Новая функция «Песочница» в Windows 10 позволяет безопасно тестировать программы и файлы, загруженные из Интернета, запуская их в безопасном контейнере. Его легко использовать, но его настройки скрыты в текстовом файле конфигурации.
Песочница Windows проста в использовании, если она у вас есть
Эта функция является частью майского обновления Windows 10. Обновление 2019 года. После установки обновления вам также потребуется использовать выпуски Windows 10 Professional, Enterprise или Education. Оно недоступно в Windows 10 Home. Но, если она доступна в вашей системе, вы можете легко активировать функцию «Песочница», а затем запустить ее из меню «Пуск».
Запустится песочница, сделайте копию текущей версии Windows операционной системы, удалить доступ к вашим личным папкам и предоставить вам чистый рабочий стол Windows с доступом в Интернет. До того, как Microsoft добавила этот файл конфигурации, вы вообще не могли настраивать Sandbox. Если вам не нужен доступ в Интернет, вам обычно приходилось отключать его сразу после запуска. Если вам требовался доступ к файлам в вашей хост-системе, вам приходилось копировать и вставлять их в песочницу. И, если вы хотели установить определенные сторонние программы, вам нужно было установить их после запуска Песочницы.
Поскольку Песочница Windows полностью удаляет свой экземпляр при закрытии, вам приходилось каждый раз проходить этот процесс настройки. ты запускаешь. С одной стороны, это делает систему более безопасной. Если что-то пойдет не так, закройте Песочницу, и все будет удалено. С другой стороны, если вам нужно регулярно вносить изменения, необходимость делать это при каждом запуске быстро утомляет.
Чтобы решить эту проблему, Microsoft представила функцию конфигурации для песочницы Windows. Используя XML-файлы, вы можете запустить Windows Sandbox с заданными параметрами. Вы можете ужесточить или ослабить ограничения песочницы. Например, вы можете отключить подключение к Интернету, настроить общие папки с вашей основной копией Windows 10 или запустить сценарий для установки приложений. Варианты немного ограничены в первом выпуске функции песочницы, но Microsoft, вероятно, добавит больше в будущих обновлениях Windows 10.
Как настроить Windows Sandbox
В этом руководстве предполагается, что вы уже настроили песочницу для общего использования. Если вы еще этого не сделали, вам нужно сначала включить его в диалоговом окне «Функции Windows».
Для начала вам понадобится Блокнот или ваш любимый текстовый редактор — нам нравится Notepad++ — и пустой новый файл. Вы будете создавать файл XML для конфигурации. Хотя знакомство с языком кодирования XML полезно, в этом нет необходимости. Создав файл, вы сохраните его с расширением .wsb (например, Windows Sand Box). Двойной щелчок по файлу запустит Sandbox с указанной конфигурацией.
Как пояснили в Microsoft, у вас есть несколько вариантов на выбор при настройке песочницы. Вы можете включить или отключить vGPU (виртуализированный графический процессор), включить или выключить сеть, указать общую папку хоста, установить разрешения на чтение и запись для этой папки или запустить скрипт при запуске.
С помощью этого файл конфигурации, вы можете отключить виртуализированный графический процессор (он включен по умолчанию), отключить сеть (она включена по умолчанию), указать общую папку хоста (по умолчанию приложения в песочнице не имеют доступа к какой-либо), установить чтение/запись разрешения для этой папки и/или запускать скрипт при запуске
Сначала откройте Блокнот или ваш любимый текстовый редактор и начните с нового текстового файла. Добавьте следующий текст:
<Configuration> </Configuration>
Все параметры, которые вы добавите, должны находиться между этими двумя параметрами. Вы можете добавить только один вариант или все сразу — вам не обязательно включать каждый из них. Если вы не укажете параметр, будет использоваться значение по умолчанию.
Как отключить виртуальный графический процессор или сеть
Как отмечает Microsoft, включение виртуального графического процессора или сети расширяет возможности вредоносного программного обеспечения для выхода из песочницы. Поэтому, если вы тестируете что-то, что вас особенно беспокоит, может быть разумно отключить их.
Чтобы отключить виртуальный графический процессор, который включен по умолчанию, добавьте следующий текст в файл конфигурации.
<VGpu>Disable</VGpu>
Чтобы отключить доступ к сети, который включен по умолчанию, добавьте следующий текст.
<Networking>Disable</Networking>
Как сопоставить папку
Чтобы сопоставить папку, вам нужно точно указать, к какой папке вы хотите предоставить общий доступ, а затем указать, должна ли эта папка быть доступна только для чтения или нет.
Сопоставление папки выглядит следующим образом:
<MappedFolders> <MappedFolder> <HostFolder>C:\Users\Public\Downloads</HostFolder> <ReadOnly>true</ReadOnly> </MappedFolder> </MappedFolders>
HostFolder — это место, где вы указываете конкретную папку, которой хотите поделиться. В приведенном выше примере папка Public Download, найденная в системах Windows, является общей. ReadOnly устанавливает, может ли Sandbox писать в папку или нет. Установите значение true, чтобы сделать папку доступной только для чтения, или false, чтобы сделать ее доступной для записи.
Имейте в виду, что вы, по сути, подвергаете свою систему риску, связывая папку между хостом и песочницей Windows. Предоставление песочнице доступа на запись увеличивает этот риск. Если вы тестируете что-то, что, по вашему мнению, может быть вредоносным, вам не следует использовать эту опцию.
Как запустить скрипт при запуске
Наконец, вы можете запускать специально созданные скрипты или основные команды. Например, вы можете заставить Песочницу открывать назначенную папку при запуске. Создание этого файла будет выглядеть следующим образом:
<MappedFolders> <MappedFolder> <HostFolder>C:\Users\Public\Downloads</HostFolder> <ReadOnly>true</ReadOnly> </MappedFolder> </MappedFolders> <LogonCommand> <Command>explorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads</Command> </LogonCommand>
WDAGUtilityAccount — это пользователь по умолчанию для песочницы Windows, поэтому вы всегда будете ссылаться на него при открытии папок или файлов как части команды.
К сожалению, в готовящейся к выпуску сборке Windows 10 от мая 2019 г. Обновите, похоже, что опция LogonCommand не работает должным образом. Он вообще ничего не делал, даже когда мы использовали пример из документации Microsoft. Скорее всего, Microsoft скоро исправит эту ошибку.
Как запустить песочницу с вашими настройками
После того, как вы закончите, сохраните файл и присвойте ему расширение .wsb. Например, если ваш текстовый редактор сохраняет его как Sandbox.txt, сохраните его как Sandbox.wsb. Чтобы запустить песочницу Windows с вашими настройками, дважды щелкните файл .wsb. Вы можете разместить его на рабочем столе или создать для него ярлык в меню «Пуск».
Для вашего удобства вы можете загрузить этот файл DisabledNetwork, чтобы сэкономить несколько шагов. Файл имеет расширение txt. Переименуйте его, указав расширение .wsb, и все готово для запуска песочницы Windows.