A Windows 10 új Sandbox funkciója lehetővé teszi az internetről letöltött programok és fájlok biztonságos tesztelését egy biztonságos tárolóban való futtatással. Használata egyszerű, de beállításai egy szöveges konfigurációs fájlban vannak eltemetve.
Tartalomjegyzék
A Windows Sandbox használata könnyen használható, ha rendelkezik vele
Ez a funkció a Windows 10 2019. májusi frissítésének része. A frissítés telepítése után a Windows 10 Professional, Enterprise vagy Education kiadását is használnia kell. A Windows 10 Home rendszeren nem érhető el. De ha elérhető a rendszerén, egyszerűen aktiválhatja a Sandbox funkciót, majd elindíthatja a Start menüből.
A Sandbox elindul, másolatot készít a jelenlegi Windows operációs rendszerről, megszünteti a hozzáférést személyes mappáihoz, és tiszta Windows-asztalt biztosít internet-hozzáféréssel. Mielőtt a Microsoft hozzáadta ezt a konfigurációs fájlt, egyáltalán nem lehetett személyre szabni a Sandboxot. Ha nem akart internet-hozzáférést, akkor általában azonnal le kellett tiltania az indítás után. Ha hozzáférésre volt szüksége a gazdagépen lévő fájlokhoz, másolja és illessze be őket a Sandboxba. És ha bizonyos harmadik féltől származó programokat szeretne telepíteni, akkor a Sandbox elindítása után telepítenie kellett őket.
Mivel a Windows Sandbox bezárásakor teljesen törli a példányát, minden indításkor végig kellett mennie ezen a testreszabási folyamaton. Egyrészt ez biztonságosabb rendszert tesz lehetővé. Ha valami elromlik, zárja be a Sandboxot, és minden törlődik. Másrészt, ha rendszeresen módosítania kell, akkor ezt minden indításkor gyorsan frusztrálóvá kell tennie.
A probléma enyhítésére a Microsoft bevezette a Windows Sandbox konfigurációs funkcióját. XML-fájlok használatával elindíthatja a Windows Sandboxot beállított paraméterekkel. Szigoríthatja vagy lazíthatja a homokozó korlátozásait. Például letilthatja az internetkapcsolatot, konfigurálhatja a megosztott mappákat a Windows 10 gazdagéppéldányával, vagy futtathat egy parancsfájlt az alkalmazások telepítéséhez. A lehetőségek kissé korlátozottak a Sandbox funkció első kiadásában, de a Microsoft valószínűleg további frissítéseket fog hozzáadni a Windows 10-hez.
A Windows Sandbox konfigurálása
A Windows 10 homokozóba helyezett példánya hozzáférhet egy megosztott mappához a gazdagép operációs rendszerén.
Ez az útmutató feltételezi, hogy már beállította a Sandboxot általános használatra. Ha még nem tette meg, először engedélyeznie kell a Windows-szolgáltatások párbeszédpanelen.
A kezdéshez szüksége lesz a Jegyzettömbre vagy kedvenc szövegszerkesztőjére – mi szeretjük Jegyzettömb++– és egy üres új fájl. Létre kell hoznia egy XML-fájlt a konfigurációhoz. Miközben ismerik a XML kódoló nyelv hasznos, nem szükséges. Ha a fájl a helyére került, elmenti azt .wsb kiterjesztéssel (gondoljunk csak a Windows Sand Boxra). A fájlra duplán kattintva elindul a Sandbox a megadott konfigurációval.
Mint – magyarázta a Microsoft, több lehetőség közül választhat a Sandbox konfigurálásakor. Engedélyezheti vagy letilthatja a vGPU-t (virtualizált GPU), be- vagy kikapcsolhatja a hálózatot, megadhat egy megosztott gazdagép mappát, beállíthatja az olvasási/írási engedélyeket az adott mappában, vagy futtathat egy szkriptet indításkor.
