Nowa funkcjonalność Sandbox w systemie Windows 10 pozwala na bezpieczne eksperymentowanie z oprogramowaniem oraz plikami pobranymi z sieci, uruchamiając je w odizolowanym środowisku. Jest to rozwiązanie łatwe do użycia, jednak jego opcje konfiguracyjne ukryte są w pliku tekstowym.
Windows Sandbox – prosta obsługa, jeśli jest dostępna
Sandbox został wprowadzony w aktualizacji Windows 10 z maja 2019 roku. Po zainstalowaniu tej wersji, użytkownicy muszą posiadać edycję Professional, Enterprise lub Education, ponieważ funkcja ta nie jest dostępna w wersji Home. Jeśli jednak masz odpowiednią wersję systemu, możesz aktywować Sandbox i uruchomić go z menu Start.
Uruchomienie Sandbox skutkuje utworzeniem kopii twojego systemu operacyjnego Windows, która nie ma dostępu do osobistych folderów, oferując jednocześnie czysty pulpit Windows z dostępem do internetu. Przed dodaniem opcji konfiguracyjnych przez Microsoft, użytkownicy nie mieli możliwości dostosowywania Sandbox. W przypadku braku Internetu, zazwyczaj trzeba było go dezaktywować tuż po uruchomieniu. W celu uzyskania dostępu do plików z systemu hosta, należało skopiować je do Sandbox, a instalacja programów zewnętrznych musiała odbywać się po każdorazowym uruchomieniu Sandbox.
Ze względu na fakt, że Windows Sandbox usuwa wszystkie swoje dane po zamknięciu, użytkownicy musieli ponownie przechodzić przez ten proces konfiguracyjny za każdym razem. Z jednej strony zapewnia to większe bezpieczeństwo, ponieważ w przypadku problemów wystarczy zamknąć Sandbox, a wszystkie zmiany zostaną usunięte. Z drugiej strony, konieczność powtarzania tych samych kroków przy każdym uruchomieniu może być frustrująca w przypadku częstych modyfikacji.
Aby zminimalizować ten problem, Microsoft wprowadził możliwość konfiguracji dla Windows Sandbox. Dzięki plikom XML możesz uruchomić Sandbox z wcześniej ustalonymi parametrami. Możesz dostosować restrykcje Sandbox, na przykład wyłączając połączenie internetowe, konfigurując foldery współdzielone z systemem hosta lub uruchamiając skrypty do instalacji aplikacji. Opcje są ograniczone w pierwszej wersji tej funkcji, jednak Microsoft planuje dodać więcej możliwości w kolejnych aktualizacjach Windows 10.
Jak skonfigurować Windows Sandbox
Twój Windows 10 w trybie Sandbox może mieć dostęp do współdzielonego folderu w systemie hosta.
W tym przewodniku zakładamy, że Sandbox jest już ustawiony do ogólnego użytku. W przeciwnym razie najpierw musisz go aktywować w oknie dialogowym Funkcje systemu Windows.
Aby zacząć, potrzebujesz Notatnika lub innego edytora tekstu – my polecamy Notepad ++ – oraz nowego, pustego pliku. Będziesz tworzyć plik XML do konfiguracji. Zrozumienie języka XML jest przydatne, ale niekonieczne. Po zapisaniu pliku, nadaj mu rozszerzenie .wsb (na przykład WindowsSandbox.wsb). Podwójne kliknięcie na ten plik uruchomi Sandbox z określoną konfiguracją.
Jak to opisano w dokumentacji Microsoftu, masz kilka opcji do wyboru podczas konfigurowania Sandbox. Możesz włączyć lub wyłączyć vGPU (zwirtualizowany procesor graficzny), aktywować lub dezaktywować połączenie sieciowe, ustalić udostępniony folder hosta oraz skonfigurować uprawnienia do odczytu/zapisu w tym folderze. Możesz także uruchomić skrypt przy starcie.
Przy użyciu tego pliku konfiguracyjnego, możesz dezaktywować zwirtualizowany procesor graficzny (domyślnie włączony), wyłączyć sieć (domyślnie włączona), wskazać folder współdzielony z hostem (aplikacje w Sandbox nie mają domyślnie dostępu do żadnego folderu), ustawić uprawnienia do odczytu/zapisu w tym folderze i/lub uruchomić skrypt przy starcie.
