Nowa funkcja Sandbox w systemie Windows 10 umożliwia bezpieczne testowanie programów i plików pobranych z Internetu, uruchamiając je w bezpiecznym kontenerze. Jest łatwy w użyciu, ale jego ustawienia są ukryte w tekstowym pliku konfiguracyjnym.
Spis treści:
Windows Sandbox jest łatwy w użyciu, jeśli go masz
Ta funkcja jest częścią aktualizacji systemu Windows 10 z maja 2019 r. Po zainstalowaniu aktualizacji musisz również używać wersji Professional, Enterprise lub Education systemu Windows 10. Nie jest dostępna w systemie Windows 10 Home. Ale jeśli jest dostępny w twoim systemie, możesz łatwo aktywować funkcję Sandbox, a następnie uruchomić ją z menu Start.
Sandbox uruchomi się, utworzy kopię twojego obecnego systemu operacyjnego Windows, usunie dostęp do twoich folderów osobistych i da ci czysty pulpit Windows z dostępem do internetu. Zanim firma Microsoft dodała ten plik konfiguracyjny, w ogóle nie można było dostosować Sandbox. Jeśli nie chcesz mieć dostępu do Internetu, zwykle musiałeś go wyłączyć zaraz po uruchomieniu. Jeśli potrzebujesz dostępu do plików w systemie hosta, musisz skopiować je i wkleić do Sandbox. A jeśli chciałeś zainstalować określone programy innych firm, musisz je zainstalować po uruchomieniu Sandbox.
Ponieważ Windows Sandbox całkowicie usuwa swoje wystąpienie po zamknięciu, trzeba było przejść przez ten proces dostosowywania przy każdym uruchomieniu. Z jednej strony zapewnia to bezpieczniejszy system. Jeśli coś pójdzie nie tak, zamknij piaskownicę, a wszystko zostanie usunięte. Z drugiej strony, jeśli musisz regularnie wprowadzać zmiany, robienie tego przy każdym uruchomieniu szybko staje się frustrujące.
Aby złagodzić ten problem, firma Microsoft wprowadziła funkcję konfiguracji dla Windows Sandbox. Korzystając z plików XML, możesz uruchomić Windows Sandbox z ustawionymi parametrami. Możesz zaostrzyć lub poluzować ograniczenia piaskownicy. Na przykład możesz wyłączyć połączenie internetowe, skonfigurować foldery współdzielone z kopią hosta systemu Windows 10 lub uruchomić skrypt w celu zainstalowania aplikacji. Opcje są nieco ograniczone w pierwszej wersji funkcji Sandbox, ale Microsoft prawdopodobnie doda więcej w przyszłych aktualizacjach systemu Windows 10.
Jak skonfigurować Windows Sandbox
Twoja kopia systemu Windows 10 w trybie piaskownicy może mieć dostęp do folderu współdzielonego w systemie operacyjnym hosta.
W tym przewodniku założono, że masz już skonfigurowaną piaskownicę do ogólnego użytku. Jeśli jeszcze tego nie zrobiłeś, musisz najpierw włączyć go w oknie dialogowym Funkcje systemu Windows.
Aby rozpocząć, potrzebujesz Notatnika lub ulubionego edytora tekstu – lubimy Notepad ++—I pusty nowy plik. Będziesz tworzyć plik XML do konfiguracji. Znajomość platformy Język kodowania XML jest pomocna, nie jest konieczna. Po umieszczeniu pliku na miejscu zapiszesz go z rozszerzeniem .wsb (na przykład Windows Sand Box). Dwukrotne kliknięcie pliku uruchomi Sandbox z określoną konfiguracją.
Tak jak wyjaśnione przez Microsoftmasz kilka opcji do wyboru podczas konfigurowania piaskownicy. Możesz włączyć lub wyłączyć vGPU (zwirtualizowany GPU), włączyć lub wyłączyć sieć, określić udostępniony folder hosta, ustawić uprawnienia do odczytu / zapisu w tym folderze lub uruchomić skrypt przy uruchomieniu.
