Как создавать и управлять политиками изоляции в песочнице Windows

Если вы также научитесь создание и управление политиками изоляции Используя файлы .wsb, вы можете вывести Windows Sandbox на новый уровень.Контроль доступа к сети, графическому процессору, буферу обмена, принтерам, общим папкам, памяти, аудио, видео и даже усиление безопасности с помощью режима «Защищенный клиент». В этом руководстве мы шаг за шагом рассмотрим, как он работает, какие требования предъявляются и как точно настроить его поведение.

Что такое песочница Windows и почему она так полезна для изоляции?

Термин «песочница» относится к отдельная виртуальная среда фактической операционной системыОна ведёт себя как только что установленная Windows, без каких-либо предустановленных программ или сложных настроек. Каждый раз, когда вы её открываете, это как будто у вас совершенно новый компьютер, но всё это в простом окне на рабочем столе.

Windows Sandbox основан на технологии виртуализации Hyper-V и представляет собой мини-версию Windows, интегрированную поверх хост-системы.Она использует компоненты установленной системы, что делает её легче и обеспечивает гораздо более быструю загрузку по сравнению с традиционной виртуальной машиной. При этом она поддерживает изолированное ядро, предотвращающее проникновение вредоносного программного обеспечения в хост-систему.

Это изолированное пространство предназначено для запуска приложений сомнительного происхождения. анализ вредоносного ПОпротестировать конфигурации или провести демонстрации без каких-либо необратимых последствий. При закрытии окна всё уничтожается: установленные программы, загруженные файлы, изменения в реестре и любые системные модификации.

Одно из главных преимуществ Windows Sandbox перед классической виртуальной машиной заключается в том, что вам не нужно скачивать или поддерживать образы.И не беспокойтесь о дополнительных лицензиях: всё включено в совместимые версии Windows 10. Windows 11Кроме того, система не накапливает огромные виртуальные диски; каждая сессия является временной.

В конфигурации по умолчанию Windows Sandbox открывается с минимальным набором элементов рабочего стола.В комплект входит Edge и все необходимое для работы, но без лишних предустановленных приложений. Вы можете изменять размер окна, а разрешение автоматически подстраивается, что упрощает параллельную работу с основной системой.

Требования к Windows и поддерживаемые версии

Прежде чем обсуждать политики изоляции и конфигурационные файлы, важно убедиться, что ваше оборудование соответствует требованиям.потому что не все системы Windows или все компьютеры могут использовать эту функцию.

Что касается версии системы, Windows Sandbox доступен только в профессиональной и образовательной версиях., конкретно:

• Windows 10 Pro, Корпоративная или Для образовательных учреждений из сборника 18305.
• Windows 11 Pro, Enterprise, Education и Pro Education/SE в совместимых версиях.

Домашняя версия официально не поддерживается Windows Sandbox.Поэтому, если вы используете Windows Home и вам абсолютно необходима эта функциональность, вам следует подумать о переходе на версию Pro или выше.

Относительно аппаратные средстваТребования вполне разумны для современного ПК.Но их стоит рассмотреть:

• Архитектура AMD64 или ARM64 (последнее относится к Windows 11, версии 22H2 / сборке 22483 и далее).
• Виртуализация включена в BIOS/UEFI (Intel (Поддерживается VT-x, AMD-V или аналогичные технологии).
• Не менее 4 ГБ оперативной памяти (Рекомендуется 8 ГБ для достаточного объема памяти).
• Минимум 1 ГБ свободного места на диске, желательно в SSD для улучшения скорости.
• По крайней мере два ядра ЦП (Рекомендуется использовать четыре ядра с поддержкой технологии Hyper-Threading).

Помимо общих требований, Windows Sandbox выигрывает от наличия совместимого графического процессора для использования vGPU.Это улучшает производительность графики при включении опции виртуального графического процессора в настройках.

В некоторых документах в качестве требований указывается наличие 4 ГБ оперативной памяти, 1 процессора и до 40 ГБ виртуального пространства, выделенного для машины.Однако на практике эта среда является легковесной и эффективно использует память. хранение динамически благодаря интеллектуальному управлению ядром и совместному использованию файлов в хост-системе.

