Windows Sandbox представляет простые файлы конфигурации в Windows 10

Windows Sandbox — это изолированная временная среда рабочего стола, в которой вы можете запускать ненадежное программное обеспечение, не опасаясь длительного воздействия на ваш компьютер. Windows Sandbox теперь поддерживает простые файлы конфигурации (расширение файла .wsb), которые обеспечивают минимальную поддержку сценариев. Вы можете использовать эту функцию в последней сборке Windows Insider 18342.

Скриншот Windows Sandbox Открыть
Любое программное обеспечение, установленное в Windows Sandbox, остается только в песочнице и не может повлиять на ваш хост. После закрытия Windows Sandbox все программное обеспечение со всеми его файлами и состоянием удаляется безвозвратно.

Windows Sandbox имеет следующие свойства:

  • Часть Windows — все, что требуется для этой функции, входит в состав Windows 10 Pro и Enterprise. Нет необходимости скачивать VHD!
  • Безупречный — каждый раз, когда запускается Windows Sandbox, он такой же чистый, как и новая установка Windows.
  • Одноразовый — на устройстве ничего не сохраняется; все сбрасывается после закрытия приложения
  • Безопасность — использует аппаратную виртуализацию для изоляции ядра, которая использует гипервизор Microsoft для запуска отдельного ядра, которое изолирует Windows Sandbox от хоста.
  • Эффективно — использует встроенный планировщик ядра, интеллектуальное управление памятью и виртуальный графический процессор

Существуют следующие предварительные условия для использования функции Windows Sandbox:

  • Windows 10 Pro или Enterprise, сборка 18305 или новее
  • Архитектура AMD64
  • Возможности виртуализации включены в BIOS
  • Не менее 4 ГБ ОЗУ (рекомендуется 8 ГБ)
  • Не менее 1 ГБ свободного дискового пространства (рекомендуется SSD)
  • Минимум 2 ядра ЦП (рекомендуется 4 ядра с гиперпоточностью)

Вы можете узнать, как включить и использовать Windows Sandbox ЗДЕСЬ.

СОДЕРЖАНИЕ Файлы конфигурации Windows Sandbox Поддерживаемые параметры конфигурации Примеры конфигурации Пример 1 Пример 2

Файлы конфигурации Windows Sandbox

Файлы конфигурации песочницы имеют формат XML и связаны с Windows Sandbox через расширение файла .wsb. Файл конфигурации позволяет пользователю контролировать следующие аспекты Windows Sandbox:

  1. vGPU (виртуализированный графический процессор)
    • Включение или отключение виртуализированного графического процессора. Если vGPU отключен, Sandbox будет использоватьWARP (программный растеризатор).
  2. Сети
    • Включение или отключение сетевого доступа к песочнице.
  3. Общие папки
    • Делитесь папками с хоста с разрешениями на чтение или запись. Обратите внимание, что раскрытие каталогов хоста может позволить вредоносному ПО повлиять на вашу систему или украсть данные.
  4. Сценарий запуска
    • Действие входа в песочницу.

Дважды щелкнув файл * .wsb, вы откроете его в Windows Sandbox.

Поддерживаемые параметры конфигурации

VGpu

Включает или отключает совместное использование графического процессора.

<VGpu>value</VGpu>

Поддерживаемые значения:

  • Отключить — отключает поддержку vGPU в песочнице. Если установлено это значение, Windows Sandbox будет использовать программный рендеринг, который может быть медленнее, чем виртуализированный графический процессор.
  • По умолчанию — это значение по умолчанию для поддержки vGPU; в настоящее время это означает, что vGPU включен.

Примечание. Включение виртуализированного графического процессора потенциально может увеличить поверхность атаки песочницы.

Сети

Включает или отключает сеть в песочнице. Отключение доступа к сети может быть использовано для уменьшения уязвимости для атаки, открытой для песочницы.

<Networking>value</Networking>

Поддерживаемые значения:

  • Отключить — отключает сеть в песочнице.
  • По умолчанию — это значение по умолчанию для поддержки сети. Это делает возможным создание сети путем создания виртуального коммутатора на хосте и подключения к нему песочницы через виртуальную сетевую карту.

