Ако се притеснявате за сигурността на вашия компютър и искате да изпробвате необичайни програми, скриптове или конфигурации, без да рискувате стабилността на системата, Windows Sandbox е един от най-мощните, но и най-недооценени инструменти. което включва Windows 10 и Windows 11. Правилно конфигуриран, той ви позволява да изолирате процеси, да контролирате ресурси и да дефинирате много фини правила, за да работите спокойно.
В това ръководство ще видите, стъпка по стъпка, Как работи изолацията на процесите в Windows Sandbox, какви са нейните изисквания, как се активира и най-вече как да конфигурирате нейните правила, използвайки .wsb файлове? За да настроите мрежа, графичен процесор, клипборд, папки, памет, аудио, видео, защитен клиент и много други. Идеята е, че след като прочетете това, ще можете уверено и лесно да настройвате свои собствени персонализирани пясъчници.
Какво е Windows Sandbox и защо се използва за изолиране на процеси?
Windows Sandbox е, по същество, лека десктоп среда, която работи като малка виртуална машина, интегрирана в самата операционна системаВсеки път, когато го отворите, той стартира чиста инстанция на Windows, напълно отделна от хост компютъра, където можете да инсталирате приложения, да отваряте документи или да сърфирате в интернет, без това да повлияе на основната ви инсталация.
В техническо отношение, Windows Sandbox разчита на Hyper-V и хардуерна виртуализация За да се създаде изолирана Windows система, която споделя част от базата на хост системата, тя се стартира по-бързо и консумира по-малко ресурси от традиционната виртуална машина. На практика това е просто още един прозорец на работния плот, където имате „нова“ инсталация на Windows, готова за тестване.
От гледна точка на сигурността, този подход предлага изолация на процесите и паметта, много подобна на това, което е известно като пясъчник (sandbox).Софтуерът работи в контейнер с контролирани ресурси (процесор, RAM, диск, мрежа, устройства) и строги правила за това какво може и какво не може да вижда от хоста. Ако програмата се окаже злонамерена, нейните ефекти остават в този контейнер.
Ключова разлика в сравнение с виртуалната машина, която създавате сами с VirtualBox или други решения, е, че Windows Sandbox е проектиран да бъде лесен, бърз за стартиране и за еднократна употреба.Не е нужно ръчно да инсталирате операционна система или да конфигурирате виртуални дискове: системата се стартира за няколко секунди и когато я затворите, всичко се изтрива без да оставя следи.
Основни характеристики на изолацията в Windows Sandbox
Едно от първите неща, които трябва да разберете, е как се държи средата по подразбиране. Когато отворите Windows Sandbox без персонализирани настройки, автоматично се създава лека виртуална машина със стандартни правила.проектиран да бъде полезен веднага след изваждане от кутията.
В този основен режим, изолираното пространство започва с максимум 4 GB разпределена паметВъпреки че самото управление е динамично и се адаптира към ресурсите на хост системата, то е достатъчно за сърфиране, инсталиране на пробни приложения или стартиране на диагностични инструменти, без да се претоварва основният компютър.
По подразбиране опцията за vGPU (виртуализиран графичен процесор) е активиран на x64 устройства (не ARM64), което ви позволява да се възползвате от графичното ускорение на хоста в рамките на пясъчната кутия. Ако тази функция не е налична или е деактивирана, системата се връща към WARP (Windows Advanced Rasterization Platform), което е по-бавен, но надежден метод за софтуерно рендиране.
По отношение на свързаността, Мрежата е активирана по подразбиране чрез виртуален комутатор Hyper-V.Хостът действа като шлюз и DHCP сървър, а пясъчната кутия получава частен IP адрес (например, в типична конфигурация, нещо като 172.27.86.15 с маска на подмрежата 255.255.240.0 и шлюз 172.27.80.1). Това позволява сърфиране в интернет и достъп до ресурси в локалната мрежа, включително самия хост компютър.