Как активировать Windows Sandbox шаг за шагом

Даже если требования выполнены, песочница Windows по умолчанию не включена.Следовательно, её необходимо включить в качестве дополнительной системной функции.

В Windows 10 это можно сделать через классическую панель управления. следуя этим маршрутом:

• открывает Панель управления> Программы и компоненты> Включение и отключение компонентов Windows.
• В списке поставьте галочку. Песочница Windows.
• Нажмите на Принять и, если система этого потребует, перезагрузить компьютер.

В Windows 11 самый простой способ — обычно использовать современные настройки.:

• Перейти к Настройки > Система > Дополнительные функции.
• Нажмите Дополнительные функции Windows (ссылка на классическую панель).
• Marca Песочница Windows и перезапускается по запросу.

Если вы предпочитаете использовать PowerShellВключить эту функцию можно одной командой. Выполнено от имени администратора:

Запустите в PowerShell: Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online

После активации этой функции и перезагрузки компьютера вы увидите «Windows Sandbox» или «Windows Sandbox» в качестве еще одного приложения. В меню «Пуск» и в системной строке поиска. Просто введите его название и запустите.

Свойства экземпляра песочницы Windows по умолчанию

При запуске Windows Sandbox без файла конфигурации создается базовый экземпляр с параметрами по умолчанию. Эти правила подходят для большинства пользователей, но вы можете ужесточить или скорректировать их в соответствии со своими собственными правилами изоляции.

Стандартный экземпляр запускается с приблизительным максимальным объемом памяти в 4 ГБ. (система динамически регулирует потребление), при этом следующие функции активированы или деактивированы:

• vGPU включен на системах, отличных от ARM64, что позволяет использовать виртуальный графический процессор для ускорения графики.
• Сеть активированас использованием виртуального коммутатора Hyper-V с виртуальным сетевым адаптером, который выходит в Интернет через хост.
• Аудиовход включенчтобы в изолированном пространстве можно было использовать микрофон принимающей команды.
• видеовход отключенПоэтому веб-камера по умолчанию не используется совместно.
• Защищенный клиент отключенИными словами, во внутренней сессии RDP никаких дополнительных мер по смягчению последствий не применяется.
• Переадресация принтера отключена.В песочнице не отображаются принтеры хоста.
• Перенаправление в буфер обмена включеноПозволяет копировать и вставлять текст и файлы между хостом и песочницей.

В этом стандартном режиме вы можете открыть файлыУстановите программы, скачанные из интернета, и запустите тесты, как если бы это была обычная система Windows.с уверенностью, что все данные будут удалены при закрытии сделки.

При выходе из системы отображается диалоговое окно с запросом подтверждения удаления всего содержимого.После принятия изменений состояние, файлы и установленное программное обеспечение удаляются, и на хост-компьютере не остается никаких следов изменений, внесенных в песочнице.

Преимущества в области безопасности и типичные сценарии использования.

Windows Sandbox — это, по сути, высокооптимизированная виртуальная машина, обладающая рядом ключевых преимуществ перед традиционной виртуальной машиной.Она создается на лету, не требует настройки дисков или создания снимков и интегрируется непосредственно с системой.

С точки зрения безопасности, он использует аппаратную виртуализацию для изоляции ядра.путем запуска отдельного ядра через гипервизор Microsoft. Это позволяет локализовать любую атаку, происходящую внутри песочницы, без компрометации ядра хоста.

Такой подход делает его идеальным для различных практических повседневных ситуаций.:

• Тестирование программного обеспечения в чистой средеУстанавливайте пробные версии, бета-версии, расширения или дополнения, не нарушая работу основной системы.
• Безопасный просмотр веб-страниц: посещение потенциально опасных или неизвестных мест без прямого контакта с носителем.
• Открытие подозрительных вложений и файлов.: анализ подозрительных электронных писем, исполняемых файлов или скриптов в изолированной среде.
• Демонстрации и обучение: демонстрировать установки или конфигурации, не опасаясь поломки работающего оборудования.
• Поддержание дифференцированных сред разработкиНапример, отдельная песочница для каждой версии. Питон и его зависимостей, или для различных наборов инструментов.

