Jak používat Windows Sandbox k testování podezřelých rozšíření nebo spustitelných souborů

Pokud se obáváte instalace rozšíření, spustitelného souboru nebo otevření podezřelé přílohy, máme k dispozici cenný zdroj, který bychom neměli přehlížet: Windows Sandbox pro testování rozšíření nebo spustitelných programů, které vzbuzují pochybnostiJe to jako otevřít čistou relaci, která se po zavření kompletně vymaže: žádné plýtvání, žádné strachy.

Myšlenka je jednoduchá: testovat, ladit nebo špehovat v izolovaném prostředí Nedotýká se vaší hlavní instalace. Rychle se spouští, využívá vlastní virtualizaci Windows a je navržen tak, aby jej jakýkoli uživatel s kompatibilní verzí mohl aktivovat jen několika kliknutími.

Co je Windows Sandbox a jak funguje?

Windows Sandbox (Windows Sandbox neboli WSB) je lehký, dočasný, hardwarově izolovaný desktop Běží jako každá jiná aplikace. V podpoře využívá hypervizor od Microsoftu ke spuštění nezávislého, rozděleného jádra, které zcela izoluje dění uvnitř jádra od hostitelského systému.

Jeho návrh je jasný: Pokaždé, když jej otevřete, spustí se nově nainstalovaný systém Windows., bez stopy po předchozích relacích. Veškeré programy nebo soubory, které do něj nainstalujete, jsou omezeny; když zavřete okno, vše zmizí a při jeho příštím otevření budete mít čistou instanci.

Ve srovnání s klasickými virtuálními stroji nabízí WSB Spuštění během několika sekund, nižší spotřeba paměti A není třeba spravovat žádné obrazy systému. Také nevyžaduje přípravu virtuálních disků ani šablon: jedná se o jednorázový sandbox integrovaný do systémů Windows Pro, Enterprise a Education.

• Součástí Windows: je součástí systému v kompatibilních edicích, bez nutnosti stahování dalších obrazů.
• Jednorázový: cokoli se stane uvnitř, je při zavření vymazáno.
• Čistý při každém startu: spustí se jako čistá instalace Windows.
• PojištěníIzolace pomocí hardwarové virtualizace a hypervizoru od Microsoftu.
• Efektivníagilní start, Virtuální GPU volitelná a inteligentní správa paměti.

Pro každodenní použití to znamená, že můžete testovací programy bez rizika, navštěvovat podezřelé webové stránky nebo skenovat přílohy, aniž byste ohrozili svůj počítač. Pokud se něco pokazí, můžete Sandbox zavřít a tím to končí.

Co je to sandboxový software?

Software „sandbox“ vytváří virtuální a omezené prostředí kde můžete spouštět procesy kontrolovaným způsobem. Vytváří to vrstvu izolace mezi testovaným a skutečným systémem, takže jakékoli vedlejší účinky nebo škodlivé chování je zapouzdřený.

Tato technika sice přidává určité náklady na zdroje, ale na oplátku zajišťuje, že neznečišťujete své hlavní zařízení Ani „nešpiníte“ registr ani samotný souborový systém. Windows jej integruje do WSB, aby jej standardně nabízel ve verzích Pro a Enterprise (Windows 10 i Windows 11).

Kromě bezpečnosti je sandbox velmi užitečný pro testování softwaru, dema, QA a vývojUmožňuje vám reprodukovat čisté prostředí, opakovat scénáře a zahodit změny jediným kliknutím.

Je důležité si ujasnit jeho povahu: Není to „normální“ perzistentní virtuální strojKlíčem je zde volatilita, která vám umožňuje snadno experimentovat a na každém začátku se vrátit na začátek.

Kompatibilní edice a licence

WSB je povoleno v Windows 10/11 Pro, Enterprise a Education (vidět Verze Windows 11), včetně variant jako Pro Education/SE. V režimu Home je záměrně žádné está dostupné.

Pokud jde o práva užívání, Licence Windows Pro/Pro Education/SE a obchodní plány Podnik (E3/E5) a vzdělávací Vzdělání (A3/A5) zahrnují právo používat Windows Sandbox. Pokud přicházíte z domova a máte o tuto funkci zájem, skok do Pro Obvykle je to nejpřímější cesta.