Опциите за интеграция с физическото устройство също са конфигурирани: Аудио входът (микрофон) обикновено е активен по подразбиране, видео входът (камера) е деактивиран, а клипбордът е споделен.Това означава, че можете да копирате и поставяте текст и файлове между хоста и пясъчника, но средата не вижда директно вашата уеб камера, освен ако изрично не я активирате чрез правила.
От друга страна, Защитеният клиент, пренасочването на принтера и видео входът са деактивирани в конфигурацията по подразбиране.Това засилва защитата срещу определени вектори на атака. Ако имате нужда от тези функции, те могат да бъдат активирани в персонализиран .wsb файл.
Какво се случва, когато затворите Windows Sandbox
Една от ключовите характеристики на системата за сигурност е, че Windows Sandbox е напълно времененВсичко, което правите вътре (инсталиране на приложения, смяна на фона, изтегляне на файлове, модифициране на системния регистър и т.н.), изчезва веднага щом затворите прозореца на пясъчника.
Когато натиснете X, за да затворите, системата показва диалогов прозорец, който иска потвърждение за изтриване на съдържанието на пясъчника. Ако приемете, виртуалната машина ще се изключи и всички ваши данни ще бъдат унищожени.Когато отворите отново Sandbox, ще имате чиста инсталация на Windows, точно като нова.
Започвайки с Windows 11 22H2, има едно малко изключение: Ако рестартирате средата от самата пясъчник, някои файлове, необходими за продължаване на изпълнението, може да се запазят.Това е предназначено за инсталации, които изискват вътрешно рестартиране. Веднага щом затворите прозореца на пясъчник от хоста, всичко, което не е копирано изрично или чрез съпоставяне на папки, ще бъде загубено.
Друг важен въпрос е това Приложенията, инсталирани на хоста, не се появяват магически в пясъчната кутияВсеки екземпляр на средата се държи като самостоятелен Windows, така че всяка програма, която искате да тествате в нея, ще трябва да бъде изрично инсталирана или нейното внедряване да бъде автоматизирано със скриптове и .wsb файлове.
Изисквания и издания на Windows, съвместими с пясъчник
Преди да започнете да се занимавате с правила и настройки, е важно да проверите дали вашето оборудване е съвместимо. Windows Sandbox е наличен само в Windows 10 Pro и Enterprise (започвайки с компилация 18305/18342) и в Windows 11 Pro и Enterprise.Ако имате домашно издание, функцията просто няма да се появи.
Що се отнася до хардуера, вашият компютър трябва да отговаря на някои минимални изисквания, които са сравнително постижими в днешно време: Архитектура AMD64 или ARM64 (за по-нови версии на Windows 11), поне 4 GB RAM (силно препоръчително 8 GB)2-ядрен или по-мощен процесор (за предпочитане 4 нишки с hyper-threading) и поне 1 GB свободно дисково пространство, за предпочитане на SSD за бързо зареждане.
Критичният момент се крие във виртуализацията: Трябва да имате активирани технологии VT-x (Intel) или SVM (AMD) в BIOS/UEFIАко тази опция е деактивирана или вашият процесор не я поддържа, Windows ще покаже функцията „Windows Sandbox“ като сива или деактивирана и няма да можете да я използвате.
На типичните дънни платки на Gigabyte, процесът би бил нещо подобно: влезте в BIOS с F2, F12 или Delete, отидете в разширен режим, отидете на MIT → Разширени настройки на честотата → Разширени настройки на процесора и Задайте SVM режим или VT-x на EnabledСлед това запазете промените с „Запазване и изход от настройката“ и рестартирайте.
Ако инсталирате Windows 11 Pro с активирана виртуализация от самото начало, много пъти функциите за сигурност, свързани с изолацията на ядрото и целостта на паметта (HVCI) вече са активирани, което полага основите за сигурно използване на Hyper-V и Windows Sandbox.
