Calcweb.ru

Информационный портал
5 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Конфигурационные файлы Песочницы Windows 10 и их создание в Sandbox Configuration Manager

Конфигурационные файлы Песочницы Windows 10 и их создание в Sandbox Configuration Manager

В Windows 10 1903 стала доступна Песочница — изолированная виртуальная среда, позволяющая запускать потенциально небезопасные приложения без негативных последствий для хостовой операционной системы. Самые первые версии Песочницы ограничивались лишь базовым функционалом, но уже вскоре разработчики добавили возможность ее настройки с использованием конфигурационных файлов или скриптов.

С их помощью вы можете включать и отключать виртуализацию графического процессора, поддержку сети, открывать и закрывать доступ к общим папкам, а также выполнять различные команды. Каждый конфигурационный файл представляет собой привычный XML -документ с расширением WSB и прописанными тегами, указывающими, с какими параметрами необходимо запускать Windows Sandbox. Ниже на скриншоте представлен пример такого конфигурационного файла с пояснениями.

Конфигурационный файл Песочницы

Начинается и заканчивается он тегом <Configuration>, всё что внутри — это команды с использованием других тегов. Тег <VGpu> отвечает за совместное использование GPU, тег <Networking> — за использование интернет-соединения внутри Песочницы, <MappedFolders>, <MappedFolder> и <HostFolder> — за создание общих папок, <LogonCommand> и <Command> позволяют запускать приложения внутри Песочницы сразу после ее старта, то есть выполняют роль автозагрузки. <ReadOnly> со значением True указывает, что общая папка будет доступна только для чтения. Disable и Enable , как нетрудно догадаться, отключают и включают ту или иную функцию.

Создание конфигурационных файлов Песочницы с помощью SCM

Создать конфигурационный файл для управления Песочницей можно в обычном Блокноте или специализированном текстовом редакторе с подсветкой синтаксиса XML , но всё же удобнее юзать для этого Sandbox Configuration Manager — специально разработанном для этих целей менеджере от Microsoft. Плюс этого портативного приложения в том, что оно визуализирует процесс создания кода, избавляя пользователя от необходимости прописывать теги и их значения вручную.

В загруженном с сайта разработчика gallery.technet.microsoft.com/Windows-Sandbox-Configurati-f2c863dc архиве вы найдете исходный код и два исполняемых файла утилиты — две версии. Используйте ту, которая представляется вам более удобной. Рабочее пространство Sandbox Configuration Manager представлено четырьмя разделами: Basic Infos, Mapped Folders, Startup Commands и Overview.

Sandbox Configuration Manager

Sandbox Configuration Manager

В первом разделе вы можете дать имя вашему файлу и указать папку для его сохранения, включить или отключить использование сети и виртуального графического ускорителя (VGPU) . Обратите также внимание на переключатель «Run Sandbox after change», если он будет включен, после создания конфигурационного файла Песочница будет запущена автоматически. В разделе «Mapped Folders» задается путь к общей папке, здесь также можно включить доступ только для чтения, чтобы запущенные в Песочнице приложения не могли вести запись в файловую систему хостовой машины.

Sandbox Configuration Manager

Sandbox Configuration Manager

Третья вкладка «Startup Commands» отвечает за использование команд, которые будут выполнены после запуска виртуальной среды. Поддерживается использование параметров.

Наконец, переключившись на четвертую вкладку, вы можете просмотреть сгенерированный утилитой код. Кнопка «Create Sandbox» сохраняет конфигурационный файл и запускает Песочницу, кнопка «Load Existing Sandbox» открывает окно обзора для загрузки WSB -файлов, которые необходимо отредактировать. И таких файлов в Sandbox Configuration Manager вы можете создать сколько угодно: каждый из них будет запускать изолированную среду с прописанными параметрами.

Читайте так же:
ТОП 31 тизерных сетей для арбитража и рекламодателя

Как настроить Windows Sandbox с помощью конфигурационных файлов

Microsoft продолжает работу над изолированной средой Windows Sandbox, встроенной в операционную систему Windows 10. На данный момент песочница тестируется участниками программы Insider Preview, и, вполне, вероятно, что мы ее сможем увидеть уже в Windows 10 May 2019 Update (версия 1903).