Hardwarové požadavky a doporučení

Aby to fungovalo, potřebujete 64bitový procesor s virtualizací (Intel VT-x nebo AMD-V), virtualizace povolená v systému BIOS/UEFI a kompatibilní operační systém. Pro systém Windows 10 je pro edice Pro/Enterprise vyžadována verze 1903 nebo novější; pro systém Windows 11 je pro edice Pro nebo Enterprise vyžadována verze 1903 nebo novější.

Minimálně o tom Microsoft mluví 4 GB RAM, 1 GB volného místa a 2 jádraAbyste měli věci pod kontrolou, ideální je mít 8 GB nebo více RAM a moderní 6jádrový/12vláknový procesor, pokud budete testovat náročnější software.

Mějte na paměti, že cokoli spustíte uvnitř, také spotřebovává zdroje: pokud testujete náročné aplikace, rezervujte si RAM a CPU pro plynulý chod hostitele. SSD disky hodně pomáhají k plynulému chodu všeho.

Instalace a aktivace Windows Sandboxu

Můžete jej aktivovat přímo z rozhraní Windows nebo podle pokynů povolit a používat sandbox. Jít do Ovládací panely > Programy > Zapnutí nebo vypnutí funkcí systému Windows a vyberte „Windows Sandbox“ (nebo „Windows Sandbox“ v závislosti na jazyce). Potvrďte a po zobrazení výzvy restartujte.

Pokud dáváte přednost konzoli, jednoduše otevřete PowerShell jako správce a spusťte: Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -OnlinePo dokončení restartujte počítač.

Po restartu otevřete nabídku Start a zadejte "Sandbox Windows" a spusťte ho. Poprvé to trvá trochu déle kvůli počátečnímu nastavení, ale další spuštění proběhnou jako kulka.

Když začnete, uvidíte Čistá okna v jednom okně, připraveno k instalaci čehokoli chcete. Je to samostatné prostředí: cokoli máte nainstalováno na svém skutečném počítači se uvnitř neobjevuje, a naopak.

Rozlišení okna je dynamicky se přizpůsobuje Ať už si vyberete jakoukoli velikost. Nemusíte si vytvářet účty ani aktivovat licence: cílem je „otevřít, otestovat a zavřít“ bez problémů.

Výchozí, WSB se spouští bez akcelerované GPU a se základní konfigurací (v mnoha průvodcích se pro dané prostředí uvádí 4 GB). Pokud potřebujete více paměti nebo chcete-li povolit vGPU, můžete tak učinit pomocí konfiguračních souborů .wsb, jak uvidíme později.

Jak přesunout soubory, instalační programy a rozšíření do Windows Sandboxu

Tohle je otázka za milion dolarů: jak dostanu instalační program nebo soubory do sandboxu? Existuje několik způsobů a nejlepší je vybrat si ten pravý. nejbezpečnější v závislosti na tom, co chcete vyzkoušetnapříklad testovací rozšíření pro Chrome.

• Možnost 1: Zkopírujte a vložteVe většině případů můžete zkopírovat z hostitele a vložit do sandboxu (typické zkratky Ctrl+C / Ctrl+V). Pokud se chystáte vyzkoušet něco riskantního, je vhodné to zkombinovat s vypnutým síťovým připojením nebo složkami pouze pro čtení, aby se snížila plocha pro útok.
• Možnost 2: Stáhnout v rámci sandboxuOtevřete Edge v sandboxu a stáhněte si EXE/ZIP soubor z webových stránek výrobce. Tímto způsobem se vyhnete přenosu souborů z hostitele a obvod bude 100% uzavřený v sandboxu.
• Možnost 3: Mapované složky v režimu pouze pro čtení. Složku hostitele můžete nakonfigurovat tak, aby se zobrazovala v sandboxu, pomocí souboru .wsb a označit ji jako Pouze ke čtení, aby nic, co se děje uvnitř, nemohlo smazat ani upravit vaše skutečné soubory.
• Možnost 4: Sdílení sítě (pokud to povolíte). Dalším způsobem je připojení sdílené složky hostitele a přístup k ní z Sandboxu, i když z bezpečnostních důvodů... není favoritem pro potenciálně nebezpečné soubory.

Důležité: nespoléhejte se na drag and drop jako metoda pro přesun souborů; a záměrně USB flash disky se nepřipojují přímo ve WSB. Pokud potřebujete soubor z USB disku, nejprve ho zkopírujte na hostitelský počítač a použijte jednu z výše uvedených metod.

Pokročilá konfigurace se soubory .wsb

WSB připouští Konfigurační soubory XML které upravují chování prostředí: alokovanou paměť, vGPU, síť, schránku, zvuk/video a mapované složky. Stačí vytvořit soubor s příponou .wsb, uložte jej a otevřete jej a systém Windows jej spustí s touto konfigurací.