Korzystając z tego pliku konfiguracyjnego, możesz wyłączyć zwirtualizowany procesor graficzny (jest domyślnie włączony), wyłączyć sieć (jest domyślnie włączona), określić udostępniony folder hosta (aplikacje w piaskownicy nie mają domyślnie dostępu do żadnego), ustawić odczyt / uprawnienia do zapisu w tym folderze i / lub uruchom skrypt przy uruchomieniu
Najpierw otwórz Notatnik lub ulubiony edytor tekstu i zacznij od nowego pliku tekstowego. Dodaj następujący tekst:
Wszystkie opcje, które dodasz, muszą znajdować się między tymi dwoma parametrami. Możesz dodać tylko jedną opcję lub wszystkie – nie musisz uwzględniać wszystkich. Jeśli nie określisz opcji, zostanie użyta domyślna.
Jak wyłączyć wirtualny procesor graficzny lub sieć
Jak zauważa Microsoft, włączenie wirtualnego GPU lub obsługi sieci zwiększa możliwości, jakie złośliwe oprogramowanie może wykorzystać do wyjścia z piaskownicy. Więc jeśli testujesz coś, o co szczególnie się martwisz, rozsądnie może być ich wyłączenie.
Aby wyłączyć wirtualny GPU, który jest domyślnie włączony, dodaj następujący tekst do pliku konfiguracyjnego.
Disable
Aby wyłączyć dostęp do sieci, który jest domyślnie włączony, dodaj następujący tekst.
Disable
Jak mapować folder
Aby zmapować folder, musisz dokładnie określić, który folder chcesz udostępnić, a następnie określić, czy folder ma być tylko do odczytu, czy nie.
Mapowanie folderu wygląda następująco:
C:UsersPublicDownloads true
HostFolder to miejsce, w którym podajesz określony folder, który chcesz udostępnić. W powyższym przykładzie udostępniany jest folder Public Download znaleziony w systemach Windows. ReadOnly określa, czy Sandbox może zapisywać w folderze, czy nie. Ustaw ją na true, aby folder był tylko do odczytu, lub false, aby umożliwić zapis.
Po prostu pamiętaj, że zasadniczo wprowadzasz ryzyko do swojego systemu, łącząc folder między hostem a Windows Sandbox. Przyznanie dostępu do zapisu w piaskownicy zwiększa to ryzyko. Jeśli testujesz cokolwiek, co Twoim zdaniem może być złośliwe, nie powinieneś używać tej opcji.
Jak uruchomić skrypt przy uruchomieniu
Na koniec możesz uruchamiać niestandardowe skrypty lub podstawowe polecenia. Możesz na przykład zmusić piaskownicę do otwarcia zamapowanego folderu po uruchomieniu. Utworzenie tego pliku wyglądałoby tak:
C:UsersPublicDownloads true explorer.exe C:usersWDAGUtilityAccountDesktopDownloads
WDAGUtilityAccount to domyślny użytkownik dla Windows Sandbox, więc zawsze będziesz o tym informować podczas otwierania folderów lub plików w ramach polecenia.
Niestety, w prawie wydanej wersji aktualizacji systemu Windows 10 z maja 2019 r. Opcja LogonCommand nie działa zgodnie z przeznaczeniem. W ogóle nic to nie dało, nawet jeśli użyliśmy przykładu w dokumentacji Microsoftu. Microsoft prawdopodobnie wkrótce naprawi ten błąd.
Jak uruchomić piaskownicę z ustawieniami
Po zakończeniu zapisz plik i nadaj mu rozszerzenie .wsb. Na przykład, jeśli edytor tekstu zapisze go jako Sandbox.txt, zapisz go jako Sandbox.wsb. Aby uruchomić Windows Sandbox z ustawieniami, kliknij dwukrotnie plik .wsb. Możesz umieścić go na pulpicie lub utworzyć do niego skrót w menu Start.
Dla własnej wygody możesz pobrać ten plik DisabledNetwork, aby zaoszczędzić sobie kilku kroków. Plik ma rozszerzenie txt, zmień jego nazwę na rozszerzenie pliku .wsb i możesz uruchomić Windows Sandbox.