So konfigurieren Sie die Windows-Sandbox

von

Die Windows Sandbox: Konfiguration und Anpassung

Die Windows 10 Sandbox bietet eine sichere Umgebung, um heruntergeladene Programme und Dateien zu testen. Sie isoliert diese in einem geschützten Container, um das Hauptsystem zu schützen. Obwohl die Bedienung unkompliziert ist, erfordert die Anpassung der Einstellungen das Bearbeiten einer textbasierten Konfigurationsdatei.

Einfache Nutzung der Windows Sandbox

Die Sandbox ist seit dem Mai 2019 Update Teil von Windows 10 und steht Nutzern der Professional-, Enterprise- oder Education-Versionen zur Verfügung, nicht jedoch der Home-Edition. Wenn sie auf Ihrem System vorhanden ist, lässt sie sich leicht über das Startmenü aktivieren und starten.

Nach dem Start generiert die Sandbox eine Kopie Ihres aktuellen Betriebssystems, sperrt den Zugriff auf Ihre persönlichen Ordner und stellt einen sauberen Windows-Desktop mit Internetzugang bereit. Vor der Einführung der Konfigurationsdatei waren keinerlei Anpassungen möglich. Wollte man beispielsweise den Internetzugang unterbinden, musste dieser nach jedem Start deaktiviert werden. Der Zugriff auf Dateien des Hostsystems erforderte das Kopieren und Einfügen in die Sandbox. Auch die Installation von Drittanbieterprogrammen musste bei jeder Sitzung neu vorgenommen werden.

Da die Sandbox nach dem Schließen vollständig gelöscht wird, musste dieser Anpassungsprozess bei jedem Start wiederholt werden. Dies erhöht zwar die Sicherheit, kann aber bei häufigen Anpassungen schnell frustrierend sein.

Microsoft hat dies durch die Einführung von XML-Konfigurationsdateien behoben. Diese Dateien ermöglichen es, die Sandbox mit vordefinierten Parametern zu starten und die Einschränkungen zu verändern. So lässt sich beispielsweise die Internetverbindung deaktivieren, Ordner mit dem Hostsystem teilen oder ein Skript zum Installieren von Anwendungen ausführen. Die Optionen sind in der ersten Version der Sandbox noch begrenzt, aber Microsoft wird sie wahrscheinlich in zukünftigen Updates erweitern.

Die Konfiguration der Windows Sandbox im Detail

Die Sandbox-Kopie von Windows 10 kann auf freigegebene Ordner des Host-Betriebssystems zugreifen.

Für diese Anleitung wird vorausgesetzt, dass die Sandbox bereits eingerichtet ist. Sollte dies nicht der Fall sein, muss diese zunächst in den Windows-Funktionen aktiviert werden.

Um zu beginnen, benötigen Sie Notepad oder einen anderen Texteditor. Ein Beispiel wäre Notepad++. Erstellen Sie eine leere Datei und speichern Sie diese als XML-Konfigurationsdatei mit der Dateiendung .wsb (Windows Sandbox). Ein Doppelklick auf diese Datei startet die Sandbox mit den festgelegten Konfigurationen.

Wie Microsoft erläutert, stehen verschiedene Optionen zur Verfügung: Die vGPU (virtualisierte GPU) kann aktiviert oder deaktiviert werden, die Netzwerkverbindung kann ein- oder ausgeschaltet, ein freigegebener Hostordner angegeben und die Lese-/Schreibrechte für diesen Ordner festgelegt oder beim Start ein Skript ausgeführt werden.

Mit einer solchen Datei können Sie die virtuelle GPU (standardmäßig aktiviert) oder die Netzwerkverbindung (ebenfalls standardmäßig aktiviert) ausschalten, einen freigegebenen Ordner definieren (auf den die Sandbox-Anwendungen standardmäßig nicht zugreifen können), die Lese- und Schreibrechte für den Ordner festlegen und/oder beim Start ein Skript ausführen.

