Windows Sandbox, Windows 10'da Basit Yapılandırma Dosyalarını Tanıtıyor

Windows Sandbox, bilgisayarınıza kalıcı bir etki yapma korkusu olmadan güvenilmeyen yazılımları çalıştırabileceğiniz yalıtılmış, geçici bir masaüstü ortamıdır. Windows Sandbox artık, minimum komut dosyası desteği sağlayan basit yapılandırma dosyalarını (.wsb dosya uzantısı) destekler. Bu özelliği en son Windows Insider derlemesi 18342'de kullanabilirsiniz.

Windows Sandbox'a yüklenen herhangi bir yazılım yalnızca sanal alanda kalır ve ana makinenizi etkileyemez. Windows Sandbox kapatıldığında, tüm dosyaları ve durumu ile birlikte tüm yazılımlar kalıcı olarak silinir.

Windows Sandbox aşağıdaki özelliklere sahiptir:

• Windows'un bir parçası – bu özellik için gereken her şey Windows 10 Pro ve Enterprise ile birlikte gelir. VHD indirmenize gerek yok!
• bozulmamış – Windows Sandbox her çalıştığında, yepyeni bir Windows kurulumu kadar temizdir
• tek kullanımlık – cihazda hiçbir şey kalıcı değil; uygulamayı kapattıktan sonra her şey atılır
• Güvenli – Windows Sandbox'ı ana bilgisayardan izole eden ayrı bir çekirdek çalıştırmak için Microsoft'un hipervizörüne dayanan çekirdek izolasyonu için donanım tabanlı sanallaştırma kullanır
• Verimli – entegre çekirdek zamanlayıcı, akıllı bellek yönetimi ve sanal GPU kullanır

Windows Sandbox özelliğini kullanmak için aşağıdaki ön koşullar vardır:

• Windows 10 Pro veya Enterprise 18305 veya üstü yapı
• AMD64 mimarisi
• BIOS'ta etkinleştirilen sanallaştırma yetenekleri
• En az 4 GB RAM (8 GB önerilir)
• En az 1 GB boş disk alanı (SSD önerilir)
• En az 2 CPU çekirdeği (hiper iş parçacıklı 4 çekirdek önerilir)

Windows Sandbox'ı nasıl etkinleştireceğinizi ve kullanacağınızı öğrenebilirsiniz. BURADA.

Windows Sandbox Yapılandırma Dosyaları

Sandbox yapılandırma dosyaları XML olarak biçimlendirilir ve .wsb dosya uzantısı aracılığıyla Windows Sandbox ile ilişkilendirilir. Bir yapılandırma dosyası, kullanıcının Windows Sandbox'ın aşağıdaki özelliklerini kontrol etmesine olanak tanır:

1. vGPU (sanallaştırılmış GPU)
   • Sanallaştırılmış GPU'yu Etkinleştirin veya Devre Dışı Bırakın. vGPU devre dışı bırakılırsa, Sandbox kullanır ÇÖZGÜ (yazılım rasterleştirici).
2. ağ
   • Sandbox'a ağ erişimini etkinleştirin veya devre dışı bırakın.
3. Paylaşılan klasörler
   • Ana bilgisayardaki klasörleri okuma veya yazma izinleriyle paylaşın. Ana bilgisayar dizinlerini açığa çıkarmanın, kötü amaçlı yazılımların sisteminizi etkilemesine veya veri çalmasına izin verebileceğini unutmayın.
4. başlangıç ​​komut dosyası
   • Korumalı alan için oturum açma eylemi.

Bir *.wsb dosyasına çift tıklayarak onu Windows Sandbox'ta açacaksınız

Desteklenen Yapılandırma Seçenekleri

VGpu

GPU paylaşımını etkinleştirir veya devre dışı bırakır.

değer

Desteklenen değerler:

• Devre dışı bırakmak – sanal alanda vGPU desteğini devre dışı bırakır. Bu değer ayarlanırsa Windows Sandbox, sanallaştırılmış GPU'dan daha yavaş olabilen yazılım oluşturmayı kullanır.
• Varsayılan – bu, vGPU desteği için varsayılan değerdir; şu anda bu, vGPU'nun etkin olduğu anlamına gelir.

Not: Sanallaştırılmış GPU'yu etkinleştirmek, sanal alanın saldırı yüzeyini potansiyel olarak artırabilir.

ağ

Korumalı alanda ağ oluşturmayı etkinleştirir veya devre dışı bırakır. Sandbox tarafından açığa çıkarılan saldırı yüzeyini azaltmak için ağ erişimini devre dışı bırakmak kullanılabilir.

değer

Desteklenen değerler:

• Devre dışı bırakmak – sanal alanda ağ bağlantısını devre dışı bırakır.
• Varsayılan – bu, ağ desteği için varsayılan değerdir. Bu, ana bilgisayarda sanal bir anahtar oluşturarak ağ oluşturmayı sağlar ve sanal alanı sanal bir NIC aracılığıyla ona bağlar.

