Priporočljivo: Kako omogočiti Windows Sandbox (in kaj je).
Windows Sandbox je izolirano, začasno okolje namizja, kjer lahko zaženete nezaupljivo programsko opremo brez strahu pred zlonamerno izpostavljenostjo računalniku. Windows Sandbox zdaj podpira preproste konfiguracijske datoteke (.wsb razširitev), ki zagotavljajo minimalno podporo pri pisanju scenarijev. To funkcijo lahko uporabite v najnovejši različici sistema Windows s številko 18342.
Vsa programska oprema, nameščena v peskovniku Windows, ostane samo v peskovniku in ne more vplivati na vašo napravo. Takoj ko zaprete program Windows Sandbox, se vsa nameščena programska oprema z vsemi datotekami in statusom trajno izbriše.
Windows Sandbox ima naslednje lastnosti:
- Windows del - Vse, kar potrebujete za to funkcijo, je privzeto prisotno v sistemih Windows 10 Pro in Enterprise. VHD ni treba prenesti!
- Čistoča - vsakič, ko se zažene program Windows Sandbox, je čist kot nova namestitev sistema Windows 10.
- Za enkratno uporabo - na napravi se nič ne shrani; vse se po zaključku aplikacije izbriše
- Varno - z virtualizacijo strojne opreme izolira jedro, ki uporablja Microsoftov hipervizor za zagon ločenega jedra, ki Windows Sandbox izolira od gostitelja
- Učinkovito - uporablja integrirani planer jedra, pametno upravljanje pomnilnika in virtualni GPU
Konfiguracijske datoteke Windows Sandbox.
Konfiguracijske datoteke peskovnika so v obliki XML in so povezane s peskovno datoteko s pripono .wsb. Konfiguracijska datoteka omogoča uporabniku nadzor nad naslednjimi vidiki sistema Windows Sandbox:
- vGPU (virtualiziran grafični procesor)
- Omogoči ali onemogoči virtualiziran GPU. Če je vGPU onemogočen, bo Sandbox uporabil WARP (programski rasterizer).
- Omrežje
- Omogočite ali onemogočite omrežni dostop do peskovnika.
- Skupne mape
- Delite mape gostitelja (računalnika) z dovoljenjem za branje ali pisanje. Upoštevajte, da razširitev imenikov gostitelja lahko škodljivi programski opremi vpliva na vaš sistem ali krade podatke..
- Izvedba skripta
- Samodejno ukrepanje po vstopu v peskovnik.
Podprte možnosti konfiguracije
Vgpu
Omogoči ali onemogoči skupno rabo GPU-ja.
vrednost
Podprte vrednosti:
Onemogoči - onemogočite podporo vGPU v peskovniku. Če je ta vrednost nastavljena, bo uporabila programsko upodabljanje, ki je lahko počasnejše od virtualiziranega GPU-ja.
Privzeto - to je privzeta vrednost za podporo vGPU; to pomeni, da je vGPU omogočen.
Opomba: Če omogočite virtualiziran GPU, bi lahko povečali napad zunanjega peskovnika.
Omrežje
Omogoči ali onemogoči omrežje v peskovniku. Onemogočanje dostopa do omrežja lahko uporabite za zmanjšanje možnosti napada v peskovniku..
vrednostPodprte vrednosti:
Onemogoči - onemogočite omrežje v peskovniku.
Privzeto - to je privzeta vrednost za omrežno podporo. Omogoča vam ustvarjanje omrežij z ustvarjanjem navideznega stikala na vašem gostitelju in povezovanje z njim izoliranega programskega okolja prek virtualnega omrežnega adapterja.
Opomba: Če omogočite omrežne povezave, se lahko v vašem notranjem omrežju končajo nezaupljive aplikacije..
Mape
Zavija seznam predmetov MappedFolder.
seznam objektov MappedFolder
Opomba: Aplikacije v peskovniku lahko ogrozijo datoteke in mape, povezane z gostiteljem, ali pa morda vplivajo na gostitelja.