Starten Sie Notepad oder einen anderen Texteditor und beginnen Sie mit einer neuen Textdatei. Fügen Sie folgenden Text ein:

Alle hinzuzufügenden Optionen müssen zwischen diesen beiden Parametern stehen. Sie können eine, mehrere oder alle Optionen hinzufügen. Falls Sie keine Option angeben, wird die Standardeinstellung verwendet.

Deaktivieren der virtuellen GPU oder der Netzwerkverbindung

Microsoft weist darauf hin, dass die Aktivierung der virtuellen GPU oder der Netzwerkverbindung die Angriffsfläche für bösartige Software erhöht. Wenn Sie etwas testen, bei dem Sie besonders vorsichtig sein müssen, sollten Sie diese Funktionen deaktivieren.

Um die standardmäßig aktivierte virtuelle GPU zu deaktivieren, fügen Sie folgenden Text in die Konfigurationsdatei ein:

Disable

Um den standardmäßig aktiven Netzwerkzugriff zu deaktivieren, fügen Sie diesen Text hinzu:

Disable

Zuordnen von Ordnern

Um einen Ordner zuzuordnen, müssen Sie dessen Speicherort genau angeben und festlegen, ob der Ordner schreibgeschützt sein soll oder nicht.

Eine Ordnerzuordnung sieht wie folgt aus:

C:UsersPublicDownloadstrue

Der Parameter `HostFolder` definiert den freizugebenden Ordner. Im obigen Beispiel wird der öffentliche Download-Ordner von Windows freigegeben. Der Parameter `ReadOnly` legt fest, ob die Sandbox in den Ordner schreiben kann. `true` macht ihn schreibgeschützt, `false` beschreibbar.

Beachten Sie, dass die Verbindung zwischen dem Hostsystem und der Windows-Sandbox immer ein Sicherheitsrisiko darstellt. Dies gilt insbesondere, wenn der Sandbox Schreibzugriff auf den Hostordner gewährt wird. Bei der Prüfung von potenziell gefährlicher Software sollte diese Option vermieden werden.

Ausführen eines Skripts beim Start

Es ist möglich, benutzerdefinierte Skripte oder einfache Befehle auszuführen. Beispielsweise könnte man die Sandbox anweisen, beim Start einen zugeordneten Ordner zu öffnen. Ein Beispiel für eine solche Datei sieht so aus:

C:UsersPublicDownloadstrueexplorer.exe C:usersWDAGUtilityAccountDesktopDownloads

Der Benutzer `WDAGUtilityAccount` ist der Standardbenutzer der Windows Sandbox. Sie können darauf Bezug nehmen, wenn Sie Ordner oder Dateien als Teil eines Befehls öffnen.

Leider scheint die Option `LogonCommand` im aktuellen Build des Mai 2019 Updates von Windows 10 nicht wie vorgesehen zu funktionieren. Auch das Beispiel aus der Microsoft-Dokumentation lieferte keine Ergebnisse. Es ist wahrscheinlich, dass Microsoft diesen Fehler beheben wird.

Starten der Sandbox mit Ihren Einstellungen

Wenn Sie fertig sind, speichern Sie die Datei mit der Endung .wsb. Falls sie Ihr Texteditor beispielsweise als Sandbox.txt speichert, speichern Sie diese als Sandbox.wsb. Ein Doppelklick auf die .wsb-Datei startet die Windows Sandbox mit Ihren Einstellungen. Sie können die Datei auf Ihrem Desktop ablegen oder im Startmenü eine Verknüpfung erstellen.

Zur Vereinfachung können Sie beispielsweise diese Datei, die die Netzwerkverbindung deaktiviert, herunterladen und umbenennen. Die Datei hat die Endung .txt, benennen Sie diese in eine .wsb-Datei um und können somit die Windows Sandbox starten.

Weitere Artikel:

  1. So aktivieren Sie den Sandbox-Modus für Windows Defender unter Windows 10
  2. So aktivieren Sie Windows Sandbox unter Windows 11 Home Edition
  3. So verwenden Sie die neue Sandbox von Windows 10 (zum sicheren Testen von Apps)
  4. Was ist eine Sandbox-Umgebung?