Paměť: Pro alokaci explicitní paměti RAM použijte Paměť v MBNapříklad 8192 pro 8 GB. To je užitečné, pokud budete spouštět náročnější aplikace v izolované relaci.

<Configuration>
  <MemoryInMB>8192</MemoryInMB>
</Configuration>

GPU: Chcete-li povolit akceleraci virtuální grafiky, přidejte UmožnitVe výchozím nastavení je zakázáno, s ohledem na zabezpečení hostitele a při zmenšování útočné plochy.

<Configuration>
  <vGPU>Enable</vGPU>
</Configuration>

Mapované složky: s MappedFolders Cestu k hostiteli můžete zpřístupnit uvnitř sandboxu. Pokud zaškrtnete Pouze ke čtení jako pravdivé, vyhnete se mazání nebo změnám na vašem skutečném počítači i když uděláte chyby uvnitř pískoviště.

<Configuration>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Users\Public\Downloads</HostFolder>
      <SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads</SandboxFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
</Configuration>

Možnosti kombinování: Můžete kombinovat paměť, vGPU a složky vytvářet testovací profily které otevřete dvojitým kliknutím, když je potřebujete. Pokud budete spouštět obzvláště pochybné soubory, zvažte deaktivovat síť v souboru .wsb a používat složky jen pro čtení.

Omezení a bezpečnostní aspekty

WSB není zázračné řešení: určitý pokročilý malware Je schopen detekovat virtuální prostředí a „chovat se“ dle libosti, dokud nedosáhne hostitele. Hardwarová izolace a jednorázová povaha ho však činí... velmi účinná ochranná vrstva pro většinu scénářů.

Při zavírání pískoviště, všechno je ztracenoIdeální pro hygienu systému, ale nepraktické pro dlouhodobé testy, které vyžadují perzistenci. V takovém případě bude stále lepší použít virtuální počítač se snapshoty.

Existují i ​​další omezení, která je třeba mít na paměti: nelze provést více současných instancí; uvnitř nejsou podporovány určité aplikace (Microsoft Store a některé nástroje jako Kalkulačka nebo Poznámkový blok); a v Sandboxu nemůžete načíst „jiný Windows“ než hostitelský Windows (zapomeňte například na spuštění Windows 7 ve Windows 11 přes WSB).

Pokud jde o USB, tiskárny nebo jiná periferní zařízení, WSB nezpřístupňuje hostitelská zařízení Přímo. Upřednostňuje izolaci z bezpečnostních důvodů, takže standardním přístupem je kopírování/vkládání, stahování v rámci složek nebo mapování složek.

Běžné otázky

• Mohu používat WSB ve Windows Home? Ne, pouze v verzích Pro, Enterprise a Education (včetně Pro Education/SE). Pokud máte zájem, zvažte upgrade.
• Můžu použít funkci drag and drop? Spolehlivou metodou je kopírování/vkládání, stahování nebo mapování složek. Funkce DnD se nedoporučuje.
• Je USB podporováno v rámci Windows Sandboxu? USB disky a periferie nejsou záměrně připojeny přímo. Pohyb dat probíhá pomocí namapovaných složek nebo interních stahování.
• Kolik paměti používá ve výchozím nastavení? Mnoho průvodců uvádí jako základní konfiguraci 4 GB; pokud máte málo paměti, použijte ve svém souboru .wsb parametr MemoryInMB.
• Můžu to spustit vícekrát najednou? Ne, nepodporuje více simultánních instancí paralelně.
• Funguje to na veškerý malware? Pro většinu testů ano, ale některé pokročilé hrozby dokážou sandbox detekovat. Je to skvělá vrstva ochrany, ne úplný štít.

Sandbox ve Windows se stal oním „bezpečnostním zástupným znakem“, který dláždí cestu pro sebevědomé testování: pokaždé vám poskytne nový Windows, bez instalace virtuálních počítačů, bez konfigurace obrazů a s pokročilým nastavením pro každý soubor .wsb pro vyvážení RAM, vGPU, sítě a složek jen pro čtení. Pokud pracujete s rozšířeními, spustitelnými soubory nebo přílohami, u kterých si nejste jisti, zda je můžete nainstalovat do počítače, Spusťte sandbox, experimentujte a zavřete ho; váš skutečný tým zůstane stejně čistý jako předtím.