Cara membuat dan mengelola kebijakan isolasi di Windows Sandbox

Jika Anda juga belajar untuk membuat dan mengelola kebijakan isolasi Dengan menggunakan file .wsb, Anda dapat membawa Windows Sandbox ke level yang lebih tinggi.Mengontrol akses ke jaringan, GPU, clipboard, printer, folder bersama, memori, audio, video, dan bahkan memperkuat keamanan dengan mode Klien Terlindungi. Dalam panduan ini, kita akan melihat langkah demi langkah cara kerjanya, persyaratan apa yang dibutuhkannya, dan bagaimana cara menyempurnakan perilakunya.

Apa itu Windows Sandbox dan mengapa sangat berguna untuk isolasi?

Istilah sandbox mengacu pada sebuah lingkungan virtual terpisah dari sistem operasi sebenarnyaSistem ini berperilaku seperti Windows yang baru diinstal, tanpa program pra-instal atau pengaturan yang rumit. Rasanya seperti memiliki PC baru setiap kali Anda membukanya, tetapi semuanya dalam jendela sederhana di desktop Anda.

Windows Sandbox didasarkan pada teknologi virtualisasi Hyper-V dan mengintegrasikan Windows mini di atas sistem host.Ia menggunakan kembali komponen dari sistem yang sudah terpasang agar lebih ringan dan dapat melakukan booting jauh lebih cepat daripada mesin virtual tradisional. Meskipun demikian, ia tetap mempertahankan kernel yang terisolasi untuk mencegah perangkat lunak berbahaya mencapai sistem host.

Ruang terisolasi ini ditujukan untuk menjalankan aplikasi yang asal-usulnya meragukan, menganalisis malwaremenguji konfigurasi atau melakukan demonstrasi tanpa konsekuensi permanen. Saat Anda menutup jendela, semuanya akan hilang: program yang terinstal, file yang diunduh, perubahan registri, dan modifikasi sistem apa pun.

Salah satu keunggulan utama Windows Sandbox dibandingkan mesin virtual klasik adalah Anda tidak perlu mengunduh atau memelihara image.dan jangan khawatir tentang lisensi tambahan: semuanya sudah termasuk dalam edisi Windows 10 yang kompatibel dan Windows 11Sistem ini juga tidak mengakumulasi disk virtual berukuran besar; setiap sesi bersifat sementara.

Dalam konfigurasi default-nya, Windows Sandbox terbuka dengan lingkungan desktop minimal.Dilengkapi dengan Edge dan semua yang Anda butuhkan untuk bekerja, tetapi tanpa aplikasi pra-instal yang tidak perlu. Anda dapat mengubah ukuran jendela dan resolusi menyesuaikan secara otomatis, sehingga memudahkan untuk bekerja secara paralel dengan sistem host.

Persyaratan Windows dan edisi yang didukung

Sebelum membahas kebijakan isolasi dan file konfigurasi, penting untuk memastikan peralatan Anda memenuhi persyaratan.karena tidak semua sistem Windows atau semua PC dapat menggunakan fitur ini.

Mengenai edisi sistem, Windows Sandbox hanya tersedia dalam versi profesional dan pendidikan., khususnya:

• Windows 10 Pro, Perusahaan atau Pendidikan dari kompilasi 18305.
• Windows 11 Pro, Enterprise, Education dan Pro Education/SE dalam versi yang kompatibel.

Edisi Home tidak didukung secara resmi oleh Windows Sandbox.Oleh karena itu, jika Anda menggunakan Windows Home dan benar-benar membutuhkan fungsionalitas ini, Anda harus mempertimbangkan untuk meningkatkan ke edisi Pro atau yang lebih tinggi.