Връзка с изолацията на ядрото и целостта на паметта
Изолацията на процесите в Windows Sandbox не съществува самостоятелно: тя е част от стратегия за сигурност, която включва и функции като Изолация на ядрото и целостност на паметта, и двете също базирани на хардуерна виртуализация.
Според Microsoft, изолацията на ядрото е функция, която разделя ключови системни процеси във виртуализирана средаТова значително затруднява манипулирането им от зловредния софтуер. Той разчита на изолиран контейнер за тези критични процеси, намалявайки въздействието на уязвимостите в драйверите или самото основно ядро.
Цялостност на паметта, известна още като HVCI (Hypervisor-protected Code Integrity), Това предотвратява свободното зареждане в системата на ниско ниво драйвери със злонамерен или дефектен код.Хипервизорът проверява целостта на кода, преди да позволи изпълнението му, създавайки допълнителна бариера срещу руткитове и подобни заплахи. За практически анализ е полезно да се научи как да откриване на подозрителни DLL файлове на Windows 11.
Тези две технологии използват подобен подход към пясъчник: създаване на изолирани среди в самата система чрез виртуализация за защита на процесите и паметта. Въпреки че не са същите като Windows Sandbox, те допълват неговата функция: докато Sandbox се фокусира върху изпълнението на съмнителни приложения в еднократна виртуална машина, изолацията на ядрото и HVCI защитават сърцето на операционната система.
В Windows 11 Pro всичко това обикновено е вече активирано; в Windows 10 е нормално това Първо трябва да инсталирате функцията Windows Sandbox и след това ръчно да активирате целостта на паметта От Настройки > Поверителност и сигурност > Защита на устройството > Изолиране на ядрото.
Как да активирате и стартирате Windows Sandbox в Windows 10 и 11
След като сте активирали правилното издание и виртуализация в BIOS, следващата стъпка е да активирате самата функция. Пясъчник на Windows, тъй като е деактивирано по подразбиране дори във версиите Pro и Enterprise.
В Windows 10 и Windows 11 имате два много сходни пътя. Най-прекият е да търсите в менюто „Старт“ «Включете или изключете функциите на WindowsОтворете класическия панел. В списъка, който се показва, намерете „Windows Sandbox“, изберете го и щракнете върху OK. Системата ще инсталира необходимите компоненти и ще ви подкани да рестартирате.
В Windows 11 можете също да отидете в Настройки > Система > Допълнителни функции и в долната част на списъка да кликнете върху „Още функции на Windows“, за да стигнете до същия класически диалогов прозорец. Без рестартиране, пясъчникът няма да бъде достъпен.Затова запазете работата си и оставете системата да се рестартира.
След рестартирането, просто отворете менюто „Старт“ и потърсете „Windows Sandbox“ (или „Windows Isolated Space“ в зависимост от езика). Приложението се стартира като всяка друга програма и след няколко секунди ще видите прозорец с чист работен плот на Windows.който може да бъде максимизиран или преоразмерен по ваше желание.
В пясъчника имате Edge, готов за сърфиране, File Explorer за управление на документи и възможност за копиране и поставяне на файлове от хоста. Директното плъзгане и пускане на файлове с мишката обаче не се поддържа; трябва да използвате копиране/поставяне.Или още по-добре, картографиране на папки с помощта на политики, както ще видим по-късно.
Примери за употреба и предимства на изолацията на процесите
Най-очевидното приложение на Windows Sandbox е Тествайте изпълними файлове и програми със съмнителен произход, без да рискувате основната си инсталацияМожете да изтеглите инсталатори от Edge в изолираната среда, да стартирате инструменти, да видите как се държат, да проверите какво правят на диска или в системния регистър и ако нещо се обърка, простото затваряне на прозореца решава всичко.
Друго много интересно приложение е да го използвате за анализира злонамерен софтуерТестване на експлойти или симулиране на атаки в контролирана среда. Много специалисти по сигурността се възползват от пясъчника, за да изпълняват проби от зловреден код и да наблюдават поведението му, с увереността, че хост машината е защитена от изолацията на виртуалната машина и другите слоеве за сигурност на системата.
