Το Windows Sandbox είναι ένα απομονωμένο, προσωρινό, επιτραπέζιο περιβάλλον, στο οποίο μπορείτε να εκτελείτε μη αξιόπιστο λογισμικό χωρίς τον φόβο της διαρκούς επίδρασης στον υπολογιστή σας. Το Windows Sandbox έχει τώρα υποστήριξη για απλά αρχεία διαμόρφωσης (επέκταση αρχείου .wsb), τα οποία παρέχουν ελάχιστη υποστήριξη σεναρίων. Μπορείτε να χρησιμοποιήσετε αυτήν τη δυνατότητα στην πιο πρόσφατη έκδοση του Windows Insider 18342.
Οποιοδήποτε λογισμικό εγκατεστημένο στο Windows Sandbox παραμένει μόνο στο περιβάλλον δοκιμών και δεν μπορεί να επηρεάσει τον κεντρικό υπολογιστή σας. Μόλις κλείσει το Windows Sandbox, όλο το λογισμικό με όλα τα αρχεία και την κατάστασή του διαγράφεται οριστικά.
Το Windows Sandbox έχει τις ακόλουθες ιδιότητες:
όταν κάνετε κλικ σε έναν σύνδεσμο, ανοίξτε τον πάντα σε μια νέα καρτέλα
- Μέρος των Windows - όλα όσα απαιτούνται για αυτήν τη δυνατότητα συνοδεύονται από Windows 10 Pro και Enterprise. Δεν χρειάζεται να κατεβάσετε ένα VHD!
- Πρωτόγονος - κάθε φορά που εκτελείται το Windows Sandbox, είναι τόσο καθαρό όσο μια ολοκαίνουργια εγκατάσταση των Windows
- Αναλώσιμα - τίποτα δεν επιμένει στη συσκευή. όλα απορρίπτονται αφού κλείσετε την εφαρμογή
- Ασφαλής - χρησιμοποιεί εικονικοποίηση βάσει υλικού για απομόνωση πυρήνα, η οποία βασίζεται στον επόπτη της Microsoft για την εκτέλεση ξεχωριστού πυρήνα που απομονώνει το Windows Sandbox από τον κεντρικό υπολογιστή
- Αποτελεσματικός - χρησιμοποιεί ενσωματωμένο προγραμματιστή πυρήνα, έξυπνη διαχείριση μνήμης και εικονική GPU
Υπάρχουν οι ακόλουθες προϋποθέσεις για τη χρήση της δυνατότητας Windows Sandbox:
Διαφήμιση
- Windows 10 Pro ή Enterprise build 18305 ή νεότερη έκδοση
- Αρχιτεκτονική AMD64
- Οι δυνατότητες εικονικοποίησης ενεργοποιούνται στο BIOS
- Τουλάχιστον 4 GB μνήμης RAM (συνιστάται 8 GB)
- Τουλάχιστον 1 GB ελεύθερου χώρου στο δίσκο (συνιστάται SSD)
- Τουλάχιστον 2 πυρήνες CPU (συνιστώνται 4 πυρήνες με υπερθεματοποίηση)
Μπορείτε να μάθετε πώς να ενεργοποιήσετε και να χρησιμοποιήσετε το Windows Sandbox ΕΔΩ .
Αρχεία διαμόρφωσης Sandbox των Windows
Τα αρχεία διαμόρφωσης του Sandbox έχουν μορφή XML και σχετίζονται με το Windows Sandbox μέσω της επέκτασης αρχείου .wsb. Ένα αρχείο διαμόρφωσης επιτρέπει στο χρήστη να ελέγχει τις ακόλουθες πτυχές του Windows Sandbox:
- vGPU (εικονικοποιημένη GPU)
- Ενεργοποιήστε ή απενεργοποιήστε την εικονικοποιημένη GPU. Εάν το vGPU είναι απενεργοποιημένο, το Sandbox θα χρησιμοποιήσει ΣΤΗΜΟΝΙ (rasterizer λογισμικού).
- Δικτύωση
- Ενεργοποίηση ή απενεργοποίηση πρόσβασης δικτύου στο Sandbox.
