Sandbox untuk Windows memperkenalkan file konfigurasi sederhana di Windows 10.

Disarankan: Cara mengaktifkan Windows Sandbox (dan apa itu).

Windows Sandbox adalah lingkungan desktop sementara yang terisolasi di mana Anda dapat menjalankan perangkat lunak yang tidak terpercaya tanpa takut paparan berbahaya ke komputer Anda. Windows Sandbox sekarang mendukung file konfigurasi sederhana (ekstensi .wsb) yang menyediakan dukungan skrip minimal. Anda dapat menggunakan fungsi ini di build Windows terbaru dengan nomor 18342.

Perangkat lunak apa pun yang diinstal di kotak pasir Windows tetap hanya di kotak pasir dan tidak dapat memengaruhi perangkat Anda. Segera setelah Anda menutup Windows Sandbox, semua perangkat lunak yang diinstal dengan semua file dan statusnya dihapus secara permanen.

Windows Sandbox memiliki properti berikut:

  • Bagian Windows - Semua yang Anda butuhkan untuk fitur ini hadir secara default di Windows 10 Pro dan Enterprise. Tidak perlu mengunduh VHD!
  • Kebersihan - setiap kali Windows Sandbox dimulai, itu sama bersihnya dengan instalasi baru Windows 10.
  • Sekali pakai - tidak ada yang disimpan di perangkat; semuanya dihapus setelah menutup aplikasi
  • Aman - menggunakan virtualisasi perangkat keras untuk mengisolasi kernel, yang menggunakan Microsoft hypervisor untuk menjalankan kernel terpisah yang mengisolasi Windows Sandbox dari host
  • Efektif - menggunakan penjadwal kernel terintegrasi, manajemen memori pintar dan GPU virtual

File Konfigurasi Windows Sandbox.

File konfigurasi Sandbox dalam format XML dan dikaitkan dengan file sandbox dengan ekstensi .wsb. File konfigurasi memungkinkan pengguna untuk mengontrol aspek-aspek Windows Sandbox berikut:

  1. vGPU (prosesor grafik tervirtualisasi)
  • Mengaktifkan atau menonaktifkan GPU tervirtualisasi. Jika vGPU dinonaktifkan, Sandbox akan menggunakan WARP (rasterizer perangkat lunak).
  1. Jaringan
  • Mengaktifkan atau menonaktifkan akses jaringan ke kotak pasir.
  1. Folder yang Dibagi
  • Bagikan folder dari host (PC Anda) dengan izin baca atau tulis. Harap dicatat bahwa memperluas direktori host dapat memungkinkan malware memengaruhi sistem Anda atau mencuri data..
  1. Jalankan skrip
  • Tindakan otomatis setelah memasuki kotak pasir.

Opsi konfigurasi yang didukung

Vgpu

Mengaktifkan atau menonaktifkan berbagi GPU.

 nilai

Nilai yang didukung:

Nonaktifkan - nonaktifkan dukungan vGPU di kotak pasir. Jika nilai ini disetel, ini akan menggunakan rendering perangkat lunak, yang bisa lebih lambat dari GPU yang divirtualisasi.

Default - ini adalah nilai default untuk dukungan vGPU; ini berarti vGPU diaktifkan.

Catatan: Mengaktifkan GPU tervirtualisasi berpotensi meningkatkan serangan kotak pasir eksternal.

Jaringan

Mengaktifkan atau menonaktifkan jaringan di kotak pasir. Menonaktifkan akses jaringan dapat digunakan untuk mengurangi kemungkinan serangan kotak pasir..

 nilai
Nilai yang didukung:

Nonaktifkan - nonaktifkan jaringan di kotak pasir.

Default - ini adalah nilai default untuk dukungan jaringan. Memungkinkan Anda membuat jaringan dengan membuat sakelar virtual pada host Anda dan menyambungkannya ke lingkungan perangkat lunak yang terisolasi melalui adaptor jaringan virtual.

Catatan: Mengaktifkan koneksi jaringan dapat menyebabkan aplikasi yang tidak dipercaya berakhir di jaringan internal Anda..

Map yang dipetakan

Membungkus daftar objek MappedFolder.

  daftar objek MappedFolder  

Catatan: File dan folder yang dipetakan ke host dapat dikompromikan oleh aplikasi di kotak pasir atau berpotensi mempengaruhi host.

