Najnowsza wersja systemu Windows 10 1903 wprowadziła nową funkcję „piaskownicy” - Windows Sandbox. Wbudowana piaskownica systemu Windows opiera się na możliwościach komponentu Hyper-V i koncepcji kontenerów i umożliwia utworzenie tymczasowej piaskownicy do uruchamiania niezaufanych aplikacji lub potencjalnie niebezpiecznego oprogramowania, a nawet wirusów. W takim przypadku całe oprogramowanie uruchamiane w tym obszarze izolowanym nie może wpływać na system operacyjny hosta. Po zamknięciu piaskownicy wszystkie wprowadzone zmiany nie są zapisywane, a przy następnym uruchomieniu piaskownicy rozpoczyna się od nowa w czystej postaci. W tym artykule przyjrzymy się, jak zainstalować, skonfigurować i używać Sandbox w Windows 10..
Treść
- Jak włączyć Sandbox w Windows 10?
- Korzystanie z piaskownicy systemu Windows
- Pliki konfiguracji piaskownicy systemu Windows
- Piaskownica w systemie Windows 10 Home
Windows Sandbox to mała maszyna wirtualna (rozmiar obrazu około 100 MB). Pełna funkcjonalność systemu Windows 10 w tym obszarze izolowanym została osiągnięta dzięki wykorzystaniu istniejących plików jądra systemu operacyjnego z hostem Windows 10 (nie można modyfikować ani usuwać tych plików z poziomu obszaru izolowanego). Dzięki temu maszyna wirtualna z piaskownicą zużywa znacznie mniej zasobów systemowych, ładuje się i działa szybko
W przeciwieństwie do klasycznej maszyny wirtualnej, podczas korzystania z Sandbox nie musisz utrzymywać osobnej maszyny wirtualnej, instalować na niej system operacyjny i aktualizacje. Ze względu na fakt, że kontener używa plików binarnych i DLL kopii systemu Windows (zarówno z dysku, jak i załadowanych do pamięci), wielkość takiej maszyny wirtualnej jest minimalna (nie trzeba przechowywać całego dysku wirtualnego z maszyną wirtualną)
Aby korzystać z piaskownicy systemu Windows, komputer musi spełniać następujące wymagania:
- Architektura procesorów 64-bitowych (minimalny procesor dwurdzeniowy);
- Windows 10 1903 (kompilacja 18362 lub nowsza) zmieniona przez Pro lub Enterprise;
- Włączona obsługa wirtualizacji w BIOS / UEFI (obsługiwana przez prawie wszystkie nowoczesne urządzenia, w tym laptopy i tablety);
- Co najmniej 4 GB pamięci i 1 GB wolnego miejsca na dysku (najlepiej SSD).
Jak włączyć Sandbox w Windows 10?
Sandbox jest domyślnie wyłączony w Windows 10. Aby go włączyć, otwórz Panel sterowania -> Programy i funkcje -> Włącz lub wyłącz funkcje systemu Windows (lub uruchom polecenie opcjonalnyfeatures.exe) i na liście funkcji systemu Windows 10 wybierz Piaskownica systemu Windows.
Set-VMProcessor -VMName win10vm_name -ExposeVirtualizationExtensions $ true
W VMWare vSphere for VM musisz włączyć tę opcję Ujawnij wirtualizację wspomaganą sprzętowo w systemie operacyjnym gościa (zobacz artykuł).
Możesz także włączyć Sandbox z PowerShell:
Enable-WindowsOptionalFeature -FeatureName „Containers-DisposableClientVM” -Online
Po zainstalowaniu komponentu musisz ponownie uruchomić komputer.
Korzystanie z piaskownicy systemu Windows
Po ponownym uruchomieniu w menu Start znajdź i uruchom Windows Sandbox lub uruchom go za pomocą polecenia WindowsSandbox.exe.
