Как настроить песочницу windows 10

Как включить Windows Sandbox. Встроенная песочница Windows 10

Песочница Windows (Windows Sandbox) позволяет пользователям редакций Windows 10 Pro и Windows 10 Enterprise запускать подозрительные приложения в изолированном виртуальном пространстве, чтобы они не могли внести изменения в основную хост-систему. После закрытия сеанса песочницы, все файлы и приложения будут удалены навсегда.

Системные требования для Windows Sandbox

Для работы Песочницы Windows необходимо выполнение следующих требований:

• Windows 10 Pro или Enterprise – Windows 10 (версия 1903), KB4512941 (Build 18362.329) или выше.
• Архитектура x86-64 (также AMD64/Intel64/EM64T).
• Включение виртуализации в BIOS.
• Минимум 4 ГБ ОЗУ (рекомендуется 8 ГБ ОЗУ).
• Минимум 1 ГБ свободного дискового пространства (рекомендуется SSD).
• Минимум двухядерный процессор (рекомендуется четырехядерный процессор с поддержкой технологии Hyperthreading).

В статье, опубликованной в официальном блоге Microsoft, сообщается, что новая функция использует технологии на основе контейнеров Windows. Инженеры интегрировали Windows 10 в данные контейнеры и применили новую технологию “Integrated Scheduler”, которая позволяет хост-системе решать, когда нужно запустить изолированную среду.

Основная идея Windows Sandbox заключается в том, чтобы добавить возможность запуска приложений в изолированной среде, обеспечивая при этом все необходимые функции безопасности, требуемые от виртуальной машины.

Как включить и использовать песочницу Windows Sandbox в Windows 10

Необходимые условия

• Установите Windows 10 Pro или Enterprise, KB4512941 (Build 18362.329) или выше.
• Включите виртуализацию:
  • Если вы используете физический компьютер, убедитесь, что в BIOS включена функция виртуализации.
  • Если вы используете виртуальную машину, включите встроенную виртуализацию с помощью этого командлета PowerShell:
  • Set-VMProcessor -VMName -ExposeVirtualizationExtensions $true

Как включить / выключить Песочницу Windows

Как включить / выключить Песочницу Windows в меню Компоненты Windows

• Откройте меню Компоненты Windows (Панель управления > Программы > Программы и компоненты > Включение и отключение компонентов Windows) и выберите Песочница Windows. Нажмите OK, чтобы установить песочницу. Может понадобиться перезагрузка компьютера.

Как включить / выключить Песочницу Windows с помощью PowerShell

• Запустите PowerShell от имени администратора (введите powershell в поиске меню Пуск и выберите «Запуск от имени администратора»).
• Выполните следующую команду, чтобы включить Песочницу Windows:

• Выполните следующую команду, чтобы отключить Песочницу Windows:

Как включить / выключить Песочницу Windows с помощью Командной строки

• Запустите Командную строку от имени администратора (введите cmd в поиске меню Пуск и выберите «Запуск от имени администратора»)
• Выполните следующую команду, чтобы включить Песочницу Windows:

• Выполните следующую команду, чтобы отключить Песочницу Windows:

Запуск и использование Песочницы Windows

• Используя меню «Пуск», найдите Windows Sandbox, запустите ее и разрешите повышение привилегий.
• Скопируйте исполняемый файл с основной хост-системы.
• Вставьте исполняемый файл в окно песочницы Windows Sandbox (на рабочем столе Windows).
• Запустите исполняемый файл в песочнице Windows Sandbox; если это установщик, продолжайте и установите его.
• Запустите приложение и используйте его как обычно.
• Когда вы закончите экспериментировать, вы можете просто закрыть приложение Windows Sandbox. Все содержимое песочницы будет окончательно удалено.
• Убедитесь, что на хост-системе нет изменений, внесенных вами в песочницу Windows Sandbox.

• Вы также можете использовать файлы конфигурации (WSB) или утилиту Windows Sandbox Editor для запуска песочницы с заданными параметрами: использование vGPU, поддержка сети, общие папки, скрипты и программы автозагрузки.

Источник

Песочница Windows 10 — как включить, настроить и использовать

Одно из самых интересных нововведений последней версии Windows 10 — Песочница (Windows Sandbox), специальное окружение, позволяющее запускать ненадежные программы без последствий для основной операционной системы: своего рода упрощенная виртуальная машина, цель которой дать пользователям без опаски выполнить запуск любой программы. То же самое можно сделать и с использованием виртуальных машин Hyper-V или VirtualBox, но Windows Sandbox будет более простым инструментом для начинающих пользователей.

