Windows Sandbox เป็นสภาพแวดล้อมเดสก์ท็อปแบบแยกส่วนชั่วคราวที่คุณสามารถเรียกใช้ซอฟต์แวร์ที่ไม่น่าเชื่อถือได้โดยไม่ต้องกลัวว่าจะส่งผลกระทบต่อพีซีของคุณในระยะยาว ตอนนี้ Windows Sandbox รองรับไฟล์คอนฟิกูเรชันอย่างง่าย (นามสกุลไฟล์. wsb) ซึ่งให้การสนับสนุนสคริปต์น้อยที่สุด คุณสามารถใช้คุณสมบัตินี้ใน Windows Insider build 18342 ล่าสุด
ซอฟต์แวร์ใด ๆ ที่ติดตั้งใน Windows Sandbox จะอยู่ในแซนด์บ็อกซ์เท่านั้นและไม่สามารถส่งผลกระทบต่อโฮสต์ของคุณได้ เมื่อปิด Windows Sandbox ซอฟต์แวร์ทั้งหมดที่มีไฟล์และสถานะทั้งหมดจะถูกลบอย่างถาวร
Windows Sandbox มีคุณสมบัติดังต่อไปนี้:
วิธีรับช่องท้องถิ่นด้วย roku
- ส่วนหนึ่งของ Windows - ทุกสิ่งที่จำเป็นสำหรับคุณสมบัตินี้มาพร้อมกับ Windows 10 Pro และ Enterprise ไม่จำเป็นต้องดาวน์โหลด VHD!
- บริสุทธิ์ - ทุกครั้งที่ Windows Sandbox ทำงานมันจะสะอาดเหมือนการติดตั้ง Windows ใหม่เอี่ยม
- ใช้แล้วทิ้ง - ไม่มีอะไรติดอยู่ในอุปกรณ์ ทุกอย่างจะถูกทิ้งหลังจากที่คุณปิดแอปพลิเคชัน
- ปลอดภัย - ใช้การจำลองเสมือนบนฮาร์ดแวร์สำหรับการแยกเคอร์เนลซึ่งอาศัยไฮเปอร์ไวเซอร์ของ Microsoft เพื่อเรียกใช้เคอร์เนลแยกต่างหากซึ่งแยก Windows Sandbox ออกจากโฮสต์
- มีประสิทธิภาพ - ใช้ตัวกำหนดตารางเวลาเคอร์เนลในตัวการจัดการหน่วยความจำอัจฉริยะและ GPU เสมือน
มีข้อกำหนดเบื้องต้นต่อไปนี้สำหรับการใช้คุณสมบัติ Windows Sandbox:
การโฆษณา
- Windows 10 Pro หรือ Enterprise build 18305 หรือใหม่กว่า
- สถาปัตยกรรม AMD64
- ความสามารถในการจำลองเสมือนเปิดใช้งานใน BIOS
- RAM อย่างน้อย 4GB (แนะนำ 8GB)
- เนื้อที่ว่างบนดิสก์อย่างน้อย 1 GB (แนะนำให้ใช้ SSD)
- คอร์ CPU อย่างน้อย 2 คอร์ (แนะนำ 4 คอร์พร้อมไฮเปอร์เธรด)
คุณสามารถเรียนรู้วิธีเปิดใช้งานและใช้ Windows Sandbox ที่นี่ .