Ранние версии Windows Sandbox предлагали самые базовые функции: пользователь мог только запустить виртуализированную среду на устройствах Windows 10. Однако, в последних сборках была добавлена возможность использования конфигурационных файлов для настройки различных аспектов использования песочницы. На данный момент реализована только базовая поддержка конфигурационных файлов, но даже она позволяет администраторам и пользователям запускать приложения и скрипты автоматически в изолированной среде.

Обзор Windows 10 May 2019 Update (версия 1903): Песочница в Windows – Windows Sandbox

Конфигурационные файлы используют синтаксис XML и имеют расширение .wsb. Любой WSB файл можно запустить двойным кликом, обращением из командной строки или с помощью скриптов.

На данный момент .wsb скрипты поддерживают следующие опции конфигурации:

  • Включение или отключение виртуализации графического процессора.
  • Включение и отключение поддержки сети в песочнице.
  • Общие папки с хост-системой.
  • Автоматический запуска скрипта или команды.

Виртуализация графической подсистемы

Работа с сетью

Общие папки

Здесь нужно указать путь до папки в хост-системе, которую вы хотите использовать в песочнице, например c:virtual. Параметр ReadOnly определяет, будет ли указанная папка доступна только для чтения (true) или для чтения и записи (false).

Обратите внимание, что общие папки размещаются относительно пути: C:ПользователиWDAGUtilityAccountРабочий стол.

Команда при входе

Здесь вы можете задать название файла, путь или скрипт. Будет работать команда explorer.exe со ссылкой на скрипт, например C:ПользователиwdagutilityaccountРабочий столteststart.cmd.

Пример готового XML файла

Сохраните файл в формате .wsb и запустите его, если хотите применить заданные параметры к песочнице. В примере все очень просто и понятно: отключена поддержка виртуализации графики и поддержка сети, папка загрузок указана в качестве общей и при запуске в Проводнике Windows откроется папка загрузок.

Конфигурационные файлы значительно расширяют функциональность Windows Sandbox. Файлы позволяют настроить общие папки и автоматический запуск скриптов. Можно настроить работу с папкой загрузок и запускать скачанные из Интернета файлы в безопасной изолированной среде.

Вы также можете использовать утилиту Windows Sandbox Editor на базе PowerShell, которая упрощает настройку конфигурационных файлов для создания различных типов Песочниц.

Станете ли вы пользоваться Windows Sandbox? Используете ли вы сторонние решения, например Sandboxie? Поделитесь в комментариях ниже.

Windows Sandbox представляет простые файлы конфигурации в Windows 10

Windows Sandbox — это изолированная временная среда рабочего стола, в которой вы можете запускать ненадежное программное обеспечение, не опасаясь длительного воздействия на ваш компьютер. Windows Sandbox теперь поддерживает простые файлы конфигурации (расширение файла .wsb), которые обеспечивают минимальную поддержку сценариев. Эту функцию можно использовать в последней сборке Windows Insider 18342.


Любое программное обеспечение, установленное в Windows Sandbox, остается только в песочнице и не может повлиять на ваш хост. После закрытия Windows Sandbox все программное обеспечение со всеми его файлами и состоянием удаляется безвозвратно.

Читайте так же:
Подкаст с коммерческим директором Aivix, Алексеем Шульгой

Windows Sandbox имеет следующие свойства:

  • Часть Windows — все необходимое для этой функции входит в состав Windows 10 Pro и Enterprise. Нет необходимости загружать VHD!
  • Pristine — каждый раз, когда запускается Windows Sandbox, он такой же чистый, как новая установка Windows
  • Одноразовый — на устройстве ничего не сохраняется; все удаляется после закрытия приложения.
  • Secure — использует аппаратную виртуализацию для изоляции ядра, которая использует гипервизор Microsoft для запуска отдельного ядра, которое изолирует Песочница Windows с хоста
  • Efficient — использует встроенный планировщик ядра, интеллектуальное управление памятью и виртуальный графический процессор.

Существуют следующие предварительные условия для использования функции Windows Sandbox:

  • Windows 10 Pro или Enterprise, сборка 18305 или новее.
  • Архитектура AMD64
  • В BIOS включены возможности виртуализации
  • Не менее 4 ГБ ОЗУ (рекомендуется 8 ГБ)
  • Не менее 1 ГБ свободного дискового пространства (рекомендуется SSD )
  • Как минимум 2 ядра ЦП (рекомендуется 4 ядра с гиперпоточностью)

Вы можете узнать, как включить и использовать Windows Sandbox ЗДЕСЬ.