- Κοινόχρηστοι φάκελοι
- Κοινή χρήση φακέλων από τον κεντρικό υπολογιστή με δικαιώματα ανάγνωσης ή εγγραφής. Λάβετε υπόψη ότι η έκθεση καταλόγων κεντρικών υπολογιστών ενδέχεται να επιτρέψει σε κακόβουλο λογισμικό να επηρεάσει το σύστημά σας ή να κλέψει δεδομένα.
- Σενάριο εκκίνησης
- Ενέργεια σύνδεσης για το sandbox.
Κάνοντας διπλό κλικ σε ένα αρχείο * .wsb θα το ανοίξετε στο Windows Sandboxю
Υποστηριζόμενες επιλογές διαμόρφωσης
VGpu
Ενεργοποιεί ή απενεργοποιεί την κοινή χρήση GPU.
αξία
Υποστηριζόμενες τιμές:
- Καθιστώ ανίκανο - απενεργοποιεί την υποστήριξη vGPU στο sandbox. Εάν οριστεί αυτή η τιμή, το Windows Sandbox θα χρησιμοποιεί απόδοση λογισμικού, η οποία μπορεί να είναι πιο αργή από την εικονικοποιημένη GPU.
- Προκαθορισμένο - αυτή είναι η προεπιλεγμένη τιμή για υποστήριξη vGPU. Προς το παρόν αυτό σημαίνει ότι η vGPU είναι ενεργοποιημένη.
Σημείωση: Η ενεργοποίηση της εικονικοποιημένης GPU μπορεί δυνητικά να αυξήσει την επιφάνεια επίθεσης του sandbox.
Δικτύωση
Ενεργοποιεί ή απενεργοποιεί τη δικτύωση στο περιβάλλον δοκιμών. Η απενεργοποίηση της πρόσβασης στο δίκτυο μπορεί να χρησιμοποιηθεί για τη μείωση της επιφάνειας επίθεσης που εκτίθεται από το Sandbox.
Τα Windows 10 δεν έχουν πρόσβαση στο κοινόχρηστο στοιχείο δικτύου
αξία
Υποστηριζόμενες τιμές:
- Καθιστώ ανίκανο - απενεργοποιεί τη δικτύωση στο περιβάλλον δοκιμών.
- Προκαθορισμένο - αυτή είναι η προεπιλεγμένη τιμή για την υποστήριξη δικτύωσης. Αυτό επιτρέπει τη δικτύωση δημιουργώντας έναν εικονικό διακόπτη στον κεντρικό υπολογιστή και συνδέει το sandbox με αυτό μέσω ενός εικονικού NIC.
Σημείωση: Η ενεργοποίηση της δικτύωσης μπορεί να εκθέσει μη αξιόπιστες εφαρμογές στο εσωτερικό σας δίκτυο.
Αντιστοιχισμένοι φάκελοι
Αναδιπλώνει μια λίστα αντικειμένων MappedFolder.
λίστα αντικειμένων MappedFolder
Σημείωση: Τα αρχεία και οι φάκελοι που έχουν αντιστοιχιστεί από τον κεντρικό υπολογιστή μπορούν να παραβιαστούν από εφαρμογές στο Sandbox ή ενδέχεται να επηρεάσουν τον κεντρικό υπολογιστή.
Χαρτογραφημένος φάκελος
Καθορίζει έναν μόνο φάκελο στον κεντρικό υπολογιστή που θα κοινοποιηθεί στην επιφάνεια εργασίας του κοντέινερ. Οι εφαρμογές στο Sandbox εκτελούνται κάτω από τον λογαριασμό χρήστη 'WDAGUtilityAccount'. Ως εκ τούτου, όλοι οι φάκελοι αντιστοιχίζονται στην ακόλουθη διαδρομή: C: Users WDAGUtilityAccount Desktop.
Π.χ. Το 'C: Test' θα αντιστοιχιστεί ως 'C: users WDAGUtilityAccount Desktop Test'.
