Windows 10 je nový Funkce karantény umožňuje bezpečně testovat programy a soubory stažené z internetu spuštěním v zabezpečeném kontejneru. Jeho použití je snadné, ale jeho nastavení je uloženo v textovém konfiguračním souboru.
Sandbox systému Windows se snadno používá, pokud jej máte
Tato funkce je součástí Aktualizace systému Windows 10 z května 2019 . Jakmile si aktualizaci nainstalujete, budete také muset používat edice Windows 10. Professional, Enterprise nebo Education. Není k dispozici pro Windows 10 Home. Pokud je však ve vašem systému k dispozici, můžete snadno aktivujte funkci Sandbox a poté jej spusťte z nabídky Start.
PŘÍBUZNÝ: Jak používat nový sandbox systému Windows 10 (pro bezpečné testování aplikací)
Spustí se sandbox, vytvoří kopii vašeho aktuálního operačního systému Windows, odebere přístup k vašim osobním složkám a poskytne vám čistou plochu systému Windows s přístupem k internetu. Než společnost Microsoft přidala tento konfigurační soubor, Sandbox jste nemohli vůbec přizpůsobit. Pokud jste přístup k internetu nechtěli, bylo nutné jej ihned po spuštění deaktivovat. Pokud jste potřebovali přístup k souborům v hostitelském systému, museli jste je zkopírovat a vložit do karantény. A pokud jste chtěli nainstalovat konkrétní programy třetích stran, musíte je nainstalovat po spuštění Sandboxu.
Protože Windows Sandbox při zavření zcela odstraní svoji instanci, bylo nutné při každém spuštění projít tímto procesem přizpůsobení. Na jedné straně to zajišťuje bezpečnější systém. Pokud se něco pokazí, zavřete Sandbox a vše bude smazáno. Na druhou stranu, pokud potřebujete pravidelně provádět změny, bude to při každém spuštění rychle frustrující.
Abychom tento problém zmírnili, společnost Microsoft představila konfigurační funkci pro Windows Sandbox. Pomocí souborů XML můžete spustit Windows Sandbox s nastavenými parametry. Omezení pískoviště můžete zpřísnit nebo uvolnit. Můžete například zakázat připojení k internetu, konfigurovat sdílené složky s hostitelskou kopií systému Windows 10 nebo spustit skript pro instalaci aplikací. Možnosti jsou v první verzi funkce Sandbox trochu omezené, ale Microsoft pravděpodobně přidá další v budoucích aktualizacích systému Windows 10.
Jak konfigurovat sandbox systému Windows
Tato příručka předpokládá, že jste již nastavili Sandbox pro obecné použití. Pokud jste to ještě neudělali, budete muset nejprve jej povolte pomocí dialogového okna Funkce systému Windows .
Pro začátek budete potřebovat Poznámkový blok nebo oblíbený textový editor - to se nám líbí Poznámkový blok ++ —A prázdný nový soubor. Vytvoříte soubor XML pro konfiguraci. Zatímco obeznámenost s Kódovací jazyk XML je užitečné, není to nutné. Jakmile máte soubor na místě, uložíte jej s příponou .wsb (myslím Windows Sand Box). Poklepáním na soubor spustíte Sandbox se zadanou konfigurací.
Tak jako vysvětluje Microsoft , při konfiguraci karantény máte na výběr z několika možností. Můžete povolit nebo zakázat vGPU (virtualizovaný GPU), zapnout nebo vypnout síť, určit sdílenou složku hostitele, nastavit oprávnění pro čtení a zápis v této složce nebo spustit skript při spuštění.
Pomocí tohoto konfiguračního souboru můžete deaktivovat virtualizovaný grafický procesor (ve výchozím nastavení je povolen), vypnout síť (ve výchozím nastavení je zapnutý), určit sdílenou složku hostitele (aplikace v karanténě nemají ve výchozím nastavení přístup k žádné), nastavit čtení / oprávnění k zápisu do této složky a / nebo spuštění skriptu při spuštění
Nejprve otevřete Poznámkový blok nebo oblíbený textový editor a začněte s novým textovým souborem. Přidejte následující text:
<Konfigurace> </Configuration>
Všechny možnosti, které přidáte, musí být mezi těmito dvěma parametry. Můžete přidat pouze jednu možnost nebo všechny - nemusíte zahrnout všechny. Pokud nezadáte možnost, použije se výchozí.