Примечание. Включение сети может открыть доступ ненадежным приложениям к вашей внутренней сети.

MappedFolders

Оборачивает список объектов MappedFolder.

<MappedFolders> list of MappedFolder objects </MappedFolders>

Примечание. Файлы и папки, сопоставленные с хоста, могут быть скомпрометированы приложениями в песочнице или потенциально могут повлиять на хост.

MappedFolder

Задает одну папку на главном компьютере, к которой будет предоставлен общий доступ на рабочем столе контейнера. Приложения в песочнице запускаются под учетной записью пользователя «WDAGUtilityAccount». Следовательно, все папки отображаются по следующему пути: C: \ Users \ WDAGUtilityAccount \ Desktop.

Например. «C: \ Test» будет отображаться как «C: \ users \ WDAGUtilityAccount \ Desktop \ Test».

<MappedFolder> <HostFolder>path to the host folder</HostFolder> <ReadOnly>value</ReadOnly> </MappedFolder>

HostFolder: указывает папку на главном компьютере для совместного использования в песочнице. Обратите внимание, что папка уже должна существовать на хосте, иначе контейнер не запустится, если папка не будет найдена.

ReadOnly: если true, обеспечивает доступ только для чтения к общей папке из контейнера. Поддерживаемые значения: истина / ложь.

Примечание. Файлы и папки, сопоставленные с хоста, могут быть скомпрометированы приложениями в песочнице или потенциально могут повлиять на хост.

Вход в систему

Задает одну команду, которая будет вызываться автоматически после входа контейнера в систему.

<LogonCommand> <Command>command to be invoked</Command> </LogonCommand>

Команда: путь к исполняемому файлу или сценарию внутри контейнера, который будет выполнен после входа в систему.

Примечание. Хотя очень простые команды будут работать (запуск исполняемого файла или сценария), более сложные сценарии, включающие несколько шагов, должны быть помещены в файл сценария. Этот файл сценария можно сопоставить с контейнером через общую папку, а затем выполнить с помощью директивы LogonCommand.

Примеры конфигурации

Пример 1

Следующий файл конфигурации можно использовать для простого тестирования загруженных файлов внутри песочницы. Для этого сценарий отключает сеть и vGPU, а также ограничивает доступ к общей папке загрузок только для чтения в контейнере. Для удобства команда входа в систему при запуске открывает папку загрузок внутри контейнера.

Downloads.wsb

<Configuration> <VGpu>Disable</VGpu> <Networking>Disable</Networking> <MappedFolders> <MappedFolder> <HostFolder>C:\Users\Public\Downloads</HostFolder> <ReadOnly>true</ReadOnly> </MappedFolder> </MappedFolders> <LogonCommand> <Command>explorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads</Command> </LogonCommand> </Configuration>

Пример 2

Следующий файл конфигурации устанавливает Visual Studio Code в контейнер, что требует немного более сложной настройки LogonCommand.

В контейнер отображаются две папки; первый (SandboxScripts) содержит VSCodeInstall.cmd, который установит и запустит VSCode. Предполагается, что вторая папка (CodingProjects) содержит файлы проекта, которые разработчик хочет изменить с помощью VSCode.

Если сценарий установщика VSCode уже сопоставлен с контейнером, LogonCommand может ссылаться на него.

VSCodeInstall.cmd

REM Скачать VSCode curl -L "https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C: \ users \ WDAGUtilityAccount \ Desktop \ vscode.exe
REM Установите и запустите VSCode C: \ users \ WDAGUtilityAccount \ Desktop \ vscode.exe / verysilent / suppressmsgboxes

VSCode.wsb

<Configuration> <MappedFolders> <MappedFolder> <HostFolder>C:\SandboxScripts</HostFolder> <ReadOnly>true</ReadOnly> </MappedFolder> <MappedFolder> <HostFolder>C:\CodingProjects</HostFolder> <ReadOnly>false</ReadOnly> </MappedFolder> </MappedFolders> <LogonCommand> <Command>C:\users\wdagutilityaccount\desktop\SandboxScripts\VSCodeInstall.cmd</Command> </LogonCommand> </Configuration>

Источник: Microsoft

Добавить комментарий

Ваш адрес email не будет опубликован.