Nejnovější verze systému Windows 10 1903 představila novou funkci „sandbox“ - Windows Sandbox. Vestavěná karanténa systému Windows je založena na schopnostech komponenty Hyper-V a konceptu kontejnerů a umožňuje vám vytvořit dočasnou karanténu pro spouštění nedůvěryhodných aplikací nebo potenciálně nebezpečného softwaru nebo dokonce virů. V takovém případě nemůže veškerý software spuštěný uvnitř této karantény ovlivnit hostitelský operační systém. Při zavření karantény se všechny provedené změny neuloží a při příštím spuštění karantény se znovu spustí v čisté podobě. V tomto článku se podíváme na to, jak nainstalovat, konfigurovat a používat karanténu v systému Windows 10..
Obsah:
- Jak povolit karanténu v systému Windows 10?
- Používání karantény systému Windows
- Windows Sandbox Configuration Files
- Pískoviště na Windows 10 Home
Windows Sandbox je malý virtuální počítač (velikost obrázku přibližně 100 MB). Plnou funkčnost systému Windows 10 v této karanténě je dosaženo použitím existujících souborů jádra operačního systému s hostitelským systémem Windows 10 (tyto soubory nelze v karanténě upravovat ani mazat). Díky tomu virtuální počítač s karanténou spotřebovává mnohem méně systémových prostředků, načítá a rychle běží
Na rozdíl od klasického virtuálního počítače, když používáte Sandbox, nemusíte mít samostatný VM, instalovat OS a aktualizace na něm. Vzhledem k tomu, že kontejner používá binární soubory a soubory DLL vaší kopie systému Windows (z disku i načtené v paměti), je velikost takového virtuálního počítače minimální (není nutné ukládat celý virtuální disk s virtuálním počítačem)
Chcete-li používat karanténu Windows, musí váš počítač splňovat následující požadavky:
- 64bitová architektura procesoru (minimální dvoujádrový procesor);
- Windows 10 1903 (verze 18362 nebo novější) ve znění Pro nebo Enterprise;
- Povolená podpora virtualizace v systému BIOS / UEFI (podporována téměř všemi moderními zařízeními, včetně notebooků a tabletů);
- Alespoň 4 GB paměti a 1 GB volného místa na disku (nejlépe SSD).
Jak povolit karanténu v systému Windows 10?
Ve výchozím nastavení v systému Windows 10 je karanténa zakázána. Chcete-li ji povolit, otevřete Ovládací panely -> Programy a funkce -> Zapněte nebo vypněte funkce systému Windows (nebo spusťte příkaz optionalfeatures.exe) a v seznamu funkcí systému Windows 10 vyberte Karanténa systému Windows.
Set-VMProcessor -VMName win10vm_name -ExposeVirtualizationExtensions $ true
V VMWare vSphere pro VM musíte tuto volbu povolit Vystavte virtualizaci pomocí hardwaru hostujícímu OS (viz článek).
Můžete také povolit Sandbox z PowerShell:
Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -Online
Po instalaci součásti musíte restartovat počítač.
Používání karantény systému Windows
Po restartu v nabídce Start vyhledejte a spusťte Windows Sandbox nebo jej spusťte příkazem WindowsSandbox.exe.
Ve výsledku se otevře okno karantény a uvidíte plochu čistého obrazu Windows 10 s výchozím nastavením. Současně jsou nejnovější bezpečnostní aktualizace a ovladače již integrovány do „pískového“ OS a hostovací systém nemusíte aktualizovat samostatně, jako je tomu u tradičního virtuálního počítače.
Nyní můžete zkopírovat jakýkoli spustitelný soubor z počítače do karantény pomocí operací kopírování a vkládání nebo přetahování, instalaci aplikace, spuštění a prozkoumání v bezpečném prostředí. Po dokončení experimentů stačí zavřít aplikaci Windows Sandbox a veškerý obsah karantény bude odstraněn.
Když zavřete okno karantény, zobrazí se upozornění:
Opravdu chcete zavřít Windows Sandbox? Po uzavření okna Windows Sandbox bude veškerý jeho obsah zahozen a trvale ztracen.
Windows Sandbox Configuration Files
Ve výchozím nastavení používá Windows Sandbox čistý obraz systému Windows 10. Prostřednictvím konfiguračních souborů však můžete přizpůsobit prostředí Windows Sandbox. Například v karanténě můžete povolit nebo zakázat virtuální grafický adaptér, povolit (zakázat) přístup k síti, připojit adresář z hostitelského OS nebo spustit skript v době spuštění. Tyto konfigurační soubory se používají při načítání OS do karantény.
Konfigurační soubor Windows Sandbox je dokument XML s příponou .wsb. V současné době lze v konfiguračním souboru Sandbox nakonfigurovat následující parametry:
- Virtuální grafické karty (vGPU)
- Přístup k síti
- Sdílené složky
- Skripty (spouštěcí skript)
Podívejme se na malý příklad konfiguračního souboru Windows Sandbox (komentáře jsou uvedeny přímo z textu souboru XML):
Výchozí
Povoleno
C: \ Users \ root \ Downloads
pravda
C: \ users \ WDAGUtilityAccount \ Desktop \ Downloads \ SandboxScript \ preconfigure.bat
Pomocí konfiguračního souboru můžete z hostitele připojit adresář s různými nástroji pro ladění a testování aplikací (ProcMon, ProcessExplorer atd.)
Chcete-li spustit Windows Sandbox pomocí konfiguračního souboru, poklepejte na soubor .wsb.
Můžete spustit pouze jednu kopii karantény. Při pokusu o otevření druhé karantény se zobrazí zpráva:
Je povolena pouze jedna spuštěná instance Windows Sandbox.
Pískoviště na Windows 10 Home
Windows Sandbox není oficiálně podporován v edici Windows 10 Home, tuto komponentu však můžete povolit pomocí následujícího skriptu:
dir / b% SystemRoot% \ servicing \ Packages \ * Containers * .mum> sandbox_cont.txt
pro / f %% i v ('findstr / i. sandbox_cont.txt 2 ^> nul') do dem / online / norestart / add-package: "% SystemRoot% \ servicing \ Packages \ %% i"
del sandbox_cont.txt
Dism / online / enable-feature / featurename: Containers-DisposableClientVM / LimitAccess / ALL
pauza
Chcete-li odstranit karanténu, použijte následující příkaz PowerShell:
Disable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -Online
Sandbox v systému Windows 10 tedy nabízí docela zajímavé příležitosti pro testování, ověření a analýzu fungování nedůvěryhodných nebo nebezpečných spustitelných souborů. Žádné změny v karanténě se po jejím uzavření neuloží. Použitím součástí aktuálního obrazu Windows 10 se karanténa načte poměrně rychle a nespotřebovává hostitelské zdroje, jako plně funkční virtuální stroj.
