Windows Sandbox е изолирана, временна работна среда, където можете да стартирате ненадежден софтуер, без да се страхувате от трайно въздействие върху вашия компютър. Windows Sandbox вече има поддръжка за прости конфигурационни файлове (разширение на файл .wsb), които осигуряват минимална поддръжка на скриптове. Можете да използвате тази функция в най-новата версия на Windows Insider build 18342.
Всеки софтуер, инсталиран в Windows Sandbox, остава само в пясъчника и не може да повлияе на вашия хост. След като Windows Sandbox бъде затворен, целият софтуер с всички негови файлове и състояние се изтрива за постоянно.
Windows Sandbox има следните свойства:
когато щракнете върху връзка, винаги я отваряйте в нов раздел
- Част от Windows - всичко необходимо за тази функция се доставя с Windows 10 Pro и Enterprise. Няма нужда да изтегляте VHD!
- Неприкосновен - всеки път, когато Windows Sandbox работи, той е чист като чисто нова инсталация на Windows
- Разполагаем - на устройството не се запазва нищо; всичко се изхвърля, след като затворите приложението
- Сигурно - използва хардуерно базирана виртуализация за изолиране на ядрото, което разчита на хипервизора на Microsoft за стартиране на отделно ядро, което изолира Windows Sandbox от хоста
- Ефективно - използва интегриран планировчик на ядрото, интелигентно управление на паметта и виртуален GPU
Има следните предпоставки за използване на функцията на Windows Sandbox:
Реклама
- Windows 10 Pro или Enterprise build 18305 или по-нова версия
- AMD64 архитектура
- Възможностите за виртуализация са активирани в BIOS
- Най-малко 4 GB RAM (препоръчва се 8 GB)
- Най-малко 1 GB свободно дисково пространство (препоръчва се SSD)
- Поне 2 ядра на процесора (препоръчва се 4 ядра с хиперпотоци)
Можете да научите как да активирате и използвате Windows Sandbox ТУК .
Файлове за конфигуриране на Windows Sandbox
Конфигурационните файлове на Sandbox са форматирани като XML и са свързани с Windows Sandbox чрез разширението на файла .wsb. Конфигурационен файл позволява на потребителя да контролира следните аспекти на Windows Sandbox:
- vGPU (виртуализиран графичен процесор)
- Активирайте или деактивирайте виртуализирания графичен процесор. Ако vGPU е деактивиран, Sandbox ще използва WARP (софтуерен растеризатор).
- Работа в мрежа
- Активирайте или деактивирайте мрежовия достъп до пясъчника.
- Споделени папки
- Споделяйте папки от хоста с разрешения за четене или запис. Обърнете внимание, че излагането на хост директории може да позволи на злонамерен софтуер да повлияе на вашата система или да открадне данни.
- Стартов скрипт
- Действие за влизане в пясъчника.
Чрез двукратно щракване върху файл * .wsb ще го отворите в Windows Sandboxю
Поддържани опции за конфигуриране
VGpu
Активира или деактивира споделянето на GPU.
стойност
Поддържани стойности:
- Деактивирайте - деактивира поддръжката на vGPU в пясъчника. Ако тази стойност е зададена, Windows Sandbox ще използва софтуерно изобразяване, което може да бъде по-бавно от виртуализирания графичен процесор.
- По подразбиране - това е стойността по подразбиране за поддръжка на vGPU; в момента това означава, че vGPU е активиран.
Забележка: Активирането на виртуализиран GPU може потенциално да увеличи повърхността за атака на пясъчника.
Работа в мрежа
Активира или деактивира мрежата в пясъчника. Деактивирането на мрежовия достъп може да се използва за намаляване на повърхността за атака, изложена от пясъчника.
как да сменя профила на Instagram снимка
стойност
Поддържани стойности:
- Деактивирайте Деактивира мрежата в пясъчника -.
- По подразбиране - това е стойността по подразбиране за мрежова поддръжка. Това дава възможност за работа в мрежа чрез създаване на виртуален превключвател на хоста и свързва пясъчника с него чрез виртуален NIC.
Забележка: Разрешаването на работа в мрежа може да изложи ненадеждни приложения на вашата вътрешна мрежа.
MappedFolders
Опакова списък с обекти на MappedFolder.
списък на обектите MappedFolder
Забележка: Файловете и папките, картографирани от хоста, могат да бъдат компрометирани от приложения в пясъчника или потенциално да повлияят на хоста.
MappedFolder
Задава една папка на хост машината, която ще бъде споделена на работния плот на контейнера. Приложенията в пясъчника се изпълняват под потребителския акаунт “WDAGUtilityAccount”. Следователно всички папки се картографират по следния път: C: Users WDAGUtilityAccount Desktop.
Напр. „C: Test“ ще бъде картографиран като „C: users WDAGUtilityAccount Desktop Test“.
път към стойността на хост папката
HostFolder : Указва папката на хост машината, която да се споделя в пясъчника. Обърнете внимание, че папката вече трябва да съществува хостът или контейнерът няма да може да се стартира, ако папката не бъде намерена.
Само за четене : Ако е вярно, налага достъп само за четене до споделената папка от контейнера. Поддържани стойности: true / false.
Забележка: Файловете и папките, картографирани от хоста, могат да бъдат компрометирани от приложения в пясъчника или потенциално да повлияят на хоста.
LogonCommand
Задава една команда, която ще бъде извикана автоматично след влизане на контейнера.
команда за извикване
Команда: Път до изпълним файл или скрипт вътре в контейнера, който ще бъде изпълнен след влизане.
Забележка: Въпреки че много прости команди ще работят (стартиране на изпълним файл или скрипт), по-сложни сценарии, включващи множество стъпки, трябва да бъдат поставени във файл със скрипт. Този скриптов файл може да бъде картографиран в контейнера чрез споделена папка и след това да бъде изпълнен чрез директивата LogonCommand.
Примери за конфигуриране
Пример 1
Следният конфигурационен файл може да се използва за лесно тестване на изтеглени файлове вътре в пясъчника. За да постигне това, скриптът деактивира работата в мрежа и vGPU и ограничава папката за споделени изтегляния до достъп само за четене в контейнера. За удобство командата за влизане отваря папката за изтегляния вътре в контейнера, когато е стартирана.
Изтегляния.wsb
Disable Disable C: Users Public Downloads true explorer.exe C: users WDAGUtilityAccount Desktop Downloads
Пример 2
Следният конфигурационен файл инсталира Visual Studio Code в контейнера, което изисква малко по-сложна настройка на LogonCommand.
Две папки са картографирани в контейнера; първият (SandboxScripts) съдържа VSCodeInstall.cmd, който ще инсталира и стартира VSCode. Предполага се, че втората папка (CodingProjects) съдържа проектни файлове, които разработчикът иска да модифицира с помощта на VSCode.
С скрипта за инсталиране на VSCode, който вече е картографиран в контейнера, LogonCommand може да го препраща.
VSCodeInstall.cmd
как да премахна защитата от запис на usb флаш устройство
REM Изтегляне на VSCode curl -L 'https://update.code.visualstudio.com/latest/win32-x64-user/stable' --output C: users WDAGUtilityAccount Desktop vscode.exe REM Инсталирайте и стартирайте VSCode C : users WDAGUtilityAccount Desktop vscode.exe / verysilent / suppressmsgboxes
VSCode.wsb
C: SandboxScripts true C: CodingProjects false C: users wdagutilityaccount desktop SandboxScripts VSCodeInstall.cmd
Източник: Microsoft