Sandbox pre Windows predstavuje jednoduché konfiguračné súbory vo Windows 10.

Odporúčané: Ako povoliť Windows Sandbox (a čo to je).

Windows Sandbox je izolované dočasné dočasné pracovné prostredie, v ktorom môžete spustiť nedôveryhodný softvér bez obáv zo škodlivého vystavenia vášmu počítaču. Windows Sandbox teraz podporuje jednoduché konfiguračné súbory (prípona .wsb), ktoré poskytujú minimálnu podporu skriptovania. Túto funkciu môžete použiť v najnovšej verzii systému Windows s číslom 18342.

Akýkoľvek softvér nainštalovaný v karanténe systému Windows zostáva iba v karanténe a nemôže ovplyvniť vaše zariadenie. Po zatvorení okna Windows Sandbox sa všetok nainštalovaný softvér so všetkými jeho súbormi a stavom natrvalo odstráni.

Karanténa systému Windows má nasledujúce vlastnosti:

  • Windows časť - Všetko, čo potrebujete pre túto funkciu, je predvolene k dispozícii v systéme Windows 10 Pro a Enterprise. Nie je potrebné sťahovať VHD!
  • čistota - Zakaždým, keď sa spustí karanténa systému Windows, je rovnako čistý ako nová inštalácia systému Windows 10.
  • jednorazový - na zariadení nie je nič uložené; po ukončení aplikácie sa všetko odstráni
  • trezor - používa hardvérovú virtualizáciu na izoláciu jadra, ktorá používa hypervisora ​​spoločnosti Microsoft na spustenie samostatného jadra, ktoré izoluje Windows Sandbox od hostiteľa
  • efektívna - používa integrovaný plánovač jadra, inteligentnú správu pamäte a virtuálny GPU

Windows Sandbox Configuration Files.

Konfiguračné súbory karantény sú vo formáte XML a sú spojené so súborom karantény s príponou .wsb. Konfiguračný súbor umožňuje užívateľovi ovládať nasledujúce aspekty karantény systému Windows:

  1. vGPU (virtualizovaný grafický procesor)
  • Povolí alebo zakáže virtualizovanú grafickú jednotku. Ak je vGPU vypnutý, Sandbox použije WARP (softvérový rasterizer).
  1. sieť
  • Povolí alebo zakáže prístup k sieti do karantény.
  1. Zdieľané priečinky
  • Zdieľajte priečinky z hostiteľa (počítača) s oprávnením na čítanie alebo zápis. Upozorňujeme, že rozšírenie hostiteľských adresárov môže umožniť škodlivému softvéru ovplyvniť váš systém alebo ukradnúť údaje..
  1. Spustenie skriptu
  • Automatická akcia po vstupe do karantény.

Podporované možnosti konfigurácie

VGpu

Povolí alebo zakáže zdieľanie GPU.

 hodnota

Podporované hodnoty:

zakázať - vypnite podporu vGPU v karanténe. Ak je táto hodnota nastavená, použije vykreslenie softvéru, ktoré môže byť pomalšie ako virtualizovaná GPU.

štandardné - toto je predvolená hodnota pre podporu vGPU; to znamená, že vGPU je povolený.

Poznámka: Povolenie virtualizovaného GPU by mohlo potenciálne zvýšiť útok vonkajšej karantény.

sieť

Povolí alebo zakáže sieť v karanténe. Zakázanie prístupu k sieti sa môže použiť na zníženie pravdepodobnosti útoku v karanténe..

 hodnota
Podporované hodnoty:

zakázať - zakážte sieť v karanténe.

štandardné - Toto je predvolená hodnota pre podporu siete. Umožňuje vytvárať siete vytvorením virtuálneho prepínača na vašom hostiteľovi a pripojiť sa k nemu ako izolované softvérové ​​prostredie pomocou adaptéra virtuálnej siete.

Poznámka: Povolenie sieťových pripojení môže spôsobiť skončenie nedôveryhodných aplikácií vo vašej vnútornej sieti..

MappedFolders

Zalomí zoznam objektov MappedFolder.

  zoznam objektov MappedFolder

Poznámka: Súbory a priečinky spojené s hostiteľom môžu byť ohrozené aplikáciami v karanténe alebo potenciálne ovplyvniť hostiteľa.

