Windows Sandbox je izolované dočasné pracovné prostredie, v ktorom môžete spúšťať nedôveryhodný softvér bez obáv z trvalého vplyvu na váš počítač. Windows Sandbox teraz podporuje jednoduché konfiguračné súbory (prípona súboru .wsb), ktoré poskytujú minimálnu podporu skriptovania. Túto funkciu môžete použiť v najnovšej zostave Windows Insider verzie 18342.
Akýkoľvek softvér nainštalovaný v karanténe Windows zostáva iba v karanténe a nemôže ovplyvniť vášho hostiteľa. Po zatvorení karantény Windows Sandbox sa všetok softvér so všetkými súbormi a stavom natrvalo odstráni.
Sandbox systému Windows má nasledujúce vlastnosti:
koľko dverí majú chovať dedinčania
- Súčasťou systému Windows - všetko potrebné pre túto funkciu sa dodáva so systémami Windows 10 Pro a Enterprise. Nie je potrebné sťahovať VHD!
- Pristine - zakaždým, keď je program Windows Sandbox spustený, je čistý ako úplne nová inštalácia systému Windows
- Jednorazové - na prístroji nič nepretrváva; všetko sa vyhodí po zatvorení aplikácie
- Zabezpečiť - používa hardvérovú virtualizáciu na izoláciu jadra, ktorá sa spolieha na to, že hypervisor spoločnosti Microsoft spustí samostatné jadro, ktoré izoluje Windows Sandbox od hostiteľa
- Efektívne - používa integrovaný plánovač jadra, inteligentnú správu pamäte a virtuálny GPU
Na používanie funkcie Windows Sandbox sú potrebné nasledujúce predpoklady:
Inzerát
- Windows 10 Pro alebo Enterprise build 18305 alebo novší
- Architektúra AMD64
- Možnosti virtualizácie povolené v systéme BIOS
- Minimálne 4 GB RAM (odporúča sa 8 GB)
- Aspoň 1 GB voľného miesta na disku (odporúča sa SSD)
- Minimálne 2 jadrá CPU (odporúčané 4 jadrá s hyperthreadingom)
Dozviete sa, ako povoliť a používať sandbox systému Windows TU .
Konfiguračné súbory karantény systému Windows
Konfiguračné súbory karantény Sandbox sú formátované ako XML a sú spojené s karanténou Windows prostredníctvom prípony súboru .wsb. Konfiguračný súbor umožňuje používateľovi ovládať nasledujúce aspekty programu Windows Sandbox:
- vGPU (virtualizovaný GPU)
- Povoliť alebo zakázať virtualizovaný GPU. Ak je vGPU vypnutá, použije sa Sandbox VÁLKA (softvérový rasterizér).
- Siete
- Povoliť alebo zakázať sieťový prístup do karantény.
- Zdieľané priečinky
- Zdieľajte priečinky z hostiteľa s povoleniami na čítanie alebo zápis. Upozorňujeme, že odhalenie hostiteľských adresárov môže umožniť škodlivému softvéru ovplyvniť váš systém alebo ukradnúť údaje.
- Štartovací skript
- Prihlasovacia akcia pre karanténu.
Dvojitým kliknutím na súbor * .wsb ho otvoríte v karanténe Windowsю
Podporované možnosti konfigurácie
VGpu
Povolí alebo zakáže zdieľanie GPU.
hodnotu
Podporované hodnoty:
- Zakázať - zakáže podporu vGPU v karanténe. Ak je táto hodnota nastavená, program Windows Sandbox použije softvérové vykresľovanie, ktoré môže byť pomalšie ako virtualizovaný grafický procesor.
- Predvolené - toto je predvolená hodnota pre podporu vGPU; v súčasnosti to znamená, že je povolená vGPU.
Poznámka: Povolenie virtualizovaného GPU môže potenciálne zvýšiť útočnú plochu karantény.
Siete
Povolí alebo zakáže prácu v sieti v karanténe. Zakázanie prístupu k sieti možno použiť na zmenšenie plochy útoku vystavenej karanténe.
ako zmeniť hlas v nesúlade
hodnotu
Podporované hodnoty:
- Zakázať - zakáže sieť v karanténe.
