Zalecane: jak włączyć Windows Sandbox (i co to jest).
Windows Sandbox to izolowane, tymczasowe środowisko pulpitu, w którym można uruchamiać niezaufane oprogramowanie bez obawy o złośliwe narażenie na działanie komputera. Windows Sandbox obsługuje teraz proste pliki konfiguracyjne (rozszerzenie .wsb), które zapewniają minimalną obsługę skryptów. Możesz użyć tej funkcji w najnowszej wersji systemu Windows o numerze 18342.
Wszelkie oprogramowanie zainstalowane w piaskownicy systemu Windows pozostaje tylko w piaskownicy i nie może wpływać na urządzenie. Po zamknięciu piaskownicy systemu Windows całe zainstalowane oprogramowanie ze wszystkimi jego plikami i statusem jest trwale usuwane.
Windows Sandbox ma następujące właściwości:
- Część systemu Windows - Wszystko, czego potrzebujesz do tej funkcji, jest domyślnie dostępne w Windows 10 Pro i Enterprise. Nie ma potrzeby pobierania VHD!
- Czystość - za każdym razem, gdy uruchamia się Windows Sandbox, jest tak czysty, jak nowa instalacja systemu Windows 10.
- Jednorazowe - nic nie jest zapisywane na urządzeniu; wszystko jest usuwane po zamknięciu aplikacji
- Bezpieczne - używa wirtualizacji sprzętowej do izolowania jądra, które korzysta z hiperwizora Microsoft do uruchamiania osobnego jądra izolującego Windows Sandbox od hosta
- Skuteczne - korzysta ze zintegrowanego harmonogramu jądra, inteligentnego zarządzania pamięcią i wirtualnego GPU
Pliki konfiguracji piaskownicy systemu Windows.
Pliki konfiguracyjne piaskownicy są w formacie XML i są powiązane z plikiem piaskownicy z rozszerzeniem .wsb. Plik konfiguracyjny pozwala użytkownikowi kontrolować następujące aspekty piaskownicy systemu Windows:
- vGPU (zwirtualizowany procesor graficzny)
- Włącz lub wyłącz zwirtualizowany procesor graficzny. Jeśli vGPU jest wyłączone, Sandbox użyje WARP (rasterizer oprogramowania).
- Sieć
- Włącz lub wyłącz dostęp sieciowy do piaskownicy.
- Foldery udostępnione
- Udostępniaj foldery z hosta (komputera) z uprawnieniami do odczytu lub zapisu. Należy pamiętać, że rozszerzenie katalogów hosta może pozwolić złośliwemu oprogramowaniu wpływać na system lub kraść dane..
- Uruchamianie skryptu
- Automatyczne działanie po wejściu do piaskownicy.
Obsługiwane opcje konfiguracji
Vgpu
Włącza lub wyłącza udostępnianie GPU.
wartość
Obsługiwane wartości:
Wyłącz - wyłącz obsługę vGPU w piaskownicy. Jeśli ta wartość zostanie ustawiona, użyje renderowania programowego, które może być wolniejsze niż zwirtualizowany procesor graficzny.
Domyślnie - jest to domyślna wartość dla obsługi vGPU; oznacza to, że vGPU jest włączone.
Uwaga: Włączenie zwirtualizowanego GPU może potencjalnie zwiększyć atak zewnętrznego piaskownicy.
Sieć
Włącza lub wyłącza sieć w piaskownicy. Wyłączenie dostępu do sieci może być wykorzystane do zmniejszenia prawdopodobieństwa ataku piaskownicy..
wartośćObsługiwane wartości:
Wyłącz - wyłącz sieć w piaskownicy.
Domyślnie - jest to domyślna wartość dla obsługi sieci. Umożliwia tworzenie sieci poprzez utworzenie przełącznika wirtualnego na hoście i połączenie z nim izolowanego środowiska programowego za pośrednictwem wirtualnej karty sieciowej.
Uwaga: Włączenie połączeń sieciowych może spowodować, że niezaufane aplikacje znajdą się w sieci wewnętrznej..
Mapowane foldery
Zawija listę obiektów MappedFolder.
lista obiektów MappedFolder
Uwaga: Pliki i foldery powiązane z hostem mogą zostać naruszone przez aplikacje w piaskownicy lub potencjalnie wpłynąć na hosta.