Ezzel a konfigurációs fájllal letilthatja a virtualizált GPU-t (alapértelmezés szerint engedélyezve van), kikapcsolhatja a hálózatot (alapértelmezés szerint be van kapcsolva), megadhat egy megosztott gazdagép mappát (a homokozós alkalmazások alapértelmezés szerint nem férnek hozzá), beállíthatja az olvasást. /write jogosultságokat az adott mappában, és/vagy futtasson egy szkriptet indításkor
Először nyissa meg a Jegyzettömböt vagy kedvenc szövegszerkesztőjét, és kezdje el egy új szövegfájllal. Adja hozzá a következő szöveget:
Az összes hozzáadott opciónak e két paraméter között kell lennie. Hozzáadhat csak egy lehetőséget, vagy mindegyiket – nem kell mindegyiket megadnia. Ha nem ad meg opciót, a rendszer az alapértelmezett értéket fogja használni.
Hogyan lehet letiltani a virtuális GPU-t vagy a hálózatot
Amint a Microsoft rámutat, a virtuális GPU vagy a hálózat engedélyezése megnöveli a rosszindulatú szoftverek által a homokozóból való kitörés lehetőségeit. Tehát ha olyasmit tesztel, ami miatt különösen aggódik, érdemes lehet letiltani őket.
Az alapértelmezés szerint engedélyezett virtuális GPU letiltásához adja hozzá a következő szöveget a konfigurációs fájlhoz.
Disable
Az alapértelmezés szerint engedélyezett hálózati hozzáférés letiltásához adja hozzá a következő szöveget.
Disable
Hogyan térképezzünk fel egy mappát
Egy mappa leképezéséhez pontosan meg kell határoznia, hogy melyik mappát szeretné megosztani, majd meg kell adnia, hogy a mappa csak olvasható legyen-e vagy sem.
A mappa leképezése így néz ki:
C:UsersPublicDownloads true
A HostFolder az a hely, ahol felsorolja a megosztani kívánt mappát. A fenti példában a Windows rendszereken található Nyilvános letöltés mappa megosztásra kerül. Csak olvasható: beállítja, hogy a Sandbox írhat-e a mappába vagy sem. Állítsa igazra, ha a mappa csak olvasható, vagy false értékre, hogy írható legyen.
Legyen tudatában annak, hogy alapvetően kockázatot jelent a rendszerére azáltal, hogy összekapcsol egy mappát a gazdagép és a Windows Sandbox között. A Sandbox írási hozzáférésének megadása növeli ezt a kockázatot. Ha olyasmit tesztel, amelyről úgy gondolja, hogy rosszindulatú lehet, ne használja ezt a lehetőséget.
Szkript futtatása indításkor
Végül egyénileg létrehozott szkripteket vagy alapvető parancsokat is futtathat. Például rákényszerítheti a Sandboxot, hogy indításkor nyissa meg a hozzárendelt mappát. A fájl létrehozása így nézne ki:
C:UsersPublicDownloads true explorer.exe C:usersWDAGUtilityAccountDesktopDownloads
A WDAGUtilityAccount a Windows Sandbox alapértelmezett felhasználója, ezért mindig hivatkozni kell erre, amikor mappákat vagy fájlokat nyit meg egy parancs részeként.
Sajnos úgy tűnik, hogy a Windows 10 2019. májusi frissítésének közeli kiadásában a LogonCommand opció nem működik megfelelően. Egyáltalán nem csinált semmit, még akkor sem, ha a Microsoft dokumentációjában szereplő példát használtuk. A Microsoft valószínűleg hamarosan kijavítja ezt a hibát.
A Sandbox elindítása a beállításokkal
Miután végzett, mentse el a fájlt, és adjon neki .wsb kiterjesztést. Ha például a szövegszerkesztő Sandbox.txt formátumban menti, akkor Sandbox.wsb formátumban mentse el. A Windows Sandbox beállításaival történő elindításához kattintson duplán a .wsb fájlra. Elhelyezheti az asztalon, vagy létrehozhat egy parancsikont hozzá a Start menüben.
Az Ön kényelme érdekében letöltheti ezt a DisabledNetwork fájlt, hogy megspóroljon néhány lépést. A fájl txt kiterjesztéssel rendelkezik, nevezze át .wsb kiterjesztésűre, és készen áll a Windows Sandbox elindítására.