Kako uporabljati Windows Sandbox za testiranje sumljivih razširitev ali izvedljivih datotek

Če vas skrbi namestitev razširitve, izvedljive datoteke ali odpiranje sumljive priloge, imamo na voljo dragocen vir, ki ga ne smemo spregledati: Peskovnik sistema Windows za testiranje razširitev ali izvedljivih programov, ki vzbujajo dvomeTo je kot odpiranje čiste seje, ki se ob zaprtju popolnoma izbriše: nič odpadkov, nič strahov.

Ideja je preprosta: testirajte, odpravljajte napake ali vohunite v izoliranem okolju Ne dotika se vaše glavne namestitve. Hitro se zažene, uporablja virtualizacijo sistema Windows in je zasnovan tako, da ga lahko vsak uporabnik z združljivo različico aktivira z le nekaj kliki.

Kaj je Windows Sandbox in kako deluje?

Windows Sandbox (Windows Sandbox ali WSB) je lahko, začasno, strojno izolirano namizje Deluje kot katera koli druga aplikacija. V osnovi uporablja Microsoftov hipervizor za zagon neodvisnega, razdeljenega jedra, ki popolnoma izolira dogajanje znotraj jedra od gostiteljskega sistema.

Njegov predlog je jasen: Vsakič, ko ga odprete, se zažene z na novo nameščenim sistemom Windows, brez sledi prejšnjih sej. Vsi programi ali datoteke, ki jih namestite vanj, so omejeni; ko zaprete okno, vse izgine, in ko ga naslednjič odprete, boste imeli čisto instanco.

V primerjavi s klasičnimi virtualnimi stroji WSB ponuja Zažene se v nekaj sekundah, manjša poraba pomnilnika In ni treba upravljati sistemskih slik. Prav tako ne zahteva priprave virtualnih diskov ali predlog: gre za peskovnik za enkratno uporabo, vgrajen v sisteme Windows Pro, Enterprise in Education.

• Vključeno v sistem Windows: je del sistema v združljivih izdajah, brez dodatnih prenosov slik.
• Ločljivo: karkoli se zgodi v notranjosti, se pri zapiranju izbriše.
• Čisto ob vsakem zagonu: zažene se kot čista namestitev sistema Windows.
• SevedaIzolacija z virtualizacijo na osnovi strojne opreme in Microsoftovim hipervizorjem.
• Eficiente: agilen začetek, Virtualni grafični procesor neobvezno in inteligentno upravljanje pomnilnika.

Za vsakodnevno uporabo to pomeni, da lahko programi testiranja brez tveganja, obiščite sumljiva spletna mesta ali skenirajte priloge, ne da bi pri tem ogrozili svoj računalnik. Če gre kaj narobe, lahko zaprete peskovnik in to je to.

Kaj je programska oprema za peščene prostore?

Programska oprema »peskovnik« ustvarja virtualno in omejeno okolje kjer lahko procese izvajate na nadzorovan način. To ustvari plast izolacije med tem, kar testirate, in vašim dejanskim sistemom, tako da se morebitni stranski učinki ali zlonamerno vedenje je enkapsuliran.

Ta tehnika sicer doda nekaj stroškov z viri, vendar v zameno zagotavlja, da ne onesnažite svojega glavnega objekta Sploh ne "umažete" registra ali dejanskega datotečnega sistema. Windows ga integrira v WSB, da ga ponuja kot standard v Pro in Enterprise (tako Windows 10 kot Windows 11).

Poleg varnosti je peskovnik zelo uporaben tudi za testiranje programske opreme, demonstracije, zagotavljanje kakovosti in razvojOmogoča vam, da z enim samim klikom reproducirate čisto okolje, ponovite scenarije in zavržete spremembe.

Pomembno je jasno opredeliti njegovo naravo: To ni "običajen" vztrajni virtualni stroj.Ključna je nestanovitnost, ki vam omogoča enostavno eksperimentiranje in vrnitev na začetek na vsakem začetku.

Združljive izdaje in licence

WSB je omogočen v Windows 10/11 Pro, Enterprise in Education (glej versiones de Windows 11), vključno z različicami, kot sta Pro Education/SE. V programu Home je po zasnovi no está disponible.

Glede pravic uporabe, Licence za Windows Pro/Pro Education/SE in poslovne načrte Podjetje (E3/E5) in izobraževalne Izobraževanje (A3/A5) vključujejo pravico do uporabe sistema Windows Sandbox. Če prihajate od doma in vas ta funkcija zanima, skok v Pro Običajno je to najbolj neposredna pot.