Той е идеален и за задачи, демонстрации, обучение, тестване на инсталацията и отстраняване на неизправностиАко трябва да научите някого как да инсталира програма, да тествате скрипт за внедряване или да проверите съвместимостта на приложение с чиста конфигурация на Windows, Sandbox предоставя перфектна тестова площадка, без да е необходимо да настройвате пълна виртуална машина в друг инструмент.
В корпоративна среда нещата могат да бъдат направени още една крачка напред: Те използват Windows Sandbox като защитен посредник за свързване с отдалечени настолни компютри (RDP) или чувствителни мрежови ресурси.По този начин, идентификационните данни, използвани за свързване с тези сървъри, остават в пясъчната кутия и не се съхраняват в паметта на хоста. Ако главната машина бъде компрометирана, нападателят не би могъл лесно да извлече тези идентификационни данни, защото те никога не са били в паметта ѝ.
В крайна сметка, това е много полезно за бързи експерименти с конфигурация на Windows, тестване на скриптове, промени в груповите правила или тихи инсталацииВместо да претрупвате основната си инсталация, вие извършвате всички тестове в ефимерната среда и когато намерите правилната конфигурация, я репликирате в продукция.
.wsb файлове: ключът към конфигурирането на правила в Windows Sandbox
Всичко горепосочено е много добре, но истинският потенциал на изолацията на процесите в пясъчник се отключва, когато Започвате да използвате .wsb конфигурационни файловеТези файлове са прости XML документи, които казват на системата как да стартира изолираната среда: какви ресурси да разпредели, какви папки да картографира, какви команди да изпълнява при стартиране, какви устройства да разреши и т.н.
.wsb файловете се поддържат от Windows 10, версия 18342, и във всички съвременни версии на Windows 11. Разширението .wsb се свързва автоматично с Windows SandboxТака че, чрез двукратно щракване върху един от тези файлове, се отваря екземпляр на Sandbox, следвайки правилата, дефинирани в този XML.
За да създадете такъв, просто отворете текстов редактор (Notepad, Visual Studio Code, Notepad++, какъвто предпочитате) и напишете основна структура с коренния таг …Между тези два реда ще се намират различните елементи: vGPU, Networking, MappedFolders, LogonCommand, AudioInput, VideoInput, ProtectedClient, PrinterRedirection, ClipboardRedirection и MemoryInMB.
След като съдържанието е готово, Запазете файла с разширението .wsb, например „MySandbox.wsb“Ако използвате Notepad, не забравяйте да оградите името на файла в двойни кавички, за да избегнете добавянето на ".txt". Оттам можете да стартирате персонализирания sandbox, като щракнете двукратно върху файла или като въведете пътя му от командния ред, например: C:\Temp> MiSandbox.wsb.
Всяка от конфигурационните секции контролира различен аспект на изолацията на процесите и ресурсите. Нека ги разгледаме внимателно, защото именно там наистина се определя поведението на вашата среда.
GPU контрол: етикет
Етикетът Това ви позволява да решите дали изолираната среда ще използва виртуализиран графичен процесор, свързан с графичната карта на хоста, или ще се придържа към софтуерно рендериране. Това е ключово, когато искате ограничаване на достъпа до графично ускорение от съображения за сигурност Или, обратно, когато искате да подобрите производителността на 3D приложения в пясъчника.
Възможните стойности са:
- Разреши: Активира виртуализирания графичен процесор в пясъчната кутия, позволявайки на приложенията да използват ускорение на хоста.
- Правя неспособен: деактивира споделянето на графичния процесор; средата се връща към WARP (софтуерно рендериране), което обикновено е по-бавно.
- По подразбиране: оставя поведението на Windows по подразбиране, което в днешно време е еквивалентно на активиране на vGPU.
