Windows 10的新沙盒功能可以让你通过在安全的容器中运行从互联网下载的程序和文件来安全地测试它们。它很容易使用,但其设置隐藏在基于文本的配置文件中。
如果您有Windows沙盒,它很容易使用
此功能是Windows 10 2019年5月更新的一部分。安装更新后,您还必须使用Windows 10的专业版、企业版或教育版。Windows 10家庭版不提供此版本。但是,如果您的系统上有沙盒功能,您可以轻松激活沙盒功能,然后从“开始”菜单启动它。
相关:如何使用Windows10的新沙盒(安全测试应用程序)
沙盒将启动,复制您当前的Windows操作系统,取消对您个人文件夹的访问,并为您提供一个干净的Windows桌面和互联网访问。在Microsoft添加此配置文件之前,您根本无法自定义沙盒。如果你不想上网,通常你必须在启动后立即将其禁用。如果您需要访问主机系统上的文件,则必须将它们复制并粘贴到沙盒中。而且,如果你想安装特定的第三方程序,你必须在启动沙盒之后安装它们。
由于Windows沙盒在关闭时会完全删除其实例,因此您必须在每次启动时执行自定义过程。一方面,这有助于建立一个更安全的系统。如果出现问题,请关闭沙盒,所有内容都会被删除。另一方面,如果您需要定期进行更改,那么必须在每次启动时都这样做很快就会让人沮丧。
为了缓解这个问题,微软引入了Windows沙盒的配置功能。使用XML文件,您可以使用设置的参数启动Windows沙箱。您可以收紧或放松沙箱的限制。例如,你可以禁用互联网连接,用你的Windows 10主机副本配置共享文件夹,或者运行脚本来安装应用程序。*在沙盒功能的第一个版本中,这些选项受到一些限制,但微软可能会在Windows 10的未来更新中添加更多选项。
如何配置Windows沙盒
本手册假定您已将沙盒设置为常规使用。如果您尚未启用,则需要先使用Windows功能对话框将其启用。
要开始使用,您需要记事本或您最喜欢的文本编辑器-我们喜欢记事本++-以及一个空白的新文件。您将为配置创建一个XML文件。虽然熟悉XML编码语言会有所帮助,但这并不是必需的。一旦您的文件准备就绪,您将使用.wsb扩展名保存它(想想Windows Sand Box)。双击该文件将启动具有指定配置的沙盒。
正如微软解释的那样,在配置沙盒时,您有几个选项可供选择。您可以启用或禁用虚拟GPU(虚拟化GPU)、打开或关闭网络、指定共享主机文件夹、设置对该文件夹的读/写权限,或者在启动时运行脚本。
使用此配置文件,您可以禁用虚拟化GPU(默认情况下启用)、关闭网络(默认情况下处于打开状态)、指定共享主机文件夹(默认情况下沙盒应用程序无法访问任何文件夹)、设置该文件夹的读/写权限和/或在启动时运行脚本
首先,打开记事本或您最喜欢的文本编辑器,从一个新的文本文件开始。添加以下文本:
您要添加的所有选项必须在这两个参数之间。您可以只添加一个选项,也可以添加所有选项-您不必包含每个选项。如果不指定选项,将使用默认值。
如何禁用虚拟GPU或网络
正如微软指出的那样,启用虚拟GPU或网络增加了恶意软件可以用来突破沙盒的途径。因此,如果您正在测试您特别担心的东西,禁用它们可能是明智的。
要禁用默认情况下启用的虚拟GPU,请将以下文本添加到配置文件中。
Disable 
要禁用默认情况下启用的网络访问,请添加以下文本。
Disable 
如何映射文件夹
要映射文件夹,您需要详细说明要共享的文件夹,然后指定该文件夹是否应为只读。
映射文件夹如下所示:
C:\Users\Public\Downloads
true
HostFolder是您列出要共享的特定文件夹的位置。在上面的示例中,共享了Windows系统上的Public Download文件夹。只读设置沙盒是否可以写入文件夹。将其设置为true可将文件夹设置为只读,设置为false可将其设置为可写。
请注意,通过在您的主机和Windows沙盒之间链接一个文件夹,实质上是在给您的系统带来风险。授予沙盒写入访问权限会增加这种风险。如果您正在测试您认为可能是恶意的任何东西,则不应该使用此选项。
如何在启动时运行脚本
最后,您可以运行自定义创建的脚本或基本命令。例如,您可以在启动时强制沙盒打开映射的文件夹。创建该文件将如下所示:
C:\Users\Public\Downloads
true
explorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads
WDAGUtilityAccount是Windows沙盒的默认用户,因此在作为命令的一部分打开文件夹或文件时,您将始终引用该用户。
不幸的是,在Windows10即将发布的2019年5月更新版本中,LogonCommand选项似乎没有按预期工作。它根本没有做任何事情,即使当我们在Microsoft的文档中使用该示例时也是如此。微软可能很快就会修复这个错误。
如何使用您的设置启动沙盒
完成后,保存文件并为其指定.wsb文件扩展名。例如,如果文本编辑器将其另存为Sandbox.txt,则将其另存为Sandbox.wsb。要使用您的设置启动Windows沙箱,请双击.wsb文件。您可以将其放在桌面上,也可以在“开始”菜单中创建指向它的快捷方式。
为方便起见,您可以下载此DisabledNetwork文件以节省一些步骤。该文件的扩展名为txt,将其重命名为.wsb文件扩展名,您就可以启动Windows Sandbox了。