Preporuka: Kako omogućiti Windows Sandbox (i što je).
Windows Sandbox je izolirano, privremeno radno okruženje na kojem možete pokretati nepouzdan softver bez straha od zlonamjerne izloženosti računalu. Windows Sandbox sada podržava jednostavne konfiguracijske datoteke (.wsb proširenje) koje pružaju minimalnu podršku za skriptiranje. Ovu funkciju možete koristiti u najnovijoj verziji sustava Windows s brojem 18342.
Bilo koji softver instaliran u kutiji za Windows ostaje samo u uređaju za upotrebu u pijesku i ne može utjecati na vaš uređaj. Čim zatvorite Windows Sandbox, sav instalirani softver sa svim datotekama i statusom trajno se briše.
Windows Sandbox ima sljedeća svojstva:
- Windows dio - Sve što trebate za ovu značajku je zadano u sustavu Windows 10 Pro i Enterprise. Nema potrebe za preuzimanje VHD-a!
- čistoća - svaki put kad se pokrene Windows Sandbox, čist je kao i nova instalacija sustava Windows 10.
- za jednokratnu upotrebu - na uređaju se ništa ne sprema; sve se briše nakon zatvaranja aplikacije
- sigurno - koristi virtualizaciju hardvera za izoliranje kernela, koji koristi Microsoftov hipervizor za pokretanje zasebnog kernela koji izolira Windows Sandbox od domaćina
- djelotvoran - koristi integrirani planer jezgre, pametno upravljanje memorijom i virtualni GPU
Datoteke s konfiguracijom sustava Windows Sandbox.
Datoteke za konfiguraciju sanduksa u XML formatu i pridružene su datoteci s kutijicom s nastavkom .wsb. Konfiguracijska datoteka omogućuje korisniku da kontrolira sljedeće aspekte sustava Windows Sandbox:
- vGPU (virtualizirani grafički procesor)
- Omogući ili onemogući virtualizirani GPU. Ako je vGPU onemogućen, Sandbox će koristiti WARP (softverski rasterizer).
- mreža
- Omogućite ili onemogućite mrežni pristup pješčaniku.
- Dijeljene mape
- Dijelite mape s računala (računala) s dozvolama za čitanje ili pisanje. Imajte na umu da proširenje direktorija hosta može omogućiti zlonamjernom softveru da utječe na vaš sustav ili ukrade podatke..
- Pokretanje scenarija
- Automatska akcija nakon ulaska u kutiju za pijesak.
Podržane opcije konfiguracije
VGpu
Omogućuje ili onemogućuje dijeljenje GPU-a.
vrijednost
Podržane vrijednosti:
Onemogući - onemogućite podršku vGPU-a u Sandbox-u. Ako je postavljena ova vrijednost, koristit će softverski prikaz koji može biti sporiji od virtualiziranog GPU-a.
zadani - ovo je zadana vrijednost za podršku vGPU; to znači da je omogućen vGPU.
Napomena: Omogućivanje virtualiziranog GPU-a moglo bi potencijalno povećati napad na vanjski sandbox.
mreža
Omogućuje ili onemogućava mrežu u kutiji s pijeskom. Onemogućavanje mrežnog pristupa može se koristiti za smanjenje vjerojatnosti napada pijeskom..
vrijednostPodržane vrijednosti:
Onemogući - onemogućite mrežu u pješčaniku.
zadani - ovo je zadana vrijednost za mrežnu podršku. Omogućuje vam stvaranje mreža stvaranjem virtualnog prekidača na svom domaćinu i povezivanja s njim izoliranog softverskog okruženja putem virtualnog mrežnog adaptera.
Napomena: Omogućivanje mrežnih veza može dovesti do nepouzdanih aplikacija na vašoj internoj mreži..
MappedFolders
Zamotava popis objekata MappedFolder.
popis objekata MappedFolder
Napomena: Aplikacije i datoteke u mape povezane s hostom mogu biti ugroženi ili mogu utjecati na host.