Zahteve in priporočila za strojno opremo

Da bi delovalo, potrebujete 64-bitni procesor z virtualizacijo (Intel VT-x ali AMD-V), virtualizacija omogočena v BIOS-u/UEFI-ju in združljiv operacijski sistem. Za Windows 10 je za izdaje Pro/Enterprise potrebna različica 1903 ali novejša; za Windows 11 je za izdaje Pro ali Enterprise potrebna različica 1903 ali novejša.

Microsoft vsaj govori o 4 GB RAM-a, 1 GB prostega prostora in 2 jedriNo, da bi imeli stvari pod nadzorom, je idealno imeti 8 GB ali več RAM-a in sodoben 6-jedrni/12-nitni procesor, če boste testirali zahtevnejšo programsko opremo.

Upoštevajte, da vse, kar izvajate v notranjosti, porablja tudi vire: če testirate zahtevne aplikacije, rezervirajte RAM in prostor v procesorju, da gostitelj deluje nemoteno. SSD-ji zelo pomagajo pri nemotenem delovanju vsega.

Namestitev in aktiviranje sistema Windows Sandbox

Aktivirate ga lahko iz samega vmesnika sistema Windows ali tako, da preverite, kako omogočite in uporabite peskovnikPojdi na Nadzorna plošča > Programi > Vklop ali izklop funkcij sistema Windows in izberite »Windows Sandbox« (ali »Windows Sandbox«, odvisno od vašega jezika). Sprejmite in znova zaženite, ko boste pozvani.

Če imate raje konzolo, preprosto odprite PowerShell kot skrbnik in zaženite: Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -OnlineKo končate, znova zaženite računalnik.

Po ponovnem zagonu odprite meni Start in vnesite »Peskovnik sistema Windows« in ga zaženite. Prvič traja malo dlje zaradi začetne nastavitve, vendar bodo naslednji zagoni potekali gladko.

Ko začnete, boste videli Čista okna, v enem oknu, pripravljen za namestitev česar koli želite. Gre za samostojno okolje: karkoli imate nameščeno na svojem pravem računalniku se ne pojavi v notranjostiin obratno.

Ločljivost okna je dinamično prilagaja Ne glede na velikost, ki jo izberete. Ni vam treba ustvarjati računov ali aktivirati licenc: cilj je "odpreti, preizkusiti in zapreti" brez trenja.

Privzeto, WSB se zažene brez pospešenega grafičnega procesorja in z osnovno konfiguracijo (v mnogih priročnikih boste za okolje videli reference na 4 GB). Če potrebujete več pomnilnika ali želite omogočiti vGPU, lahko to storite s konfiguracijskimi datotekami .wsb, kot bomo videli kasneje.

Kako premakniti datoteke, namestitvene programe in razširitve v peskovnik Windows

To je vprašanje za milijon dolarjev: kako spravim namestitveni program ali datoteke v peskovnik? Obstaja več načinov in najbolje je izbrati tistega, ki ga potrebujete. najvarnejše, odvisno od tega, kaj želite poskusiti, por ejemplo preizkusite razširitve za Chrome.

• Možnost 1: Copiar y pegarV večini primerov lahko kopirate z gostitelja in prilepite v peskovnik (običajne bližnjice Ctrl+C / Ctrl+V). Če boste poskusili nekaj tveganega, je priporočljivo, da to združite z onemogočenim omrežjem ali mapami samo za branje, da zmanjšate površino napada.
• Možnost 2: Prenesi znotraj peskovnikaOdprite Edge v peskovniku in prenesite EXE/ZIP datoteko s spletne strani proizvajalca. Na ta način se izognete prenosu datotek z gostitelja in ohranite vezje 100 % zaščiteno pred vremenskimi vplivi.
• Možnost 3: Preslikane mape v načinu samo za branje. Mapo gostitelja lahko konfigurirate tako, da se prikaže v peskovniku z uporabo datoteke .wsb in jo označite kot ReadOnly, tako da nič, kar se zgodi v notranjosti, ne more izbrisati ali spremeniti vaših dejanskih datotek.
• Možnost 4: Souporaba omrežja (če to dovolite). Priklop gostiteljske skupne rabe in dostop do nje iz peskovnika je drug način, čeprav zaradi varnostnih razlogov, ni favorit za potencialno nevarne datoteke.

Pomembno: ne zanašajte se na funkcijo »povleci in spusti« kot metoda za premikanje datotek; in, po zasnovi, USB ključki se ne priklopijo neposredno v WSB. Če potrebujete datoteko s pogona USB, jo najprej kopirajte na gostitelja in uporabite eno od zgornjih metod.

Napredna konfiguracija z datotekami .wsb

WSB priznava Konfiguracijske datoteke XML ki prilagajajo vedenje okolja: dodeljeni pomnilnik, vGPU, omrežje, odložišče, zvok/video in preslikane mape. Ustvariti morate le datoteko s končnico .wsb, ga shranite in odprite, Windows pa ga bo zagnal s to konfiguracijo.

