Jak używać programu Windows Sandbox do testowania podejrzanych rozszerzeń lub plików wykonywalnych

Jeśli obawiasz się zainstalowania rozszerzenia, pliku wykonywalnego lub otwarcia podejrzanego załącznika, mamy do dyspozycji cenne źródło informacji, którego nie powinniśmy ignorować: Windows Sandbox, służący do testowania rozszerzeń lub programów wykonywalnych, które budzą wątpliwościTo tak, jakby otworzyć czystą sesję, która po zamknięciu zostaje całkowicie wymazana: zero strat, zero strachu.

Pomysł jest prosty: testować, debugować lub szpiegować w odizolowanym środowisku Nie ingeruje w główną instalację. Uruchamia się szybko, wykorzystuje wirtualizację systemu Windows i jest zaprojektowany tak, aby każdy użytkownik z kompatybilną wersją mógł go aktywować zaledwie kilkoma kliknięciami.

Czym jest Windows Sandbox i jak działa?

Windows Sandbox (Windows Sandbox lub WSB) to lekki, tymczasowy, izolowany sprzętowo komputer stacjonarny Działa jak każda inna aplikacja. Wykorzystuje hiperwizor Microsoftu do uruchomienia niezależnego, podzielonego na sekcje jądra, całkowicie izolując to, co dzieje się wewnątrz jądra, od systemu hosta.

Jego propozycja jest jasna: Za każdym razem, gdy go otwierasz, uruchamia się on z nowo zainstalowanego systemu Windows, bez śladu poprzednich sesji. Wszystkie zainstalowane w nim programy i pliki są zamknięte; po zamknięciu okna wszystko znika, a następnym razem, gdy je otworzysz, będziesz mieć czystą instancję.

W porównaniu do klasycznych maszyn wirtualnych WSB oferuje Uruchamia się w kilka sekund, mniejsze zużycie pamięci Brak obrazów systemu do zarządzania. Nie wymaga również przygotowywania dysków wirtualnych ani szablonów: to jednorazowa piaskownica wbudowana w systemy Windows Pro, Enterprise i Education.

• W zestawie z systemem Windows: jest częścią systemu w kompatybilnych edycjach, bez konieczności pobierania dodatkowych obrazów.
• Jednorazowy: : wszystko co dzieje się w środku zostaje wymazane po zamknięciu.
• Czystość na każdym starcie: uruchamia się jako czysta instalacja systemu Windows.
• Ubezpieczenie:Izolacja poprzez wirtualizację sprzętową i hiperwizor firmy Microsoft.
• Wydajny:zwinny start, Wirtualny GPU opcjonalne i inteligentne zarządzanie pamięcią.

Do codziennego użytku oznacza to, że możesz programy testowe bez ryzyka, odwiedzaj podejrzane strony internetowe lub skanuj załączniki bez narażania komputera na niebezpieczeństwo. Jeśli coś pójdzie nie tak, możesz zamknąć Sandbox i to wszystko.

Czym jest oprogramowanie typu sandbox?

Oprogramowanie typu „piaskownica” tworzy wirtualne i ograniczone środowisko gdzie możesz uruchamiać procesy w sposób kontrolowany. Zapewnia to warstwę izolacji między tym, co testujesz, a rzeczywistym systemem, dzięki czemu wszelkie skutki uboczne lub złośliwe zachowania jest kapsułkowany.

Ta technika dodaje trochę zasobów, tak, ale w zamian zapewnia, że nie zanieczyszczasz swojego głównego obiektu Nie „brudzisz” nawet rejestru ani samego systemu plików. System Windows integruje go z WSB, oferując go standardowo w wersjach Pro i Enterprise (zarówno Windows 10, jak i Windows 11).

Oprócz bezpieczeństwa, piaskownica jest bardzo przydatna do testowanie oprogramowania, dema, zapewnianie jakości i rozwójUmożliwia odtworzenie czystego środowiska, powtórzenie scenariuszy i odrzucenie zmian jednym kliknięciem.