MappedFolder

Určuje jeden priečinok v hostiteľskom počítači, ktorý bude zdieľaný na pracovnej ploche kontajnera. Aplikácie v karanténe sa spúšťajú pod používateľským účtom „WDAGUtilityAccount“. Preto sú všetky priečinky zobrazené v nasledujúcej ceste: C: \ Users \ WDAGUtilityAccount \ Desktop.

Napríklad „C: \ Test“ sa zobrazí ako „C: \ users \ WDAGUtilityAccount \ Desktop \ Test“.

   hodnota cesty k hostiteľskej zložke

HostFolder: určuje priečinok na hostiteľskom počítači, ktorý sa má zdieľať v karanténe. Upozorňujeme, že priečinok už musí existovať, kontajner sa nespustí, ak sa priečinok nenájde.

ReadOnly: na hodnotu pravdivý poskytuje prístup k zdieľanému priečinku z kontajnera len na čítanie. Podporované hodnoty: true / false.

Poznámka: Súbory a priečinky spojené s hostiteľom môžu byť ohrozené aplikáciami v karanténe alebo potenciálne ovplyvniť hostiteľa.

LogonCommand

Určuje jeden príkaz, ktorý sa bude volať automaticky po vstupe do kontajnera.

   príkaz na volanie

team: Cesta k spustiteľnému súboru alebo skriptu vo vnútri kontajnera, ktorý sa vykoná po prihlásení.

Poznámka: Aj keď budú fungovať veľmi jednoduché príkazy (spustenie spustiteľného súboru alebo skriptu), do skriptového súboru by sa mali umiestniť zložitejšie skripty vrátane niekoľkých krokov. Tento súbor skriptu je možné mapovať do kontajnera prostredníctvom zdieľaného priečinka a potom spustiť pomocou smernice LogonCommand.

Vytvorte konfiguračný súbor

Vytvorte nový textový súbor s príponou .WSB a skopírujte doň jeden príklad.

Dvakrát kliknite na vytvorený súbor * .wsb otvoríte ho v karanténe systému Windows.

Príklad konfiguračného súboru - 1.

Nasledujúci konfiguračný súbor sa dá použiť na ľahké testovanie stiahnutých súborov vo vnútri karantény. Skript na tento účel zakáže sieť a vGPU a v kontajneri obmedzí zdieľaný priečinok Stiahnuté súbory na prístup len na čítanie. Príkaz login pre zjednodušenie otvorí priečinok sťahovania vo vnútri kontajnera pri štarte.

Downloads.wsb

 
 zakázať
 zakázať
 
 
 C: \ Users \ Public \ Downloads
 pravdivý
 
 
 
 explorer.exe C: \ users \ WDAGUtilityAccount \ Desktop \ Downloads

Príklad konfiguračného súboru - 2.

Nasledujúci konfiguračný súbor nainštaluje kód Visual Studio do kontajnera, čo vyžaduje trochu komplikovanejšiu konfiguráciu LogonCommand.

V kontajneri sa zobrazia dva priečinky; prvý (SandboxScripts) obsahuje VSCodeInstall.cmd, ktorý nainštaluje a spustí VSCode. Predpokladá sa, že druhý priečinok (CodingProjects) obsahuje projektové súbory, ktoré chce vývojár zmeniť pomocou VSCode.

Pomocou inštalačného skriptu VSCode, ktorý je už mapovaný na kontajner, ho LogonCommand môže odkázať.

VSCodeInstall.cmd

 REM Stiahnite si VSCode 
 curl -L "https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C: \ users \ WDAGUtilityAccount \ Desktop \ vscode.exe
 REM Nainštalujte a spustite VSCode
 C: \ users \ WDAGUtilityAccount \ Desktop \ vscode.exe / verysilent / suppressmsgboxes
VSCode.wsb 
 
 
 
 C: \ SandboxScripts
 pravdivý
 
 
 C: \ CodingProjects
 nepravdivý
 
 
 
 C: \ users \ wdagutilityaccount \ desktop \ SandboxScripts \ VSCodeInstall.cmd
Teraz stačí dvakrát kliknúť na Text.wsb a spustiť Windows Sandbox. Výhodou je, že môžete vytvoriť niekoľko konfigurácií, ako sa má karanténa spúšťať. Vlastne celkom praktické. Dá sa len dúfať, že spoločnosť Microsoft postupom času rozšíri možnosti konfiguračného súboru.
Kategórie