Noua funcționalitate Sandbox inclusă în Windows 10 oferă posibilitatea de a evalua în siguranță aplicațiile și documentele descărcate de pe internet, rulându-le într-un mediu virtual securizat. Este simplu de folosit, dar opțiunile de personalizare sunt stocate într-un fișier de configurare text.
Utilizarea Windows Sandbox este facilă, dacă este disponibilă
Această caracteristică este integrată în actualizarea din mai 2019 pentru Windows 10. După ce ați efectuat actualizarea, trebuie să dețineți edițiile Professional, Enterprise sau Education ale Windows 10. Nu este inclusă în versiunea Windows 10 Home. În cazul în care funcționalitatea Sandbox este disponibilă pe sistemul dumneavoastră, o puteți activa și lansa simplu din meniul Start.
Sandbox pornește, generează o copie a sistemului de operare Windows activ, restricționează accesul la dosarele personale și creează un desktop Windows nou, cu acces la internet. Înainte de includerea fișierului de configurare de către Microsoft, nu era posibilă personalizarea Sandbox-ului. Pentru a dezactiva accesul la internet, de obicei era necesar să faceți acest lucru imediat după pornire. Dacă aveți nevoie de acces la fișierele de pe sistemul gazdă, trebuia să le copiați și lipiți în Sandbox. În cazul în care era necesară instalarea anumitor programe, aceasta trebuia efectuată după lansarea Sandbox-ului.
Întrucât Windows Sandbox elimină întreaga instanță la închidere, era necesar să repetați procesul de configurare la fiecare lansare. Pe de o parte, acest lucru sporește securitatea sistemului. În cazul unei probleme, închiderea Sandbox elimină orice urmă a acesteia. Pe de altă parte, realizarea aceluiași set de modificări la fiecare lansare poate deveni rapid frustrantă.
Pentru a simplifica acest proces, Microsoft a introdus o funcție de configurare pentru Windows Sandbox. Prin intermediul fișierelor XML, puteți lansa Windows Sandbox cu setări prestabilite. Aveți posibilitatea de a ajusta restricțiile Sandbox. De exemplu, puteți dezactiva conexiunea la internet, configura partajarea dosarelor cu sistemul gazdă Windows 10 sau executa un script pentru a instala aplicații. Funcționalitățile sunt limitate în prima versiune Sandbox, dar Microsoft va adăuga probabil noi opțiuni în actualizările viitoare pentru Windows 10.
Cum se configurează Windows Sandbox
Instanța Sandbox a Windows 10 poate avea acces la un dosar partajat de pe sistemul de operare gazdă.
Acest ghid presupune că ați configurat deja Sandbox-ul pentru utilizare generală. Dacă nu ați făcut acest lucru, trebuie să îl activați mai întâi prin dialogul Funcții Windows.
Pentru început, veți avea nevoie de Notepad sau un alt editor de text preferat – noi preferăm Notepad++ – și un fișier nou, necompletat. Veți crea un fișier XML pentru configurație. Deși familiarizarea cu limbajul de codare XML este utilă, nu este obligatorie. După ce ați creat fișierul, îl veți salva cu extensia .wsb (prescurtare de la Windows Sand Box). Prin dublu clic pe acest fișier, veți lansa Sandbox-ul cu setările specificate.
După cum a explicat Microsoft, aveți mai multe opțiuni disponibile la configurarea Sandbox-ului. Puteți activa sau dezactiva vGPU (GPU virtual), activa sau dezactiva rețeaua, specifica un dosar partajat cu sistemul gazdă, stabili permisiuni de citire/scriere pentru acel dosar sau executa un script la lansare.
Folosind acest fișier de configurare, aveți posibilitatea să dezactivați GPU-ul virtual (care este activ în mod normal), să dezactivați rețeaua (activată implicit), să specificați un dosar partajat de pe sistemul gazdă (implicit aplicațiile din sandbox nu au acces la niciun dosar), să configurați permisiunile de citire/scriere pentru acel dosar și/sau să rulați un script la pornire.
Începeți prin a deschide Notepad sau editorul de text preferat și creați un fișier text nou. Adăugați textul următor:
Toate opțiunile pe care le veți introduce trebuie plasate între acești doi parametri. Puteți introduce o singură opțiune sau mai multe – nu este obligatorie includerea tuturor. În cazul în care nu specificați o opțiune, se va folosi valoarea implicită.
Cum să dezactivați GPU-ul virtual sau rețeaua
După cum subliniază Microsoft, activarea GPU-ului virtual sau a rețelei mărește potențialele căi pe care un software rău intenționat le poate folosi pentru a ieși din sandbox. Prin urmare, dacă testați ceva cu potențial periculos, dezactivarea acestor funcții poate fi o decizie prudentă.
Pentru a dezactiva GPU-ul virtual, activat implicit, adăugați următorul text în fișierul de configurare:
Disable
Pentru a dezactiva accesul la rețea, care este de asemenea activat implicit, adăugați următorul text:
Disable
Cum să mapați un dosar
Pentru a mapa un dosar, trebuie să specificați cu precizie dosarul pe care doriți să îl partajați și să stabiliți dacă acesta va fi doar pentru citire sau nu.
Maparea unui dosar are următoarea structură:
C:UsersPublicDownloads true
HostFolder este locul unde enumerați dosarul specific pe care doriți să îl partajați. În exemplul de mai sus, se partajează dosarul Public Downloads de pe sistemul Windows. ReadOnly specifică dacă Sandbox-ul poate scrie în dosar sau nu. Setați la true pentru a face dosarul doar pentru citire sau la false pentru a permite scrierea.
Este important de reținut că, prin crearea unei legături între un dosar de pe sistemul gazdă și Windows Sandbox, introduceți potențiale riscuri în sistem. Permiterea scrierii de către Sandbox crește acest risc. Dacă testați ceva care considerați că ar putea fi periculos, nu ar trebui să utilizați această opțiune.
Cum să rulați un script la lansare
În final, aveți posibilitatea de a executa scripturi personalizate sau comenzi de bază. Puteți, de exemplu, să configurați Sandbox-ul să deschidă un dosar mapat la lansare. Fișierul cu această configurare ar arăta astfel:
C:UsersPublicDownloads true explorer.exe C:usersWDAGUtilityAccountDesktopDownloads
WDAGUtilityAccount este utilizatorul implicit pentru Windows Sandbox, așadar vă veți referi întotdeauna la acesta când deschideți dosare sau fișiere printr-o comandă.
Din păcate, în versiunea premergătoare lansării actualizării din mai 2019 a Windows 10, opțiunea LogonCommand nu funcționează conform așteptărilor. Nu executa nicio acțiune, nici măcar atunci când am folosit exemplul din documentația Microsoft. Este probabil ca Microsoft să rezolve această problemă în scurt timp.
Cum să lansați Sandbox-ul cu setările personalizate
După ce ați finalizat configurația, salvați fișierul cu extensia .wsb. De exemplu, dacă editorul de text îl salvează ca Sandbox.txt, salvați-l ca Sandbox.wsb. Pentru a lansa Windows Sandbox cu setările personalizate, faceți dublu clic pe fișierul .wsb. Îl puteți plasa pe desktop sau puteți crea o comandă rapidă în meniul Start.
Pentru un plus de confort, puteți descărca acest fișier DisabledNetwork pentru a vă economisi câțiva pași. Acesta are extensia .txt, dar trebuie să o redenumiți cu extensia .wsb pentru a lansa Windows Sandbox.