Compartir a través de

Uso y configuración de Espacio aislado de Windows

Para iniciar un Espacio aislado de Windows con la configuración predeterminada, busque y seleccione Espacio aislado de Windows en el menú Inicio o busque "Espacio aislado de Windows". Esto inicia un espacio aislado básico con capacidad máxima de 4 GB de memoria con las siguientes propiedades:

  • vGPU (GPU virtualizada): habilitado en dispositivos que no son arm64.
  • Redes: habilitadas. El espacio aislado usa el modificador predeterminado de Hyper-V.
  • Entrada de audio: habilitada. El espacio aislado comparte la entrada del micrófono del host en el espacio aislado.
  • Entrada de vídeo: deshabilitada. El espacio aislado no comparte la entrada de vídeo del host en el espacio aislado.
  • Cliente protegido: deshabilitado. El espacio aislado no usa una mayor configuración de seguridad en la sesión de Protocolo de Escritorio remoto (RDP).
  • Redireccionamiento de impresora: deshabilitado. El espacio aislado no comparte impresoras con el host.
  • Redirección del Portapapeles: habilitado. El espacio aislado comparte el Portapapeles del host con el espacio aislado para que el texto y los archivos se puedan pegar de un lado a otro.

Importante

  • Las funciones de red están habilitadas de forma predeterminada. Esto puede exponer aplicaciones que no son de confianza a la red interna. Para iniciar un espacio aislado con redes deshabilitadas, use un archivo .wsb personalizado.
  • Con el redireccionamiento del Portapapeles habilitado automáticamente, puede copiar fácilmente archivos del host y pegarlos en la ventana de Espacio aislado de Windows.

Tiene la libertad de abrir archivos, instalar aplicaciones desde la web y realizar otras tareas que se benefician de un entorno limpio aislado.

Cuando haya terminado de experimentar, cierre el espacio aislado. Un cuadro de diálogo le pide que confirme la eliminación de todo el contenido del espacio aislado. Seleccione Aceptar para continuar. Confirme que el equipo host no muestra ninguna de las modificaciones realizadas en Espacio aislado de Windows.

Configuración de un Espacio aislado de Windows personalizado

Espacio aislado de Windows admite archivos de configuración simple, lo que proporcionan un conjunto mínimo de parámetros de personalización para el espacio aislado. Esta característica se puede usar con Windows 10 compilación 18342 o con Windows 11. Los archivos de configuración de Espacio aislado de Windows tienen formato XML y se asocian al espacio aislado a través de la extensión de archivo .wsb.

Un archivo de configuración permite al usuario controlar los siguientes aspectos de Espacio aislado de Windows:

  • vGPU (GPU virtualizada): habilitar o deshabilitar la GPU virtualizada. Si vGPU está deshabilitado, el espacio aislado usa la Plataforma de rasterización avanzada de Windows (WARP).
  • Redes: habilitar o deshabilitar el acceso a la red dentro del espacio aislado.
  • Carpetas asignadas: compartir carpetas del host con permisos de lectura o de escritura. La exposición de directorios host podría permitir que el software malintencionado afecte al sistema o robe datos.
  • Comando de inicio de sesión: comando que se ejecuta cuando se inicia Espacio aislado de Windows.
  • Entrada de audio: comparte la entrada de micrófono del host en el espacio aislado.
  • Entrada de vídeo: comparte la entrada de cámara web del host en el espacio aislado.
  • Cliente protegido: Places una mayor configuración de seguridad en la sesión del Protocolo de Escritorio remoto (RDP) en el espacio aislado.
  • Redireccionamiento de impresoras: comparte impresoras del host en el espacio aislado.
  • Redireccionamiento del Portapapeles: comparte el Portapapeles del host con el espacio aislado para que el texto y los archivos se puedan pegar en diferentes ubicaciones.
  • Memoria en MB: la cantidad de memoria, en megabytes, que se asigna al espacio aislado.

Nota

De momento, el tamaño de la ventana del espacio aislado no se puede configurar.

Creación de un archivo de configuración

Para crear un archivo de configuración:

  1. Abra un editor de texto sin formato o un editor de código fuente (por ejemplo, Bloc de notas, Visual Studio Code, etc.).