В среди, където сигурността е приоритет, това може да бъде от интерес. сила Деактивиране за да се предотврати взаимодействието на процеси в пясъчната кутия с драйвери на графични процесори, които понякога излагат на риск сложни повърхности за атака.
Мрежови функции: етикет
Мрежата е една от критичните точки в изолацията на процеса. С етикета Вие определяте дали средата ще има свързаност или не.
Стойностите са подобни:
- Разреши: позволява достъп до мрежата чрез виртуален комутатор и виртуална NIC карта, свързана към хоста.
- Правя неспособенПясъчникът е оставен напълно без достъп до мрежата; няма достъп до интернет или локалната мрежа.
- По подразбиране: Държи се както в стандартната конфигурация, т.е. мрежа, активирана от виртуалния комутатор Hyper-V.
Ако ще бягате потенциално злонамерен софтуер или софтуер, който не искате да сканира вътрешната ви мрежаНай-разумното нещо, което можете да направите, е да стартирате пясъчника с деактивирана мрежа: <Networking>Disable</Networking>Това гарантира, че всеки опит за разпространение или отдалечена връзка ще бъде неуспешен.
Обърнете внимание, че когато е активирана, мрежата Sandbox обикновено използва NAT конфигурация, където Хостът действа като шлюз (напр. 172.27.80.1) и DHCPприсвояване на частен IP адрес на виртуалната машина. Оттам тя може да осъществява достъп до интернет и в много случаи до устройства във вашата локална мрежа, включително самия хост компютър.
Съпоставяне на папки: етикет
Ако искате да работите с хост файлове в пясъчната кутия, вместо постоянно да копирате и поставяте, можете картографиране на папки на хост компютъра в изолираната среда използвайки секцията .
Основната структура на тази част от XML е нещо подобно:
<MappedFolders>
<MappedFolder>
<HostFolder>RUTA_EN_HOST</HostFolder>
<SandboxFolder>RUTA_EN_SANDBOX</SandboxFolder>
<ReadOnly>true/false</ReadOnly>
</MappedFolder>
</MappedFolders>
Ключовите елементи са:
- HostFolder: пътят до папката на хост компютъра. Тя трябва да съществува, в противен случай пясъчникът няма да се стартира.
- Папка с пясъчник: пътят на местоназначението в пясъчника. Ако не съществува, той ще бъде създаден автоматично. Ако не го посочите, той ще бъде съпоставен с работния плот по подразбиране на потребителя на пясъчника, който е
WDAGUtilityAccount. - Само за четене: ако е вътре вярноПапката може да се чете само от изолирана среда; ако е в фалшивМоже да се чете и записва. Стойността по подразбиране е фалшив.
употреба Задаването на ReadOnly на true е силно препоръчително при картографиране на чувствителни данни.Това предотвратява промяната или изтриването на файлове на хоста от злонамерен софтуер в пясъчната кутия. Считано от Windows 11 23H2, използването на променливи на средата в HostFolder също се поддържа, което осигурява малко повече гъвкавост.
В специфични сценарии, като например свързване към RDP сървъри, е обичайно да се създава на хоста папка с .rdp преки пътища и скриптове и го съпоставете с работния плот на sandbox. Оттам можете да стартирате отдалечени връзки или инсталатори, без да е необходимо да изтегляте каквото и да било в средата.
Команда за вход: етикет
Друга ключова характеристика за автоматизиране на политиките е Този раздел ви позволява да укажете команда или скрипт, който ще се изпълни автоматично. след като изолираната среда е влязла в системата.
Структурата е:
<LogonCommand>
<Command>RUTA_O_COMANDO</Command>
</LogonCommand>
Командата се изпълнява в пясъчната кутия, под потребителския акаунт на контейнера (обикновено администратор). Можете да укажете абсолютни пътища в средата, като например C:\Потребители\WDAGUtilityAccount\Desktop\Access\install_7zip.cmdили директни команди като cmd.exe /c script.bat ако скриптът е в картографирана папка.