Jak zakázat virtuální GPU nebo síť
Jak zdůrazňuje Microsoft, virtuální GPU nebo síťové připojení zvyšuje možnosti škodlivého softwaru, který může použít k vymanění se z karantény. Pokud tedy testujete něco, čeho se obzvlášť obáváte, mohlo by být rozumné je deaktivovat.
Chcete-li deaktivovat virtuální GPU, který je ve výchozím nastavení povolen, přidejte do konfiguračního souboru následující text.
<VGpu> Zakázat </VGpu>
Chcete-li zakázat přístup k síti, který je ve výchozím nastavení povolen, přidejte následující text.
<Síť> Zakázat </Networking>
Jak mapovat složku
Chcete-li namapovat složku, budete muset přesně upřesnit, kterou složku chcete sdílet, a poté určit, zda má být složka pouze ke čtení.
Mapování složky vypadá takto:
<MappedFolders> <MappedFolder> <HostFolder> C: \ Users \ Public \ Downloads </HostFolder> <ReadOnly> pravda </ReadOnly> </MappedFolder> </MappedFolders>
HostFolder
je místo, kde vypisujete konkrétní složku, kterou chcete sdílet. Ve výše uvedeném příkladu je sdílena složka Veřejné stahování nalezená v systémech Windows.
Pouze ke čtení
nastavuje, zda může sandbox do složky zapisovat nebo ne. Nastavit na
skutečný
aby složka byla jen pro čtení nebo
Nepravdivé
aby to bylo zapisovatelné.
Mějte na paměti, že v zásadě zavádíte riziko pro svůj systém propojením složky mezi hostitelem a Windows Sandbox. Poskytnutí přístupu pro zápis do karantény zvyšuje toto riziko. Pokud testujete cokoli, o čem si myslíte, že by mohlo být škodlivé, neměli byste tuto možnost používat.
Jak spustit skript při spuštění
Nakonec můžete spustit vlastní vytvořené skripty nebo základní příkazy. Můžete například přinutit Sandbox, aby po spuštění otevřel namapovanou složku. Vytvoření tohoto souboru by vypadalo takto:
<MappedFolders> <MappedFolder> <HostFolder> C: \ Users \ Public \ Downloads </HostFolder> <ReadOnly> pravda </ReadOnly> </MappedFolder> </MappedFolders> <Přihlašovací příkaz> <Command> explorer.exe C: \ users \ WDAGUtilityAccount \ Desktop \ Downloads </Command> </LogonCommand>
WDAGUtilityAccount je výchozí uživatel pro Windows Sandbox, takže na něj budete vždy odkazovat při otevírání složek nebo souborů jako součásti příkazu.
Bohužel v připravovaném vydání aktualizace systému Windows 10 z května 2019 aktualizace
LogonCommand
Zdá se, že tato volba nefunguje podle očekávání. Neudělalo to vůbec nic, i když jsme použili příklad v dokumentaci Microsoftu. Microsoft pravděpodobně tuto chybu brzy opraví.
Jak spustit sandbox s nastavením
Po dokončení soubor uložte a přidejte mu příponu .wsb. Například pokud jej váš textový editor uloží jako Sandbox.txt, uložte jej jako Sandbox.wsb. Chcete-li spustit sandbox systému Windows s vaším nastavením, poklepejte na soubor .wsb. Můžete jej umístit na plochu nebo k němu vytvořit zástupce v nabídce Start.
Pro vaše pohodlí si jej můžete stáhnout DisabledNetwork soubor abych vám ušetřil pár kroků. Soubor má příponu txt, přejmenujte jej na příponu .wsb a jste připraveni spustit Windows Sandbox.
