Windows Sandbox to izolowane, tymczasowe środowisko pulpitu, w którym można uruchamiać niezaufane oprogramowanie bez obawy o trwałe uszkodzenie komputera. Windows Sandbox obsługuje teraz proste pliki konfiguracyjne (rozszerzenie pliku .wsb), które zapewniają minimalną obsługę skryptów. Możesz użyć tej funkcji w najnowszej kompilacji Windows Insider 18342.
Każde oprogramowanie zainstalowane w Windows Sandbox pozostaje tylko w piaskownicy i nie może wpływać na Twojego hosta. Po zamknięciu Windows Sandbox całe oprogramowanie wraz ze wszystkimi plikami i stanem są trwale usuwane.
Windows Sandbox ma następujące właściwości:
dlaczego Facebook mnie wylogowuje?
- Część systemu Windows - wszystko, co jest wymagane do tej funkcji, jest dostarczane z systemem Windows 10 Pro i Enterprise. Nie ma potrzeby pobierania dysku VHD!
- Dziewiczy - za każdym razem, gdy Windows Sandbox działa, jest tak czysty, jak zupełnie nowa instalacja systemu Windows
- Jednorazowy - nic nie pozostaje na urządzeniu; wszystko jest usuwane po zamknięciu aplikacji
- Bezpieczne - wykorzystuje wirtualizację sprzętową do izolacji jądra, która polega na hiperwizorze Microsoftu w celu uruchomienia oddzielnego jądra, które izoluje Windows Sandbox od hosta
- Wydajny - wykorzystuje zintegrowany harmonogram jądra, inteligentne zarządzanie pamięcią i wirtualny GPU
Istnieją następujące wymagania wstępne dotyczące korzystania z funkcji Windows Sandbox:
Reklama
- Windows 10 Pro lub Enterprise, kompilacja 18305 lub nowsza
- Architektura AMD64
- Funkcje wirtualizacji włączone w systemie BIOS
- Co najmniej 4 GB pamięci RAM (zalecane 8 GB)
- Co najmniej 1 GB wolnego miejsca na dysku (zalecane SSD)
- Co najmniej 2 rdzenie procesora (zalecane 4 rdzenie z technologią hyperthreading)
Możesz dowiedzieć się, jak włączyć i używać Windows Sandbox TUTAJ .
Pliki konfiguracyjne Windows Sandbox
Pliki konfiguracyjne piaskownicy są sformatowane jako XML i są skojarzone z piaskownicą Windows za pośrednictwem rozszerzenia pliku .wsb. Plik konfiguracyjny pozwala użytkownikowi kontrolować następujące aspekty Windows Sandbox:
- vGPU (zwirtualizowany GPU)
- Włącz lub wyłącz zwirtualizowany procesor graficzny. Jeśli vGPU jest wyłączone, Sandbox użyje OSNOWA (rasteryzator oprogramowania).
- Networking
- Włącz lub wyłącz dostęp sieciowy do piaskownicy.
- Udostępnione foldery
- Udostępniaj foldery z hosta z uprawnieniami do odczytu lub zapisu. Należy pamiętać, że ujawnienie katalogów hostów może pozwolić złośliwemu oprogramowaniu wpłynąć na system lub ukraść dane.
- Skrypt startowy
- Akcja logowania do piaskownicy.
Dwukrotne kliknięcie pliku * .wsb otworzy go w Windows Sandboxю
Obsługiwane opcje konfiguracji
VGpu
Włącza lub wyłącza udostępnianie GPU.
wartość
Obsługiwane wartości:
- Wyłączyć - wyłącza obsługę vGPU w piaskownicy. Jeśli ta wartość jest ustawiona, Windows Sandbox będzie używać renderowania programowego, które może być wolniejsze niż zwirtualizowany GPU.
- Domyślna - jest to domyślna wartość obsługi vGPU; obecnie oznacza to, że vGPU jest włączone.
Uwaga: włączenie zwirtualizowanego procesora GPU może potencjalnie zwiększyć powierzchnię ataku piaskownicy.
Networking
Włącza lub wyłącza sieci w piaskownicy. Wyłączenie dostępu do sieci może służyć do zmniejszenia powierzchni ataku narażonej na działanie piaskownicy.
jak odtwarzać muzykę w rozmowie na discordzie
wartość
Obsługiwane wartości:
- Wyłączyć - wyłącza sieci w piaskownicy.
