Sandbox pro Windows představuje jednoduché konfigurační soubory ve Windows 10.

Doporučeno: Jak povolit Windows Sandbox (a co to je).

Windows Sandbox je izolované dočasné prostředí pro stolní počítače, kde můžete spouštět nedůvěryhodný software bez obav ze škodlivého vystavení vašemu počítači. Windows Sandbox nyní podporuje jednoduché konfigurační soubory (přípona .wsb), které poskytují minimální podporu skriptování. Tuto funkci můžete použít v nejnovější verzi systému Windows s číslem 18342.

Veškerý software nainstalovaný v karanténě systému Windows zůstává pouze v karanténě a nemůže ovlivnit vaše zařízení. Jakmile zavřete Windows Sandbox, veškerý nainstalovaný software se všemi jeho soubory a stavem bude trvale smazán.

Karanténa systému Windows má následující vlastnosti:

  • Windows část - Vše, co potřebujete pro tuto funkci, je ve Windows 10 Pro a Enterprise standardně k dispozici. Není třeba stahovat VHD!
  • Čistota - Pokaždé, když se spustí Windows Sandbox, je stejně čistý jako nová instalace Windows 10.
  • Jednorázové - na zařízení není nic uloženo; po ukončení aplikace se vše odstraní
  • Bezpečné - používá hardwarovou virtualizaci k izolaci jádra, která používá hypervizora společnosti Microsoft ke spuštění samostatného jádra, které izoluje Windows Sandbox od hostitele
  • Efektivní - používá integrovaný plánovač jádra, inteligentní správu paměti a virtuální GPU

Windows Sandbox Configuration Files.

Konfigurační soubory karantény jsou ve formátu XML a jsou spojeny se souborem karantény s příponou .wsb. Konfigurační soubor umožňuje uživateli ovládat následující aspekty karantény systému Windows:

  1. vGPU (virtualizovaný grafický procesor)
  • Povolí nebo zakáže virtualizovanou grafickou jednotku. Pokud je vGPU zakázán, Sandbox použije WARP (softwarový rasterizer).
  1. Síť
  • Povolit nebo zakázat přístup k síti do karantény.
  1. Sdílené složky
  • Sdílejte složky z hostitele (počítače) s oprávněními ke čtení nebo zápisu. Upozorňujeme, že rozšíření hostitelských adresářů může umožnit malwaru ovlivnit váš systém nebo ukrást data..
  1. Spustit skript
  • Automatická akce po vstupu do karantény.

Podporované možnosti konfigurace

Vgpu

Povoluje nebo zakazuje sdílení GPU.

 hodnota

Podporované hodnoty:

Zakázat - vypněte podporu vGPU v karanténě. Pokud je tato hodnota nastavena, použije vykreslování softwaru, které může být pomalejší než virtualizovaná grafická jednotka.

Výchozí - toto je výchozí hodnota pro podporu vGPU; to znamená, že je povolen vGPU.

Poznámka: Aktivace virtualizovaného GPU by mohla potenciálně zvýšit útok externí karantény.

Síť

Povolí nebo zakáže síť v karanténě. Zakázáním přístupu k síti lze snížit pravděpodobnost útoku v karanténě..

 hodnota
Podporované hodnoty:

Zakázat - zakažte síť v karanténě.

Výchozí - Toto je výchozí hodnota pro podporu sítě. Umožňuje vytvářet sítě vytvořením virtuálního přepínače na hostiteli a připojit se k němu izolované softwarové prostředí pomocí adaptéru virtuální sítě.

Poznámka: Povolení síťových připojení může způsobit, že nedůvěryhodné aplikace skončí ve vaší interní síti..

Mappedfolders

Zalomí seznam objektů MappedFolder.

  seznam objektů MappedFolder  

Poznámka: Soubory a složky spojené s hostitelem mohou být ohroženy aplikacemi v karanténě nebo potenciálně ovlivnit hostitele.