Файлы конфигурации песочницы Windows

Файлы конфигурации песочницы отформатированы как XML и связаны с h Windows Sandbox через расширение файла .wsb. Файл конфигурации позволяет пользователю управлять следующими аспектами песочницы Windows:

  1. vGPU (виртуализированный графический процессор)
    • Включение или отключение виртуализированного графического процессора. Если vGPU отключен, Sandbox будет использовать WARP (программный растеризатор).
  2. Сеть
    • Включение или отключение сетевого доступа к песочнице.
  3. Общие папки
    • Совместное использование папок с хоста с разрешениями на чтение или запись. Обратите внимание, что раскрытие каталогов хоста может позволить вредоносному ПО повлиять на вашу систему или украсть данные.
  4. Сценарий запуска
    • Действие входа в песочницу.

Двойным щелчком по *. wsb, вы откроете его в Windows Sandbox.

Поддерживаемые параметры конфигурации

VGpu

Включает или отключает совместное использование графического процессора.

  • Disable — отключает поддержку vGPU в песочнице. Если установлено это значение, Windows Sandbox будет использовать программный рендеринг, который может быть медленнее, чем виртуализированный графический процессор.
  • Default — это значение по умолчанию для поддержки vGPU; в настоящее время это означает, что vGPU включен.

Примечание. Включение виртуализированного графического процессора потенциально может увеличить поверхность атаки песочницы.

Сеть

Включает или отключает сеть в песочнице. Отключение доступа к сети может быть использовано для уменьшения уязвимости для атаки песочницы.

  • Отключить — отключает сеть в песочнице.
  • По умолчанию — это значение по умолчанию значение для сетевой поддержки. Это позволяет организовать сеть путем создания виртуального коммутатора на хосте и подключения к нему песочницы через виртуальную сетевую карту.

Примечание. Включение сети может открыть доступ ненадежным приложениям к вашей внутренней сети.

MappedFolders

Оборачивает список объектов MappedFolder.

Примечание. Файлы и папки, сопоставленные с хоста, могут быть скомпрометированы приложениями в песочнице или потенциально могут повлиять на хост.

MappedFolder

Задает одну папку на хост-компьютере, к которой будет предоставлен общий доступ на рабочем столе контейнера. Приложения в песочнице запускаются под учетной записью пользователя «WDAGUtilityAccount». Следовательно, все папки отображаются по следующему пути: C: Users WDAGUtilityAccount Desktop.

Например. «C: Test» будет отображаться как «C: users WDAGUtilityAccount Desktop Test».

HostFolder : указывает папку на главном компьютере, которую нужно предоставить в изолированной программной среде. Обратите внимание, что папка уже должна существовать на хосте, иначе контейнер не запустится, если папка не будет найдена.

Читайте так же:
Icecream Video Editor для монтажа и редактирования видео

ReadOnly : если true, принудительный доступ только для чтения доступ к общей папке из контейнера. Поддерживаемые значения: true/false.

Примечание. Файлы и папки, сопоставленные с хоста, могут быть скомпрометированы приложениями в песочнице или потенциально повлиять на хост.

LogonCommand

Задает одну команду, которая будет вызываться автоматически после входа контейнера в систему..

Команда: путь к исполняемый файл или скрипт внутри контейнера, который будет выполнен после входа в систему.

Примечание. Хотя очень простые команды будут работать (запуск исполняемого файла или скрипта), более сложные сценарии, включающие несколько шагов, должны быть помещены в файл сценария. Этот файл сценария можно сопоставить с контейнером через общую папку, а затем выполнить с помощью директивы LogonCommand.

Примеры конфигурации

Пример 1

Следующий файл конфигурации можно использовать для простого тестирования загруженных файлов внутри песочницы. Для этого сценарий отключает сеть и vGPU, а также ограничивает доступ к общей папке загрузок только для чтения в контейнере. Для удобства команда входа в систему при запуске открывает папку загрузок внутри контейнера.

Downloads.wsb

Пример 2

Следующий файл конфигурации устанавливает код Visual Studio в контейнер, что требует немного более сложной настройки LogonCommand.

Две папки отображаются в контейнере; первый (SandboxScripts) содержит VSCodeInstall.cmd, который установит и запустит VSCode. Предполагается, что вторая папка (CodingProjects) содержит файлы проекта, которые разработчик хочет изменить с помощью VSCode.

Если сценарий установщика VSCode уже сопоставлен с контейнером, LogonCommand может ссылаться на него.