Тази функция се използва много често за автоматизиране на тихи инсталации на софтуер, изпълняване на скриптове конфигурация, отваряне на специфични инструменти или иницииране на RDP връзкиНапример, можете да съпоставите папка на хост с .rdp файл и след това да използвате LogonCommand, за да го стартирате. mstsc.exe /f C:\Ruta\srvfacturacion.rdp в рамките на пясъчната кутия, като се гарантира, че автоматично се свързва с отдалечен сървър веднага щом се стартира.
Аудио, видео и защитен контрол на клиента
В допълнение към защитата на мрежата и папките, Windows Sandbox ви позволява да настройвате фино достъпа до входни устройства, като микрофона и камерата, както и да активирате по-стабилен режим на защита. Защитен клиент.
Con Вие решавате дали изолираната среда може да получава аудио от микрофона на хоста. Възможни стойности: Enable (Разрешено), Disable (Деактивирано) и Default (По подразбиране) (което в днешно време обикновено означава разрешено). Ако ще използвате приложения, които изискват запис на глас или тестови видео разговориЩе трябва да оставите аудио входа активиран; ако вашият приоритет е поверителността, можете да го деактивирате принудително.
За уеб камерата имате етикета със същите стойности. В конфигурацията по подразбиране Видео входът обикновено е деактивиран.Това е точно за да се предотврати достъпът на приложения в пясъчната кутия до уеб камерата без ваш контрол.
вид Това е особено интересно от гледна точка на изолацията на процесите. Когато е активирано, Сесията в пясъчник се изпълнява в силно ограничена среда на AppContainer.Той изолира идентификационни данни, устройства, файлове, мрежи, процеси и прозорци. Казано по-просто, това е допълнителен слой сигурност върху вече изолирана пясъчник.
Стойностите за ProtectedClient са Enable (Разрешено), Disable (Деактивирано) и Default (По подразбиране), като последното в момента е еквивалентно на деактивиране. Ако ще тествате зловреден софтуер или ще осъществявате отдалечен достъп до особено чувствителни ресурсиСтрува си да се обмисли активирането на този режим, за да се добави още един слой защита.
Пренасочване на принтера и клипборда
Настроики Пренасочване на принтера y Пренасочване на клипборда Те определят степента, до която изолираната среда може да взаимодейства с вашите принтери и клипборда на хоста, нещо тясно свързано с изолацията на данните между процесите.
Con Вие избирате дали принтерите, конфигурирани на хоста, ще бъдат видими в пясъчната кутия. „Enable“ позволява тази видимост и използване, „Disable“ блокира всяко пренасочване, а „Default“ отразява стандартното поведение, което в днешно време обикновено е тази функция да е деактивирана.
На практика рядко се налага да печатате директно от пясъчника и Запазването на тази опция на „Деактивирано“ намалява повърхността за атака и предотвратява изтичане на информация. чрез необичайни канали, така че има смисъл да се активира само в специфични сценарии.
По-деликатно е Тъй като клипбордът е каналът, през който ще прехвърляте файлове и данни между хоста и пясъчника, „Enable“ позволява свободно копиране и поставяне, „Disable“ го блокира напълно, а „Default“ запазва поведението по подразбиране, което е споделянето да е активирано.
В силно параноични конфигурации, например за напреднал анализ на зловреден софтуер, Може би е добра идея временно да деактивирате клипборда и използвайте картографирани папки само в режим само за четене, за да обменяте файлове. Това предотвратява извличането на данни от злонамерен процес чрез копиране и поставяне.
Много често срещана употреба е комбинирането ClipboardRedirection е зададен на Disable с картографирана папка ReadOnlyПо този начин можете да оставите инсталаторите или документите, от които се нуждаете, в тази папка в пясъчната кутия, но минимизирате вероятността от изтичане на данни от изолираната среда към хоста.
Управление на паметта: етикет
Накрая, етикетът Това ви дава контрол върху максималното количество RAM, което пясъчникът може да използва. Стойността е зададена в мегабайти и се използва за дефинирайте таван на паметта за изолираната среда.
