Windows Sandbox je izolované dočasné pracovní prostředí, ve kterém můžete spouštět nedůvěryhodný software bez obav z trvalého dopadu na váš počítač. Windows Sandbox nyní podporuje jednoduché konfigurační soubory (přípona souboru .wsb), které poskytují minimální podporu skriptování. Tuto funkci můžete použít v nejnovější verzi Windows Insider 18342.
Jakýkoli software nainstalovaný v karanténě Windows zůstane pouze v karanténě a nemůže ovlivnit vašeho hostitele. Jakmile je Windows Sandbox uzavřen, veškerý software se všemi soubory a stavem bude trvale odstraněn.
Sandbox systému Windows má následující vlastnosti:
jak udělat zombie vesničana
- Část Windows - vše potřebné pro tuto funkci je dodáváno s Windows 10 Pro a Enterprise. Není třeba stahovat VHD!
- Nedotčené - pokaždé, když běží Windows Sandbox, je to stejně čisté jako zbrusu nová instalace systému Windows
- Jednorázový - na zařízení nic nepřetrvává; vše se po zavření aplikace zahodí
- Zajistit - používá k izolaci jádra hardwarovou virtualizaci, která se při spuštění samostatného jádra, které izoluje Windows Sandbox od hostitele, spoléhá na hypervisor Microsoftu
- Účinný - používá integrovaný plánovač jader, inteligentní správu paměti a virtuální GPU
Existují následující předpoklady pro použití funkce Windows Sandbox:
Reklama
- Windows 10 Pro nebo Enterprise build 18305 nebo novější
- AMD64 architektura
- Možnosti virtualizace povolené v systému BIOS
- Minimálně 4 GB RAM (doporučeno 8 GB)
- Alespoň 1 GB volného místa na disku (doporučeno SSD)
- Alespoň 2 jádra CPU (doporučena 4 jádra s hyperthreadingem)
Můžete se dozvědět, jak povolit a používat Windows Sandbox TADY .
Konfigurační soubory karantény systému Windows
Konfigurační soubory karantény jsou formátovány jako XML a jsou přidruženy k karanténě Windows prostřednictvím přípony souboru .wsb. Konfigurační soubor umožňuje uživateli ovládat následující aspekty prostředí Windows Sandbox:
- vGPU (virtualizovaný GPU)
- Povolte nebo zakažte virtualizovaný GPU. Pokud je vGPU zakázáno, použije Sandbox VÁLKA (softwarový rasterizér).
- Síťování
- Povolte nebo zakažte síťový přístup do karantény.
- Sdílené složky
- Sdílejte složky z hostitele s oprávněním ke čtení nebo zápisu. Upozorňujeme, že vystavení hostitelských adresářů může umožnit škodlivému softwaru ovlivnit váš systém nebo ukrást data.
- Spouštěcí skript
- Přihlašovací akce pro karanténu.
Poklepáním na soubor * .wsb jej otevřete v sandboxu Windowsю
Podporované možnosti konfigurace
VGpu
Povolí nebo zakáže sdílení GPU.
hodnota
Podporované hodnoty:
- Zakázat - zakáže podporu vGPU v karanténě. Pokud je tato hodnota nastavena, Windows Sandbox použije softwarové vykreslování, které může být pomalejší než virtualizovaný GPU.
- Výchozí - toto je výchozí hodnota pro podporu vGPU; v současné době to znamená, že je povolena vGPU.
Poznámka: Povolení virtualizovaného GPU může potenciálně zvýšit útočnou plochu karantény.
Síťování
Povolí nebo zakáže síť v karanténě. Zakázání přístupu k síti lze použít ke zmenšení plochy útoku vystavené karanténou.
potřebujete chytrou televizi, abyste získali netflix
hodnota
Podporované hodnoty:
- Zakázat - zakáže síť v karanténě.
- Výchozí - toto je výchozí hodnota pro podporu sítě. To umožňuje síťování vytvořením virtuálního přepínače na hostiteli a připojení karantény k němu prostřednictvím virtuálního síťového adaptéru.
Poznámka: Povolením sítě můžete vystavit nedůvěryhodné aplikace vaší interní síti.
Mapované složky
Zabalí seznam objektů MappedFolder.
seznam objektů MappedFolder
Poznámka: Soubory a složky mapované z hostitele mohou být ohroženy aplikacemi v karanténě nebo mohou mít na hostitele vliv.
MappedFolder
Určuje jednu složku na hostitelském počítači, která bude sdílena na ploše kontejneru. Aplikace v karanténě se spouštějí pod uživatelským účtem „WDAGUtilityAccount“. Proto jsou všechny složky mapovány pod následující cestou: C: Users WDAGUtilityAccount Desktop.
Např. „C: Test“ bude mapováno jako „C: users WDAGUtilityAccount Desktop Test“.
cesta k hodnotě hostitelské složky
HostFolder : Určuje složku na hostitelském počítači, kterou chcete sdílet na karanténě. Složka již musí hostitele existovat, jinak se kontejner nespustí, pokud složku nenajdete.
Pouze ke čtení : Je-li true, vynucuje přístup ke sdílené složce jen pro čtení z kontejneru. Podporované hodnoty: true / false.
Poznámka: Soubory a složky mapované z hostitele mohou být ohroženy aplikacemi v karanténě nebo mohou mít na hostitele vliv.
LogonCommand
Určuje jeden příkaz, který bude vyvolán automaticky po přihlášení kontejneru.
příkaz, který má být vyvolán
Příkaz: Cesta k spustitelnému souboru nebo skriptu uvnitř kontejneru, který bude spuštěn po přihlášení.
Poznámka: Ačkoli budou fungovat velmi jednoduché příkazy (spuštění spustitelného souboru nebo skriptu), do souboru skriptu by měly být umístěny složitější scénáře zahrnující více kroků. Tento soubor skriptu může být namapován do kontejneru prostřednictvím sdílené složky a poté spuštěn prostřednictvím direktivy LogonCommand.
Příklady konfigurace
Příklad 1
Následující konfigurační soubor lze použít ke snadnému testování stažených souborů uvnitř izolovaného prostoru. K dosažení tohoto cíle skript zakáže připojení k síti a vGPU a omezí sdílenou složku ke stažení na přístup jen pro čtení v kontejneru. Pro usnadnění otevírá příkaz přihlášení při spuštění složku pro stahování uvnitř kontejneru.
Downloads.wsb
Zakázat Zakázat C: Users Public Downloads true explorer.exe C: users WDAGUtilityAccount Desktop Downloads
Příklad 2
Následující konfigurační soubor nainstaluje Visual Studio Code do kontejneru, což vyžaduje trochu složitější nastavení LogonCommand.
Do kontejneru jsou namapovány dvě složky; první (SandboxScripts) obsahuje VSCodeInstall.cmd, který nainstaluje a spustí VSCode. Předpokládá se, že druhá složka (CodingProjects) obsahuje soubory projektu, které chce vývojář upravit pomocí VSCode.
S instalačním skriptem VSCode již namapovaným do kontejneru může LogonCommand na něj odkazovat.
VSCodeInstall.cmd
jak vybarvit text v nesouladu
REM Stáhnout VSCode curl -L 'https://update.code.visualstudio.com/latest/win32-x64-user/stable' - výstup C: users WDAGUtilityAccount Desktop vscode.exe REM Nainstalujte a spusťte VSCode C : users WDAGUtilityAccount Desktop vscode.exe / verysilent /pressmsgboxes
VSCode.wsb
C: SandboxScripts true C: CodingProjects false C: users wdagutilityaccount desktop SandboxScripts VSCodeInstall.cmd
Zdroj: Microsoft