W rezultacie otworzy się okno piaskownicy i zobaczysz pulpit czystego obrazu systemu Windows 10 z ustawieniami domyślnymi. Jednocześnie najnowsze aktualizacje zabezpieczeń i sterowniki są już zintegrowane z „piaskowym” systemem operacyjnym i nie trzeba osobno aktualizować systemu gościa, jak ma to miejsce w przypadku tradycyjnej maszyny wirtualnej.
Teraz możesz skopiować dowolny plik wykonywalny z komputera do piaskownicy za pomocą operacji kopiuj i wklej lub przeciągnij i upuść, zainstaluj aplikację, uruchom ją i sprawdź w bezpiecznym środowisku. Po zakończeniu eksperymentów wystarczy zamknąć aplikację Windows Sandbox, a cała zawartość piaskownicy zostanie usunięta.
Po zamknięciu okna piaskownicy pojawia się ostrzeżenie:
Czy na pewno chcesz zamknąć Windows Sandbox? Po zamknięciu systemu Windows Sandbox cała jego zawartość zostanie odrzucona i trwale utracona.
Pliki konfiguracji piaskownicy systemu Windows
Domyślnie Windows Sandbox używa czystego obrazu Windows 10. Możesz jednak dostosować środowisko Windows Sandbox za pomocą plików konfiguracyjnych. Na przykład w przypadku piaskownicy można włączyć lub wyłączyć wirtualną kartę graficzną, zezwolić (wyłączyć) dostęp do sieci, zamontować katalog z systemu operacyjnego hosta lub uruchomić skrypt w czasie uruchamiania. Te pliki konfiguracyjne są używane podczas ładowania systemu operacyjnego do piaskownicy.
Plik konfiguracyjny Windows Sandbox to dokument XML z rozszerzeniem .wsb. Obecnie w pliku konfiguracyjnym Sandbox można skonfigurować następujące parametry:
- Wirtualne karty graficzne (vGPU)
- Dostęp do sieci
- Udostępnione foldery
- Skrypty (skrypt startowy)
Spójrzmy na mały przykład pliku konfiguracyjnego Windows Sandbox (komentarze podane są bezpośrednio z tekstu pliku XML):
Domyślnie
Włączone
C: \ Users \ root \ Downloads
prawda
C: \ users \ WDAGUtilityAccount \ Desktop \ Downloads \ SandboxScript \ preconfigure.bat
Za pomocą pliku konfiguracyjnego można zamontować z hosta katalog z różnymi narzędziami do debugowania i testowania aplikacji (ProcMon, ProcessExplorer itp.)
Aby uruchomić Windows Sandbox przy użyciu pliku konfiguracyjnego, wystarczy dwukrotnie kliknąć plik .wsb.
Możesz uruchomić tylko jedną kopię Sandbox. Podczas próby otwarcia drugiego obszaru izolowanego pojawia się komunikat:
Dozwolona jest tylko jedna działająca instancja Windows Sandbox.
Piaskownica w systemie Windows 10 Home
Windows Sandbox nie jest oficjalnie obsługiwany w wersji Home 10 systemu Windows, jednak można włączyć ten składnik, używając następującego skryptu:
katalog / b% SystemRoot% \ service \ Packages \ * Kontenery * .mum> sandbox_cont.txt
dla / f %% i in ('findstr / i. sandbox_cont.txt 2 ^> nul') do remove / online / norestart / add-package: "% SystemRoot% \ servicing \ Packages \ %% i"
del sandbox_cont.txt
Dism / online / enable-feature / featurename: Containers-DisposableClientVM / LimitAccess / ALL
pauza
Aby usunąć piaskownicę, użyj następującego polecenia PowerShell:
Disable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -Online
Tak więc Sandbox w Windows 10 zapewnia dość interesujące możliwości testowania, weryfikacji i analizy działania niezaufanych lub niebezpiecznych plików wykonywalnych. Wszelkie zmiany w piaskownicy nie są w niej zapisywane po jej zamknięciu. Korzystając ze składników bieżącego obrazu systemu Windows 10, piaskownica ładuje się dość szybko i nie zużywa zasobów hosta, jak pełnoprawna maszyna wirtualna.