В этой инструкции подробно о том, как включить (установить) песочницу Windows 10, о возможных настройках, а также некоторая дополнительная информация, которая может оказаться полезной. На всякий случай отмечу, что функция доступна только начиная с Windows 10 версии 1903 в Профессиональной и Корпоративной редакциях, но при желании, включить песочницу можно и в Windows 10 Домашняя. Также может быть полезным: Использование бесплатной песочницы Sandboxie для запуска программ в изолированной среде.

Установка песочницы Windows 10 (Windows Sandbox)

Для установки песочницы в Windows 10, при условии, что ваша система соответствует указанным выше параметрам, достаточно выполнить следующие действия:

1. Откройте панель управления (для этого можно использовать поиск в панели задач или нажать Win+R и ввести control), переключите вид панели управления на «Значки», а затем откройте пункт «Программы и компоненты».
2. В меню слева нажмите «Включение и отключение компонентов Windows».
3. В списке компонентов найдите «Песочница Windows» и включите его.
4. Нажмите Ок, дождитесь завершения установки и перезагрузите компьютер.
5. На этом Windows Sandbox установлен и готов к работе: соответствующий пункт появится в меню «Пуск».
6. При запуске песочницы запускается чистая виртуальная машина Windows 10 с доступом к сети и возможностью безопасно запускать практически любые программы внутри (доступа к вашим программам и файлам по умолчанию нет).

В случае если пункт «Песочница Windows» неактивен, а при наведении на него указателя мыши вы видите сообщение «Не удается установить Песочницу Windows: у процессора нет требуемых возможностей виртуализации», это может говорить о том, что в БИОС/UEFI отключена виртуализация или ваш компьютер оснащен недорогим процессором без поддержки виртуализации.

Для включения виртуализации в БИОС, при наличии функции, найдите пункт VT-x (Intel Virtualization Technology) или AMD-v в параметрах (обычно в Advanced Configuration) и включите его (установите в Enabled), затем сохраните сделанные изменения и перезагрузите компьютер.

Настройки Windows Sandbox

После запуска Песочница Windows — это чистая система, без доступа к вашим файлам в основной системе (что может быть нужно), зато с доступом к сети (что представляет потенциальную опасность). При необходимости, вы можете настроить поведение Windows Sandbox с помощью специальных файлов конфигурации, представляющих собой обычный текстовый файл XML с расширением .wsb. Таких файлов может быть несколько: в зависимости от того, с какими параметрами требуется запустить песочницу, запускаете нужный файл. Обновление: появилась утилита для автоматического создания файлов конфигурации, подробно: Настройка Песочницы Windows 10 в Sandbox Configuration Manager (Sandbox Editor).

Содержимое файла должно начинаться с и заканчивать , а среди доступных параметров, которые указываются внутри этих тегов есть следующие.

Отключение доступа к сети:

Отключение доступа к виртуальному графическому адаптеру (изображение не исчезнет, но исчезнут функции ускорения графики):

Проброс папок с основной системы в песочницу Windows (параметр ReadOnly задает доступ только для чтения, при указании False возможна будет и запись):

Подключенные папки будут отображаться на рабочем столе (также возможен доступ по пути C:\Users\WDAGUtilityAccount\Desktop\Имя_папки внутри песочницы).

Запуск команды при открытии песочницы:

Все эти параметры можно компоновать в рамках одного файла конфигурации .wsb, который можно создать с помощью любого текстового редактора, даже встроенного «Блокнота» (при его использовании в диалоге сохранения в поле «Тип файла» выберите «Все файлы» и при сохранении укажите расширение .wsb). На скриншоте ниже — пример такого файла конфигурации.

В этом файле отключается доступ к сети и GPU, подключаются две папки с основной машины и при входе запускается Проводник.

Видео по установке и настройке Песочницы

Дополнительная информация

Дополнительные нюансы, которые могут быть полезны:

• Между основной системой и песочницей Windows работает буфер обмена, с помощью которого вы можете легко «передать» файлы в Sandbox без создания wsb файлов конфигурации.
• Каждый раз при закрытии песочницы всё её содержимое очищается. При необходимости сохранять результаты работы, используйте общие папки.
• Как уже было отмечено выше, невозможность включить песочницу Windows (неактивна в компонентах) связана с отключенной виртуализацией или с отсутствием её поддержки процессором.
• Ошибка 0x80070002 «Не удается найти указанный файл» при запуске песочницы может говорить о разных проблемах. В первую очередь, на финальном релизе с этим столкнулись владельцы ОС на языке, отличном от английского и Майкрософт обещает это исправить. Обновление: ошибка исправлена в обновлении KB4512941. Самостоятельное исправление (уже не актуально): установить английскую ОС, а уже затем на нее русский языковой пакет.

