Najnovšie vydanie systému Windows 10 1903 zaviedlo novú funkciu „karanténa“ - Windows Sandbox. Vstavaná karanténa pre systém Windows je založená na schopnostiach komponentu Hyper-V a koncepcii kontajnerov a umožňuje vám vytvoriť dočasný karanténa na spúšťanie nedôveryhodných aplikácií alebo potenciálne nebezpečného softvéru alebo dokonca vírusov. V takom prípade nemôže všetok softvér, ktorý spustíte vo vnútri tejto karantény, ovplyvniť hostiteľský operačný systém. Po zatvorení karantény sa všetky vykonané zmeny neuložia a pri ďalšom spustení karantény sa znova spustí v čistej podobe. V tomto článku sa zameriame na to, ako nainštalovať, nakonfigurovať a používať karanténu v systéme Windows 10..
obsah:
- Ako povoliť karanténu v systéme Windows 10?
- Používanie karantény systému Windows
- Windows Sandbox Configuration Files
- Pieskovisko na Windows 10 Home
Windows Sandbox je malý virtuálny stroj (veľkosť obrázka približne 100 MB). Plná funkčnosť systému Windows 10 v tejto karanténe sa dosahuje použitím existujúcich súborov jadra OS s hostiteľským systémom Windows 10 (tieto súbory nemôžete upravovať ani mazať z karantény). Vďaka tomu virtuálny stroj s karanténou spotrebuje oveľa menej systémových prostriedkov, rýchlo sa načíta a spustí
Na rozdiel od klasického virtuálneho počítača nemusíte pri používaní karantény uchovávať samostatný virtuálny počítač, inštalovať OS a aktualizovať ho. Vzhľadom na to, že kontajner používa binárne a DLL súbory vašej kópie systému Windows (z disku aj načítané do pamäte), veľkosť takéhoto virtuálneho počítača je minimálna (celý virtuálny disk s virtuálnym diskom nemusíte ukladať).
Aby ste mohli používať Windows Sandbox, musí váš počítač spĺňať nasledujúce požiadavky:
- 64-bitová architektúra procesorov (minimálny dvojjadrový procesor);
- Windows 10 1903 (postavený 18362 alebo novší) v znení Pro alebo Enterprise;
- Povolená podpora virtualizácie v BIOS / UEFI (podporovaná takmer všetkými modernými zariadeniami vrátane notebookov a tabletov);
- Najmenej 4 GB pamäte a 1 GB voľného miesta na disku (najlepšie SSD).
Ako povoliť karanténu v systéme Windows 10?
V systéme Windows 10 je karanténa v predvolenom nastavení zakázaná. Ak ju chcete povoliť, otvorte Ovládací panel -> Programy a funkcie -> Zapnite alebo vypnite funkcie systému Windows (alebo spustite príkaz optionalfeatures.exe) a v zozname funkcií systému Windows 10 vyberte Pieskovisko Windows.
Set-VMProcessor -VMName win10vm_name -ExposeVirtualizationExtensions $ true
Vo VMWare vSphere pre VM musíte túto voľbu povoliť Vystavte virtualizáciu pomocou hardvéru hosťujúcemu OS (pozri článok).
Môžete tiež povoliť Sandbox z PowerShell:
Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -Online
Po inštalácii komponentu musíte reštartovať počítač.
Používanie karantény systému Windows
Po reštarte v ponuke Štart vyhľadajte a spustite Windows Sandbox alebo ho spustite príkazom WindowsSandbox.exe.
V dôsledku toho sa otvorí okno karantény a uvidíte pracovnú plochu čistého obrázka Windows 10 s predvolenými nastaveniami. Súčasne sú najnovšie bezpečnostné aktualizácie a ovládače integrované do „pieskového“ OS a nie je potrebné aktualizovať hosťovský systém osobitne, ako je to v prípade tradičného virtuálneho počítača..
Teraz môžete skopírovať akýkoľvek spustiteľný súbor z počítača do karantény pomocou operácií kopírovania a prilepenia alebo presúvania myšou, nainštalovať aplikáciu, spustiť ju a preskúmať v bezpečnom prostredí. Po dokončení experimentov jednoducho zatvorte aplikáciu Windows Sandbox a celý obsah karantény sa odstráni.
Po zatvorení okna karantény sa zobrazí varovanie:
Naozaj chcete zatvoriť Windows Sandbox? Po zatvorení karantény Windows sa všetok jej obsah zahodí a natrvalo sa stratí.
Windows Sandbox Configuration Files
V predvolenom nastavení používa systém Windows Sandbox čistý obraz systému Windows 10. Prostredie Windows Sandbox však môžete prispôsobiť pomocou konfiguračných súborov. Napríklad v karanténe môžete povoliť alebo zakázať virtuálny grafický adaptér, povoliť (zakázať) prístup do siete, pripojiť adresár z hostiteľského OS alebo spustiť skript v čase spustenia. Tieto konfiguračné súbory sa používajú pri načítaní OS do karantény.
Konfiguračný súbor Windows Sandbox je dokument XML s príponou .WSB. V súčasnosti je možné v konfiguračnom súbore Sandbox nakonfigurovať nasledujúce parametre:
- Virtuálne grafické karty (vGPU)
- Prístup do siete
- Zdieľané priečinky
- Skripty (spúšťací skript)
Zoberme si malý príklad konfiguračného súboru Windows Sandbox (pripomienky sú uvedené priamo z textu súboru XML):
štandardné
povolené
C: \ Users \ root \ Downloads
pravdivý
C: \ users \ WDAGUtilityAccount \ Desktop \ Downloads \ SandboxScript \ preconfigure.bat
Pomocou konfiguračného súboru môžete z hostiteľa pripojiť adresár s rôznymi nástrojmi na ladenie a testovanie aplikácií (ProcMon, ProcessExplorer atď.).
Ak chcete spustiť Windows Sandbox pomocou konfiguračného súboru, dvakrát kliknite na súbor .wsb.
Môžete spustiť iba jednu kópiu karantény. Keď sa pokúsite otvoriť druhé karantény, zobrazí sa správa:
Povolená je iba jedna bežiaca inštancia Windows Sandbox.
Pieskovisko na Windows 10 Home
Windows Sandbox nie je oficiálne podporovaný v systéme Windows 10 Home Edition, túto súčasť však môžete povoliť pomocou nasledujúceho skriptu:
dir / b% SystemRoot% \ servicing \ Packages \ * Containers * .mum> sandbox_cont.txt
pre / f %% i v ('findstr / i. sandbox_cont.txt 2 ^> nul') do demo / online / norestart / add-package: "% SystemRoot% \ servicing \ Packages \ %% i"
del sandbox_cont.txt
Dism / online / enable-feature / featurename: Containers-DisposableClientVM / LimitAccess / ALL
prestávka
Ak chcete odstrániť karanténu, použite nasledujúci príkaz PowerShell:
Disable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -Online
Aplikácia Sandbox v systéme Windows 10 teda ponúka pomerne zaujímavé príležitosti na testovanie, overovanie a analýzu fungovania nedôveryhodných alebo nebezpečných spustiteľných súborov. Po zatvorení sa v karanténe žiadne zmeny neuložia. Použitím súčastí aktuálneho obrazu systému Windows 10 sa karanténa načíta pomerne rýchlo a nespotrebúva hostiteľské zdroje, napríklad plnohodnotný virtuálny počítač..