MappedFolder
Određuje jednu mapu na glavnom računalu koja će se dijeliti na radnoj površini spremnika. Sandboxed aplikacije rade pod korisničkim računom "WDAGUtilityAccount". Stoga su sve mape prikazane na sljedećem putu: C: \ Users \ WDAGUtilityAccount \ Desktop.
Na primjer, "C: \ Test" pojavit će se kao "C: \ users \ WDAGUtilityAccount \ Desktop \ Test".
vrijednost putanje mape mape
HostFolder: određuje mapu na host uređaju za dijeljenje u izborniku. Imajte na umu da mapa već mora postojati, spremnik se neće pokrenuti ako mapa ne bude pronađena.
ReadOnly: na vrijednosti istinski pruža kontejner pristup samo za čitanje zajedničkoj mapi. Podržane vrijednosti: istinito / lažno.
Napomena: Aplikacije i datoteke u mape povezane s hostom mogu biti ugroženi ili mogu utjecati na host.
LogonCommand
Određuje jednu Naredbu koja će se automatski pozvati nakon ulaska u spremnik.
naredba za poziv
tim: Put do izvršne datoteke ili skripte unutar spremnika koji će se izvršiti nakon prijave.
Napomena: Iako će raditi vrlo jednostavne naredbe (izvođenje izvršne datoteke ili skripte), složenije skripte, uključujući nekoliko koraka, trebaju biti smještene u datoteku skripte. Ova se datoteka skripte može preslikati u spremnik kroz zajedničku mapu i zatim izvršiti pomoću LogonCommand direktive.
Izradite konfiguracijsku datoteku
Stvorite novu tekstualnu datoteku s nastavkom .WSB i kopirajte jedan primjer u nju.
Dvaput kliknite na stvorenu datoteku * .wsb otvorite ga u prozora s pijeskom prozora.
Primjer konfiguracijske datoteke - 1.
Sljedeća konfiguracijska datoteka može se upotrebljavati za jednostavno testiranje preuzetih datoteka unutar kutije s pijeskom. Da bi to učinili, skripta onemogućuje mrežu i vGPU i, u spremniku, ograničava zajedničku mapu preuzimanja na pristup samo za čitanje. Radi praktičnosti naredba za prijavu otvara mapu za preuzimanje unutar spremnika pri pokretanju.
Downloads.wsb
Onemogući
Onemogući
C: \ Korisnici \ Javni \ Preuzimanja
istinski
Explor.exe C: \ users \ WDAGUtilityAccount \ Desktop \ Downloads
Primjer konfiguracijske datoteke - 2.
Sljedeća konfiguracijska datoteka instalira Visual Studio kôd u spremnik, što zahtijeva malo složeniju konfiguraciju LogonCommanda.
Dvije mape su prikazane u spremniku; prvi (SandboxScripts) sadrži VSCodeInstall.cmd, koji instalira i pokreće VSCode. Pretpostavlja se da druga mapa (CodingProjects) sadrži datoteke projekta koje programer želi izmijeniti pomoću VSCode.
Koristeći skriptu za instalaciju VSCode koja je već preslikana u spremnik, LogonCommand može to uputiti.
VSCodeInstall.cmd
REM Preuzmi VSCode
curl -L "https://update.code.visualstudio.com/latest/win32-x64-user/stable" - izlaz C: \ users \ WDAGUtilityAccount \ Desktop \ vscode.exe
REM Instalirajte i pokrenite VSCode
C: \ korisnici \ WDAGUtilityAccount \ Desktop \ vscode.exe / verysilent / suppressmsgboxesVSCode.wsb
C: \ SandboxScripts
istinski
C: \ CodingProjects
lažan
C: \ users \ wdagutilityaccount \ desktop \ SandboxScripts \ VSCodeInstall.cmd
Sada samo trebate dvokliknite Text.wsb i pokrenuti Windows Sandbox. Prednost je u tome što možete stvoriti nekoliko konfiguracija za način na koji treba raditi sandbox. Zapravo prilično praktična. Može se samo nadati da će Microsoft s vremenom proširiti mogućnosti konfiguracijske datoteke.