Источник

Конфигурация Песочницы Windows

Windows Песочница поддерживает простые файлы конфигурации, которые обеспечивают минимальный набор параметров настройки для песочницы. Эту функцию можно использовать с Windows 10 сборки 18342 или Windows 11. Windows Файлы конфигурации песочницы форматируются как XML и связаны с «Песочницой» с помощью .wsb расширения файла.

Файл конфигурации позволяет пользователю управлять следующими аспектами Windows песочницы:

• vGPU (виртуализированный GPU): Включить или отключить виртуализированный GPU. Если vGPU отключен, в песочнице будет Windows advanced Rasterization Platform (WARP).
• Networking: Включить или отключить доступ к сети в песочнице.
• Mapped folders: Share folders from the host with read or write permissions. Обратите внимание, что разоблачение каталогов хостов может позволить вредоносным программам влиять на систему или украсть данные.
• Команда Logon: команда, которая выполняется при Windows песочнице.
• Входнаязапись звука. В песочницу делится вход микрофона хозяина.
• Ввод видео: разделяет ввод веб-камеры в песочницу.
• Защищенный клиент. Устанавливает повышенные параметры безопасности на сеансе RDP в песочницу.
• Перенаправление принтера: разделяет принтеры из хоста в песочницу.
• Перенаправлениебуфера обмена: разделяет буфер обмена хостов с песочницой, чтобы текст и файлы можно было вклеить взад и вперед.
• Память в МБ: количество памяти в мегабайтах для назначения песочнице.

Создание файла конфигурации

Чтобы создать простой файл конфигурации:

Откройте обычный текстовый редактор или редактор исходных кодов (например, Блокнот, Visual Studio Code и т.д.)

Вставьте следующие строки:

Добавьте соответствующий текст конфигурации между двумя строками. Подробные сведения см. в примере синтаксиса и правильного синтаксиса.

Сохраните файл с нужным именем, но убедитесь, что его расширение filename .wsb является . В Блокнот следует включить имя файла и расширение внутри двойных кавычках, например «My config file.wsb» .

Использование файла конфигурации

Чтобы использовать файл конфигурации, дважды щелкните его, чтобы Windows в соответствии с его настройками. Вы также можете вызвать его по командной строке, как показано здесь:

Ключевые слова, значения и ограничения

Включает или отключает общий доступ к GPU.

• Включить: включает поддержку vGPU в песочнице.
• Отключение: отключает поддержку vGPU в песочнице. Если это значение установлено, в песочнице будет применяться отрисовка программного обеспечения, которая может быть медленнее, чем виртуализированный GPU.
• По умолчанию Это значение по умолчанию для поддержки vGPU. В настоящее время это означает, что vGPU отключен.

Включение виртуализированного GPU потенциально может увеличить поверхность атаки в песочнице.

Включает или отключает сеть в песочнице. Вы можете отключить доступ к сети, чтобы уменьшить поверхность атаки, подверженную песочнице.

• Отключение. Отключение сетей в песочнице.
• Значениепо умолчанию: это значение по умолчанию для сетевой поддержки. Это значение позволяет создавать сети, создавая виртуальный переключатель на хост и подключает песочницу к ней с помощью виртуальной NIC.

Включение сетей может выставлять ненавязаные приложения во внутреннюю сеть.

Mapped folders

Массив папок, каждая из которых представляет расположение на хост-машине, которые будут разделены в песочницу на указанном пути. В настоящее время относительные пути не поддерживаются. Если путь не указан, папка будет отложена на рабочий стол пользователя контейнера.

HostFolder: указывает папку на хост-машине для обмена в песочницу. Обратите внимание, что папка уже должна существовать на хосте, иначе контейнер не запустится.

SandboxFolder: указывает пункт назначения в песочнице для карты папки. Если папка не существует, она будет создана. Если не указана папка песочницы, папка будет отложена к настольному компьютеру контейнера.

ReadOnly. Если это так, обеспечивается доступ только для чтения к общей папке из контейнера. Поддерживаемые значения: true / false. По умолчанию значение false.

