Новая функция песочницы в Windows 10 позволяет безопасно тестировать программы и файлы, загруженные из Интернета, запуская их в защищенном контейнере. Он прост в использовании, но его настройки скрыты в текстовом файле конфигурации.
Песочница Windows проста в использовании, если она у вас есть
Эта функция является частью обновления Windows 10 за май 2019 года. После установки обновления вам также придется использовать выпуски Windows 10 Professional, Enterprise или Education. Оно недоступно в Windows 10 Home. Но, если она доступна в вашей системе, вы можете легко активировать функцию «Песочница» и затем запустить ее из меню «Пуск».
Sandbox запустится, скопирует вашу текущую операционную систему Windows, удалит доступ к вашим личным папкам и предоставит вам чистый рабочий стол Windows с доступом в Интернет. До того, как Microsoft добавила этот файл конфигурации, вы вообще не могли настроить Sandbox. Если вам не нужен доступ в Интернет, вам обычно приходится отключать его сразу после запуска. Если вам нужен доступ к файлам в вашей хост-системе, вам нужно было скопировать и вставить их в Песочницу. И, если вы хотели установить определенные сторонние программы, вы должны были установить их после запуска Sandbox.
Поскольку Windows Sandbox полностью удаляет свой экземпляр при его закрытии, вам приходилось проходить этот процесс настройки каждый раз при запуске. С одной стороны, это делает систему более безопасной. Если что-то пойдет не так, закройте Песочницу, и все будет удалено. С другой стороны, если вам нужно регулярно вносить изменения, необходимость делать это при каждом запуске быстро разочаровывает.
Чтобы устранить эту проблему, Microsoft представила функцию конфигурации для Windows Sandbox. Используя XML-файлы, вы можете запустить Windows Sandbox с заданными параметрами. Вы можете ужесточить или ослабить ограничения песочницы. Например, вы можете отключить подключение к Интернету, настроить общие папки с вашей копией хоста Windows 10 или запустить скрипт для установки приложений. В первом выпуске функции «Песочница» параметры немного ограничены, но Microsoft, вероятно, добавит больше в будущих обновлениях Windows 10.
Как настроить Windows Sandbox
Ваша изолированная копия Windows 10 может иметь доступ к общей папке в операционной системе вашего хоста.
В этом руководстве предполагается, что вы уже настроили Sandbox для общего использования. Если вы этого еще не сделали, вам нужно сначала включить его в диалоговом окне «Функции Windows».
Для начала вам понадобится Блокнот или ваш любимый текстовый редактор – нам нравится Блокнот ++ – и новый пустой файл. Вы будете создавать XML-файл для конфигурации. Хотя знакомство с языком кодирования XML полезно, в этом нет необходимости. Как только у вас есть файл, вы сохраните его с расширением .wsb (например, Windows Sand Box.) Двойной щелчок по файлу запустит Sandbox с указанной конфигурацией.
Как объясняет Microsoft, у вас есть несколько вариантов выбора при настройке Песочницы. Вы можете включить или отключить vGPU (виртуализированный графический процессор), включить или выключить сеть, указать общую папку хоста, установить разрешения на чтение/запись для этой папки или запустить скрипт при запуске.
Используя этот файл конфигурации, вы можете отключить виртуализированный графический процессор (он включен по умолчанию), отключить сеть (она включена по умолчанию), указать общую папку хоста (приложения с изолированными программами по умолчанию не имеют доступа ни к одному), установить чтение/права записи в эту папку и/или запуск скрипта при запуске
Сначала откройте Блокнот или ваш любимый текстовый редактор и начните с нового текстового файла. Добавьте следующий текст:
Все опции, которые вы добавите, должны находиться между этими двумя параметрами. Вы можете добавить только один вариант или все из них – вам не нужно включать каждый из них. Если вы не укажете опцию, будет использоваться значение по умолчанию.
Как отключить виртуальный графический процессор или сеть
Как указывает Microsoft, включение виртуального графического процессора или работы в сети увеличивает возможности, которые вредоносное программное обеспечение может использовать для выхода из песочницы. Поэтому, если вы тестируете что-то, что вас особенно беспокоит, возможно, было бы разумно отключить их.
Чтобы отключить виртуальный графический процессор, который включен по умолчанию, добавьте следующий текст в файл конфигурации.
Отключить
Чтобы отключить доступ к сети, который включен по умолчанию, добавьте следующий текст.
Отключить
Как сопоставить папку
Чтобы сопоставить папку, вам необходимо подробно указать, к какой папке вы хотите предоставить общий доступ, а затем указать, должна ли папка быть только для чтения или нет.
Отображение папки выглядит следующим образом:
C: \ Users \ Public \ Загрузки правда
HostFolder
– это место, где вы указываете конкретную папку, к которой хотите поделиться.В приведенном выше примере общедоступная папка Public Download, найденная в системах Windows. ReadOnly
устанавливает, может ли песочница писать в папку или нет. Установите значение true
, чтобы сделать папку доступной только для чтения, или false
, чтобы сделать ее доступной для записи.
Просто имейте в виду, что вы по сути создаете риск для своей системы, связывая папку между вашим хостом и Windows Sandbox. Предоставление доступа к песочнице увеличивает риск. Если вы тестируете что-либо, что, по вашему мнению, является вредоносным, вы не должны использовать эту опцию.
Как запустить скрипт при запуске
Наконец, вы можете запускать пользовательские сценарии или основные команды. Вы можете, например, заставить Песочницу открывать сопоставленную папку при запуске. Создание этого файла будет выглядеть так:
C: \ Users \ Public \ Загрузки правда explorer.exe C: \ users \ WDAGUtilityAccount \ Desktop \ Загрузки
WDAGUtilityAccount является пользователем по умолчанию для Windows Sandbox, поэтому вы всегда будете ссылаться на это при открытии папок или файлов в составе команды.
К сожалению, в готовящейся к выпуску сборке обновления для Windows 10 за май 2019 года опция LogonCommand
не работает должным образом. Он ничего не делал, даже когда мы использовали пример в документации Microsoft. Microsoft, скорее всего, скоро исправит эту ошибку.
Как запустить Sandbox с вашими настройками
После того, как вы закончите, сохраните ваш файл и дайте ему расширение .wsb. Например, если ваш текстовый редактор сохраняет его как Sandbox.txt, сохраните его как Sandbox.wsb. Чтобы запустить Windows Sandbox с вашими настройками, дважды щелкните файл .wsb. Вы можете разместить его на рабочем столе или создать ярлык для него в меню «Пуск».
Для вашего удобства вы можете скачать этот файл DisabledNetwork, чтобы сэкономить вам несколько шагов. Файл имеет расширение txt, переименуйте его с расширением .wsb, и вы готовы к запуску Windows Sandbox.