Пісочниця для Windows представляє прості файли конфігурації в Windows 10.

Рекомендуємо: Як включити Пісочницю Windows (і що це таке).

Пісочниця Windows - це ізольована тимчасова середу робочого столу, в якій ви можете запускати ненадійне програмне забезпечення, не побоюючись шкідливого впливу на ваш комп'ютер. Windows Sandbox тепер підтримує прості файли конфігурації (розширення .wsb), які забезпечують мінімальну підтримку сценаріїв. Ви можете використовувати цю функцію в останній збірці Windows з номером 18342.

Будь-яке програмне забезпечення, встановлене в "пісочниці" Windows, залишається тільки в "пісочниці" і не може вплинути на ваш пристрій. Як тільки ви закриєте Пісочницю Windows, все встановлене програмне забезпечення з усіма його файлами і станом видаляється назавжди.

Пісочниця Windows має такі властивості:

  • частина Windows - все необхідне для цієї функції за замовчуванням присутній в Windows 10 Pro і Enterprise. Не потрібно завантажувати VHD!
  • Чистота - кожен раз, коли запускається Пісочницю Windows, вона так само чиста, як і нова установка Windows 10.
  • одноразова - на пристрої нічого не зберігається; все віддаляється після закриття програми
  • безпечна - використовує апаратну віртуалізацію для ізоляції ядра, яка використовує гіпервізор Microsoft для запуску окремого ядра, яке ізолює Windows Sandbox від хоста
  • ефективна - використовує вбудований планувальник ядра, інтелектуальне управління пам'яттю і віртуальний графічний процесор

Файли конфігурації Пісочниці Windows.

Файли конфігурації пісочниці мають формат XML і пов'язані з пісочницею файлом з розширенням .wsb. Файл конфігурації дозволяє користувачеві контролювати наступні аспекти Пісочниці Windows:

  1. vGPU (віртуалізувати графічний процесор)
  • Увімкніть або вимкніть віртуалізувати графічний процесор. Якщо vGPU відключений, Sandbox буде використовувати WARP (програмний растеризатор).
  1. Мережа
  • Включити або відключити мережевий доступ до пісочниці.
  1. загальні папки
  • Діліться папками з хоста (ваш ПК) з дозволами на читання або запис. Зверніть увагу, що розкриття директорій хоста може дозволити шкідливому програмному забезпеченню вплинути на вашу систему або вкрасти дані.
  1. запуск скрипта
  • Автоматична дія після входу в пісочницю.

Підтримувані параметри конфігурації

VGpu

Включає або відключає спільне використання GPU.

 value

Підтримувані значення:

Disable - відключити підтримку vGPU в пісочниці. Якщо це значення встановлено, буде використовувати програмний рендеринг, який може бути повільніше, ніж віртуалізувати графічний процесор.

Default - це значення за замовчуванням для підтримки vGPU; це означає, що vGPU включений.

Примітка: Включення віртуалізованого графічного процесора може потенційно збільшити зовнішню атаку пісочниці.

Мережа

Включає або відключає мережу в пісочниці. Відключення доступу до мережі може використовуватися, щоб зменшити ймовірність атаки для пісочниці.

 value
Підтримувані значення:

Disable - відключити мережу в пісочниці.

Default - це значення за замовчуванням для підтримки мережі. Дозволяє створювати мережі шляхом створення віртуального комутатора на вашому хості і підключати до нього ізольовану програмне середовище через віртуальний мережевий адаптер.

Примітка: Включення здійснювати підключення до мережі може призвести до того, що ненадійні програми виявляться у вашій внутрішній мережі.

MappedFolders

Обертає список об'єктів MappedFolder.

  list of MappedFolder objects  

Примітка: Файли і папки, зіставлені з хостом, можуть бути скомпрометовані додатками в ізольованій програмному середовищі або потенційно вплинути на хост.

MappedFolder

Задає одну папку на хост-комп'ютері, яка буде використовуватися спільно на робочому столі контейнера. Додатки в Пісочниці запускаються під обліковим записом користувача "WDAGUtilityAccount". Отже, все папки відображаються за наступним шляхом: C: \ Users \ WDAGUtilityAccount \ Desktop.

Наприклад, "C: \ Test" буде відображатися як "C: \ users \ WDAGUtilityAccount \ Desktop \ Test".

   шлях до папки хоста значення  

HostFolder: вказує папку на хост-машині для спільного використання в пісочниці. Зверніть увагу, що папка повинна вже існувати, контейнер не запуститься, якщо папка не знайдено.

ReadOnly: при значенні true забезпечує доступ тільки для читання до спільної папки з контейнера. Підтримувані значення: true / false.

Примітка: Файли і папки, зіставлені з хостом, можуть бути скомпрометовані додатками в ізольованій програмному середовищі або потенційно вплинути на хост.

LogonCommand

Вказує одну Команду, яка буде викликатися автоматично після входу в контейнер.

   команда для виклику  

команда: Шлях до виконуваного файлу або скрипту всередині контейнера, який буде виконаний після входу в систему.

Примітка: Хоча дуже прості команди будуть працювати (запуск виконуваного файлу або скрипта), більш складні сценарії, що включають кілька кроків, повинні бути поміщені в файл скрипта. Цей файл сценарію може бути зіставлений з контейнером через загальну папку, а потім виконаний за допомогою директиви LogonCommand.

Створити файл конфігурації

Створіть новий текстовий файл з розширенням .wsb і скопіюйте в нього один із прикладів.

Подвійним кліком по створеному файлу * .wsb ви відкриєте його в пісочниці Windows.

Приклад файлу конфігурації - 1.

Наступний файл конфігурації можна використовувати для простого тестування завантажених файлів всередині пісочниці. Для цього сценарій відключає роботу мережі і vGPU а також в контейнері обмежує загальну папку "Завантаження" доступом тільки для читання. Для зручності команда входу в систему відкриває папку завантажень всередині контейнера при запуску.

Downloads.wsb

 
 Disable
 Disable
 
 
 C: \ Users \ Public \ Downloads
 true
 
 
 
 explorer.exe C: \ users \ WDAGUtilityAccount \ Desktop \ Downloads
 
 

Приклад файлу конфігурації - 2.

Наступний файл конфігурації встановлює код Visual Studio в контейнер, що вимагає трохи більше складної настройки LogonCommand.

Дві папки відображаються в контейнері; перший (SandboxScripts) містить VSCodeInstall.cmd, який встановить і запустить VSCode. Передбачається, що друга папка (CodingProjects) містить файли проекту, які розробник хоче змінити за допомогою VSCode.

За допомогою сценарію установника VSCode, вже сопоставленного з контейнером, LogonCommand може посилатися на нього.

VSCodeInstall.cmd

 REM Download VSCode 
 curl -L "https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C: \ users \ WDAGUtilityAccount \ Desktop \ vscode.exe
 REM Install and run VSCode
 C: \ users \ WDAGUtilityAccount \ Desktop \ vscode.exe / verysilent / suppressmsgboxes
VSCode.wsb
 
 
 
 C: \ SandboxScripts
 true
 
 
 C: \ CodingProjects
 false
 
 
 
 C: \ users \ wdagutilityaccount \ desktop \ SandboxScripts \ VSCodeInstall.cmd
 
 
Тепер вам просто потрібно двічі клікнути Text.wsb і запустити Windows Sandbox. Перевага цього полягає в тому, що ви можете створити кілька конфігурацій для того, як пісочниця повинна бути запущена. Насправді досить практично. Можна тільки сподіватися, що Microsoft потім з часом розширить можливості файлу конфігурації.