Ważne jest, aby mieć jasność co do jego natury: To nie jest „normalna” trwała maszyna wirtualnaKluczem jest tutaj zmienność, która pozwala na łatwe eksperymentowanie i powrót do punktu wyjścia przy każdym starcie.

Zgodne edycje i licencje

WSB jest włączony w Windows 10/11 Pro, Enterprise i Education (widzieć Wersje systemu Windows 11), w tym warianty takie jak Pro Education/SE. W wersji Home, z założenia, niedostępne.

W odniesieniu do praw użytkowania, Licencje Windows Pro/Pro Education/SE i plany biznesowe Przedsiębiorstwo (E3/E5) i edukacyjne Edukacja (A3/A5) obejmuje prawo do korzystania z Windows Sandbox. Jeśli korzystasz z Home i interesuje Cię ta funkcja, skok do Pro Zwykle jest to najbardziej bezpośrednia trasa.

Wymagania sprzętowe i zalecenia

Aby to zadziałało, potrzebujesz 64-bitowy procesor z wirtualizacją (Intel VT-x lub AMD-V), wirtualizację włączoną w BIOS-ie/UEFI oraz zgodny system operacyjny. W przypadku systemu Windows 10 wymagana jest wersja 1903 lub nowsza dla edycji Pro/Enterprise; w przypadku systemu Windows 11 wymagana jest wersja 1903 lub nowsza dla edycji Pro lub Enterprise.

Co najmniej Microsoft mówi o 4 GB pamięci RAM, 1 GB wolnego miejsca i 2 rdzenieAby być na bieżąco, najlepiej jest mieć 8 GB lub więcej pamięci RAM i nowoczesny procesor 6-rdzeniowy/12-wątkowy, jeśli zamierzasz testować bardziej wymagające oprogramowanie.

Pamiętaj, że wszystko, co uruchamiasz w środku, również zużywa zasoby: jeśli testujesz wymagające aplikacje, zarezerwuj pamięć RAM i zapas mocy obliczeniowej procesora, aby zapewnić płynną pracę hosta. Dyski SSD bardzo pomagają w utrzymaniu płynnej pracy.

Instalowanie i aktywowanie środowiska Windows Sandbox

Można go aktywować bezpośrednio z interfejsu systemu Windows lub sprawdzając, jak to zrobić włącz i używaj Sandboxa. Iść do Panel sterowania > Programy > Włącz lub wyłącz funkcje systemu Windows i wybierz „Windows Sandbox” (lub „Windows Sandbox” w zależności od języka). Zaakceptuj i uruchom ponownie po wyświetleniu monitu.

Jeśli wolisz konsolę, po prostu otwórz program PowerShell jako administrator i uruchom: Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online. Po zakończeniu uruchom ponownie komputer.

Po ponownym uruchomieniu otwórz menu Start i wpisz „Piaskownica systemu Windows” i uruchom go. Za pierwszym razem zajmie to trochę więcej czasu ze względu na początkową konfigurację, ale kolejne uruchomienia będą działać błyskawicznie.

Po rozpoczęciu zobaczysz Czyste okna w jednym oknie, gotowy do zainstalowania wszystkiego, czego chcesz. To autonomiczne środowisko: cokolwiek zainstalowałeś na swoim komputerze. nie pojawia się w środku, i wzajemnie.

Rozdzielczość okna wynosi dostosowuje się dynamicznie Niezależnie od wybranego rozmiaru. Nie musisz tworzyć kont ani aktywować licencji: celem jest „otwarcie, przetestowanie i zamknięcie” bez żadnych problemów.

Domyślna, WSB uruchamia się bez przyspieszonego GPU i z konfiguracją bazową (w wielu przewodnikach znajdziesz odniesienia do 4 GB dla środowiska). Jeśli potrzebujesz więcej pamięci lub chcesz włączyć vGPU, możesz to zrobić za pomocą plików konfiguracyjnych .wsb, jak zobaczymy później.