Map yang dipetakan

Menentukan satu folder di komputer host yang akan dibagikan di desktop container. Aplikasi berpasir dijalankan di bawah akun pengguna "WDAGUtilityAccount". Oleh karena itu, semua folder ditampilkan di jalur berikut: C: \ Users \ WDAGUtilityAccount \ Desktop.

Misalnya, "C: \ Test" akan muncul sebagai "C: \ users \ WDAGUtilityAccount \ Desktop \ Test".

   nilai jalur folder host  

HostFolder: menentukan folder pada mesin host untuk dibagikan di kotak pasir. Harap dicatat bahwa folder tersebut harus sudah ada, wadah tidak akan mulai jika folder tidak ditemukan.

Baca Saja: pada nilai benar menyediakan akses hanya baca ke folder bersama dari wadah. Nilai yang didukung: benar / salah.

Catatan: File dan folder yang dipetakan ke host dapat dikompromikan oleh aplikasi di kotak pasir atau berpotensi mempengaruhi host.

Perintah logon

Menentukan satu Perintah yang akan dipanggil secara otomatis setelah memasuki wadah.

   perintah untuk menelepon  

Tim: Jalur ke file atau skrip yang dapat dieksekusi di dalam wadah yang akan dieksekusi setelah masuk.

Catatan: Meskipun perintah yang sangat sederhana akan berfungsi (menjalankan file atau skrip yang dapat dieksekusi), skrip yang lebih kompleks, termasuk beberapa langkah, harus ditempatkan dalam file skrip. File skrip ini dapat dipetakan ke sebuah wadah melalui folder bersama dan kemudian dieksekusi menggunakan arahan LogonCommand.

Buat file konfigurasi

Buat file teks baru dengan ekstensi .wsb dan salin satu contoh ke dalamnya.

Klik dua kali pada file yang dibuat * .wsb Anda membukanya di kotak pasir windows.

Contoh file konfigurasi - 1.

File konfigurasi berikut dapat digunakan untuk dengan mudah menguji file yang diunduh di dalam kotak pasir. Untuk melakukan ini, skrip menonaktifkan jaringan dan vGPU dan, dalam wadah, membatasi folder Unduhan bersama untuk akses hanya-baca. Untuk kenyamanan, perintah login membuka folder unduhan di dalam wadah saat startup.

Unduhs.wsb

 
 Nonaktifkan
 Nonaktifkan
 
 
 C: \ Users \ Public \ Downloads
 benar
 
 
 
 explorer.exe C: \ users \ WDAGUtilityAccount \ Desktop \ Downloads
 
 

Contoh file konfigurasi - 2.

File konfigurasi berikut menginstal kode Visual Studio dalam wadah, yang memerlukan konfigurasi LogonCommand sedikit lebih rumit.

Dua folder ditampilkan dalam wadah; yang pertama (SandboxScripts) berisi VSCodeInstall.cmd, yang menginstal dan menjalankan VSCode. Diasumsikan bahwa folder kedua (CodingProjects) berisi file proyek yang ingin diubah oleh pengembang menggunakan VSCode.

Menggunakan skrip pemasang VSCode yang sudah dipetakan ke sebuah wadah, LogonCommand dapat merujuknya.

VSCodeInstall.cmd

 REM Unduh VSCode 
 curl -L "https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C: \ users \ WDAGUtilityAccount \ Desktop \ vscode.exe
 REM Instal dan jalankan VSCode
 C: \ users \ WDAGUtilityAccount \ Desktop \ vscode.exe / verysilent / suppressmsgboxes
Vscode.wsb
 
 
 
 C: \ SandboxScripts
 benar
 
 
 C: \ CodingProjects
 salah
 
 
 
 C: \ users \ wdagutilityaccount \ desktop \ SandboxScripts \ VSCodeInstall.cmd
 
 
Sekarang Anda hanya perlu mengklik dua kali Text.wsb dan memulai Windows Sandbox. Keuntungan dari ini adalah Anda dapat membuat beberapa konfigurasi untuk bagaimana sandbox harus dijalankan. Sebenarnya cukup praktis. Orang hanya bisa berharap bahwa Microsoft kemudian akan memperluas kemampuan file konfigurasi dari waktu ke waktu.