Windows Sandbox là một môi trường máy tính để bàn cô lập, tạm thời, nơi bạn có thể chạy phần mềm không đáng tin cậy mà không sợ ảnh hưởng lâu dài đến PC của mình. Windows Sandbox hiện đã hỗ trợ các tệp cấu hình đơn giản (phần mở rộng tệp .wsb), cung cấp hỗ trợ tối thiểu cho tập lệnh. Bạn có thể sử dụng tính năng này trong phiên bản Windows Insider mới nhất 18342.
Mọi phần mềm được cài đặt trong Windows Sandbox chỉ nằm trong hộp cát và không thể ảnh hưởng đến máy chủ của bạn. Khi Windows Sandbox bị đóng, tất cả phần mềm với tất cả các tệp và trạng thái của nó sẽ bị xóa vĩnh viễn.
Windows Sandbox có các thuộc tính sau:
làm thế nào để đá ai đó khỏi hulu
- Một phần của Windows - mọi thứ cần thiết cho tính năng này đều đi kèm với Windows 10 Pro và Enterprise. Không cần tải xuống VHD!
- Nguyên sơ - mỗi khi Windows Sandbox chạy, nó sạch sẽ như một bản cài đặt mới của Windows
- Dùng một lần - không có gì tồn tại trên thiết bị; mọi thứ đều bị hủy sau khi bạn đóng ứng dụng
- Đảm bảo - sử dụng ảo hóa dựa trên phần cứng để cô lập hạt nhân, dựa vào trình siêu giám sát của Microsoft để chạy một hạt nhân riêng biệt giúp cô lập Windows Sandbox khỏi máy chủ
- Có hiệu quả - sử dụng bộ lập lịch hạt nhân tích hợp, quản lý bộ nhớ thông minh và GPU ảo
Có những điều kiện tiên quyết sau để sử dụng tính năng Windows Sandbox:
Quảng cáo
- Windows 10 Pro hoặc Enterprise bản dựng 18305 trở lên
- Kiến trúc AMD64
- Khả năng ảo hóa được kích hoạt trong BIOS
- Ít nhất 4GB RAM (khuyến nghị 8GB)
- Ổ đĩa trống ít nhất 1 GB (khuyến nghị SSD)
- Ít nhất 2 lõi CPU (khuyến nghị 4 lõi với siêu phân luồng)
Bạn có thể tìm hiểu cách bật và sử dụng Windows Sandbox ĐÂY .
Tệp cấu hình hộp cát Windows
Các tệp cấu hình hộp cát được định dạng dưới dạng XML và được liên kết với Windows Sandbox thông qua phần mở rộng tệp .wsb. Tệp cấu hình cho phép người dùng kiểm soát các khía cạnh sau của Windows Sandbox:
- vGPU (GPU ảo hóa)
- Bật hoặc tắt GPU ảo hóa. Nếu vGPU bị tắt, Hộp cát sẽ sử dụng LÀM CONG (phần mềm rasterizer).
- Kết nối mạng
- Bật hoặc Tắt quyền truy cập mạng vào Hộp cát.
- Thư mục chia sẻ
- Chia sẻ thư mục từ máy chủ lưu trữ với quyền đọc hoặc ghi. Lưu ý rằng việc lộ thư mục máy chủ có thể cho phép phần mềm độc hại ảnh hưởng đến hệ thống của bạn hoặc ăn cắp dữ liệu.
- Tập lệnh khởi động
- Hành động đăng nhập cho hộp cát.
Bằng cách nhấp đúp vào tệp * .wsb, bạn sẽ mở tệp đó trong Windows Sandboxю
Tùy chọn cấu hình được hỗ trợ
VGpu
Bật hoặc tắt chia sẻ GPU.
giá trị
Các giá trị được hỗ trợ:
- Vô hiệu hóa - tắt hỗ trợ vGPU trong hộp cát. Nếu giá trị này được đặt, Windows Sandbox sẽ sử dụng kết xuất phần mềm, có thể chậm hơn GPU ảo hóa.
- Mặc định - đây là giá trị mặc định cho hỗ trợ vGPU; hiện tại điều này có nghĩa là vGPU đã được kích hoạt.
Lưu ý: Việc bật GPU ảo hóa có thể có khả năng làm tăng bề mặt tấn công của hộp cát.
Kết nối mạng
Bật hoặc tắt kết nối mạng trong hộp cát. Vô hiệu hóa quyền truy cập mạng có thể được sử dụng để giảm bề mặt tấn công do Hộp cát tiếp xúc.
làm thế nào để tìm một cổng mở
giá trị
Các giá trị được hỗ trợ:
- Vô hiệu hóa - tắt kết nối mạng trong hộp cát.
