Windows Sandbox er et isolert, midlertidig, skrivebordsmiljø der du kan kjøre upålitelig programvare uten frykt for varig innvirkning på PC-en. Windows Sandbox har nå støtte for enkle konfigurasjonsfiler (.wsb filtypen), som gir minimal skriptstøtte. Du kan bruke denne funksjonen i den nyeste Windows Insider build 18342.
All programvare installert i Windows Sandbox forblir bare i sandkassen og kan ikke påvirke verten din. Når Windows Sandbox er lukket, blir all programvare med alle filene og tilstanden slettet permanent.
Windows Sandbox har følgende egenskaper:
reddit hvordan du blokkerer en subreddit
- En del av Windows - alt som kreves for denne funksjonen leveres med Windows 10 Pro og Enterprise. Du trenger ikke å laste ned en VHD!
- Uberørte - hver gang Windows Sandbox kjører, er den like ren som en helt ny installasjon av Windows
- Engangs - ingenting vedvarer på enheten; alt blir kastet etter at du har lukket søknaden
- Sikre - bruker maskinvarebasert virtualisering for kjerneisolering, som er avhengig av Microsofts hypervisor for å kjøre en egen kjerne som isolerer Windows Sandbox fra verten
- Effektiv - bruker integrert kjerneplanlegger, smart minneadministrasjon og virtuell GPU
Det er følgende forutsetninger for å bruke Windows Sandbox-funksjonen:
Annonse
- Windows 10 Pro eller Enterprise build 18305 eller nyere
- AMD64-arkitektur
- Virtualiseringsfunksjoner aktivert i BIOS
- Minst 4 GB RAM (8 GB anbefales)
- Minst 1 GB ledig diskplass (SSD anbefales)
- Minst 2 CPU-kjerner (4 kjerner med hypertråding anbefales)
Du kan lære hvordan du aktiverer og bruker Windows Sandbox HER .
Windows Sandbox-konfigurasjonsfiler
Sandbox-konfigurasjonsfiler er formatert som XML, og er tilknyttet Windows Sandbox via .wsb-filtypen. En konfigurasjonsfil lar brukeren kontrollere følgende aspekter av Windows Sandbox:
- vGPU (virtualisert GPU)
- Aktiver eller deaktiver den virtualiserte GPUen. Hvis vGPU er deaktivert, vil Sandbox bruke WARP (programvare rasterizer).
- Nettverk
- Aktiver eller deaktiver nettverkstilgang til Sandbox.
- Delte mapper
- Del mapper fra verten med lese- eller skrivetillatelser. Merk at eksponering av vertskataloger kan tillate skadelig programvare å påvirke systemet ditt eller stjele data.
- Oppstartsskript
- Påloggingshandling for sandkassen.
Ved å dobbeltklikke på en * .wsb-fil åpner du den i Windows Sandboxю
Støttede konfigurasjonsalternativer
VGpu
Aktiverer eller deaktiverer GPU-deling.
verdi
Støttede verdier:
- Deaktiver - deaktiverer vGPU-støtte i sandkassen. Hvis denne verdien er angitt, bruker Windows Sandbox programvaregjengivelse, som kan være tregere enn virtualisert GPU.
- Misligholde - dette er standardverdien for vGPU-støtte; for øyeblikket betyr dette at vGPU er aktivert.
Merk: Aktivering av virtualisert GPU kan potensielt øke angrepsflaten til sandkassen.
Nettverk
Aktiverer eller deaktiverer nettverk i sandkassen. Deaktivering av nettverkstilgang kan brukes til å redusere angrepsoverflaten som er utsatt for Sandkassen.
hvordan du privat melding på uenighet
verdi
Støttede verdier:
- Deaktiver - deaktiverer nettverk i sandkassen.
- Misligholde - dette er standardverdien for nettverksstøtte. Dette muliggjør nettverk ved å opprette en virtuell bryter på verten, og kobler sandkassen til den via et virtuelt nettverkskort.
Merk: Aktivering av nettverk kan eksponere ikke-klarerte applikasjoner for det interne nettverket.
MappedFolders
Bryter en liste over MappedFolder-objekter.
liste over MappedFolder-objekter
Merk: Filer og mapper som er kartlagt fra verten, kan kompromitteres av apper i Sandkassen eller potensielt påvirke verten.
Kartlagt mappe
Spesifiserer en enkelt mappe på vertsmaskinen som skal deles på container-skrivebordet. Apper i Sandbox kjøres under brukerkontoen “WDAGUtilityAccount”. Derfor blir alle mapper kartlagt under følgende bane: C: Users WDAGUtilityAccount Desktop.
F.eks. 'C: Test' vil bli kartlagt som 'C: brukere WDAGUtilityAccount Desktop Test'.
sti til vertsmappens verdi
HostFolder : Spesifiserer mappen på vertsmaskinen som skal deles med sandkassen. Merk at mappen allerede må være verten, ellers starter ikke containeren hvis mappen ikke blir funnet.
Les bare : Hvis det er sant, håndhever skrivebeskyttet tilgang til den delte mappen fra containeren. Støttede verdier: sant / usant.
Merk: Filer og mapper som er kartlagt fra verten, kan kompromitteres av apper i Sandkassen eller potensielt påvirke verten.
Logg på kommando
Spesifiserer en enkelt kommando som blir påkalt automatisk etter at beholderen logger på.
kommando som skal påberopes
Kommando: En sti til en kjørbar eller manus inne i beholderen som skal kjøres etter pålogging.
Merk: Selv om veldig enkle kommandoer fungerer (starter en kjørbar eller skript), bør mer kompliserte scenarier som involverer flere trinn plasseres i en skriptfil. Denne skriptfilen kan tilordnes i containeren via en delt mappe og deretter kjøres via LogonCommand-direktivet.
Konfigurasjonseksempler
Eksempel 1
Følgende konfigurasjonsfil kan brukes til å enkelt teste nedlastede filer inne i sandkassen. For å oppnå dette deaktiverer skriptet nettverk og vGPU, og begrenser den delte nedlastingsmappen til skrivebeskyttet tilgang i beholderen. For enkelhets skyld åpner påloggingskommandoen nedlastingsmappen inne i beholderen når den startes.
Last ned. Wsb
Deaktiver Deaktiver C: Brukere Offentlig Nedlastinger true explorer.exe C: brukere WDAGUtilityAccount Desktop Nedlastinger
Eksempel 2
Følgende konfigurasjonsfil installerer Visual Studio-kode i beholderen, noe som krever et litt mer komplisert LogonCommand-oppsett.
To mapper er kartlagt i beholderen; den første (SandboxScripts) inneholder VSCodeInstall.cmd, som vil installere og kjøre VSCode. Den andre mappen (CodingProjects) antas å inneholde prosjektfiler som utvikleren vil endre ved hjelp av VSCode.
Med VSCode-installasjonsskriptet allerede kartlagt i beholderen, kan LogonCommand referere til det.
VSCodeInstall.cmd
største harddisken du kan kjøpe
REM Last ned VSCode curl -L 'https://update.code.visualstudio.com/latest/win32-x64-user/stable' --output C: users WDAGUtilityAccount Desktop vscode.exe REM Installer og kjør VSCode C : brukere WDAGUtilityAccount Desktop vscode.exe / verysilent / suppressmsgboxes
VSCode.wsb
C: SandboxScripts true C: CodingProjects false C: users wdagutilityaccount desktop SandboxScripts VSCodeInstall.cmd
Kilde: Microsoft