Одноразовый характер окружающей среды также представляет большой интерес для проведения многократных испытаний.Потому что вы всегда начинаете с "свежеустановленной" версии Windows, без каких-либо следов предыдущих сессий, которые могли бы повлиять на результаты.

Файлы .wsb и настройка политики изоляции

Истинная мощь Windows Sandbox раскрывается, когда вы начинаете использовать конфигурационные файлы .wsb.которые позволяют определять пользовательские политики изоляции для каждого варианта использования.

Эти файлы представляют собой очень простые XML-документы, связанные с Windows Sandbox с помощью расширения .wsb.Они доступны начиная со сборки Windows 10 18342 и в Windows 11 и позволяют управлять минимальным, но очень полезным набором параметров.

В число настраиваемых параметров входят vGPU, сеть, общие папки. команды запуск, аудио, видео, защищенный клиент, принтеры, буфер обмена и выделенная памятьЭтого достаточно, чтобы отрегулировать баланс между комфортом и безопасностью в зависимости от того, чем вы собираетесь заниматься в песочнице.

Важный момент заключается в том, что при использовании <MappedFolders> Для предоставления общего доступа к папкам хоста, они монтируются перед командой входа в систему.чтобы вы скрипт de Загрузка Вы можете получить доступ к этим сопоставленным каталогам с самого начала.

Как создать конфигурационный файл .wsb

Создать собственный файл .wsb так же просто, как отредактировать обычный текстовый документ.Однако желательно придерживаться небольшой структуры, чтобы Windows Sandbox распознал её без проблем.

Основной процесс будет выглядеть следующим образом.:

1. Откройте простой текстовый редактор, например: Блокнот или Visual Studio Code.
2. Опишите базовую структуру в формате XML: Минимальная структура: <Configuration></Configuration>.
3. Добавьте внутрь разделы конфигурации, которые вы хотите использовать (vGPU, Networking, MappedFolders и т. д.).
4. Сохраняем файл с расширением .wsb, например SandboxSeguro.wsbВ Блокноте рекомендуется сохранять файл в кавычках, чтобы сохранить расширение: "SandboxSeguro.wsb".

Чтобы запустить песочницу с этой конфигурацией, просто дважды щелкните файл .wsb.Запустить его можно так же, как и исполняемый файл. Также можно запустить его из командной строки, указав имя файла в пути к нему:

Пример выполнения: C:\Temp> SandboxSeguro.wsb

Windows Sandbox прочтет содержимое файла .wsb и запустит экземпляр, настроенный под эти параметры.Вы можете создать столько различных файлов, сколько у вас сценариев: один без сети для анализа. вредоносных программ, еще один с сопоставленными папками для разработки и тестирования, еще один с защищенным клиентом и т. д.

Основные параметры конфигурации для политик изоляции

Доступные в файлах .wsb теги являются основой ваших политик изоляции.Давайте рассмотрим каждый из них, допустимые значения и их влияние на безопасность и функциональность.

Управление vGPU (использование виртуального графического процессора)

Ярлык <vGPU> Определяет, может ли песочница использовать графический процессор хост-системы. посредством виртуализации. Его синтаксис:

Пример синтаксиса: <vGPU>valor</vGPU>

Принятые значения::

• Включите: Обеспечивает поддержку виртуальных графических процессоров, повышая производительность графики.
• Отключить: отключает vGPU и принудительно запускает программный рендеринг (WARP), который работает медленнее, но имеет немного меньшую поверхность атаки.
• По умолчаниюИспользуйте конфигурацию по умолчанию, которая в настоящее время соответствует включенной функции vGPU.

Если для вас приоритет — максимальная производительность графики, оставьте параметр vGPU в режиме «Включено» или «По умолчанию».Если вам нужна максимальная изоляция, возможно, стоит её отключить.