Najpierw otwórz Notatnik lub inny edytor tekstu i rozpocznij nowy plik tekstowy. Dodaj następujący tekst:
Wszystkie opcje, które dodasz, muszą być umieszczone między tymi dwoma znacznikami. Możesz dodać tylko jedną opcję lub wszystkie – nie musisz uwzględniać wszystkich. Jeśli nie wskażesz opcji, zastosowane zostaną domyślne ustawienia.
Jak wyłączyć wirtualny procesor graficzny lub sieć
Jak podkreśla Microsoft, włączenie vGPU lub obsługi sieci zwiększa ryzyko, że złośliwe oprogramowanie może wydostać się z Sandbox. Dlatego w przypadku testowania potencjalnie niebezpiecznych aplikacji, rozważ ich dezaktywację.
Aby wyłączyć vGPU (domyślnie włączony), dodaj do pliku konfiguracyjnego następujący tekst:
Disable
Aby dezaktywować dostęp do sieci (domyślnie włączony), dodaj następujący tekst:
Disable
Jak mapować folder
Aby zmapować folder, musisz dokładnie określić, który folder chcesz udostępnić oraz zdecydować, czy ma on być tylko do odczytu, czy nie.
Mapowanie folderu przebiega następująco:
C:UsersPublicDownloads true
W sekcji HostFolder podajesz dokładną lokalizację folderu, który chcesz udostępnić. W powyższym przykładzie udostępniany jest folder Public Downloads znajdujący się w systemach Windows. Opcja ReadOnly decyduje o tym, czy Sandbox ma prawo do zapisu w tym folderze. Ustaw ją na true, aby folder był tylko do odczytu, lub false, aby zezwolić na zapis.
Pamiętaj, że udostępnienie folderu pomiędzy hostem a Windows Sandbox wiąże się z pewnym ryzykiem. Umożliwienie zapisu w Sandbox zwiększa to ryzyko, dlatego, jeśli testujesz coś, co może być złośliwe, lepiej unikać tej opcji.
Jak uruchomić skrypt przy starcie
Na koniec możesz uruchamiać własne skrypty lub proste polecenia. Na przykład, możesz skonfigurować Sandbox tak, aby po uruchomieniu otworzył zamapowany folder. Stworzenie takiego pliku wygląda następująco:
C:UsersPublicDownloads true explorer.exe C:usersWDAGUtilityAccountDesktopDownloads
WDAGUtilityAccount jest domyślnym użytkownikiem Windows Sandbox, więc zawsze będziesz się do niego odnosić, gdy otwierasz foldery lub pliki w ramach tego polecenia.
Niestety, w prawie wydanej wersji aktualizacji Windows 10 z maja 2019 roku, opcja LogonCommand nie działa zgodnie z założeniami. Nie przynosi ona żadnego rezultatu, nawet po zastosowaniu przykładu z dokumentacji Microsoftu. Możliwe, że Microsoft wkrótce usunie ten błąd.
Jak uruchomić Sandbox z ustawieniami
Po zakończeniu, zapisz plik z rozszerzeniem .wsb. Na przykład, jeśli edytor tekstu zapisał go jako Sandbox.txt, zmień nazwę na Sandbox.wsb. Aby uruchomić Windows Sandbox z tymi ustawieniami, wystarczy dwukrotnie kliknąć plik .wsb. Możesz umieścić go na pulpicie lub utworzyć skrót w menu Start.
Aby ułatwić sobie pracę, możesz pobrać plik DisabledNetwork, co pozwoli zaoszczędzić kilka kroków. Plik ten ma rozszerzenie txt – zmień jego nazwę na .wsb, aby uruchomić Windows Sandbox.
newsblog.pl
Maciej – redaktor, pasjonat technologii i samozwańczy pogromca błędów w systemie Windows. Zna Linuxa lepiej niż własną lodówkę, a kawa to jego główne źródło zasilania. Pisze, testuje, naprawia – i czasem nawet wyłącza i włącza ponownie. W wolnych chwilach udaje, że odpoczywa, ale i tak kończy z laptopem na kolanach.