Вверх

Как настроить песочницу Windows

4 февраля 2021 |

Как настроить песочницу Windows

windows sandbox running

Новая функция песочницы Windows 10 позволяет безопасно тестировать программы и файлы, загруженные из Интернета, запуская их в защищенном контейнере. Ее легко использовать, но ее настройки хранятся в текстовом файле конфигурации.

Песочница Windows проста в использовании, если она у вас есть

Эта функция является частью Windows 10 May 2019 Update. После установки обновления вы также должны будете использовать выпуски Windows 10 Professional, Enterprise или Education. Его нет в Windows 10 Домашняя. Но если она доступна в вашей системе, вы можете легко активировать функцию песочницы, а затем запустить ее из меню «Пуск».

Запустится песочница, сделайте копию вашей текущей операционной системы Windows, отключите доступ к вашей личные папки и предоставит вам чистый рабочий стол Windows с доступом в Интернет. До того, как Microsoft добавила этот файл конфигурации, вы вообще не могли настраивать Sandbox. Если вам не нужен доступ в Интернет, вам обычно приходилось отключать его сразу после запуска. Если вам нужен был доступ к файлам в вашей хост-системе, вам нужно было скопировать и вставить их в песочницу. И, если вы хотели установить определенные сторонние программы, вам нужно было установить их после запуска Sandbox.

Поскольку Windows Sandbox полностью удаляет свой экземпляр при его закрытии, вам приходилось проходить этот процесс настройки каждый раз, когда вы запуск. С одной стороны, это делает систему более безопасной. Если что-то пойдет не так, закройте песочницу, и все будет удалено. С другой стороны, если вам нужно регулярно вносить изменения, необходимость делать это при каждом запуске быстро расстраивает.

Чтобы решить эту проблему, Microsoft представила функцию конфигурации для Windows Sandbox. Используя файлы XML, вы можете запустить Windows Sandbox с заданными параметрами. Вы можете ужесточить или ослабить ограничения песочницы. Например, вы можете отключить подключение к Интернету, настроить общие папки с вашей основной копией Windows 10 или запустить сценарий для установки приложений. В первом выпуске функции песочницы параметры немного ограничены, но Microsoft, вероятно, добавит больше в будущих обновлениях Windows 10.

Как настроить песочницу Windows Windows Sandbox Explorer and Host system Explorer showing a shared file У вашей изолированной копии Windows 10 может быть доступ к общая папка в операционной системе вашего хоста.

В этом руководстве предполагается, что вы уже настроили Sandbox для общего использования. Если вы еще этого не сделали, вам нужно сначала включить его в диалоговом окне «Функции Windows».

Для начала вам понадобится Блокнот или ваш любимый текстовый редактор — нам нравится Notepad ++ — и пустое поле. новый файл. Вы создадите XML-файл для конфигурации. Хотя знакомство с языком кодирования XML полезно, в этом нет необходимости. Когда у вас будет файл, вы сохраните его с расширением.wsb (например, Windows Sandbox). Двойной щелчок по файлу запустит Sandbox с указанной конфигурацией.

Как объяснила Microsoft, у вас есть несколько вариантов на выбор при настройке Sandbox. Вы можете включить или отключить vGPU (виртуализированный графический процессор), включить или выключить сеть, указать общую папку хоста, установить разрешения на чтение / запись для этой папки или запустить сценарий при запуске.

Используя этот файл конфигурации, вы можете отключить виртуализированный графический процессор (он включен по умолчанию), отключить сеть (по умолчанию он включен), указать общую папку хоста (изолированные приложения не имеют доступа ни к каким по умолчанию), установите для этой папки разрешения на чтение / запись и / или запустите сценарий при запуске

Сначала откройте Блокнот или ваш любимый текстовый редактор и начните с нового текстового файла. Добавьте следующий текст:

& lt, Configuration & gt, & lt, / Configuration & gt,

Все добавляемые параметры должны находиться между этими двумя параметрами. Вы можете добавить только один вариант или их все — необязательно включать все по отдельности. Если вы не укажете параметр, будет использоваться значение по умолчанию.