Сетевая политика в изолированной среде

Ярлык <Networking> Управляет доступом изолированного помещения к сети и Интернету.Его синтаксис:

Формат: <Networking>valor</Networking>

Возможности Valores:

• ВключитеДоступ к сети для тестовой среды осуществляется через виртуальный коммутатор Hyper-V.
• ОтключитьДоступ к сети заблокирован, что значительно снижает риск для хоста.
• По умолчанию: стандартное поведение, эквивалентное включенной сети.

Для анализа вредоносного ПО или открытия файлов, вызывающих серьезные подозрения, обычно рекомендуется полностью отключить сеть., объединив его с назначенными папками только для чтения, чтобы передать файлы для анализа.

Отображенные папки

раздел <MappedFolders> Определите, какие пути к хостам будут доступны для песочницы и с какими правами доступа.Его стандартная структура такова:

Пример структуры: <MappedFolders>
<MappedFolder>
<HostFolder>RUTA_HOST</HostFolder>
<SandboxFolder>RUTA_SANDBOX</SandboxFolder>
<ReadOnly>true/false</ReadOnly>
</MappedFolder>
</MappedFolders>

Каждая этикетка <MappedFolder> Это представляет собой каталог хоста, который доступен внутри песочницы.с учетом этих нюансов:

• HostFolder: путь к папке на хост-компьютере. Она должна существовать; в противном случае песочница не запустится.
• SandboxFolderПуть назначения внутри песочницы. Если он не существует, он будет создан; если вы его не укажете, он по умолчанию будет сопоставлен с рабочим столом пользователя песочницы.
• ReadOnly: если это в правдаПрочитать эту папку можно только из изолированной среды; ложныйТакже позволяет записывать данные. Значение по умолчанию — ложный.

Начиная с Windows 11 23H2, переменные среды можно использовать в путях.что обеспечивает немного большую гибкость при сопоставлении каталогов.

Имейте в виду, что, предоставляя общий доступ к папкам хоста, вы открываете потенциальный путь для воздействия на вашу основную систему.Поэтому для анализа вредоносного ПО или подозрительных файлов настоятельно рекомендуется использовать режим сопоставления только для чтения.

LogonCommand

Если вы хотите автоматизировать задачи при запуске песочницы, вы можете использовать этот раздел. <LogonCommand>. Синтаксис:

Modelo: <LogonCommand>
<Command>comando o ruta dentro del sandbox</Command>
</LogonCommand>

Команда выполняется после того, как песочница войдет в систему под своей внутренней учетной записью (WDAGUtilityAccount)., который выступает в роли администратора в данной среде.

Это позволяет, например, автоматически запускать тестовый скрипт, расположенный в сопоставленной папке.Каждый раз при запуске песочницы с этим файлом .wsb открывайте установщик или настраивайте среду.

Управление аудио- и видеовходом

Теги <AudioInput> y <VideoInput> Они позволяют вам решить, можно ли использовать микрофон и камеру в песочнице.Соответственно.

Пример использования: <AudioInput>valor</AudioInput>

Возможности Valores для аудиовхода:

• ВключитеПесочница может принимать аудиосигнал от пользователя (например, для Программы (которые используют микрофон).
• ОтключитьАудиовход полностью заблокирован.
• По умолчанию: значение по умолчанию, в настоящее время эквивалентно включенному звуку.

Для видео используется следующий синтаксис: <VideoInput>valor</VideoInput>

Доступные значения для камеры:

• Включите: позволяет песочнице использовать веб-камеру хоста.
• Отключитьвидеовход отключен.
• По умолчанию: значение по умолчанию, которое в настоящее время означает, что камера отключена.

В большинстве случаев при обеспечении безопасности рекомендуется держать камеру выключенной.особенно если вы анализируете программное обеспечение сомнительного происхождения.

Защищенный клиентский режим

Параметр <ProtectedClient> активирует расширенный режим безопасностизапуск песочницы в среде выполнения AppContainer с дополнительными ограничениями.

Формат этикетки: <ProtectedClient>valor</ProtectedClient>

Принятые значения:

• ВключитеПесочница работает в режиме защищенного клиента, используя изоляцию AppContainer для учетных данных, устройств, файлов, сети, процессов и окон.
• ОтключитьИспользуется стандартный режим, без этих дополнительных мер защиты.
• По умолчаниюВ настоящее время это эквивалентно отключению защищенного режима.

Если ваша цель — максимально повысить уровень изоляции, включение функции «Защищенный клиент» станет хорошим дополнительным уровнем защиты.хотя это может ограничить некоторые возможности интеграции или ожидаемое поведение определенных приложений.

Перенаправление принтера и буфера обмена

Доступ к общим ресурсам, таким как принтеры и буфер обмена, контролируется с помощью меток. <PrinterRedirection> y <ClipboardRedirection>.

пример: <PrinterRedirection>valor</PrinterRedirection>

Значения принтера:

• ВключитеВ изолированной среде можно видеть и использовать принтеры хоста.
• Отключить: предотвращает перенаправление принтеров; песочница не "видит" принтеры в основной системе.
• По умолчанию: поведение по умолчанию, в настоящее время с отключенным перенаправлением.

Для работы с буфером обмена используется следующий синтаксис: <ClipboardRedirection>valor</ClipboardRedirection>

Возможные значения для буфера обмена:

• Включите: позволяет копировать и вставлять текст и файлы между хостом и песочницей.
• Отключить: блокирует совместное использование буфера обмена, предотвращая утечки или нежелательные записи.
• По умолчанию: значение по умолчанию, разрешающее перенаправление.

С точки зрения безопасности, буфер обмена является точкой ввода и вывода данных.Поэтому, если вы собираетесь работать с вредоносным ПО или очень конфиденциальными документами, возможно, стоит отключить эту функцию и использовать папки только для чтения для перемещения файлов в среду.

Выделенная память (MemoryInMB)

Ярлык <MemoryInMB> Это позволяет установить максимальный объем оперативной памяти, который может использовать песочница.в мегабайтах. Его синтаксис:

Пример метки: <MemoryInMB>valor</MemoryInMB>

Если вы зададите значение меньше, чем необходимо для загрузки, Windows автоматически увеличит его до минимально требуемого уровня в 2048 МБ.Следовательно, система не позволит вам создать песочницу с объемом данных менее 2 ГБ.

Эта опция полезна для предотвращения чрезмерного потребления оперативной памяти хост-системы рабочей нагрузкой в ​​изолированной среде.особенно на компьютерах с ограниченным объемом памяти.

Практический пример файла .wsb с усиленными политиками изоляции.

Зная все варианты, легко их скомбинировать, чтобы создать очень строгую политику изоляции.Например, для анализа подозрительного программного обеспечения с минимизацией рисков.

Файл .wsb, разработанный для обеспечения максимальной безопасности, может содержать такие параметры, как::

• Использование vGPU отключено для уменьшения поверхности атаки.
• Сеть отключена, нет доступа в интернет или к внутренней сети.
• Папка, отображаемая в режиме только для чтения, куда вы помещаете исполняемый файл для анализа.
• Буфер обмена отключен, что предотвращает утечку данных.
• Включение защиты клиента позволяет добавить изоляцию AppContainer.
• Объем оперативной памяти ограничен разумными значениями, например, 4096 МБ.

При такой конфигурации вы можете запустить подозрительный исполняемый файл внутри песочницы. Зная, что у него не будет сети, он не сможет изменять файлы хоста (только для чтения) или обмениваться информацией через буфер обмена, и окажется в дополнительно защищенной среде.

Помните, что независимо от настроек, закрытие окна песочницы уничтожит все сделанные действия.А при следующем запуске у вас снова будет чистая среда, готовая для повторного проведения тестов или применения другой стратегии изоляции с использованием другого файла .wsb.

Освоение политик изоляции в Windows Sandbox делает эту функцию невероятно универсальным инструментом.От простой «чистой лаборатории» для тестирования программного обеспечения без загрязнения компьютера до хорошо укрепленная среда для анализа вредоносного ПО и экстремальная навигация, управляемая всего несколькими настройками в файлах .wsb, которые вы можете адаптировать к каждой ситуации, не усложняя себе жизнь. виртуальные машины полный.