- Mặc định - đây là giá trị mặc định cho hỗ trợ mạng. Điều này cho phép kết nối mạng bằng cách tạo một công tắc ảo trên máy chủ và kết nối hộp cát với nó thông qua một NIC ảo.
Lưu ý: Việc bật kết nối mạng có thể hiển thị các ứng dụng không đáng tin cậy vào mạng nội bộ của bạn.
MappedFolders
Bao bọc một danh sách các đối tượng MappedFolder.
danh sách các đối tượng MappedFolder
Lưu ý: Các tệp và thư mục được ánh xạ từ máy chủ lưu trữ có thể bị xâm phạm bởi các ứng dụng trong Hộp cát hoặc có khả năng ảnh hưởng đến máy chủ.
MappedFolder
Chỉ định một thư mục trên máy chủ sẽ được chia sẻ trên màn hình vùng chứa. Các ứng dụng trong Sandbox được chạy trong tài khoản người dùng “WDAGUtilityAccount”. Do đó, tất cả các thư mục được ánh xạ theo đường dẫn sau: C: Users WDAGUtilityAccount Desktop.
Ví dụ. “C: Test” sẽ được ánh xạ thành “C: users WDAGUtilityAccount Desktop Test”.
đường dẫn đến giá trị thư mục lưu trữ
HostFolder : Chỉ định thư mục trên máy chủ để chia sẻ vào hộp cát. Lưu ý rằng thư mục phải tồn tại máy chủ lưu trữ hoặc bộ chứa sẽ không thể khởi động nếu không tìm thấy thư mục.
Chỉ đọc : Nếu đúng, thực thi quyền truy cập chỉ đọc vào thư mục được chia sẻ từ bên trong vùng chứa. Giá trị được hỗ trợ: true / false.
Lưu ý: Các tệp và thư mục được ánh xạ từ máy chủ lưu trữ có thể bị xâm phạm bởi các ứng dụng trong Hộp cát hoặc có khả năng ảnh hưởng đến máy chủ.
LogonCommand
Chỉ định một Lệnh duy nhất sẽ được gọi tự động sau khi vùng chứa đăng nhập.
lệnh được gọi
Chỉ huy: Đường dẫn đến tệp thực thi hoặc tập lệnh bên trong vùng chứa sẽ được thực thi sau khi đăng nhập.
Lưu ý: Mặc dù các lệnh rất đơn giản sẽ hoạt động (khởi chạy tệp thực thi hoặc tập lệnh), các kịch bản phức tạp hơn liên quan đến nhiều bước nên được đặt vào một tệp kịch bản. Tệp script này có thể được ánh xạ vào vùng chứa thông qua một thư mục chia sẻ, và sau đó được thực thi thông qua chỉ thị LogonCommand.
Ví dụ về cấu hình
ví dụ 1
Tệp cấu hình sau có thể được sử dụng để dễ dàng kiểm tra các tệp đã tải xuống bên trong hộp cát. Để đạt được điều này, tập lệnh vô hiệu hóa mạng và vGPU, đồng thời hạn chế thư mục tải xuống được chia sẻ ở quyền truy cập chỉ đọc trong vùng chứa. Để thuận tiện, lệnh đăng nhập sẽ mở thư mục tải xuống bên trong vùng chứa khi nó được khởi động.
Downloads.wsb
Vô hiệu hóa Tắt C: Users Public Downloads true explorer.exe C: users WDAGUtilityAccount Desktop Downloads
Ví dụ 2
Tệp cấu hình sau cài đặt Mã Visual Studio trong vùng chứa, tệp này yêu cầu thiết lập LogonCommand phức tạp hơn một chút.
Hai thư mục được ánh xạ vào vùng chứa; đầu tiên (SandboxScripts) chứa VSCodeInstall.cmd, sẽ cài đặt và chạy VSCode. Thư mục thứ hai (CodingProjects) được giả định là chứa các tệp dự án mà nhà phát triển muốn sửa đổi bằng VSCode.
Với tập lệnh trình cài đặt VSCode đã được ánh xạ vào vùng chứa, LogonCommand có thể tham chiếu đến nó.
VSCodeInstall.cmd
làm thế nào để tăng một máy chủ bất hòa
REM Tải xuống VSCode curl -L 'https://update.code.visualstudio.com/latest/win32-x64-user/stable' --output C: users WDAGUtilityAccount Desktop vscode.exe REM Cài đặt và chạy VSCode C : users WDAGUtilityAccount Desktop vscode.exe / verysilent / Suppmsgboxes
VSCode.wsb
C: SandboxScripts true C: CodingProjects false C: users wdagutilityaccount desktop SandboxScripts VSCodeInstall.cmd
Nguồn: Microsoft