ไฟล์การกำหนดค่า Windows Sandbox
ไฟล์คอนฟิกูเรชันแซนด์บ็อกซ์ได้รับการจัดรูปแบบเป็น XML และเชื่อมโยงกับ Windows Sandbox ผ่านนามสกุลไฟล์. wsb ไฟล์การกำหนดค่าอนุญาตให้ผู้ใช้ควบคุมลักษณะต่างๆของ Windows Sandbox ดังต่อไปนี้:
- vGPU (GPU เสมือน)
- เปิดหรือปิดใช้งาน GPU เสมือน หากปิดใช้งาน vGPU แซนด์บ็อกซ์จะใช้ คำเตือน (ซอฟต์แวร์แรสเตอร์)
- เครือข่าย
- เปิดหรือปิดการเข้าถึงเครือข่ายไปยัง Sandbox
- โฟลเดอร์ที่ใช้ร่วมกัน
- แชร์โฟลเดอร์จากโฮสต์ด้วยสิทธิ์อ่านหรือเขียน โปรดทราบว่าการเปิดเผยไดเรกทอรีโฮสต์อาจทำให้ซอฟต์แวร์ที่เป็นอันตรายส่งผลกระทบต่อระบบของคุณหรือขโมยข้อมูล
- สคริปต์เริ่มต้น
- การดำเนินการเข้าสู่ระบบสำหรับแซนด์บ็อกซ์
โดยดับเบิลคลิกที่ไฟล์ * .wsb คุณจะเปิดขึ้นใน Windows Sandboxю
ตัวเลือกการกำหนดค่าที่รองรับ
VGpu
เปิดหรือปิดการแชร์ GPU
มูลค่า
ค่าที่รองรับ:
- ปิดการใช้งาน - ปิดใช้งานการรองรับ vGPU ในแซนด์บ็อกซ์ หากตั้งค่านี้ Windows Sandbox จะใช้การแสดงผลซอฟต์แวร์ซึ่งอาจช้ากว่า GPU เสมือน
- ค่าเริ่มต้น - นี่คือค่าเริ่มต้นสำหรับการรองรับ vGPU ในขณะนี้หมายความว่า vGPU ถูกเปิดใช้งาน
หมายเหตุ: การเปิดใช้งาน GPU เสมือนสามารถเพิ่มพื้นผิวการโจมตีของแซนด์บ็อกซ์ได้
เครือข่าย
เปิดหรือปิดระบบเครือข่ายในแซนด์บ็อกซ์ การปิดใช้งานการเข้าถึงเครือข่ายสามารถใช้เพื่อลดพื้นผิวการโจมตีที่ Sandbox เปิดเผย
วิธีการกู้คืนประวัติ Google Chrome
มูลค่า
ค่าที่รองรับ:
- ปิดการใช้งาน - ปิดการใช้งานเครือข่ายในแซนด์บ็อกซ์
- ค่าเริ่มต้น - นี่คือค่าเริ่มต้นสำหรับการรองรับระบบเครือข่าย สิ่งนี้เปิดใช้งานระบบเครือข่ายโดยการสร้างสวิตช์เสมือนบนโฮสต์และเชื่อมต่อแซนด์บ็อกซ์กับมันผ่าน NIC เสมือน
หมายเหตุ: การเปิดใช้งานระบบเครือข่ายอาจทำให้แอปพลิเคชันที่ไม่น่าเชื่อถือปรากฏในเครือข่ายภายในของคุณ
แมปโฟลเดอร์
ตัดรายการของวัตถุ MappedFolder
รายการวัตถุ MappedFolder
หมายเหตุ: ไฟล์และโฟลเดอร์ที่แมปจากโฮสต์อาจถูกบุกรุกโดยแอปใน Sandbox หรืออาจส่งผลกระทบต่อโฮสต์
MappedFolder
ระบุโฟลเดอร์เดียวบนเครื่องโฮสต์ซึ่งจะแชร์บนเดสก์ท็อปคอนเทนเนอร์ แอปใน Sandbox ทำงานภายใต้บัญชีผู้ใช้“ WDAGUtilityAccount” ดังนั้นโฟลเดอร์ทั้งหมดจะถูกแมปภายใต้เส้นทางต่อไปนี้: C: Users WDAGUtilityAccount Desktop
เช่น. “ C: Test” จะถูกแมปเป็น“ C: users WDAGUtilityAccount Desktop Test”
พา ธ ไปยังค่าโฟลเดอร์โฮสต์