διαδρομή προς την τιμή του φακέλου κεντρικού υπολογιστή
HostFolder : Καθορίζει το φάκελο στο κεντρικό μηχάνημα για κοινή χρήση στο sandbox. Σημειώστε ότι ο φάκελος πρέπει να υπάρχει ήδη ο κεντρικός υπολογιστής ή το κοντέινερ δεν θα ξεκινήσει εάν δεν βρεθεί ο φάκελος.
Μόνο για ανάγνωση : Εάν ισχύει, επιβάλλει την πρόσβαση μόνο για ανάγνωση στον κοινόχρηστο φάκελο μέσα από το κοντέινερ. Υποστηριζόμενες τιμές: true / false.
Σημείωση: Τα αρχεία και οι φάκελοι που έχουν αντιστοιχιστεί από τον κεντρικό υπολογιστή μπορούν να παραβιαστούν από εφαρμογές στο Sandbox ή ενδέχεται να επηρεάσουν τον κεντρικό υπολογιστή.
Είσοδος
Καθορίζει μία μόνο εντολή η οποία θα καλείται αυτόματα μετά τη σύνδεση του κοντέινερ.
εντολή προς επίκληση
Εντολή: Μια διαδρομή προς ένα εκτελέσιμο ή σενάριο μέσα στο κοντέινερ που θα εκτελεστεί μετά τη σύνδεση.
Σημείωση: Αν και θα λειτουργούν πολύ απλές εντολές (εκκίνηση ενός εκτελέσιμου ή σεναρίου), πιο περίπλοκα σενάρια που περιλαμβάνουν πολλαπλά βήματα θα πρέπει να τοποθετηθούν σε ένα αρχείο σεναρίου. Αυτό το αρχείο σεναρίου μπορεί να αντιστοιχιστεί στο κοντέινερ μέσω ενός κοινόχρηστου φακέλου και στη συνέχεια να εκτελεστεί μέσω της εντολής LogonCommand.
Παραδείγματα διαμόρφωσης
Παράδειγμα 1
Το ακόλουθο αρχείο config μπορεί να χρησιμοποιηθεί για τον εύκολο έλεγχο των ληφθέντων αρχείων στο εσωτερικό του sandbox. Για να επιτευχθεί αυτό, το σενάριο απενεργοποιεί τη δικτύωση και το vGPU και περιορίζει τον κοινόχρηστο φάκελο λήψεων σε πρόσβαση μόνο για ανάγνωση στο κοντέινερ. Για ευκολία, η εντολή σύνδεσης ανοίγει το φάκελο λήψεων στο εσωτερικό του κοντέινερ όταν ξεκινά.
Λήψεις.wsb
Απενεργοποίηση Απενεργοποίηση C: Users Public Download true explorer.exe C: users WDAGUtilityAccount Desktop Downloads
Παράδειγμα 2
Το ακόλουθο αρχείο config εγκαθιστά τον Visual Studio Code στο κοντέινερ, το οποίο απαιτεί μια κάπως πιο περίπλοκη εγκατάσταση του LogonCommand.
Δύο φάκελοι χαρτογραφούνται στο δοχείο. Το πρώτο (SandboxScripts) περιέχει VSCodeInstall.cmd, το οποίο θα εγκαταστήσει και θα εκτελέσει VSCode. Ο δεύτερος φάκελος (CodingProjects) θεωρείται ότι περιέχει αρχεία έργου που ο προγραμματιστής θέλει να τροποποιήσει χρησιμοποιώντας τον VSCode.
Με το σενάριο του προγράμματος εγκατάστασης του VSCode να έχει ήδη αντιστοιχιστεί στο κοντέινερ, το LogonCommand μπορεί να το αναφέρει.
VSCodeInstall.cmd
ο υπολογιστής δεν εντοπίζει εξωτερικό σκληρό δίσκο
REM Λήψη VSCode curl -L 'https://update.code.visualstudio.com/latest/win32-x64-user/stable' --output C: users WDAGUtilityAccount Desktop vscode.exe REM Εγκατάσταση και εκτέλεση VSCode C : users WDAGUtilityAccount Desktop vscode.exe / verysilent / suppressmsgboxes
VSCode.wsb
C: SandboxScripts true C: CodingProjects false C: users wdagutilityaccount desktop SandboxScripts VSCodeInstall.cmd
Πηγή: Microsoft