Mappedfolder

Určuje jednu složku v hostitelském počítači, která bude sdílena na ploše kontejneru. Aplikace v karanténě jsou spuštěny pod uživatelským účtem „WDAGUtilityAccount“. Proto jsou všechny složky zobrazeny v následující cestě: C: \ Users \ WDAGUtilityAccount \ Desktop.

Například "C: \ Test" se zobrazí jako "C: \ users \ WDAGUtilityAccount \ Desktop \ Test".

   hodnota cesty hostitelské složky  

HostFolder: Určuje složku na hostitelském počítači, která bude sdílena v karanténě. Upozorňujeme, že složka již musí existovat, kontejner se nespustí, pokud není nalezena.

Pouze pro čtení: na hodnotu pravda poskytuje přístup ke sdílené složce z kontejneru pouze pro čtení. Podporované hodnoty: true / false.

Poznámka: Soubory a složky spojené s hostitelem mohou být ohroženy aplikacemi v karanténě nebo potenciálně ovlivnit hostitele.

Příkaz k přihlášení

Určuje jeden příkaz, který bude automaticky vyvolán po vstupu do kontejneru.

   příkaz k volání  

Tým: Cesta ke spustitelnému souboru nebo skriptu uvnitř kontejneru, který bude spuštěn po přihlášení.

Poznámka: Přestože budou fungovat velmi jednoduché příkazy (spuštění spustitelného souboru nebo skriptu), do skriptového souboru by měly být umístěny složitější skripty, včetně několika kroků. Tento soubor skriptu lze namapovat do kontejneru prostřednictvím sdílené složky a poté spustit pomocí směrnice LogonCommand.

Vytvořte konfigurační soubor

Vytvořte nový textový soubor s příponou .wsb a zkopírujte do něj jeden příklad.

Poklepejte na vytvořený soubor * .wsb otevřete ji v karanténě systému Windows.

Příklad konfiguračního souboru - 1.

Následující konfigurační soubor lze použít ke snadnému testování stažených souborů v karanténě. Skript za tímto účelem zakáže síť a vGPU a v kontejneru omezí sdílenou složku Stahování pro přístup jen pro čtení. Příkaz login pro usnadnění otevírá při spuštění složku pro stahování uvnitř kontejneru.

Downloads.wsb

 
 Zakázat
 Zakázat
 
 
 C: \ Users \ Public \ Downloads
 pravda
 
 
 
 explorer.exe C: \ users \ WDAGUtilityAccount \ Desktop \ Downloads
 
 

Příklad konfiguračního souboru - 2.

Následující konfigurační soubor nainstaluje kód Visual Studio do kontejneru, což vyžaduje o něco složitější konfiguraci LogonCommand.

V kontejneru se zobrazí dvě složky; první (SandboxScripts) obsahuje VSCodeInstall.cmd, který nainstaluje a spustí VSCode. Předpokládá se, že druhá složka (CodingProjects) obsahuje projektové soubory, které chce vývojář upravit pomocí VSCode.

Pomocí instalačního skriptu VSCode, který je již mapován na kontejner, může LogonCommand na něj odkazovat.

VSCodeInstall.cmd

 REM Stáhnout VSCode 
 curl -L "https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C: \ users \ WDAGUtilityAccount \ Desktop \ vscode.exe
 REM Nainstalujte a spusťte VSCode
 C: \ users \ WDAGUtilityAccount \ Desktop \ vscode.exe / verysilent / suppressmsgboxes
Vscode.wsb
 
 
 
 C: \ SandboxScripts
 pravda
 
 
 C: \ CodingProjects
 nepravdivé
 
 
 
 C: \ users \ wdagutilityaccount \ desktop \ SandboxScripts \ VSCodeInstall.cmd
 
 
Nyní stačí poklepat na Text.wsb a spustit Windows Sandbox. Výhodou je, že můžete vytvořit několik konfigurací, jak má být karanténa spuštěna. Vlastně docela praktické. Lze jen doufat, že společnost Microsoft postupem času rozšíří možnosti konfiguračního souboru.