Файлы и папки, относящиеся к хосту, могут быть скомпрометированы приложениями в песочнице или могут повлиять на хост.

Команда Logon

Указывает одну команду, которая будет вызываться автоматически после входа в песочницу. Приложения в песочнице запускаются под учетной записью пользователя контейнера.

Команда: путь к исполняемой или скрипт в контейнере, который будет выполнен после входа.

Хотя очень простые команды будут работать (например, запуск исполняемого или скрипта), в файл скрипта следует поместить более сложные сценарии с несколькими шагами. Этот файл скрипта может быть соположен в контейнер с помощью общей папки, а затем выполнен директивой LogonCommand.

Аудиовход

Включает или отключает звуковой ввод в песочницу.

• Включить: Включает аудиозаписи в песочнице. Если это значение заданной, песочница сможет получать аудиозаписи от пользователя. Приложения, которые используют микрофон, могут требовать этой возможности.
• Отключение: отключает входную запись звука в песочнице. Если это значение заданной, песочница не может получать аудиозаписи от пользователя. Приложения, которые используют микрофон, могут не работать должным образом с этим параметром.
• Значениепо умолчанию: это значение по умолчанию для поддержки аудиозаписи. В настоящее время это означает, что вход аудио включен.

Могут возникнуть последствия для безопасности при вводимом в контейнере аудиозаписи хост-хозяйского устройства.

Видеовход

Включает или отключает ввод видео в песочницу.

• Включить: Включает ввод видео в песочнице.
• Отключение. Отключение ввода видео в песочнице. Приложения, входящие в видео, могут не функционировать должным образом в песочнице.
• Поумолчанию. Это значение по умолчанию для поддержки ввода видео. В настоящее время это означает отключение ввода видео. Приложения, входящие в видео, могут не функционировать должным образом в песочнице.

Могут возникнуть последствия для безопасности при размещении в контейнере ввода видео с хост-устройствами.

Защищенный клиент

Применяет дополнительные параметры безопасности к клиенту удаленного рабочего стола из песочницы, уменьшая его поверхность атаки.

• Включить: выполняет Windows в режиме защищенного клиента. Если это значение установлено, в песочнице включено дополнительное смягчение последствий безопасности.
• Отключение: выполняет песочницу в стандартном режиме без дополнительных мер по смягчению последствий безопасности.
• Значениепо умолчанию: это значение по умолчанию для режима защищенного клиента. В настоящее время это означает, что песочница не работает в режиме Protected Client.

Этот параметр может ограничить возможность пользователя копировать или вклеить файлы в песочницу и из нее.

Перенаправление принтера

Включает или отключает общий доступ к принтеру из хоста в песочницу.

• Включить: Позволяет совместное использование принтеров-хостов в песочнице.
• Отключение. Отключение перенаправления принтера в песочнице. Если это значение заданной, песочница не может просматривать принтеры из хоста.
• Поумолчанию. Это значение по умолчанию для поддержки перенаправления принтера. В настоящее время это означает, что перенаправление принтера отключено.

Перенаправление буфера обмена

Включает или отключает совместное использование буфера обмена хост-файлом с песочницой.

• Отключение. Отключение перенаправления буфера обмена в песочнице. Если это значение установлено, копирование/вклейка в песочницу и из нее будет ограничена.
• Поумолчанию. Это значение по умолчанию для перенаправления буфера обмена. В настоящее время копирование/вставка между хостом и песочницой разрешены по умолчанию.

Память в МБ

Указывает количество памяти, которое песочница может использовать в мегабайтах (МБ).

Если указанное значение памяти недостаточно для загрузки песочницы, оно автоматически увеличивается до необходимого минимального количества.

Пример 1

Следующий файл config можно использовать для легкой проверки загруженных файлов в песочнице. Для этого отключены сетевые сети и vGPU, а в песочнице разрешен доступ только для чтения к общей папке загрузки. Для удобства команда logon открывает папку загрузки в песочнице, когда она запущена.

Downloads.wsb

Пример 2

Следующий файл config устанавливает Visual Studio Code в песочнице, которая требует немного более сложной установки LogonCommand.

Две папки отложены в песочницу; первый (SandboxScripts) содержит VSCodeInstall.cmd, который установит и запустит Visual Studio Code. Предполагается, что вторая папка (CodingProjects) содержит файлы проектов, которые разработчик хочет изменить с Visual Studio Code.

Со сценарием Visual Studio Code установки, который уже зафиксен в песочнице, logonCommand может ссылаться на него.

Источник