Jak przenieść pliki, instalatory i rozszerzenia do środowiska Windows Sandbox

Oto pytanie za milion dolarów: jak przenieść instalator lub pliki do piaskownicy? Jest kilka sposobów i najlepiej wybrać najbezpieczniejsze w zależności od tego, co chcesz spróbować, na przykład przetestuj rozszerzenia Chrome.

• Opcja 1: Skopiuj i wklejW większości przypadków możesz skopiować z hosta i wkleić do Sandboxa (typowe skróty Ctrl+C / Ctrl+V). Jeśli chcesz spróbować czegoś ryzykownego, zaleca się połączenie tego z wyłączoną obsługą sieci lub folderami tylko do odczytu, aby zmniejszyć powierzchnię ataku.
• Opcja 2: Pobierz w SandboxieOtwórz Edge'a w piaskownicy i pobierz EXE/ZIP ze strony producenta. W ten sposób unikniesz przesyłania plików z hosta i zachowasz obwód w 100% w trybie sandbox.
• Opcja 3: Mapowane foldery w trybie tylko do odczytu. Możesz skonfigurować folder hosta tak, aby pojawiał się w piaskownicy, używając pliku .wsb i oznaczając go jako Tylko czytać, dzięki czemu nic, co się wydarzy w środku, nie może usunąć ani zmodyfikować twoich prawdziwych plików.
• Opcja 4: Udostępnianie sieciowe (jeśli na to pozwolisz). Zamontowanie udziału hosta i uzyskanie do niego dostępu z poziomu Sandboxa to inny sposób, choć ze względów bezpieczeństwa, nie jest ulubionym dla plików potencjalnie niebezpiecznych.

Ważne: nie polegaj na przeciąganiu i upuszczaniu jako metoda przenoszenia plików; i zgodnie z projektem, Pamięci flash USB nie montuje się bezpośrednio w WSB. Jeśli potrzebujesz pliku z dysku USB, skopiuj go najpierw na hosta i skorzystaj z jednej z powyższych metod.

Zaawansowana konfiguracja z plikami .wsb

WSB przyznaje Pliki konfiguracyjne XML które dostosowują zachowanie środowiska: przydzieloną pamięć, vGPU, sieć, schowek, audio/wideo i mapowane foldery. Wystarczy utworzyć plik z rozszerzeniem .wsb, zapisz go i otwórz, a system Windows uruchomi go z tą konfiguracją.

Pamięć: Aby przydzielić jawne użycie pamięci RAM Pamięć w MBNa przykład 8192 dla 8 GB. Jest to przydatne, jeśli zamierzasz uruchomić bardziej wymagające aplikacje w sesji izolowanej.

<Configuration>
  <MemoryInMB>8192</MemoryInMB>
</Configuration>

GPU: Aby włączyć przyspieszenie grafiki wirtualnej, dodaj WłączaćDomyślnie jest wyłączona, myśląc o bezpieczeństwo hosta i zmniejszając powierzchnię ataku.

<Configuration>
  <vGPU>Enable</vGPU>
</Configuration>

Mapowane foldery: z Mapowane foldery Możesz udostępnić ścieżkę hosta w Sandboxie. Jeśli zaznaczysz Tylko czytać jako prawda, unikniesz usuwania lub zmian na swoim prawdziwym komputerze nawet jeśli popełnisz błędy w piaskownicy.

<Configuration>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Users\Public\Downloads</HostFolder>
      <SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads</SandboxFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
</Configuration>

Łączenie opcji: Możesz łączyć pamięć, vGPU i foldery, aby utwórz profile testowe które otwierasz podwójnym kliknięciem, gdy ich potrzebujesz. Jeśli zamierzasz uruchamiać szczególnie podejrzane pliki, rozważ wyłącz sieć w .wsb i używać folderów tylko do odczytu.

Ograniczenia i względy bezpieczeństwa

WSB nie jest rozwiązaniem idealnym: pewne zaawansowane złośliwe oprogramowanie Potrafi wykrywać środowiska wirtualne i „zachowywać się” aż do momentu dotarcia do hosta. Jednakże izolacja sprzętowa i jednorazowa natura sprawiają, że bardzo skuteczna warstwa ochrony dla większości scenariuszy.