HostFolder : ระบุโฟลเดอร์บนเครื่องโฮสต์ที่จะแชร์ไปยังแซนด์บ็อกซ์ โปรดทราบว่าโฟลเดอร์ต้องมีโฮสต์อยู่แล้วมิฉะนั้นคอนเทนเนอร์จะไม่สามารถเริ่มทำงานได้หากไม่พบโฟลเดอร์
อ่านเท่านั้น : หากเป็นจริงให้บังคับใช้การเข้าถึงแบบอ่านอย่างเดียวไปยังโฟลเดอร์ที่แชร์จากภายในคอนเทนเนอร์ ค่าที่รองรับ: จริง / เท็จ
หมายเหตุ: ไฟล์และโฟลเดอร์ที่แมปจากโฮสต์อาจถูกบุกรุกโดยแอปใน Sandbox หรืออาจส่งผลกระทบต่อโฮสต์
LogonCommand
ระบุคำสั่งเดียวซึ่งจะถูกเรียกใช้โดยอัตโนมัติหลังจากที่คอนเทนเนอร์ล็อกออน
คำสั่งที่จะเรียกใช้
คำสั่ง: พา ธ ไปยังไฟล์ปฏิบัติการหรือสคริปต์ภายในคอนเทนเนอร์ที่จะถูกเรียกใช้งานหลังจากล็อกอิน
หมายเหตุ: แม้ว่าคำสั่งธรรมดา ๆ จะใช้งานได้ (เรียกใช้ไฟล์ปฏิบัติการหรือสคริปต์) สถานการณ์ที่ซับซ้อนมากขึ้นที่เกี่ยวข้องกับขั้นตอนต่างๆควรถูกวางไว้ในไฟล์สคริปต์ ไฟล์สคริปต์นี้อาจถูกแมปลงในคอนเทนเนอร์ผ่านโฟลเดอร์ที่ใช้ร่วมกันจากนั้นดำเนินการผ่านคำสั่ง LogonCommand
ตัวอย่างการกำหนดค่า
ตัวอย่าง 1
สามารถใช้ไฟล์กำหนดค่าต่อไปนี้เพื่อทดสอบไฟล์ที่ดาวน์โหลดภายในแซนด์บ็อกซ์ได้อย่างง่ายดาย เพื่อให้บรรลุสิ่งนี้สคริปต์จะปิดใช้งานระบบเครือข่ายและ vGPU และ จำกัด โฟลเดอร์การดาวน์โหลดที่แชร์ให้เข้าถึงแบบอ่านอย่างเดียวในคอนเทนเนอร์ เพื่อความสะดวกคำสั่งล็อกออนจะเปิดโฟลเดอร์ดาวน์โหลดภายในคอนเทนเนอร์เมื่อเริ่มทำงาน
ดาวน์โหลด. wsb
ปิดการใช้งานปิดการใช้งาน C: Users Public Downloads true explorer.exe C: users WDAGUtilityAccount Desktop Downloads
ตัวอย่าง 2
ไฟล์กำหนดค่าต่อไปนี้ติดตั้ง Visual Studio Code ในคอนเทนเนอร์ซึ่งต้องการการตั้งค่า LogonCommand ที่ซับซ้อนกว่าเล็กน้อย
สองโฟลเดอร์ถูกแมปลงในคอนเทนเนอร์ (SandboxScripts) ตัวแรกมี VSCodeInstall.cmd ซึ่งจะติดตั้งและเรียกใช้ VSCode โฟลเดอร์ที่สอง (CodingProjects) ถือว่ามีไฟล์โปรเจ็กต์ที่ผู้พัฒนาต้องการแก้ไขโดยใช้ VSCode
ด้วยสคริปต์ตัวติดตั้ง VSCode ที่แมปลงในคอนเทนเนอร์แล้ว LogonCommand สามารถอ้างอิงได้
VSCodeInstall.cmd
วิธีส่งข้อความอเมซอน
REM ดาวน์โหลด VSCode curl -L 'https://update.code.visualstudio.com/latest/win32-x64-user/stable' - เอาต์พุต C: users WDAGUtilityAccount Desktop vscode.exe REM ติดตั้งและเรียกใช้ VSCode C : users WDAGUtilityAccount Desktop vscode.exe / verysilent / suppressmsgboxes
VSCode.wsb
C: SandboxScripts จริง C: CodingProjects เท็จ C: users wdagutilityaccount desktop SandboxScripts VSCodeInstall.cmd
ที่มา: ไมโครซอฟต์