Ако посочите например, 8192 Ще разпределите приблизително 8 GB RAM памет за този екземпляр. Това е полезно, когато възнамерявате да едновременно изпълнение на ресурсоемки приложения или множество инструменти за анализ в рамките на средата и не искате да им свършат ресурсите.
Ако зададете твърде ниска стойност, системата автоматично ще я увеличи до минимум от 2048 MB, за да стартира. Няма смисъл да се опитвате да насилвате по-малко от 2 GB, защото просто няма да работи.Разумното решение е да се регулира паметта въз основа на общата RAM памет на хоста, като винаги се оставя място за основната система да „диша“.
На машини с 16 GB или повече, отделянето на 4 или 8 GB за специфична пясъчник обикновено е добър баланс между производителност и сигурност, особено ако ще автоматизирате инсталации или работите с няколко тежки процеса във виртуалната машина.
Практически примери за разширена конфигурация
С всички тези части могат да се изградят доста сложни сценарии. Много практичен пример е този на Свържете се със сървър за отдалечен работен плот, използвайки Windows Sandbox като защитен посредник.Идеята е тройна: да се защити хостът, да се предотврати съхраняването на идентификационни данни в паметта му и да се капсулира отдалечената сесия във временен контейнер.
В типичен пример, на хоста се създава папка като D:\Моите документи\ProjectA\Sandbox\Sandbox_Access където се съхранява .rdp файл с конфигурацията на връзката, например srvfacturacion.rdpСлед това се подготвя .wsb файл, който съпоставя тази папка с работния плот на WDAGUtilityAccount в пясъчната кутия, например като C:\Потребители\WDAGUtilityAccount\Desktop\Accessи се добавя LogonCommand, която стартира mstsc.exe сочейки към този .rdp.
Резултатът е, че при отваряне на този .wsb файл, Пясъчникът стартира, автоматично създава папката „Access“ на работния плот с картографирания .rdp файл и установява RDP връзка.така че потребителят да влиза в отдалечения сървър директно от изолирана среда.
Друг често използван пример е този на Автоматизирайте инсталирането на програми като 7-Zip безшумноНа хоста изтегляте инсталатора (например) 7z2408-x64.exe) в папка като ...\Sandbox_Access\Инсталатори, създавате скрипт install_7zip.cmd който извиква този инсталатор с аргумента /S, така че да не изисква намеса на потребителя и отново го картографирате към маршрут вътре в пясъчника, използвайки MappedFolders.
В .wsb файла дефинирате съпоставянето и използвате LogonCommand за изпълнение на cmd скрипта при стартиранеКогато стартирате пясъчната кутия с този .wsb файл, 7-Zip ще се инсталира сам в изолираната среда, без да е необходимо да правите каквото и да било. Това е идеално за създаване на повтарящи се тестови среди или за демонстрации, където искате едни и същи инструменти винаги да бъдат инсталирани и конфигурирани.
Тези примери могат да бъдат допълнени с други правила, като например задаване на MemoryInMB на 8192, деактивиране на ClipboardRedirection, за да се предотврати копиране/поставяне между хоста и sandbox, или дори активиране на ProtectedClient и деактивиране на мрежата след инсталирането, в зависимост от нивото на сигурност, което търсите.
Като цяло, Windows Sandbox съчетава силата на виртуализацията с относително проста система от правила, базирана на XML .wsb файлове. Като се възползвате от опции като vGPU, Networking, MappedFolders, LogonCommand, ProtectedClient или ClipboardRedirection, можете да настроите тестови среди, много пригодени към вашите нужди, с повече от респектираща изолация на процесите и данните.Като същевременно запазвате удобството да стартирате всичко с просто двойно щракване и спокойствието, знаейки, че когато затворите прозореца, всички следи от вашите експерименти ще изчезнат, без да се компрометира основната ви система.