Podczas zamykania piaskownicy, wszystko stracone:Idealne do utrzymania higieny systemu, ale niepraktyczne w przypadku testów długoterminowych wymagających powtarzalności. W takim przypadku nadal lepszym rozwiązaniem będzie użycie maszyny wirtualnej z migawkami.

Istnieją również inne ograniczenia, o których należy pamiętać: nie można wykonać wiele jednoczesnych wystąpień; wewnątrz nie są obsługiwane niektóre aplikacje (Microsoft Store i niektóre narzędzia, takie jak Kalkulator czy Notatnik); i nie możesz załadować „innego systemu Windows” innego niż host Windows wewnątrz Sandboxa (zapomnij na przykład o uruchomieniu systemu Windows 7 w systemie Windows 11 za pośrednictwem WSB).

Jeśli chodzi o USB, drukarki lub inne urządzenia peryferyjne, WSB nie udostępnia urządzeń hosta Bezpośrednio. Priorytetem jest izolacja ze względów bezpieczeństwa, więc standardowym podejściem jest kopiowanie/wklejanie, pobieranie w obrębie folderów lub mapowanie ich.

Często zadawane pytania

• Czy mogę używać WSB w systemie Windows Home? Nie, tylko w wersjach Pro, Enterprise i Education (w tym Pro Education/SE). Jeśli jesteś zainteresowany, rozważ aktualizację.
• Czy mogę skorzystać z funkcji „przeciągnij i upuść”? Najskuteczniejszą metodą jest kopiowanie/wklejanie, pobieranie lub mapowanie folderów. DnD nie jest zalecaną metodą.
• Czy USB jest obsługiwane w systemie Windows Sandbox? Z założenia dyski USB i urządzenia peryferyjne nie są montowane bezpośrednio. Przenoś dane za pośrednictwem mapowanych folderów lub wewnętrznych plików do pobrania.
• Ile pamięci wykorzystuje domyślnie? W wielu przewodnikach podano, że konfiguracja bazowa to 4 GB; jeśli masz mało miejsca, użyj MemoryInMB w pliku .wsb.
• Czy mogę uruchomić go kilka razy naraz? Nie, nie obsługuje wielu równoczesnych wystąpień równolegle.
• Czy działa na wszystkie rodzaje złośliwego oprogramowania? W większości testów tak, ale niektóre zaawansowane zagrożenia potrafią wykryć sandbox. To świetna warstwa ochrony, ale nie kompletna tarcza.

Windows Sandbox stał się „nieprzewidywalnym rozwiązaniem bezpieczeństwa”, które otwiera drogę do pewnych testów: zapewnia świeży system Windows za każdym razem, bez instalowania maszyn wirtualnych, bez konfigurowania obrazów i z zaawansowanymi ustawieniami dla każdego pliku .wsb, aby zrównoważyć wykorzystanie pamięci RAM, vGPU, sieci i folderów tylko do odczytu. Jeśli pracujesz z rozszerzeniami, plikami wykonywalnymi lub załącznikami, których nie masz pewności, czy możesz zainstalować na swoim komputerze, uruchom piaskownicę, przeprowadź eksperyment i zamknij ją; Twój prawdziwy zespół pozostanie tak samo czysty jak wcześniej.

Podobne artykuł:

Jak bezpiecznie testować rozszerzenia Chrome za pomocą Windows Sandbox

Daniela Terrasę

Redaktor specjalizujący się w zagadnieniach technologii i Internetu z ponad dziesięcioletnim doświadczeniem w różnych mediach cyfrowych. Pracowałem jako redaktor i twórca treści dla firm z branży e-commerce, komunikacji, marketingu online i reklamy. Pisałem także na portalach poświęconych ekonomii, finansom i innym branżom. Moja praca jest także moją pasją. Teraz, poprzez moje artykuły w Tecnobits, staram się odkrywać wszystkie nowości i nowe możliwości, jakie świat technologii oferuje nam każdego dnia, aby poprawić nasze życie.