Конфигурация Песочницы Windows

Windows Песочница поддерживает простые файлы конфигурации, которые обеспечивают минимальный набор параметров настройки для песочницы. Эту функцию можно использовать с Windows 10 сборки 18342 или Windows 11. Windows Файлы конфигурации песочницы форматируются как XML и связаны с "Песочницой" с помощью .wsb расширения файла.

Файл конфигурации позволяет пользователю управлять следующими аспектами Windows песочницы:

  • vGPU (виртуализированный GPU): Включить или отключить виртуализированный GPU. Если vGPU отключен, в песочнице будет Windows advanced Rasterization Platform (WARP).
  • Networking: Включить или отключить доступ к сети в песочнице.
  • Mapped folders: Share folders from the host with read or write permissions. Обратите внимание, что разоблачение каталогов хостов может позволить вредоносным программам влиять на систему или украсть данные.
  • Команда Logon: команда, которая выполняется при Windows песочнице.
  • Входнаязапись звука. В песочницу делится вход микрофона хозяина.
  • Ввод видео: разделяет ввод веб-камеры в песочницу.
  • Защищенный клиент. Устанавливает повышенные параметры безопасности на сеансе RDP в песочницу.
  • Перенаправление принтера: разделяет принтеры из хоста в песочницу.
  • Перенаправлениебуфера обмена: разделяет буфер обмена хостов с песочницой, чтобы текст и файлы можно было вклеить взад и вперед.
  • Память в МБ: количество памяти в мегабайтах для назначения песочнице.

Создание файла конфигурации

Чтобы создать простой файл конфигурации:

Откройте обычный текстовый редактор или редактор исходных кодов (например, Блокнот, Visual Studio Code и т.д.)

Вставьте следующие строки:

Добавьте соответствующий текст конфигурации между двумя строками. Подробные сведения см. в примере синтаксиса и правильного синтаксиса.

Читайте так же:
LiMR — приложение для записи музыки, транслируемой онлайн

Сохраните файл с нужным именем, но убедитесь, что его расширение filename .wsb является . В Блокнот следует включить имя файла и расширение внутри двойных кавычках, например "My config file.wsb" .

Использование файла конфигурации

Чтобы использовать файл конфигурации, дважды щелкните его, чтобы Windows в соответствии с его настройками. Вы также можете вызвать его по командной строке, как показано здесь:

Ключевые слова, значения и ограничения

Включает или отключает общий доступ к GPU.

  • Включить: включает поддержку vGPU в песочнице.
  • Отключение: отключает поддержку vGPU в песочнице. Если это значение установлено, в песочнице будет применяться отрисовка программного обеспечения, которая может быть медленнее, чем виртуализированный GPU.
  • По умолчанию Это значение по умолчанию для поддержки vGPU. В настоящее время это означает, что vGPU отключен.

Включение виртуализированного GPU потенциально может увеличить поверхность атаки в песочнице.

Включает или отключает сеть в песочнице. Вы можете отключить доступ к сети, чтобы уменьшить поверхность атаки, подверженную песочнице.

  • Отключение. Отключение сетей в песочнице.
  • Значениепо умолчанию: это значение по умолчанию для сетевой поддержки. Это значение позволяет создавать сети, создавая виртуальный переключатель на хост и подключает песочницу к ней с помощью виртуальной NIC.

Включение сетей может выставлять ненавязаные приложения во внутреннюю сеть.

Mapped folders

Массив папок, каждая из которых представляет расположение на хост-машине, которые будут разделены в песочницу на указанном пути. В настоящее время относительные пути не поддерживаются. Если путь не указан, папка будет отложена на рабочий стол пользователя контейнера.

HostFolder: указывает папку на хост-машине для обмена в песочницу. Обратите внимание, что папка уже должна существовать на хосте, иначе контейнер не запустится.

SandboxFolder: указывает пункт назначения в песочнице для карты папки. Если папка не существует, она будет создана. Если не указана папка песочницы, папка будет отложена к настольному компьютеру контейнера.

ReadOnly. Если это так, обеспечивается доступ только для чтения к общей папке из контейнера. Поддерживаемые значения: true / false. По умолчанию значение false.

Файлы и папки, относящиеся к хосту, могут быть скомпрометированы приложениями в песочнице или могут повлиять на хост.

Команда Logon

Указывает одну команду, которая будет вызываться автоматически после входа в песочницу. Приложения в песочнице запускаются под учетной записью пользователя контейнера.

