В останньому релізі Windows 10 1903 з'явився новий функціонал "пісочниці" - Windows Sandbox. Вбудована пісочниця Windows заснована на можливостях компонента Hyper-V і концепції контейнерів, і дозволяє створити тимчасову ізольоване середовище для запуску недовірених додатків або потенційно-небезпечного ПО або навіть вірусів. При цьому всі ПО, яке ви запускаєте усередині цієї пісочниці не може торкнутися хостовую операційну систему. При закритті Sandbox всі внесені зміни не зберігаються і при наступному запуску пісочниця знову запускається в чистому вигляді. У цій статті ми розглянемо, як встановити, налаштувати і використовувати Sandbox в Windows 10.
зміст:
- Як включити Sandbox в Windows 10?
- Використання пісочниці Windows
- Файли Windows Sandbox
- Пісочниця в Windows 10 Home
Windows Sandbox є невеликою віртуальну машину (розмір образу близько 100 Мб). Повноцінний функціонал Windows 10 в цій пісочниці досягається завдяки використанню існуючих файлів ядра ОС з хостовой Windows 10 (зсередини sandbox не можна змінити або видалити ці файли). Завдяки цьому віртуальна машина з пісочницею споживає набагато менше системних ресурсів, завантажується і працює швидко
На відміну від класичної віртуальної машини при використанні Sandbox вам не потрібно тримати окрему ВМ, встановлювати на неї ОС і оновлення. За рахунок того, що в контейнері використовуються бінарні і DLL файли вашої копії Windows (як з диска, так і завантажені в пам'яті), розмір такої ВМ мінімальний (вам не потрібно зберігати віртуальний диск з ВМ цілком)
Для використання Windows Sandbox ваш комп'ютер повинен відповідати таким вимогам:
- 64-бітна архітектура процесора (мінімум двоядерний процесор);
- Windows 10 1903 (build 18362 або новіший) в редакції Pro або Enterprise;
- Включена підтримка віртуалізації в BIOS / UEFI (підтримується практично всіма сучасними пристроями, в тому числі ноутбуками і планшетами);
- Не менш 4 Гб пам'яті і 1 Гб вільного місця на диску (бажано SSD).
Як включити Sandbox в Windows 10?
За замовчуванням функція Sandbox в Windows 10 відключена. Щоб включити її, відкрийте Панель Управління -> Programs and Features -> Turn Windows features on or off (або виконайте команду optionalfeatures.exe) І в списку можливостей Windows 10 виберіть Windows Sandbox.
Set-VMProcessor -VMName win10vm_name -ExposeVirtualizationExtensions $ true
У VMWare vSphere для ВМ потрібно включити опцію Expose hardware assisted virtualization to the guest OS (Див. Статтю).
Ви також можете включити Sandbox з PowerShell:
Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -Online
Після установки компонента потрібно перезавантажити комп'ютер.
Використання пісочниці Windows
Після перезавантаження в стартовому меню знайдіть і запустіть Windows Sandbox або запустіть його командою WindowsSandbox.exe.
В результаті відкриється вікно пісочниці і ви побачите робочий стіл вашого чистого чином Windows 10 з настройками за замовчуванням. При цьому в "пісочної" ОС вже інтегровані останні оновлення безпеки та драйвера, і вам не потрібно оновлювати гостьову систему окремо, як у випадку з традиційною віртуальною машиною.
Тепер ви можете cкопіровать будь виконуваний файл з вашого комп'ютера в пісочницю за допомогою операцій copy & paste або drag & drop, встановити додаток, запустити і досліджувати його в безпечному оточенні. Після закінчення експериментів просто закрийте додаток Windows Sandbox і весь вміст пісочниці буде видалено.
При закритті вікна Sandbox попередження:
Are you sure you want to close Windows Sandbox? Once Windows Sandbox is closed all of its content will be discarded and permanently lost.
Файли Windows Sandbox
За замовчуванням Windows Sandbox використовує для чистий образ Windows 10. Однак ви можете самостійно налаштувати середу Windows Sandbox за допомогою конфігураційних файлів. Наприклад, для пісочниці ви можете включити або відключити віртуальний графічний адаптер, дозволити (відключити) доступ до мережі, подмонтировать каталог з хостовой ОС або виконати скрипт при завантаженні. Дані конфігураційні файли застосовуються при завантаженні ОС в пісочниці.
Конфігураційний файл Windows Sandbox є XML документ з розширенням .wsb. На даний момент в файлі конфігурації Sandbox можна налаштувати такі параметри:
- Віртуальну відеокарти (vGPU)
- Доступ до мережі (Networking)
- Загальні папки (Shared folders)
- Скрипти (Startup script)
Розглянемо невеликий приклад конфігураційного файлу Windows Sandbox (коментарі дано прямо по тексту XML файлу):
Default
Enabled
C: \ Users \ root \ Downloads
true
C: \ users \ WDAGUtilityAccount \ Desktop \ Downloads \ SandboxScript \ preconfigure.bat
За допомогою конфігураційного файлу ви можете змонтувати з хоста каталог з різними утилітами для налагодження і тестування додатків (ProcMon, ProcessExplorer і т.д.)
Щоб запустити Windows Sandbox за допомогою вашого конфігураційного файлу досить двічі клацнути по файлу .wsb.
Ви можете запустити тільки одну копію Sandbox. При спробі відкрити другу пісочницю з'явиться повідомлення:
Only one running instance of Windows Sandbox is allowed.
Пісочниця в Windows 10 Home
Windows Sandbox офіційно не підтримується в домашній редакції Windows 10 Home, однак ви можете включити цей компонент за допомогою наступного скрипта:
dir / b% SystemRoot% \ servicing \ Packages \ * Containers * .mum> sandbox_cont.txt
for / f %% i in ( 'findstr / i. sandbox_cont.txt 2 ^> nul') do dism / online / norestart / add-package: "% SystemRoot% \ servicing \ Packages \ %% i"
del sandbox_cont.txt
Dism / online / enable-feature / featurename: Containers-DisposableClientVM / LimitAccess / ALL
pause
Щоб видалити пісочницю, використовуйте наступну PowerShell команду:
Disable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -Online
Отже, Sandbox в Windows 10 надає досить цікаві можливості для тестування, перевірки та аналізу роботи недовірених або небезпечних виконуваних файлів. Будь-які зміни в пісочниці не зберігаються в ній після її закриття. За рахунок використання компонентів поточного способу Windows 10 пісочниця завантажується досить швидко і не споживає ресурси хоста, як повноцінна віртуальна машина.
