Windows Sandbox представляет простые файлы конфигурации в Windows 10

Windows Sandbox – это изолированная временная среда рабочего стола, в которой вы можете запускать ненадежное программное обеспечение, не опасаясь длительного воздействия на ваш компьютер. Windows Sandbox теперь поддерживает простые файлы конфигурации (расширение файла .wsb), которые обеспечивают минимальную поддержку сценариев. Эту функцию можно использовать в последней сборке Windows Insider 18342.


Любое программное обеспечение, установленное в Windows Sandbox, остается только в песочнице и не может повлиять на ваш хост. После закрытия Windows Sandbox все программное обеспечение со всеми его файлами и состоянием удаляется безвозвратно.

Windows Sandbox имеет следующие свойства:

  • Часть Windows – все необходимое для этой функции входит в состав Windows 10 Pro и Enterprise. Нет необходимости загружать VHD!
  • Pristine – каждый раз, когда запускается Windows Sandbox, он такой же чистый, как новая установка Windows
  • Одноразовый – на устройстве ничего не сохраняется; все удаляется после закрытия приложения.
  • Secure – использует аппаратную виртуализацию для изоляции ядра, которая использует гипервизор Microsoft для запуска отдельного ядра, которое изолирует Песочница Windows с хоста
  • Efficient – использует встроенный планировщик ядра, интеллектуальное управление памятью и виртуальный графический процессор.

Существуют следующие предварительные условия для использования функции Windows Sandbox:

  • Windows 10 Pro или Enterprise, сборка 18305 или новее.
  • Архитектура AMD64
  • В BIOS включены возможности виртуализации
  • Не менее 4 ГБ ОЗУ (рекомендуется 8 ГБ)
  • Не менее 1 ГБ свободного дискового пространства (рекомендуется SSD )
  • Как минимум 2 ядра ЦП (рекомендуется 4 ядра с гиперпоточностью)

Вы можете узнать, как включить и использовать Windows Sandbox ЗДЕСЬ.

Файлы конфигурации песочницы Windows

Файлы конфигурации песочницы отформатированы как XML и связаны с h Windows Sandbox через расширение файла .wsb. Файл конфигурации позволяет пользователю управлять следующими аспектами песочницы Windows:

  1. vGPU (виртуализированный графический процессор)
    • Включение или отключение виртуализированного графического процессора. Если vGPU отключен, Sandbox будет использовать WARP (программный растеризатор).
  2. Сеть
    • Включение или отключение сетевого доступа к песочнице.
  3. Общие папки
    • Совместное использование папок с хоста с разрешениями на чтение или запись. Обратите внимание, что раскрытие каталогов хоста может позволить вредоносному ПО повлиять на вашу систему или украсть данные.
  4. Сценарий запуска
    • Действие входа в песочницу.

Двойным щелчком по *. wsb, вы откроете его в Windows Sandbox.

Поддерживаемые параметры конфигурации

VGpu

Включает или отключает совместное использование графического процессора.

  value  

Поддерживаемые значения:

  • Disable – отключает поддержку vGPU в песочнице. Если установлено это значение, Windows Sandbox будет использовать программный рендеринг, который может быть медленнее, чем виртуализированный графический процессор.
  • Default – это значение по умолчанию для поддержки vGPU; в настоящее время это означает, что vGPU включен.

Примечание. Включение виртуализированного графического процессора потенциально может увеличить поверхность атаки песочницы.

Сеть

Включает или отключает сеть в песочнице. Отключение доступа к сети может быть использовано для уменьшения уязвимости для атаки песочницы.

  value  

Поддерживаемые значения:

  • Отключить – отключает сеть в песочнице.
  • По умолчанию – это значение по умолчанию значение для сетевой поддержки. Это позволяет организовать сеть путем создания виртуального коммутатора на хосте и подключения к нему песочницы через виртуальную сетевую карту.

Примечание. Включение сети может открыть доступ ненадежным приложениям к вашей внутренней сети.

MappedFolders

Оборачивает список объектов MappedFolder.

  список объектов MappedFolder   

Примечание. Файлы и папки, сопоставленные с хоста, могут быть скомпрометированы приложениями в песочнице или потенциально могут повлиять на хост.

MappedFolder

Задает одну папку на хост-компьютере, к которой будет предоставлен общий доступ на рабочем столе контейнера. Приложения в песочнице запускаются под учетной записью пользователя «WDAGUtilityAccount». Следовательно, все папки отображаются по следующему пути: C: Users WDAGUtilityAccount Desktop.

Например. «C: Test» будет отображаться как «C: users WDAGUtilityAccount Desktop Test».

   путь к папке хоста    value   

HostFolder : указывает папку на главном компьютере, которую нужно предоставить в изолированной программной среде. Обратите внимание, что папка уже должна существовать на хосте, иначе контейнер не запустится, если папка не будет найдена.

ReadOnly : если true, принудительный доступ только для чтения доступ к общей папке из контейнера. Поддерживаемые значения: true/false.

Примечание. Файлы и папки, сопоставленные с хоста, могут быть скомпрометированы приложениями в песочнице или потенциально повлиять на хост.

LogonCommand

Задает одну команду, которая будет вызываться автоматически после входа контейнера в систему..

   вызываемая команда   

Команда: путь к исполняемый файл или скрипт внутри контейнера, который будет выполнен после входа в систему.

Примечание. Хотя очень простые команды будут работать (запуск исполняемого файла или скрипта), более сложные сценарии, включающие несколько шагов, должны быть помещены в файл сценария. Этот файл сценария можно сопоставить с контейнером через общую папку, а затем выполнить с помощью директивы LogonCommand.

Примеры конфигурации

Пример 1

Следующий файл конфигурации можно использовать для простого тестирования загруженных файлов внутри песочницы. Для этого сценарий отключает сеть и vGPU, а также ограничивает доступ к общей папке загрузок только для чтения в контейнере. Для удобства команда входа в систему при запуске открывает папку загрузок внутри контейнера.

Downloads.wsb

   Отключить   Отключить     C:  Users  Public  Downloads   true      explorer.exe C:  users  WDAGUtilityAccount  Desktop  Downloads    

Пример 2

Следующий файл конфигурации устанавливает код Visual Studio в контейнер, что требует немного более сложной настройки LogonCommand.

Две папки отображаются в контейнере; первый (SandboxScripts) содержит VSCodeInstall.cmd, который установит и запустит VSCode. Предполагается, что вторая папка (CodingProjects) содержит файлы проекта, которые разработчик хочет изменить с помощью VSCode.

Если сценарий установщика VSCode уже сопоставлен с контейнером, LogonCommand может ссылаться на него.

VSCodeInstall.cmd

 REM Загрузить VSCodecurl -L "https://update.code.visualstudio.com/latest/win32-x64  -user/stable "--output C:  users  WDAGUtilityAccount  Desktop  vscode.exe REM Установить и запустить VSCodeC:  users  WDAGUtilityAccount  Desktop  vscode.exe/verysilent/suppressmsgboxes 

VSCode.wsb

     C:  SandboxScripts   true     C:  CodingProjects   false     C:  users  wdagutilityaccount  Desktop  VdagutilityboxScount  Desktop  Desktop   .cmd    

Источник: Microsoft

Оцените статью
digitdocom.ru
Добавить комментарий