Команда: путь к исполняемой или скрипт в контейнере, который будет выполнен после входа.

Хотя очень простые команды будут работать (например, запуск исполняемого или скрипта), в файл скрипта следует поместить более сложные сценарии с несколькими шагами. Этот файл скрипта может быть соположен в контейнер с помощью общей папки, а затем выполнен директивой LogonCommand.

Аудиовход

Включает или отключает звуковой ввод в песочницу.

  • Включить: Включает аудиозаписи в песочнице. Если это значение заданной, песочница сможет получать аудиозаписи от пользователя. Приложения, которые используют микрофон, могут требовать этой возможности.
  • Отключение: отключает входную запись звука в песочнице. Если это значение заданной, песочница не может получать аудиозаписи от пользователя. Приложения, которые используют микрофон, могут не работать должным образом с этим параметром.
  • Значениепо умолчанию: это значение по умолчанию для поддержки аудиозаписи. В настоящее время это означает, что вход аудио включен.
Читайте так же:
ModernFlyouts — замена классических всплывающих панелей Windows 10 панелями в стиле Windows 10 X

Могут возникнуть последствия для безопасности при вводимом в контейнере аудиозаписи хост-хозяйского устройства.

Видеовход

Включает или отключает ввод видео в песочницу.

  • Включить: Включает ввод видео в песочнице.
  • Отключение. Отключение ввода видео в песочнице. Приложения, входящие в видео, могут не функционировать должным образом в песочнице.
  • Поумолчанию. Это значение по умолчанию для поддержки ввода видео. В настоящее время это означает отключение ввода видео. Приложения, входящие в видео, могут не функционировать должным образом в песочнице.

Могут возникнуть последствия для безопасности при размещении в контейнере ввода видео с хост-устройствами.

Защищенный клиент

Применяет дополнительные параметры безопасности к клиенту удаленного рабочего стола из песочницы, уменьшая его поверхность атаки.

  • Включить: выполняет Windows в режиме защищенного клиента. Если это значение установлено, в песочнице включено дополнительное смягчение последствий безопасности.
  • Отключение: выполняет песочницу в стандартном режиме без дополнительных мер по смягчению последствий безопасности.
  • Значениепо умолчанию: это значение по умолчанию для режима защищенного клиента. В настоящее время это означает, что песочница не работает в режиме Protected Client.

Этот параметр может ограничить возможность пользователя копировать или вклеить файлы в песочницу и из нее.

Перенаправление принтера

Включает или отключает общий доступ к принтеру из хоста в песочницу.

  • Включить: Позволяет совместное использование принтеров-хостов в песочнице.
  • Отключение. Отключение перенаправления принтера в песочнице. Если это значение заданной, песочница не может просматривать принтеры из хоста.
  • Поумолчанию. Это значение по умолчанию для поддержки перенаправления принтера. В настоящее время это означает, что перенаправление принтера отключено.

Перенаправление буфера обмена

Включает или отключает совместное использование буфера обмена хост-файлом с песочницой.

  • Отключение. Отключение перенаправления буфера обмена в песочнице. Если это значение установлено, копирование/вклейка в песочницу и из нее будет ограничена.
  • Поумолчанию. Это значение по умолчанию для перенаправления буфера обмена. В настоящее время копирование/вставка между хостом и песочницой разрешены по умолчанию.

Память в МБ

Указывает количество памяти, которое песочница может использовать в мегабайтах (МБ).

Если указанное значение памяти недостаточно для загрузки песочницы, оно автоматически увеличивается до необходимого минимального количества.

Пример 1

Следующий файл config можно использовать для легкой проверки загруженных файлов в песочнице. Для этого отключены сетевые сети и vGPU, а в песочнице разрешен доступ только для чтения к общей папке загрузки. Для удобства команда logon открывает папку загрузки в песочнице, когда она запущена.

Downloads.wsb

Пример 2

Следующий файл config устанавливает Visual Studio Code в песочнице, которая требует немного более сложной установки LogonCommand.

Две папки отложены в песочницу; первый (SandboxScripts) содержит VSCodeInstall.cmd, который установит и запустит Visual Studio Code. Предполагается, что вторая папка (CodingProjects) содержит файлы проектов, которые разработчик хочет изменить с Visual Studio Code.

Со сценарием Visual Studio Code установки, который уже зафиксен в песочнице, logonCommand может ссылаться на него.

голоса
Рейтинг статьи
Ссылка на основную публикацию