Mengenai perangkat kerasPersyaratan spesifikasinya cukup wajar untuk PC modern.Namun, ada baiknya kita meninjau kembali hal-hal tersebut:

• Arsitektur AMD64 atau ARM64 (yang terakhir dari Windows 11, versi 22H2 / build 22483 dan seterusnya).
• Virtualisasi diaktifkan di BIOS/UEFI (Intel VT-x, AMD-V atau yang setara diaktifkan).
• Setidaknya 4 GB RAM (8 GB direkomendasikan untuk penyimpanan yang memadai).
• Ruang disk kosong minimal 1 GB, lebih disukai di SSD untuk meningkatkan kecepatan.
• Setidaknya dua inti CPU (Empat inti dengan hyper-threading direkomendasikan).

Selain persyaratan umum, Windows Sandbox akan lebih diuntungkan jika memiliki GPU yang kompatibel untuk menggunakan vGPU.Ini meningkatkan performa grafis saat opsi GPU virtual diaktifkan di pengaturan.

Beberapa dokumen menyebutkan persyaratan berupa RAM 4 GB, 1 prosesor, dan ruang virtual hingga 40 GB yang dialokasikan untuk mesin tersebut.Namun dalam praktiknya, lingkungan ini ringan dan memanfaatkan memori dengan baik. penyimpanan secara dinamis berkat manajemen kernel yang cerdas dan berbagi file sistem host.

Cara mengaktifkan Windows Sandbox langkah demi langkah

Sekalipun persyaratannya terpenuhi, Windows Sandbox tidak diaktifkan secara default.Oleh karena itu, fitur ini perlu diaktifkan sebagai fitur sistem opsional.

Di Windows 10, Anda dapat melakukannya dari panel kontrol klasik. mengikuti rute ini:

• Buka Panel Kontrol> Program dan Fitur> Aktifkan atau Nonaktifkan Fitur Windows.
• Dalam daftar, centang kotak Kotak Pasir Windows.
• Klik pada menerima dan, jika sistem memintanya, mulai ulang komputer.

Di Windows 11, cara termudah biasanya melalui pengaturan modern.:

• Pergi ke Pengaturan > Sistem > Fitur Opsional.
• Klik pada Fitur Windows lainnya (tautan ke panel klasik).
• Marca Kotak Pasir Windows dan akan memulai ulang saat diminta.

Jika Anda lebih suka menggunakan PowerShellAnda dapat mengaktifkan fitur ini dengan satu perintah. dijalankan sebagai administrator:

Jalankan di PowerShell: Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online

Setelah fitur diaktifkan dan komputer dihidupkan ulang, Anda akan melihat "Windows Sandbox" atau "Windows Sandbox" sebagai aplikasi lain. Di menu Mulai dan di bilah pencarian sistem. Cukup ketik namanya dan jalankan.

Properti dari instance Windows Sandbox default

Saat Anda membuka Windows Sandbox tanpa file konfigurasi, sebuah instance dasar akan dibuat dengan parameter default. Ini cocok untuk sebagian besar pengguna, tetapi Anda mungkin ingin memperketat atau menyesuaikannya dengan kebijakan isolasi Anda sendiri.

Instance standar dimulai dengan batas maksimum sekitar 4 GB memori. (sistem menyesuaikan konsumsi secara dinamis), dan dengan fitur-fitur berikut yang diaktifkan atau dinonaktifkan:

• vGPU diaktifkan pada sistem non-ARM64, yang memungkinkan penggunaan GPU virtual untuk mempercepat grafis.
• Jaringan diaktifkan, menggunakan switch virtual Hyper-V dengan NIC virtual yang terhubung ke Internet melalui host.
• Input audio diaktifkanagar ruang terisolasi tersebut dapat menggunakan mikrofon tim tuan rumah.
• Input video dinonaktifkanOleh karena itu, webcam tidak dibagikan secara default.
• Klien yang dilindungi dinonaktifkanDengan kata lain, tidak ada mitigasi tambahan yang diterapkan dalam sesi RDP internal.
• Pengalihan printer dinonaktifkanSandbox tidak dapat melihat printer host.
• Pengalihan clipboard diaktifkanMemungkinkan penyalinan dan penempelan teks dan file antara host dan sandbox.

Dalam mode standar ini Anda dapat buka fileInstal program yang diunduh dari web dan jalankan pengujian seolah-olah itu adalah sistem Windows biasa.dengan ketenangan pikiran bahwa semuanya akan dihapus saat ditutup.