Mapped map
Na gostiteljskem računalniku poda eno mapo, ki bo v skupni rabi na namizju vsebnika. Aplikacije s peskovnikom se izvajajo pod uporabniškim računom "WDAGUtilityAccount". Zato so vse mape prikazane na naslednji poti: C: \ Uporabniki \ WDAGUtilityAccount \ Desktop.
Na primer, "C: \ Test" se prikaže kot "C: \ uporabniki \ WDAGUtilityAccount \ Desktop \ Test".
vrednost poti do mape gostitelja
HostFolder: določa mapo na gostiteljski napravi, ki jo želite deliti v peskovniku. Upoštevajte, da mora mapa že obstajati, vsebnik se ne zažene, če mape ne najdete.
Samo branje: pri vrednosti resnično omogoča dostop samo do bralnika do mape v skupni rabi iz vsebnika. Podprte vrednosti: resnično / napačno.
Opomba: Aplikacije v peskovniku lahko ogrozijo datoteke in mape, povezane z gostiteljem, ali pa morda vplivajo na gostitelja.
Logoncommand
Določi en ukaz, ki se samodejno pokliče po vnosu vsebnika.
ukaz za klic
Ekipa: Pot do izvršljive datoteke ali skripta znotraj vsebnika, ki bo izveden po prijavi.
Opomba: Čeprav bodo zelo preprosti ukazi delovali (zagnati izvedljivo datoteko ali skript), je treba v datoteko skripta umestiti bolj zapletene skripte, vključno z več koraki. To skriptno datoteko je mogoče preslikati v vsebnik prek skupne mape in nato izvršiti z uporabo direktive LogonCommand.
Ustvari konfiguracijsko datoteko
Ustvari novo besedilno datoteko s pripono .wsb in vanj kopirajte en primer.
Dvokliknite ustvarjeno datoteko * .wsb ga odpreš v peskovniku Windows.
Primer konfiguracijske datoteke - 1.
Naslednjo konfiguracijsko datoteko lahko uporabite za enostavno testiranje prenesenih datotek znotraj peskovnika. V ta namen skript onemogoči omrežje in vGPU in v vsebniku omeji mapo za skupne prenose na dostop samo za branje. Zaradi lažjega ukaza ukaz za prijavo odpre mapo za prenos znotraj vsebnika ob zagonu.
Downloads.wsb
Onemogoči
Onemogoči
C: \ uporabniki \ javni \ prenosi
resnično
explor.exe C: \ users \ WDAGUtilityAccount \ Desktop \ Downloads
Primer konfiguracijske datoteke - 2.
Naslednja konfiguracijska datoteka namesti kodo Visual Studio v vsebnik, kar zahteva nekoliko bolj zapleteno konfiguracijo LogonCommand.
V vsebniku sta prikazani dve mapi; prvi (SandboxScripts) vsebuje VSCodeInstall.cmd, ki namesti in zažene VSCode. Domneva se, da druga mapa (CodingProjects) vsebuje projektne datoteke, ki jih želi razvijalec spremeniti s pomočjo VSCode.
S pomočjo skripta za namestitev VSCode, ki je že preslikan v vsebnik, ga lahko LogonCommand sklicuje.
VSCodeInstall.cmd
REM Prenos VSCode
curl -L "https://update.code.visualstudio.com/latest/win32-x64-user/stable" - izhod C: \ uporabniki \ WDAGUtilityAccount \ Desktop \ vscode.exe
REM Namestite in zaženite VSCode
C: \ uporabniki \ WDAGUtilityAccount \ Desktop \ vscode.exe / verysilent / suppressmsgboxesVscode.wsb
C: \ Peskovni skripti
resnično
C: \ CodingProjects
lažno
C: \ uporabniki \ wdagutilityaccount \ pult \ Peskovna skripta \ VSCodeInstall.cmd
Zdaj morate dvoklikniti Text.wsb in zagnati Windows Sandbox. Prednost tega je, da lahko ustvarite več konfiguracij, kako naj se zažene peskovnik. Pravzaprav precej praktično. Lahko le upamo, da bo Microsoft sčasoma razširil zmogljivosti konfiguracijske datoteke.