Mapowany folder
Określa pojedynczy folder na komputerze hosta, który zostanie udostępniony na pulpicie kontenera. Aplikacje w trybie piaskownicy działają na koncie użytkownika „WDAGUtilityAccount”. Dlatego wszystkie foldery są wyświetlane w następującej ścieżce: C: \ Users \ WDAGUtilityAccount \ Desktop.
Na przykład „C: \ Test” pojawi się jako „C: \ users \ WDAGUtilityAccount \ Desktop \ Test”.
wartość ścieżki do folderu hosta
HostFolder: określa folder na hoście, który ma być udostępniony w piaskownicy. Pamiętaj, że folder musi już istnieć, kontener nie uruchomi się, jeśli folder nie zostanie znaleziony.
Tylko do odczytu: według wartości prawda zapewnia dostęp tylko do odczytu do udostępnionego folderu z kontenera. Obsługiwane wartości: prawda / fałsz.
Uwaga: Pliki i foldery powiązane z hostem mogą zostać naruszone przez aplikacje w piaskownicy lub potencjalnie wpłynąć na hosta.
Polecenie logowania
Określa jedno polecenie, które zostanie wywołane automatycznie po wejściu do kontenera.
polecenie, aby zadzwonić
Zespół: Ścieżka do pliku wykonywalnego lub skryptu w kontenerze, który zostanie wykonany po zalogowaniu.
Uwaga: Chociaż będą działać bardzo proste polecenia (uruchamianie pliku wykonywalnego lub skryptu), bardziej złożone skrypty, zawierające kilka kroków, powinny zostać umieszczone w pliku skryptu. Ten plik skryptu można zmapować do kontenera poprzez folder współdzielony, a następnie wykonać przy użyciu dyrektywy LogonCommand.
Utwórz plik konfiguracyjny
Utwórz nowy plik tekstowy z rozszerzeniem .wsb i skopiuj do niego jeden przykład.
Kliknij dwukrotnie utworzony plik * .wsb otwierasz go w piaskownicy systemu Windows.
Przykładowy plik konfiguracyjny - 1.
Poniższego pliku konfiguracyjnego można użyć do łatwego testowania pobranych plików w piaskownicy. W tym celu skrypt wyłącza sieć i vGPU, a w kontenerze ogranicza udostępniony folder Pobrania do dostępu tylko do odczytu. Dla wygody polecenie logowania otwiera folder pobierania w kontenerze podczas uruchamiania.
Downloads.wsb
Wyłącz
Wyłącz
C: \ Users \ Public \ Downloads
prawda
explorer.exe C: \ users \ WDAGUtilityAccount \ Desktop \ Downloads
Przykładowy plik konfiguracyjny - 2.
Poniższy plik konfiguracyjny instaluje kod Visual Studio w kontenerze, co wymaga nieco bardziej skomplikowanej konfiguracji LogonCommand.
W folderze są wyświetlane dwa foldery; pierwszy (SandboxScripts) zawiera VSCodeInstall.cmd, który instaluje i uruchamia VSCode. Zakłada się, że drugi folder (CodingProjects) zawiera pliki projektu, które deweloper chce zmodyfikować za pomocą VSCode.
Za pomocą skryptu instalatora VSCode, który jest już zmapowany do kontenera, LogonCommand może się do niego odwoływać.
VSCodeInstall.cmd
REM Pobierz VSCode
curl -L „https://update.code.visualstudio.com/latest/win32-x64-user/stable” - wyjście C: \ users \ WDAGUtilityAccount \ Desktop \ vscode.exe
REM Zainstaluj i uruchom VSCode
C: \ users \ WDAGUtilityAccount \ Desktop \ vscode.exe / verysilent / suppressmsgboxesVscode.wsb
C: \ SandboxScripts
prawda
C: \ CodingProjects
fałsz
C: \ users \ wdagutilityaccount \ desktop \ SandboxScripts \ VSCodeInstall.cmd
Teraz wystarczy dwukrotnie kliknąć Text.wsb i uruchomić Windows Sandbox. Zaletą tego jest to, że można utworzyć kilka konfiguracji dla sposobu działania piaskownicy. Właściwie całkiem praktyczne. Można mieć tylko nadzieję, że Microsoft z czasem rozszerzy możliwości pliku konfiguracyjnego.