Saat Anda keluar, sistem akan menampilkan kotak dialog yang meminta konfirmasi untuk menghapus semua konten.Setelah diterima, status, file, dan perangkat lunak yang terpasang akan dibuang, dan komputer host tidak akan memiliki jejak perubahan apa pun yang dilakukan di dalam sandbox.

Keunggulan keamanan dan kasus penggunaan umum

Windows Sandbox pada dasarnya adalah mesin virtual yang sangat dioptimalkan, tetapi dengan beberapa keunggulan utama dibandingkan VM tradisional.Dataset ini dibuat secara instan, tidak memerlukan konfigurasi disk atau snapshot, dan terintegrasi langsung dengan sistem.

Dari sudut pandang keamanan, sistem ini mengandalkan virtualisasi berbasis perangkat keras untuk mengisolasi kernel.dengan menjalankan kernel terpisah melalui hypervisor Microsoft. Hal ini memungkinkan setiap serangan yang terjadi di dalam sandbox tetap terkendali, tanpa mengganggu kernel host.

Pendekatan ini menjadikannya ideal untuk berbagai skenario praktis sehari-hari.:

• Pengujian perangkat lunak di lingkungan yang bersih.Instal versi uji coba, beta, ekstensi, atau add-on tanpa mengganggu sistem utama.
• Penjelajahan web yang aman: mengunjungi lokasi yang berpotensi berbahaya atau tidak dikenal tanpa terpapar langsung dengan pihak yang bersangkutan.
• Membuka lampiran dan file yang mencurigakanMenganalisis dokumen email, file yang dapat dieksekusi, atau skrip yang mencurigakan di lingkungan yang terisolasi.
• Demonstrasi dan pelatihan: menunjukkan instalasi atau konfigurasi tanpa takut merusak mesin yang sedang bekerja.
• Mempertahankan lingkungan pengembangan yang terdiferensiasiSebagai contoh, lingkungan uji coba (sandbox) untuk setiap versi dari Ular sanca dan dependensinya, atau untuk toolchain yang berbeda.

Sifat lingkungan yang sekali pakai juga sangat menarik untuk pengujian berulang.karena Anda selalu memulai dari Windows yang "baru diinstal", tanpa sisa-sisa dari sesi sebelumnya yang dapat mengubah hasilnya.

File .wsb dan penyesuaian kebijakan isolasi

Kekuatan sebenarnya dari Windows Sandbox muncul ketika Anda mulai menggunakan file konfigurasi .wsb.yang memungkinkan Anda untuk menentukan kebijakan isolasi khusus untuk setiap kasus penggunaan.

File-file ini adalah dokumen XML yang sangat sederhana yang dikaitkan dengan Windows Sandbox menggunakan ekstensi .wsb.Fitur ini tersedia mulai dari Windows 10 build 18342 dan di Windows 11, dan memungkinkan Anda untuk mengontrol serangkaian parameter minimal namun sangat berguna.

Opsi yang dapat dikonfigurasi meliputi vGPU, jaringan, folder bersama, perintah startup, audio, video, klien yang dilindungi, printer, clipboard, dan memori yang dialokasikanCukup untuk menyesuaikan keseimbangan antara kenyamanan dan keamanan tergantung pada apa yang akan Anda lakukan di area permainan.

Poin pentingnya adalah, ketika Anda menggunakan <MappedFolders> Untuk berbagi folder host, folder-folder ini dipasang (mounted) sebelum perintah login.sehingga kamu naskah de boot Anda dapat mengakses direktori yang dipetakan tersebut sejak awal.

Cara membuat file konfigurasi .wsb

Membuat file .wsb sendiri semudah mengedit dokumen teks biasa.Namun, disarankan untuk mengikuti struktur yang sederhana agar Windows Sandbox dapat mengenalinya tanpa masalah.

Proses dasarnya adalah sebagai berikut::

1. Buka editor teks biasa, seperti Notepad atau Visual Studio Code.
2. Tuliskan struktur dasarnya dalam XML: Struktur minimal: <Configuration></Configuration>.
3. Tambahkan label konfigurasi yang ingin Anda gunakan (vGPU, Networking, MappedFolders, dll.).
4. Simpan file dengan ekstensi .wsb, sebagai contoh SandboxSeguro.wsbDi Notepad, disarankan untuk menyimpannya dalam tanda kutip agar ekstensi file tetap terjaga: "SandboxSeguro.wsb".

Untuk menjalankan sandbox menggunakan konfigurasi tersebut, cukup klik dua kali file .wsb.Sama seperti saat menjalankan file yang dapat dieksekusi. Anda juga dapat menjalankannya dari baris perintah dengan mengetikkan nama file di jalur tempat file tersebut berada:

Contoh eksekusi: C:\Temp> SandboxSeguro.wsb

Windows Sandbox akan membaca isi file .wsb dan meluncurkan sebuah instance yang disesuaikan dengan parameter tersebut.Anda dapat membuat file sebanyak skenario yang Anda miliki: satu file tanpa jaringan untuk analisis. malware, satu lagi dengan folder yang dipetakan untuk pengujian pengembangan, satu lagi dengan klien yang dilindungi, dan lain sebagainya.

Opsi konfigurasi utama untuk kebijakan isolasi

Tag yang tersedia dalam file .wsb merupakan dasar dari kebijakan isolasi Anda.Mari kita tinjau masing-masing, nilai yang diizinkan, dan dampaknya terhadap keamanan dan fungsionalitas.

Kontrol vGPU (penggunaan GPU virtual)

Label <vGPU> menentukan apakah sandbox dapat memanfaatkan GPU sistem host. melalui virtualisasi. Sintaksnya adalah:

Contoh sintaks: <vGPU>valor</vGPU>

Nilai yang diterima adalah:

• AktifkanMengaktifkan dukungan GPU virtual, meningkatkan kinerja grafis.
• Disable: menonaktifkan vGPU dan memaksa rendering perangkat lunak (WARP), yang lebih lambat tetapi memiliki permukaan serangan yang sedikit lebih kecil.
• DefaultGunakan konfigurasi default, yang saat ini setara dengan mengaktifkan vGPU.

Jika prioritas Anda adalah memaksimalkan performa grafis, biarkan vGPU tetap diatur ke Aktifkan atau Default.Jika Anda menginginkan isolasi maksimal, Anda mungkin perlu mempertimbangkan untuk menonaktifkannya.

Kebijakan jaringan di dalam sandbox

Label <Networking> Mengontrol apakah ruang terisolasi dapat mengakses jaringan dan internet.Sintaksnya:

Format: <Networking>valor</Networking>

Nilai yang mungkin:

• AktifkanLingkungan sandbox memiliki akses ke jaringan melalui switch virtual Hyper-V.
• DisableAkses jaringan diblokir, sehingga mengurangi risiko pada host secara drastis.
• Default: perilaku standar, setara dengan mengaktifkan jaringan.

Untuk menganalisis malware atau membuka file yang sangat mencurigakan, biasanya disarankan untuk menonaktifkan jaringan sepenuhnya., dengan menggabungkannya dengan folder baca-saja yang telah ditetapkan untuk mentransfer file yang akan dianalisis.

Folder yang Dipetakan

Bagian <MappedFolders> Tentukan jalur host mana yang dibagikan dengan sandbox dan dengan izin apa.Struktur standarnya adalah:

Contoh struktur: <MappedFolders>
<MappedFolder>
<HostFolder>RUTA_HOST</HostFolder>
<SandboxFolder>RUTA_SANDBOX</SandboxFolder>
<ReadOnly>true/false</ReadOnly>
</MappedFolder>
</MappedFolders>

Setiap label <MappedFolder> Ini mewakili direktori host yang terekspos di dalam sandbox.dengan nuansa-nuansa ini:

• Folder Host: jalur ke folder di komputer host. Folder tersebut harus ada; jika tidak, sandbox tidak akan dimulai.
• Folder SandboxJalur tujuan di dalam sandbox. Jika belum ada, akan dibuat; jika Anda mengabaikannya, secara default akan dipetakan ke desktop pengguna sandbox.
• Hanya Dibaca: jika itu ada di benarFolder tersebut hanya dapat dibaca dari dalam lingkungan sandbox; palsuIni juga memungkinkan penulisan. Nilai defaultnya adalah palsu.

Mulai dari Windows 11 23H2, variabel lingkungan dapat digunakan dalam jalur., yang memberikan sedikit lebih banyak fleksibilitas saat memetakan direktori.

Perlu diingat bahwa dengan berbagi folder host, Anda membuka potensi risiko yang dapat memengaruhi sistem utama Anda.Oleh karena itu, untuk analisis malware atau file yang mencurigakan, pemetaan dalam mode baca saja sangat disarankan.

Perintah Masuk

Jika Anda ingin mengotomatiskan tugas saat memulai sandbox, Anda dapat menggunakan bagian tersebut. <LogonCommand>. Sintaksisnya adalah:

Modelo: <LogonCommand>
<Command>comando o ruta dentro del sandbox</Command>
</LogonCommand>

Perintah tersebut dieksekusi setelah sandbox masuk menggunakan akun internalnya (WDAGUtilityAccount)., yang bertindak sebagai pengguna administrator dalam lingkungan tersebut.

Ini memungkinkan Anda, misalnya, untuk secara otomatis menjalankan skrip pengujian yang terletak di folder yang dipetakan., buka penginstal atau konfigurasikan lingkungan setiap kali Anda memulai sandbox dengan file .wsb tersebut.

Kontrol input audio dan video

tag <AudioInput> y <VideoInput> Mereka memungkinkan Anda untuk memutuskan apakah sandbox dapat menggunakan mikrofon dan kamera.Masing-masing.

Contoh penggunaan: <AudioInput>valor</AudioInput>

Nilai yang mungkin untuk input audio:

• AktifkanSandbox dapat menerima audio dari pengguna (misalnya, untuk apps (yang menggunakan mikrofon).
• DisableInput audio sepenuhnya terblokir.
• Default: nilai default, saat ini setara dengan audio diaktifkan.

Untuk video, sintaksnya adalah: <VideoInput>valor</VideoInput>

Nilai yang tersedia untuk kamera:

• Aktifkan: memungkinkan sandbox untuk menggunakan webcam host.
• DisableInput video dinonaktifkan.
• Default: nilai default, yang saat ini berarti kamera dinonaktifkan.

Dalam sebagian besar skenario keamanan, disarankan untuk mematikan kamera.terutama jika Anda menganalisis perangkat lunak yang asal-usulnya meragukan.

Mode Klien Terlindungi

Parameter <ProtectedClient> mengaktifkan mode keamanan yang ditingkatkan, menjalankan sandbox di dalam lingkungan runtime AppContainer dengan batasan tambahan.

Format label: <ProtectedClient>valor</ProtectedClient>

Nilai yang diterima:

• AktifkanSandbox beroperasi dalam mode Klien Terlindungi, menggunakan isolasi AppContainer untuk kredensial, perangkat, file, jaringan, proses, dan jendela.
• DisableMode standar digunakan, tanpa mitigasi tambahan ini.
• Default: saat ini setara dengan menonaktifkan mode terlindungi.

Jika tujuan Anda adalah memaksimalkan isolasi, mengaktifkan Protected Client adalah lapisan tambahan yang baik.meskipun hal ini dapat membatasi beberapa integrasi atau perilaku yang diharapkan dari aplikasi tertentu.

Pengalihan printer dan clipboard

Akses ke sumber daya bersama seperti printer dan clipboard dikendalikan dengan menggunakan tag. <PrinterRedirection> y <ClipboardRedirection>.

Contoh: <PrinterRedirection>valor</PrinterRedirection>

Nilai printer:

• AktifkanLingkungan sandbox dapat melihat dan menggunakan printer milik host.
• Disable: mencegah pengalihan printer; sandbox tidak "melihat" printer pada sistem utama.
• Default: perilaku default, saat ini dengan pengalihan dinonaktifkan.

Untuk clipboard, sintaksnya adalah: <ClipboardRedirection>valor</ClipboardRedirection>

Nilai yang mungkin untuk clipboard:

• Aktifkan: memungkinkan penyalinan dan penempelan antara host dan sandbox (teks dan file).
• Disable: Memblokir berbagi clipboard, mencegah kebocoran atau entri yang tidak diinginkan.
• Default: nilai default, yang memungkinkan pengalihan.

Dari sudut pandang keamanan, clipboard merupakan titik masuk dan keluar data.Jadi, jika Anda akan menangani malware atau dokumen yang sangat sensitif, Anda mungkin perlu mempertimbangkan untuk menonaktifkannya dan menggunakan folder yang dipetakan hanya baca untuk memindahkan file ke lingkungan tersebut.

Memori yang dialokasikan (MemoryInMB)

Label <MemoryInMB> Ini memungkinkan Anda untuk mengatur jumlah maksimum RAM yang dapat digunakan oleh sandbox., dalam megabyte. Sintaksnya adalah:

Contoh label: <MemoryInMB>valor</MemoryInMB>

Jika Anda menetapkan nilai yang lebih rendah dari yang dibutuhkan untuk booting, Windows akan secara otomatis menaikkannya ke nilai minimum yang diperlukan yaitu 2048 MB.Oleh karena itu, Anda tidak akan dapat membuat sandbox dengan ukuran kurang dari 2 GB.

Opsi ini berguna untuk mencegah beban kerja di dalam sandbox mengonsumsi terlalu banyak RAM sistem host.khususnya pada komputer dengan memori terbatas.

Contoh praktis file .wsb dengan kebijakan isolasi yang diperkuat.

Setelah Anda mengetahui semua opsi, mudah untuk menggabungkannya guna menciptakan kebijakan isolasi yang sangat ketat.Sebagai contoh, untuk menganalisis perangkat lunak yang mencurigakan sambil meminimalkan risiko.

File .wsb yang dirancang untuk keamanan maksimal mungkin menyertakan parameter seperti:

• vGPU dinonaktifkan, untuk mengurangi potensi serangan.
• Jaringan dinonaktifkan, tidak ada akses internet atau jaringan internal.
• Folder yang dipetakan dalam mode baca saja tempat Anda meletakkan file yang dapat dieksekusi untuk dianalisis.
• Clipboard dinonaktifkan, untuk mencegah kebocoran data.
• Klien terlindungi diaktifkan untuk menambahkan isolasi AppContainer.
• Memori dibatasi hingga jumlah yang wajar, misalnya 4096 MB.

Dengan konfigurasi seperti itu, Anda dapat menjalankan file eksekusi yang mencurigakan di dalam sandbox. Karena mengetahui bahwa dia tidak akan memiliki jaringan, dia tidak akan dapat memodifikasi file host (hanya baca) atau berbagi informasi melalui clipboard, dan dia akan terkunci dalam lingkungan yang diperketat keamanannya.

Ingatlah bahwa, terlepas dari pengaturan apa pun, menutup jendela sandbox akan menghapus semua yang telah dilakukan.Dan pada saat startup berikutnya, Anda akan memiliki lingkungan yang bersih kembali, siap untuk mengulangi pengujian atau menerapkan strategi isolasi lain dengan file .wsb yang lain.

Menguasai kebijakan isolasi di Windows Sandbox menjadikan fitur ini alat yang sangat serbaguna.Dari "laboratorium bersih" sederhana untuk menguji perangkat lunak tanpa mengotori komputer Anda hingga lingkungan yang sangat terlindungi untuk analisis malware dan navigasi ekstrem, semuanya dikendalikan melalui beberapa penyesuaian pada file .wsb yang dapat Anda adaptasikan untuk setiap situasi tanpa mempersulit hidup Anda. mesin virtual lengkap.