Windows Sandbox представляє прості файли конфігурації в Windows 10

Windows Sandbox — це ізольоване, тимчасове середовище робочого столу, де ви можете запускати ненадійне програмне забезпечення, не боячись тривалого впливу на ваш ПК. Windows Sandbox тепер підтримує прості файли конфігурації (розширення файлу .wsb), які забезпечують мінімальну підтримку сценаріїв. Ви можете використовувати цю функцію в останній збірці Windows Insider 18342.

Будь-яке програмне забезпечення, встановлене в Windows Sandbox, залишається лише в пісочниці і не може вплинути на ваш хост. Після закриття Windows Sandbox усе програмне забезпечення з усіма його файлами та станом видаляється назавжди.

Пісочниця Windows має такі властивості:

• Частина Windows – усе необхідне для цієї функції постачається з Windows 10 Pro та Enterprise. Не потрібно завантажувати VHD!
• первозданний – щоразу, коли Windows Sandbox запускається, вона чиста, як абсолютно нова інсталяція Windows
• Одноразовий – на пристрої нічого не зберігається; після закриття програми все відкидається
• Безпечний – використовує апаратну віртуалізацію для ізоляції ядра, яка покладається на гіпервізор Microsoft для запуску окремого ядра, яке ізолює Windows Sandbox від хоста
• Ефективний – використовує вбудований планувальник ядра, інтелектуальне керування пам’яттю та віртуальний графічний процесор

Існують такі передумови для використання функції Windows Sandbox:

• Windows 10 Pro або Enterprise build 18305 або новішої версії
• Архітектура AMD64
• Можливості віртуалізації включені в BIOS
• Принаймні 4 ГБ оперативної пам’яті (рекомендується 8 ГБ)
• Принаймні 1 ГБ вільного місця на диску (рекомендується SSD)
• Принаймні 2 ядра ЦП (рекомендується 4 ядра з гіперпоточністю)

Ви можете дізнатися, як увімкнути та використовувати Windows Sandbox ТУТ.

Файли конфігурації пісочниці Windows

Файли конфігурації пісочниці відформатовані як XML і пов’язані з Windows Sandbox через розширення файлу .wsb. Файл конфігурації дозволяє користувачеві керувати такими аспектами пісочниці Windows:

1. vGPU (віртуалізований графічний процесор)
   • Увімкнути або вимкнути віртуалізований графічний процесор. Якщо vGPU вимкнено, використовуватиме Sandbox КОРОБКА (програмний растеризатор).
2. Мережа
   • Увімкнути або вимкнути мережевий доступ до пісочниці.
3. Спільні папки
   • Спільний доступ до папок з хоста з дозволами на читання або запис. Зауважте, що розкриття каталогів хостів може дозволити шкідливому програмному забезпеченню вплинути на вашу систему або вкрасти дані.
4. Сценарій запуску
   • Дія входу для пісочниці.

Двічі клацнувши файл *.wsb, ви відкриєте його в Windows Sandboxю

Підтримувані параметри конфігурації

ВГпу

Вмикає або вимикає спільне використання графічного процесора.

значення

Підтримувані значення:

• Вимкнути – вимикає підтримку vGPU в пісочниці. Якщо це значення встановлено, Windows Sandbox використовуватиме програмне відтворення, яке може бути повільніше, ніж віртуалізований GPU.
• За замовчуванням – це значення за замовчуванням для підтримки vGPU; наразі це означає, що vGPU увімкнено.

Примітка. Увімкнення віртуалізованого графічного процесора потенційно може збільшити поверхню атаки пісочниці.

Мережа

Вмикає або вимикає мережу в пісочниці. Вимкнення доступу до мережі можна використовувати, щоб зменшити поверхню атаки, яку виявляє Sandbox.

значення

Підтримувані значення:

• Вимкнути – вимикає мережу в пісочниці.
• За замовчуванням – це значення за замовчуванням для підтримки мережі. Це дозволяє працювати в мережі, створюючи віртуальний комутатор на хості та підключаючи пісочницю до нього за допомогою віртуальної сетевої карти.

Примітка. Увімкнення мережі може надати ненадійні програми доступу до внутрішньої мережі.

MappedFolders

Огортає список об’єктів MappedFolder.

список об'єктів MappedFolder. 

Примітка. Файли та папки, зіставлені з хоста, можуть бути скомпрометовані програмами в пісочниці або потенційно вплинути на хост.

MappedFolder

Визначає одну папку на хост-комп’ютері, яка буде спільною на робочому столі контейнера. Програми в пісочниці запускаються під обліковим записом користувача «WDAGUtilityAccount». Таким чином, усі папки відображаються за таким шляхом: C:\Users\WDAGUtilityAccount\Desktop.

напр. «C:\Test» буде зіставлено як «C:\users\WDAGUtilityAccount\Desktop\Test».

шлях до папки хостазначення

HostFolder: Визначає папку на хост-комп’ютері, до якої потрібно поділитися в пісочниці. Зауважте, що папка вже має існувати на хості, інакше контейнер не запуститься, якщо папку не буде знайдено.

Лише для читання: якщо значення true, забезпечує доступ лише для читання до спільної папки з контейнера. Підтримувані значення: true/false.

Примітка. Файли та папки, зіставлені з хоста, можуть бути скомпрометовані програмами в пісочниці або потенційно вплинути на хост.

Команда входу

Визначає одну команду, яка буде автоматично викликана після входу контейнера.

команда, яку потрібно викликати

Команда: Шлях до виконуваного файлу або сценарію всередині контейнера, який буде виконано після входу в систему.

Примітка. Хоча дуже прості команди будуть працювати (запуск виконуваного файлу або сценарію), більш складні сценарії, що включають кілька кроків, слід помістити у файл сценарію. Цей файл сценарію можна зіставити в контейнер через спільну папку, а потім виконати за допомогою директиви LogonCommand.

Приклади конфігурації

Приклад 1

Наступний конфігураційний файл можна використовувати для легкої перевірки завантажених файлів у пісочниці. Щоб досягти цього, сценарій вимикає мережу та vGPU, а також обмежує спільну папку завантажень доступом лише для читання в контейнері. Для зручності команда входу відкриває папку завантажень всередині контейнера під час її запуску.

Downloads.wsb

ВимкнутиВимкнутиC:\Users\Public\Downloadsправдаexplorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads

Приклад 2

Наступний конфігураційний файл встановлює Visual Studio Code в контейнер, що вимагає дещо складнішого налаштування LogonCommand.

Дві папки відображаються в контейнері; перший (SandboxScripts) містить VSCodeInstall.cmd, який встановить і запустить VSCode. Передбачається, що друга папка (CodingProjects) містить файли проекту, які розробник хоче змінити за допомогою VSCode.

Якщо сценарій інсталятора VSCode вже відображено в контейнері, команда LogonCommand може посилатися на нього.

VSCodeInstall.cmd

REM Завантажити VSCode. завиток -L" https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Desktop\vscode.exe REM Встановіть і запустіть VSCode. C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes

VSCode.wsb

C:\SandboxScriptsправдаC:\CodingProjectsпомилковийC:\users\wdagutilityaccount\desktop\SandboxScripts\VSCodeInstall.cmd

Джерело: Microsoft