  2. Inserte las líneas siguientes:

    <Configuration>
</Configuration>

  3. Agregue el texto de configuración adecuado entre ambas líneas. Para obtener más información, consulte ejemplos.

  4. Guarde el archivo con el nombre que prefiera, pero asegúrese de que la extensión del nombre de archivo sea .wsb. En el Bloc de notas, debe incluir el nombre de archivo y la extensión entre comillas dobles, por ejemplo, "MyConfigFile.wsb".

Para usar un archivo de configuración, haga doble clic en él para iniciar Espacio aislado de Windows según la configuración. También puede invocarlo a través de la línea de comandos, tal como se muestra aquí:

C:\Temp> MyConfigFile.wsb

Opciones de configuración

vGPU

Habilita o deshabilita el uso compartido de GPU.

<vGPU>value</vGPU>

Valores admitidos:

  • Enable: habilita la compatibilidad con vGPU en el espacio aislado.
  • Disable: deshabilita la compatibilidad con vGPU en el espacio aislado. Si se establece este valor, el espacio aislado usa la representación de software, que podría ser más lenta que la GPU virtualizada.
  • Valor predeterminado: este valor es el valor predeterminado para la compatibilidad con vGPU. Actualmente, este valor predeterminado indica que vGPU está habilitado.

Nota

Si se habilita la GPU virtualizada, es posible que aumente potencialmente la superficie expuesta a ataques del espacio aislado.

Funciones de red

Habilita o deshabilita las redes en el espacio aislado. Puede deshabilitar el acceso a la red para reducir la superficie expuesta a ataques que deja al descubierto el espacio aislado.

<Networking>value</Networking>

Valores admitidos:

  • Enable: habilita las redes en el espacio aislado.
  • Disable: deshabilita las redes en el espacio aislado.
  • Default: se trata del valor predeterminado para la compatibilidad con redes. Este valor habilita las redes mediante la creación de un conmutador virtual en el host y conecta el espacio aislado a través de una NIC virtual.

Nota

Si se habilitan las redes, puede que se expongan aplicaciones que no son de confianza a la red interna.

Carpetas asignadas

Matriz de carpetas, cada una de las cuales representa una ubicación en la máquina host que se comparte con el espacio aislado en la ruta de acceso especificada. Actualmente, no se admiten rutas de acceso relativas.

Cuando se usa <Mappedfolders> para asignar carpetas, las carpetas se asignan antes de la ejecución del comando Logon. A partir de Windows 11, versión 23H2, puede usar variables de entorno en la ruta de acceso.

<MappedFolders>
  <MappedFolder>
    <HostFolder>absolute or relative path to the host folder</HostFolder>
    <SandboxFolder>absolute path to the sandbox folder</SandboxFolder>
    <ReadOnly>value</ReadOnly>
  </MappedFolder>
  <MappedFolder>
    ...
  </MappedFolder>
</MappedFolders>
  • HostFolder: especifica la carpeta del equipo host que se va a compartir en el espacio aislado. La carpeta ya debe existir en el host o no se puede iniciar el contenedor.
  • SandboxFolder: especifica el destino al que se asignará la carpeta en el espacio aislado. Si la carpeta no existe, se crea. Si no se especifica ninguna carpeta de espacio aislado, la carpeta se asigna al escritorio del usuario del contenedor. El usuario predeterminado de Espacio aislado es WDAGUtilityAccount.
  • ReadOnly: si se establece en true, aplica el acceso de solo lectura a la carpeta compartida desde dentro del contenedor. Valores admitidos: true/false. El valor predeterminado es false.

Nota

Las aplicaciones del espacio aislado pueden poner en peligro los archivos y carpetas asignados desde el host o afectar potencialmente al host. Los cambios realizados durante una sesión de espacio aislado en una carpeta asignada con permisos de escritura se conservarán después de eliminar un espacio aislado.

Comando de inicio de sesión

Especifica un único comando que se invocará automáticamente después de que el espacio aislado inicie sesión. Las aplicaciones del espacio aislado se ejecutan en la cuenta de usuario del contenedor. La cuenta de usuario del contenedor debe ser una cuenta de administrador.

<LogonCommand>
  <Command>command to be invoked</Command>
</LogonCommand>

Comando: ruta de acceso a un archivo ejecutable o script dentro del contenedor que se ejecutará después de iniciar sesión.

Nota

Aunque los comandos muy sencillos funcionarán (por ejemplo, iniciar un archivo ejecutable o un script), los casos más complicados que implican varios pasos deben colocarse en un archivo de script. Este archivo de script se puede asignar al contenedor a través de una carpeta compartida y, a continuación, ejecutarse a través de <LogonCommand>.

Entrada de audio

Habilita o deshabilita la entrada de audio en el espacio aislado.

<AudioInput>value</AudioInput>

Valores admitidos:

  • Enable: habilita la entrada de audio en el espacio aislado. Si se establece este valor, el espacio aislado puede recibir la entrada de audio del usuario. Las aplicaciones que usan un micrófono pueden requerir esta funcionalidad.
  • Disable: deshabilita la entrada de audio en el espacio aislado. Si se establece este valor, el espacio aislado no podrá recibir la entrada de audio del usuario. Es posible que las aplicaciones que usan un micrófono no funcionen correctamente con esta configuración.
  • Default: se trata del valor predeterminado para la compatibilidad con la entrada de audio. Actualmente, este valor predeterminado indica que la entrada de audio está habilitada.

Nota

Puede haber implicaciones de seguridad al exponer la entrada de audio del host en el contenedor.

Entrada de vídeo

Habilita o deshabilita la entrada de vídeo en el espacio aislado.

<VideoInput>value</VideoInput>

Valores admitidos:

  • Enable: habilita la entrada de vídeo en el espacio aislado.
  • Disable: deshabilita la entrada de vídeo en el espacio aislado. Es posible que las aplicaciones que usan la entrada de vídeo no funcionen correctamente en el espacio aislado.
  • Default: se trata del valor predeterminado para la compatibilidad con la entrada de vídeo. Actualmente, este valor predeterminado indica que la entrada de vídeo está deshabilitada. Es posible que las aplicaciones que usan la entrada de vídeo no funcionen correctamente en el espacio aislado.

Nota

Puede haber implicaciones de seguridad al exponer la entrada de vídeo del host en el contenedor.

Cliente protegido

Cuando el modo Cliente protegido está habilitado, el espacio aislado agrega una nueva capa de límites de seguridad ya que se ejecuta dentro de un entorno de ejecución de Aislamiento de AppContainer. Aislamiento de AppContainer proporciona aislamiento de credenciales, dispositivos, archivos, redes, procesos y ventanas.

<ProtectedClient>value</ProtectedClient>

Valores admitidos:

  • Enable: ejecuta Espacio aislado de Windows en modo Cliente protegido. Si se establece este valor, el espacio aislado se ejecuta en Aislamiento de AppContainer.
  • Disable: ejecuta Espacio aislado en modo estándar sin mitigaciones de seguridad adicionales.
  • Default: se trata del valor predeterminado para el modo Cliente protegido. Actualmente, este valor predeterminado indica que el espacio aislado no se ejecuta en modo Cliente protegido.

Nota

Esta configuración puede restringir la capacidad del usuario para copiar y pegar archivos dentro y fuera del espacio aislado.

Redireccionamiento de impresoras

Habilita o deshabilita el uso compartido de impresoras del host en el espacio aislado.

<PrinterRedirection>value</PrinterRedirection>

Valores admitidos:

  • Enable: habilita el uso compartido de impresoras del host en el espacio aislado.
  • Disable: deshabilita el redireccionamiento de impresoras en el espacio aislado. Si se establece este valor, el espacio aislado no podrá ver las impresoras del host.
  • Default: se trata del valor predeterminado para la compatibilidad con el redireccionamiento de impresoras. Actualmente, este valor predeterminado indica que el redireccionamiento de impresoras está deshabilitado.

Redireccionamiento del Portapapeles

Habilita o deshabilita el uso compartido del Portapapeles del host con el espacio aislado.

<ClipboardRedirection>value</ClipboardRedirection>

Valores admitidos:

  • Enable: habilita el uso compartido del Portapapeles del host con el espacio aislado.
  • Disable: deshabilita el redireccionamiento del Portapapeles en el espacio aislado. Si se establece este valor, está restringido copiar y pegar dentro y fuera del espacio aislado.
  • Default: se trata del valor predeterminado del redireccionamiento del Portapapeles. Actualmente, Default permite copiar y pegar entre el host y el espacio aislado.

Memoria en MB

Especifica la cantidad de memoria que puede usar el espacio aislado en megabytes (MB).

<MemoryInMB>value</MemoryInMB>

Si el valor de memoria especificado no es suficiente para arrancar un espacio aislado, se aumenta automáticamente a la cantidad mínima necesaria de 2048 MB.