- Predvolené - toto je predvolená hodnota pre podporu sietí. To umožňuje vytváranie virtuálnych prepínačov na hostiteľovi a nadväzovanie karantény s virtuálnym sieťovým adaptérom.
Poznámka: Povolenie práce v sieti môže vystaviť nedôveryhodné aplikácie vašej internej sieti.
MappedFolders
Zbalí zoznam objektov MappedFolder.
zoznam objektov MappedFolder
Poznámka: Súbory a priečinky namapované z hostiteľa môžu byť ohrozené aplikáciami v karanténe Sandbox alebo môžu mať na hostiteľa vplyv.
MappedFolder
Určuje jeden priečinok na hostiteľskom počítači, ktorý bude zdieľaný na pracovnej ploche kontajnera. Aplikácie v karanténe sa spúšťajú pod používateľským účtom „WDAGUtilityAccount“. Preto sú všetky priečinky mapované pod touto cestou: C: Users WDAGUtilityAccount Desktop.
Napr. „C: Test“ bude mapovaný ako „C: users WDAGUtilityAccount Desktop Test“.
cesta k hodnote hostiteľského priečinka
HostFolder : Určuje priečinok na hostiteľskom počítači, ktorý sa má zdieľať na karanténe. Upozorňujeme, že priečinok musí už existovať ako hostiteľ, inak sa kontajner nespustí, ak priečinok nenájdete.
Iba na čítanie : Ak je to pravda, vynúti prístup k zdieľanému priečinku iba na čítanie z kontajnera. Podporované hodnoty: true / false.
Poznámka: Súbory a priečinky namapované z hostiteľa môžu byť ohrozené aplikáciami v karanténe Sandbox alebo môžu mať na hostiteľa vplyv.
LogonCommand
Určuje jeden príkaz, ktorý sa vyvolá automaticky po prihlásení kontajnera.
príkaz, ktorý sa má vyvolať
Príkaz: Cesta k spustiteľnému súboru alebo skriptu vo vnútri kontajnera, ktorý sa vykoná po prihlásení.
Poznámka: Aj keď budú fungovať veľmi jednoduché príkazy (spustenie spustiteľného súboru alebo skriptu), mali by sa do súboru skriptu umiestniť komplikovanejšie scenáre zahŕňajúce viac krokov. Tento súbor skriptu je možné mapovať do kontajnera prostredníctvom zdieľaného priečinka a potom ho spustiť prostredníctvom smernice LogonCommand.
Príklady konfigurácie
Príklad 1
Nasledujúci konfiguračný súbor možno použiť na ľahké testovanie stiahnutých súborov v karanténe. Za týmto účelom skript zakáže prácu v sieti a vGPU a obmedzí priečinok zdieľaného sťahovania na prístup iba na čítanie v kontajneri. Pre uľahčenie príkaz na prihlásenie otvorí priečinok na stiahnutie vo vnútri kontajnera, keď je spustený.
Stiahnutie.wsb
Zakázať Zakázať C: Users Public Downloads true explorer.exe C: users WDAGUtilityAccount Desktop Downloads
Príklad 2
Nasledujúci konfiguračný súbor nainštaluje Visual Studio Code do kontajnera, čo si vyžaduje trochu komplikovanejšie nastavenie LogonCommand.
Do priečinka sú namapované dva priečinky; prvý (SandboxScripts) obsahuje VSCodeInstall.cmd, ktorý nainštaluje a spustí VSCode. Predpokladá sa, že druhý priečinok (CodingProjects) obsahuje súbory projektu, ktoré chce vývojár upraviť pomocou VSCode.
Keď je inštalačný skript VSCode už namapovaný do kontajnera, môže ho LogonCommand odkázať.
VSCodeInstall.cmd
ako dostať google play store na
REM Stiahnutie VSCode zvlnenie -L 'https://update.code.visualstudio.com/latest/win32-x64-user/stable' - výstup C: users WDAGUtilityAccount Desktop vscode.exe REM Nainštalujte a spustite VSCode C : users WDAGUtilityAccount Desktop vscode.exe / verysilent /pressmsgboxes
VSCode.wsb
C: SandboxScripts true C: CodingProjects false C: users wdagutilityaccount desktop SandboxScripts VSCodeInstall.cmd
Zdroj: Microsoft