Not: Ağ oluşturmayı etkinleştirmek, güvenilmeyen uygulamaları dahili ağınıza maruz bırakabilir.

Eşlenmiş Klasörler

MappedFolder nesnelerinin bir listesini sarar.

MappedFolder nesnelerinin listesi. 

Not: Ana bilgisayardan eşlenen dosya ve klasörlerin güvenliği, Sandbox'taki uygulamalar tarafından ele geçirilebilir veya ana bilgisayarı etkileyebilir.

MappedFolder

Ana makinede, kapsayıcı masaüstünde paylaşılacak tek bir klasörü belirtir. Sandbox'taki uygulamalar "WDAGUtilityAccount" kullanıcı hesabı altında çalıştırılır. Bu nedenle, tüm klasörler şu yol altında eşlenir: C:\Users\WDAGUtilityAccount\Desktop.

Örneğin. “C:\Test”, “C:\users\WDAGUtilityAccount\Desktop\Test” olarak eşlenecektir.

ana bilgisayar klasörüne giden yoldeğer

Ana Klasör: Korumalı alanla paylaşılacak ana makinedeki klasörü belirtir. Klasörün zaten ana bilgisayar olması gerektiğini veya klasör bulunamazsa kapsayıcının başlatılamayacağını unutmayın.

Sadece oku: Doğruysa, kapsayıcı içinden paylaşılan klasöre salt okunur erişimi zorlar. Desteklenen değerler: doğru/yanlış.

Not: Ana bilgisayardan eşlenen dosya ve klasörlerin güvenliği, Sandbox'taki uygulamalar tarafından ele geçirilebilir veya ana bilgisayarı etkileyebilir.

Oturum Açma Komutu

Kapsayıcı oturum açtıktan sonra otomatik olarak çağrılacak tek bir Komut belirtir.

çağrılacak komut

Emretmek: Oturum açıldıktan sonra yürütülecek kapsayıcının içindeki yürütülebilir dosyanın veya komut dosyasının yolu.

Not: Çok basit komutlar (bir yürütülebilir dosya veya komut dosyasının başlatılması) işe yarayacak olsa da, birden çok adım içeren daha karmaşık senaryolar bir komut dosyasına yerleştirilmelidir. Bu komut dosyası, paylaşılan bir klasör aracılığıyla kapsayıcıya eşlenebilir ve ardından LogonCommand yönergesi aracılığıyla yürütülebilir.

Yapılandırma Örnekleri

örnek 1

Aşağıdaki yapılandırma dosyası, indirilen dosyaları sandbox içinde kolayca test etmek için kullanılabilir. Bunu başarmak için komut dosyası ağı ve vGPU'yu devre dışı bırakır ve paylaşılan indirmeler klasörünü kapsayıcıda salt okunur erişimle kısıtlar. Kolaylık sağlamak için, oturum açma komutu, başlatıldığında kapsayıcının içindeki indirilenler klasörünü açar.

İndirilenler.wsb

Devre dışı bırakmakDevre dışı bırakmakC:\Kullanıcılar\Genel\İndirilenlerNSexplorer.exe C:\users\WDAGUtilityAccount\Masaüstü\İndirilenler

Örnek 2

Aşağıdaki yapılandırma dosyası, biraz daha karmaşık bir LogonCommand kurulumu gerektiren kapsayıcıya Visual Studio Code yükler.

İki klasör kapsayıcıya eşlenir; ilki (SandboxScripts), VSCode'u yükleyecek ve çalıştıracak olan VSCodeInstall.cmd'yi içerir. İkinci klasörün (CodingProjects), geliştiricinin VSCode kullanarak değiştirmek istediği proje dosyalarını içerdiği varsayılır.

VSCode yükleyici betiği kapsayıcıya önceden eşlenmiş durumdayken, LogonCommand buna başvurabilir.

VSCodeInstall.cmd

REM VSCode'u İndirin. kıvrılma -L" https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Desktop\vscode.exe REM VSCode'u kurun ve çalıştırın. C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes

VSCode.wsb

C:\SandboxScript'lerNSC:\KodlamaProjeleriYANLIŞC:\users\wdagutilityaccount\desktop\SandboxScripts\VSCodeInstall.cmd

Kaynak: Microsoft