- Domyślna - jest to domyślna wartość obsługi sieci. Umożliwia to tworzenie sieci przez utworzenie wirtualnego przełącznika na hoście i połączenie z nim piaskownicy za pośrednictwem wirtualnej karty sieciowej.
Uwaga: włączenie sieci może narazić niezaufane aplikacje na dostęp do sieci wewnętrznej.
MappedFolders
Zawija listę obiektów MappedFolder.
lista obiektów MappedFolder
Uwaga: pliki i foldery zamapowane z hosta mogą zostać naruszone przez aplikacje w piaskownicy lub potencjalnie wpłynąć na hosta.
MappedFolder
Określa pojedynczy folder na komputerze hosta, który zostanie udostępniony na pulpicie kontenera. Aplikacje w piaskownicy są uruchamiane na koncie użytkownika „WDAGUtilityAccount”. Dlatego wszystkie foldery są mapowane w następującej ścieżce: C: Users WDAGUtilityAccount Desktop.
Na przykład. „C: Test” zostanie zmapowany jako „C: users WDAGUtilityAccount Desktop Test”.
ścieżka do wartości folderu hosta
HostFolder : Określa folder na komputerze hosta do udostępnienia w piaskownicy. Należy pamiętać, że folder musi już istnieć, ponieważ host lub kontener nie zostanie uruchomiony, jeśli folder nie zostanie znaleziony.
Tylko czytać : Jeśli prawda, wymusza dostęp tylko do odczytu do folderu współdzielonego z poziomu kontenera. Obsługiwane wartości: prawda / fałsz.
Uwaga: pliki i foldery zamapowane z hosta mogą zostać naruszone przez aplikacje w piaskownicy lub potencjalnie wpłynąć na hosta.
LogonCommand
Określa pojedyncze polecenie, które zostanie wywołane automatycznie po zalogowaniu się kontenera.
polecenie do wywołania
Komenda: Ścieżka do pliku wykonywalnego lub skryptu wewnątrz kontenera, który zostanie wykonany po zalogowaniu.
Uwaga: Chociaż bardzo proste polecenia będą działać (uruchamianie pliku wykonywalnego lub skryptu), bardziej skomplikowane scenariusze obejmujące wiele kroków należy umieścić w pliku skryptu. Ten plik skryptu można zamapować na kontener za pośrednictwem udostępnionego folderu, a następnie wykonać za pomocą dyrektywy LogonCommand.
Przykłady konfiguracji
Przykład 1
Poniższego pliku konfiguracyjnego można użyć do łatwego testowania pobranych plików w piaskownicy. Aby to osiągnąć, skrypt wyłącza sieć i vGPU oraz ogranicza udostępniony folder pobierania do dostępu tylko do odczytu w kontenerze. Dla wygody polecenie logowania otwiera folder pobierania w kontenerze po uruchomieniu.
Downloads.wsb
Wyłącz Wyłącz C: Users Public Downloads true explorer.exe C: users WDAGUtilityAccount Desktop Downloads
Przykład 2
Poniższy plik konfiguracji instaluje Visual Studio Code w kontenerze, co wymaga nieco bardziej skomplikowanej konfiguracji LogonCommand.
Do kontenera są mapowane dwa foldery; pierwszy (SandboxScripts) zawiera VSCodeInstall.cmd, który zainstaluje i uruchomi VSCode. Zakłada się, że drugi folder (CodingProjects) zawiera pliki projektów, które programista chce zmodyfikować za pomocą VSCode.
Gdy skrypt instalatora VSCode jest już zmapowany do kontenera, LogonCommand może się do niego odwoływać.
VSCodeInstall.cmd
jak zdepikselować obraz bez Photoshopa
REM Pobierz VSCode curl -L 'https://update.code.visualstudio.com/latest/win32-x64-user/stable' --output C: users WDAGUtilityAccount Desktop vscode.exe REM Zainstaluj i uruchom VSCode C : users WDAGUtilityAccount Desktop vscode.exe / verysilent / suppressmsgboxes
VSCode.wsb
C: SandboxScripts true C: CodingProjects false C: users wdagutilityaccount desktop SandboxScripts VSCodeInstall.cmd
Źródło: Microsoft