Pomnilnik: Za dodelitev eksplicitnega RAM-a uporabite Pomnilnik v MBNa primer, 8192 za 8 GB. To je uporabno, če boste uporabljali zahtevnejše aplikacije v izolirani seji.

<Configuration>
  <MemoryInMB>8192</MemoryInMB>
</Configuration>

GPU: Če želite omogočiti pospeševanje virtualne grafike, dodajte OmogočiPrivzeto je onemogočeno, saj razmišlja o varnost gostitelja in pri zmanjševanju površine napada.

<Configuration>
  <vGPU>Enable</vGPU>
</Configuration>

Preslikane mape: z Preslikane mape Pot gostitelja lahko izpostavite znotraj peskovnika. Če označite ReadOnly kot res, izognete se brisanju ali spremembam na vašem pravem računalniku tudi če delaš napake znotraj peskovnika.

<Configuration>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Users\Public\Downloads</HostFolder>
      <SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads</SandboxFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
</Configuration>

Možnosti kombiniranja: Kombinirate lahko pomnilnik, vGPU in mape ustvarite testne profile ki jih odprete z dvojnim klikom, ko jih potrebujete. Če boste zagnali še posebej sumljive datoteke, razmislite onemogočite omrežje v .wsb in uporabite mape samo za branje.

Omejitve in varnostni vidiki

WSB ni čarobna rešitev: določena napredna zlonamerna programska oprema Sposoben je zaznati virtualna okolja in se »obnašati«, dokler ne doseže gostitelja. Vendar pa ga zaradi izolacije strojne opreme in možnosti za enkratno uporabo zelo učinkovita plast zaščite za večino scenarijev.

Ko zaprete peskovnik, vse je izgubljenoOdlično za higieno sistema, vendar nepraktično za dolgoročne teste, ki zahtevajo vztrajnost. V tem primeru je še vedno bolje uporabiti virtualni stroj s posnetki.

Obstajajo tudi druge omejitve, ki jih je treba upoštevati: ni mogoče izvršiti več hkratnih primerkov; znotraj niso podprti nekatere aplikacije (Microsoft Store in nekateri pripomočki, kot sta Kalkulator ali Beležnica); in v peskovniku ne morete naložiti »drugega sistema Windows« razen gostiteljskega sistema Windows (pozabite na primer na zagon sistema Windows 7 v sistemu Windows 11 prek WSB).

Glede USB-ja, tiskalnikov ali drugih perifernih naprav, WSB ne razkriva gostiteljskih naprav Neposredno. Zaradi varnosti daje prednost izolaciji, zato je standardni pristop kopiranje/lepljenje, prenos znotraj ali preslikava map.

Pogosto zastavljena vprašanja

• Ali lahko uporabljam WSB v sistemu Windows Home? Ne, samo v paketih Pro, Enterprise in Education (vključno s paketoma Pro Education/SE). Če vas zanima, razmislite o nadgradnji.
• Ali lahko uporabim funkcijo »povleci in spusti«? Zanesljiva metoda je kopiranje/lepljenje, prenos ali preslikava map. Ne preusmerjaj pozornosti ni priporočena pot.
• Ali je USB podprt v sistemu Windows Sandbox? Po zasnovi pogoni USB in periferne naprave niso neposredno priklopljeni. Premikanje stvari poteka prek preslikanih map ali notranjih prenosov.
• Koliko pomnilnika privzeto porabi? Številni priročniki kot osnovno konfiguracijo navajajo 4 GB; če vam je primanjkuje, v datoteki .wsb uporabite MemoryInMB.
• Ali ga lahko zaženem večkrat hkrati? Ne, ne podpira več sočasnih vzporednih instanc.
• Ali deluje za vso zlonamerno programsko opremo? Za večino testov da, vendar lahko nekatere napredne grožnje zaznajo peskovnik. To je odlična plast zaščite, ne pa popoln ščit.

Windows Sandbox je postal tisti "varnostni nadomestni znak", ki utira pot samozavestnemu testiranju: vsakič vam omogoča svež sistem Windows, brez nameščanja navideznih strojev, brez konfiguriranja slik in z naprednimi nastavitvami za vsako datoteko .wsb za uravnoteženje RAM-a, vGPU-ja, omrežja in map samo za branje. Če delate z razširitvami, izvedljivimi datotekami ali prilogami, za katere še niste prepričani, ali jih lahko namestite v računalnik, zaženite peskovnik, eksperimentirajte in ga zaprite; tvoja prava ekipa bo ostala tako čista kot prej.