Notepad showing

Как отключить виртуальный графический процессор или сеть

Как отмечает Microsoft, включение виртуального графического процессора или сети увеличивает возможности, которые вредоносное программное обеспечение может использовать для выхода из песочница. Поэтому, если вы тестируете что-то, что вас особенно беспокоит, было бы разумно отключить их.

Чтобы отключить виртуальный графический процессор, который включен по умолчанию, добавьте следующий текст в файл конфигурации.

& lt, VGpu & gt, Disable & lt, / VGpu & gt,

adding command to disable virtual gpu

Чтобы отключить доступ к сети, который включен по умолчанию, добавьте следующий текст.

& lt, Networking & gt, Отключить & lt, / Networking & gt,

adding command to disable networking

Как сопоставить папку

Чтобы сопоставить папку, вам нужно точно указать, какую папку вы хотите предоставить, а затем указать, будет ли папка должно быть только для чтения или нет.

Сопоставление папки выглядит так:

& lt, MappedFolders & gt, & lt, MappedFolder & gt, & lt, HostFolder & gt, C: UsersPublicDownloads & lt, / HostFolder & gt, & lt, ReadOnly & gt, MappedOnly & lt, MappedOnly & gt, MappedOnly & lt , / MappedFolders & gt,

HostFolder — это место, где вы указываете конкретную папку, которой хотите поделиться. В приведенном выше примере папка Public Download, найденная в системах Windows, является общей. ReadOnly устанавливает, может ли песочница писать в папку или нет. Установите значение true, чтобы сделать папку доступной только для чтения, или false, чтобы сделать ее доступной для записи.

Просто имейте в виду, что вы, по сути, представляете риск для своей системы, связывая папку между вашим хостом и Windows Sandbox. Предоставление доступа для записи Sandbox увеличивает этот риск. Если вы тестируете что-то, что, по вашему мнению, может быть вредоносным, вам не следует использовать этот параметр.

Как запустить сценарий при запуске

Наконец, вы можете запускать созданные пользователем сценарии или базовые команды. Например, вы можете заставить песочницу открывать сопоставленную папку при запуске. Создание этого файла будет выглядеть следующим образом:

& lt, MappedFolders & gt, & lt, MappedFolder & gt, & lt, HostFolder & gt, C: UsersPublicDownloads & lt, / HostFolder & gt, & lt, ReadOnly & gt, true & lt, & lt, MappedOnly & gt, true & lt, / MappedOnly & gt, / MappedOnly & gt, , LogonCommand & gt, & lt, Command & gt, explorer.exe C: usersWDAGUtilityAccountDesktopDownloads & lt, / Command & gt, & lt, / LogonCommand & gt,

WDAGUtilityAccount является пользователем по умолчанию для Windows Sandbox, поэтому вы всегда будете ссылаться на него при открытии папок или файлов как части команды.

К сожалению, , в почти готовой сборке Windows 10 May 2019 Update опция LogonCommand, похоже, не работает должным образом. Он вообще ничего не делал, даже когда мы использовали пример из документации Microsoft.Microsoft, скорее всего, скоро исправит эту ошибку.

notepad file showing logon command

Как запустить песочницу с вашими настройками

После того, как вы закончите, сохраните файл и дайте ему расширение .wsb . Например, если ваш текстовый редактор сохраняет его как Sandbox.txt, сохраните его как Sandbox.wsb. Чтобы запустить Windows Sandbox с вашими настройками, дважды щелкните файл .wsb. Вы можете разместить его на рабочем столе или создать для него ярлык в меню «Пуск».

configuration files in file explorer

Для вашего удобства вы можете загрузить этот файл DisabledNetwork, чтобы сэкономить несколько шагов. У файла есть расширение txt, переименуйте его с расширением .wsb, и вы готовы к запуску Windows Sandbox.

Как настроить песочницу Windows


Напишите пару строк: