Slik oppretter og administrerer du isolasjonspolicyer i Windows Sandbox

Hvis du også lærer deg å opprette og administrere isolasjonspolicyer Ved å bruke .wsb-filer kan du ta Windows Sandbox til et nytt nivåKontrollere tilgang til nettverket, GPU, utklippstavlen, skrivere, delte mapper, minne, lyd, video og til og med styrke sikkerheten med Protected Client-modus. I denne veiledningen skal vi se trinn for trinn hvordan det fungerer, hvilke krav det har og hvordan du finjusterer oppførselen.

Hva er Windows Sandbox, og hvorfor er det så nyttig for isolering?

Begrepet sandkasse refererer til en separat virtuelt miljø av det faktiske operativsystemetDen oppfører seg som en nyinstallert Windows-versjon, uten forhåndsinstallerte programmer eller kompliserte innstillinger. Det er som å ha en helt ny PC hver gang du åpner den, men alt i et enkelt vindu på skrivebordet.

Windows Sandbox er basert på Hyper-V virtualiseringsteknologi og integrerer en mini-Windows oppå vertssystemet.Den gjenbruker komponenter i det installerte systemet for å være lettere og starte opp mye raskere enn en tradisjonell virtuell maskin. Likevel opprettholder den en isolert kjerne som forhindrer at skadelig programvare når vertssystemet.

Dette isolerte området er ment for å kjøre applikasjoner av tvilsom opprinnelse, analyser skadelig programvaretestkonfigurasjoner eller utfør demonstrasjoner uten permanente konsekvenser. Når du lukker vinduet, blir alt ødelagt: installerte programmer, nedlastede filer, registerendringer og eventuelle systemmodifikasjoner.

En av de store fordelene med Windows Sandbox sammenlignet med en klassisk virtuell maskin er at du ikke trenger å laste ned eller vedlikeholde bilder.og ikke bekymre deg for tilleggslisenser: alt er inkludert i de kompatible utgavene av Windows 10 og Windows 11Den akkumulerer heller ikke gigantiske virtuelle disker; hver økt er flyktig.

I standardkonfigurasjonen åpnes Windows Sandbox med et minimalt skrivebordsmiljøDen leveres med Edge og alt du trenger for å fungere, men uten unødvendige forhåndsinstallerte applikasjoner. Du kan endre størrelsen på vinduet, og oppløsningen justeres automatisk, noe som gjør det enkelt å jobbe parallelt med vertssystemet.

Windows-krav og støttede utgaver

Før vi diskuterer isolasjonspolicyer og konfigurasjonsfiler, er det viktig å sørge for at utstyret ditt oppfyller kravene.fordi ikke alle Windows-systemer eller alle PC-er kan bruke denne funksjonen.

Når det gjelder systemutgaven, er Windows Sandbox kun tilgjengelig i profesjonelle og pedagogiske versjoner., nærmere bestemt:

• Windows 10 Pro, Enterprise eller Education fra samling 18305.
• Windows 11 Pro, Enterprise, Education og Pro Education/SE i kompatible versjoner.

Home-utgaven støttes ikke offisielt av Windows SandboxDerfor, hvis du bruker Windows Home og absolutt trenger denne funksjonaliteten, må du vurdere å oppgradere til en Pro-utgave eller høyere.

Som til maskinvareKravene er ganske rimelige for en moderne PC.Men det er verdt å vurdere dem:

• AMD64- eller ARM64-arkitektur (sistnevnte fra Windows 11, versjon 22H2 / bygg 22483 og utover).
• Virtualisering aktivert i BIOS/UEFI (Intel VT-x, AMD-V eller tilsvarende aktivert).
• Minst 4 GB RAM (8 GB anbefales for rikelig lagringsplass).
• Minimum 1 GB ledig diskplass, helst i SSD å forbedre hastigheten.
• Minst to CPU-kjerner (Fire kjerner med hyperthreading anbefales).

I tillegg til de generiske kravene, drar Windows Sandbox fordel av å ha en kompatibel GPU for å bruke vGPU.Dette forbedrer grafikkytelsen når alternativet for virtuell GPU er aktivert i innstillingene.

Noen dokumenter nevner som et krav å ha 4 GB RAM, 1 prosessor og opptil 40 GB virtuell plass allokert til maskinen.Men i praksis er miljøet lett og utnytter minnet godt, og lagring dynamisk takket være intelligent kjernehåndtering og fildeling på vertssystem.

Slik aktiverer du Windows Sandbox trinn for trinn

Selv om kravene er oppfylt, er ikke Windows Sandbox aktivert som standard.Derfor må den aktiveres som en valgfri systemfunksjon.

I Windows 10 kan du gjøre det fra det klassiske kontrollpanelet. etter denne ruten:

• åpner Kontrollpanel> Programmer og funksjoner> Slå Windows-funksjoner på eller av.
• Kryss av i boksen i listen Windows-sandkasse.
• Klikk på aksepterer og start datamaskinen på nytt hvis systemet ber om det.

I Windows 11 er den enkleste måten vanligvis gjennom de moderne innstillingene.:

• Gå til Innstillinger > System > Valgfrie funksjoner.
• Klikk på Flere Windows-funksjoner (lenke til det klassiske panelet).
• Brand Windows-sandkasse og starter på nytt når det blir bedt om det.

Hvis du foretrekker å bruke PowerShellDu kan aktivere funksjonen med én enkelt kommando utført som administrator:

Kjør i PowerShell: Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online

Når funksjonen er aktivert og datamaskinen har startet på nytt, vil du se «Windows Sandbox» eller «Windows Sandbox» som et annet program. i Start-menyen og i systemets søkefelt. Bare skriv inn navnet og start det.

Egenskaper for standard Windows Sandbox-forekomst

Når du åpner Windows Sandbox uten en konfigurasjonsfil, opprettes en grunnleggende instans med standardparametere. Disse passer for de fleste brukere, men du bør kanskje stramme inn eller justere dem med dine egne isolasjonsregler.

Standardforekomsten starter med en omtrentlig maksimal grense på 4 GB minne (systemet justerer forbruket dynamisk), og med følgende funksjoner aktivert eller deaktivert:

• vGPU aktivert på ikke-ARM64-systemer, som tillater bruk av en virtuell GPU for å akselerere grafikk.
• Nettverk aktivert, ved hjelp av den virtuelle Hyper-V-svitsjen med et virtuelt nettverkskort som går ut til Internett via verten.
• Lydinngang aktivertslik at det isolerte rommet kan bruke vertslagets mikrofon.
• Videoinngang deaktivertDerfor deles ikke webkameraet som standard.
• Beskyttet klient deaktivertMed andre ord brukes ingen ytterligere begrensninger i den interne RDP-økten.
• Omdirigering av skriver er deaktivertSandkassen ser ikke vertens skrivere.
• Omdirigering av utklippstavlen er aktiverttillater kopiering og liming av tekst og filer mellom vert og sandkasse.

I denne standardmodusen kan du åpne filerInstaller programmer lastet ned fra nettet og kjør tester som om det var et vanlig Windows-system.med tryggheten om at alt vil bli slettet ved avslutning.

Når du logger ut, viser systemet en dialogboks som ber om bekreftelse på at alt innhold skal slettes.Etter godkjenning forkastes tilstanden, filene og den installerte programvaren, og vertsdatamaskinen blir stående uten spor av endringene som er gjort i sandkassen.

Sikkerhetsfordeler og typiske brukstilfeller

Windows Sandbox er i hovedsak en svært optimalisert virtuell maskin, men med flere viktige fordeler i forhold til en tradisjonell VM.Den opprettes på sparket, krever ingen diskkonfigurasjon eller snapshots, og integreres direkte med systemet.

Fra et sikkerhetssynspunkt er den avhengig av maskinvarebasert virtualisering for å isolere kjernen.ved å kjøre en separat kjerne gjennom Microsofts hypervisor. Dette gjør at ethvert angrep som oppstår i sandkassen forblir innesluttet, uten å kompromittere vertskjernen.

Denne tilnærmingen gjør den ideell for ulike praktiske, hverdagslige scenarier.:

• Programvaretesting i et rent miljøInstaller prøveversjoner, betaversjoner, utvidelser eller tillegg uten å ødelegge hovedsystemet.
• Sikker nettsurfing: besøke potensielt farlige eller ukjente nettsteder uten direkte eksponering for verten.
• Åpne mistenkelige vedlegg og fileranalysere mistenkelige e-postdokumenter, kjørbare filer eller skript i et isolert miljø.
• Demonstrasjoner og opplæring: vis installasjoner eller konfigurasjoner uten frykt for å ødelegge den fungerende maskinen.
• Opprettholde differensierte utviklingsmiljøerFor eksempel en sandkasse for hver versjon av Python og dens avhengigheter, eller for forskjellige verktøykjeder.

Miljøets engangsfunksjon er også veldig interessant for repeterende testing.fordi du alltid starter med en "nyinstallert" Windows, uten rester fra tidligere økter som kan endre resultatene.

.wsb-filer og tilpasning av isolasjonspolicyer

Den sanne kraften til Windows Sandbox kommer til syne når du begynner å bruke .wsb-konfigurasjonsfilersom lar deg definere tilpassede isolasjonspolicyer for hvert brukstilfelle.

Disse filene er svært enkle XML-dokumenter som er tilknyttet Windows Sandbox ved hjelp av .wsb-utvidelsen.De er tilgjengelige fra Windows 10 build 18342 og i Windows 11, og lar deg kontrollere et minimalt, men svært nyttig sett med parametere.

Konfigurerbare alternativer inkluderer vGPU, nettverk, delte mapper, kommandoer oppstart, lyd, video, beskyttet klient, skrivere, utklippstavlen og tildelt minneAkkurat nok til å justere balansen mellom komfort og sikkerhet avhengig av hva du skal gjøre i sandkassen.

Et viktig poeng er at når du bruker <MappedFolders> For å dele vertsmapper monteres disse før innloggingskommandoen.slik at du script de boot Du kan få tilgang til disse tilordnede katalogene helt fra begynnelsen.

Slik oppretter du en .wsb-konfigurasjonsfil

Å lage din egen .wsb-fil er like enkelt som å redigere et vanlig tekstdokument.Det er imidlertid lurt å følge en liten struktur slik at Windows Sandbox gjenkjenner den uten problemer.

Den grunnleggende prosessen ville være denne:

1. Åpne et vanlig tekstredigeringsprogram, for eksempel Notisblokk eller Visual Studio-kode.
2. Skriv den grunnleggende strukturen i XML: Minimal struktur: <Configuration></Configuration>.
3. Legg til konfigurasjonsetikettene du vil bruke (vGPU, nettverk, mappede mapper osv.) inni.
4. Lagre filen med filtypen .wsbfor eksempel SandboxSeguro.wsbI Notisblokk anbefales det å lagre det i anførselstegn for å respektere filtypen: "SandboxSeguro.wsb".

For å kjøre sandkassen med den konfigurasjonen, dobbeltklikker du ganske enkelt på .wsb-filen.Akkurat som du ville gjort med en kjørbar fil. Du kan også starte den fra kommandolinjen ved å skrive filnavnet i banen der den ligger:

Eksempel på utførelse: C:\Temp> SandboxSeguro.wsb

Windows Sandbox vil lese innholdet i .wsb-filen og starte en instans som er skreddersydd for disse parameterne.Du kan opprette så mange forskjellige filer som du har scenarier: én uten nettverk for analyse malware, en annen med tilordnede mapper for utviklingstesting, en annen med en beskyttet klient, osv.

Viktige konfigurasjonsalternativer for isolasjonspolicyer

Taggene som er tilgjengelige i .wsb-filer er grunnlaget for isolasjonsreglene dine.La oss gjennomgå hver enkelt, deres tillatte verdier og hvilken innvirkning de har på sikkerhet og funksjonalitet.

vGPU-kontroll (virtuell GPU-bruk)

Etiketten <vGPU> avgjør om sandkassen kan bruke vertssystemets GPU gjennom virtualisering. Syntaksen er:

Eksempel på syntaks: <vGPU>valor</vGPU>

De aksepterte verdiene er:

• aktiver: Aktiverer støtte for virtuell GPU, noe som forbedrer grafikkytelsen.
• Deaktiver: deaktiverer vGPU og fremtvinger programvaregjengivelse (WARP), som er tregere, men har en litt mindre angrepsflate.
• MisligholdeBruk standardkonfigurasjonen, som for øyeblikket tilsvarer å ha vGPU aktivert.

Hvis prioriteten din er å maksimere grafikkytelsen, la vGPU være satt til Aktiver eller StandardHvis du ønsker maksimal isolasjon, kan du vurdere å deaktivere den.

Nettverkspolicy i sandkassen

Etiketten <Networking> Kontrollerer om det isolerte området har tilgang til nettverket og InternettSyntaksen:

Format: <Networking>valor</Networking>

Mulige verdier:

• aktiverSandkassen har tilgang til nettverket via den virtuelle Hyper-V-svitsjen.
• DeaktiverNettverkstilgang blokkeres, noe som reduserer risikoen for verten drastisk.
• Misligholdestandard oppførsel, tilsvarende å ha nettverk aktivert.

For å analysere skadelig programvare eller åpne svært mistenkelige filer, anbefales det vanligvis å deaktivere nettverket fullstendig., og kombinerer den med tilordnede skrivebeskyttede mapper for å overføre filene som skal analyseres.

Tilordnede mapper

seksjon <MappedFolders> Definer hvilke vertsbaner som deles med sandkassen og med hvilke tillatelser.Standardstrukturen er:

Eksempel på struktur: <MappedFolders>
<MappedFolder>
<HostFolder>RUTA_HOST</HostFolder>
<SandboxFolder>RUTA_SANDBOX</SandboxFolder>
<ReadOnly>true/false</ReadOnly>
</MappedFolder>
</MappedFolders>

Hver etikett <MappedFolder> Den representerer en vertskatalog som er eksponert i sandkassenmed disse nyansene:

• Vertsmappe: banen til mappen på vertsdatamaskinen. Den må finnes; ellers vil ikke sandkassen starte.
• SandkasseMappeMålbane i sandkassen. Hvis den ikke finnes, opprettes den. Hvis du utelater den, tilordnes den som standard til sandkassebrukerens skrivebord.
• Skrivebeskyttet: hvis den er i santMappen kan bare leses fra sandkassen; falskDen tillater også skriving. Standardverdien er falsk.

Fra og med Windows 11 23H2 kan miljøvariabler brukes i stier, noe som gir litt mer fleksibilitet når man tilordner kataloger.

Husk at ved å dele vertsmapper åpner du en potensiell mulighet for å påvirke hovedsystemet ditt.Derfor anbefales det på det sterkeste å tilordne i skrivebeskyttet modus for analyse av skadelig programvare eller mistenkelige filer.

Påloggingskommando

Hvis du vil automatisere oppgaver når du starter sandkassen, kan du bruke seksjonen <LogonCommand>. Syntaksen er:

modell: <LogonCommand>
<Command>comando o ruta dentro del sandbox</Command>
</LogonCommand>

Kommandoen utføres når sandkassen har logget seg på med sin interne konto (WDAGUtilityAccount), som fungerer som administratorbruker i miljøet.

Dette lar deg for eksempel automatisk starte et testskript som ligger i en tilordnet mappe., åpne et installasjonsprogram eller konfigurer miljøet hver gang du starter sandkassen med den .wsb-filen.

Kontroll av lyd- og videoinngang

Merkelappene <AudioInput> y <VideoInput> De lar deg bestemme om sandkassen kan bruke mikrofon og kamera.Hhv.

Brukseksempel: <AudioInput>valor</AudioInput>

Mulige verdier for lydinngang:

• aktiverSandkassen kan motta lyd fra brukeren (for eksempel apps (som bruker mikrofon).
• Deaktiver: lydinngangen er fullstendig blokkert.
• Misligholde: standardverdi, for øyeblikket tilsvarende lyd aktivert.

For video er syntaksen: <VideoInput>valor</VideoInput>

Tilgjengelige verdier for kameraet:

• aktiver: lar sandkassen bruke vertens webkamera.
• DeaktiverVideoinngangen er deaktivert.
• Misligholde: standardverdi, som for øyeblikket innebærer at kameraet er deaktivert.

I de fleste sikkerhetsscenarier anbefales det å holde kameraet avslått.spesielt hvis du analyserer programvare av tvilsom opprinnelse.

Beskyttet klientmodus

Parameter <ProtectedClient> aktiverer en forbedret sikkerhetsmodus, kjører sandkassen i et AppContainer-kjøretidsmiljø med ytterligere grenser.

Etikettformat: <ProtectedClient>valor</ProtectedClient>

Aksepterte verdier:

• aktiverSandkassen opererer i Protected Client-modus, og bruker AppContainer-isolering for legitimasjon, enheter, filer, nettverk, prosesser og vinduer.
• DeaktiverStandardmodusen brukes, uten disse ekstra tiltakene.
• Misligholde: for tiden tilsvarende å ha beskyttet modus deaktivert.

Hvis målet ditt er å maksimere isolasjonen, er aktivering av Protected Client et godt tilleggslag.selv om det kan begrense noen integrasjoner eller forventet oppførsel for visse applikasjoner.

Omdirigering av skriver og utklippstavle

Tilgang til delte ressurser som skrivere og utklippstavlen kontrolleres med tagger <PrinterRedirection> y <ClipboardRedirection>.

Eksempel: <PrinterRedirection>valor</PrinterRedirection>

Skriververdier:

• aktiverSandkassen kan se og bruke vertens skrivere.
• Deaktiverforhindrer omdirigering av skrivere; sandkassen «ser» ikke skriverne på hovedsystemet.
• Misligholdestandardoppførsel, for øyeblikket med omdirigering deaktivert.

For utklippstavlen er syntaksen: <ClipboardRedirection>valor</ClipboardRedirection>

Mulige verdier for utklippstavlen:

• aktivertillater kopiering og liming mellom verten og sandkassen (tekst og filer).
• Deaktiverblokkerer deling av utklippstavlen, og forhindrer lekkasjer eller uønskede oppføringer.
• Misligholde: standardverdi, som tillater omdirigering.

Fra et sikkerhetssynspunkt er utklippstavlen et dataregistrerings- og utgangspunkt.Så hvis du skal håndtere skadelig programvare eller svært sensitive dokumenter, kan du vurdere å deaktivere det og bruke skrivebeskyttede mapper som er tilordnet mapper for å flytte filer til miljøet.

Tildelt minne (MemoryInMB)

Etiketten <MemoryInMB> Den lar deg angi den maksimale mengden RAM som sandkassen kan bruke., i megabyte. Syntaksen er:

Eksempel på etikett: <MemoryInMB>valor</MemoryInMB>

Hvis du angir en verdi som er lavere enn det som trengs for oppstart, vil Windows automatisk øke den til minimumskravet på 2048 MB.Derfor vil den ikke la deg opprette en sandkasse med mindre enn 2 GB.

Dette alternativet er nyttig for å forhindre at en arbeidsmengde i sandkassen bruker for mye RAM i vertsystemet.spesielt på datamaskiner med begrenset minne.

Praktisk eksempel på en .wsb-fil med forsterkede isolasjonspolicyer

Når du kjenner til alle alternativene, er det enkelt å kombinere dem for å lage en veldig streng isolasjonspolicy.For eksempel å analysere mistenkelig programvare samtidig som risikoen minimeres.

En .wsb-fil som er utformet for maksimal sikkerhet, kan inneholde parametere som:

• vGPU deaktivert for å redusere angrepsflaten.
• Nettverk deaktivert, ingen internettilgang eller internt nettverk.
• Tilordnet mappe i skrivebeskyttet modus der du plasserer den kjørbare filen som skal analyseres.
• Utklippstavlen er deaktivert, noe som forhindrer datautvinning.
• Beskyttet klient aktivert for å legge til AppContainer-isolering.
• Minne begrenset til en rimelig mengde, for eksempel 4096 MB.

Med en slik konfigurasjon kan du starte den mistenkelige kjørbare filen i sandkassen. Siden han ikke vil ha et nettverk, vil han ikke kunne endre vertsfiler (skrivebeskyttet) eller dele informasjon via utklippstavlen, og han vil være låst i et ekstra herdet miljø.

Husk at uansett innstillinger vil lukking av sandkassevinduet ødelegge alt som er gjort.Og ved neste oppstart vil du ha et rent miljø igjen, klart til å gjenta tester eller bruke en annen isolasjonsstrategi med en annen .wsb-fil.

Å mestre isolasjonspolicyer i Windows Sandbox gjør denne funksjonen til et utrolig allsidig verktøyFra et enkelt «rent laboratorium» for testing av programvare uten å skitne til datamaskinen din et sterkt befestet miljø for analyse av skadelig programvare og ekstrem navigasjon, alt kontrollert gjennom noen få justeringer i .wsb-filer som du kan tilpasse til hver situasjon uten å komplisere livet ditt med virtuelle maskiner fullført.