเทนเนอร์ อันแรก (SandboxScripts) มี VSCodeInstall.cmd ซึ่งจะติดตั้งและรัน VSCode โฟลเดอร์ที่สอง (CodingProjects) จะถือว่ามีไฟล์โครงการที่ผู้พัฒนาต้องการแก้ไขโดยใช้ VSCode
ด้วยสคริปต์ตัวติดตั้ง VSCode ที่แมปลงในคอนเทนเนอร์แล้ว LogonCommand สามารถอ้างอิงได้
VSCodeInstall.cmd
REM ดาวน์โหลด VSCode ขด -L " https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Desktop\vscode.exe REM ติดตั้งและเรียกใช้ VSCode C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes
VSCode.wsb
C:\SandboxScripts จริง C:\CodingProjects เท็จ C:\users\wdagutilityaccount\desktop\SandboxScripts\VSCodeInstall.cmd
แหล่งที่มา: Microsoft