Usare e configurare Sandbox di Windows

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

Per avviare un Sandbox di Windows con le impostazioni predefinite, individuare e selezionare Sandbox di Windows dal menu Start oppure cercare "Sandbox di Windows". Verrà avviata una sandbox di base con capacità massima di 4 GB di memoria con le proprietà seguenti:

• vGPU (GPU virtualizzata): abilitata nei dispositivi non Arm64.
• Rete: abilitata. La sandbox usa l'opzione predefinita Hyper-V.
• Input audio: abilitato. La sandbox condivide l'input del microfono dell'host nella sandbox.
• Input video: disabilitato. La sandbox non condivide l'input video dell'host nella sandbox.
• Client protetto: disabilitato. La sandbox non usa impostazioni di sicurezza maggiori nella sessione RDP (Remote Desktop Protocol).
• Reindirizzamento stampante: disabilitato. La sandbox non condivide le stampanti con l'host.
• Reindirizzamento appunti: abilitato. La sandbox condivide gli Appunti dell'host con la sandbox in modo che testo e file possano essere incollati avanti e indietro.

Importante

• che sono abilitate per impostazione predefinita. Ciò può esporre le applicazioni non attendibili alla rete interna. Per avviare una sandbox con la rete disabilitata, usare un file wsb personalizzato.
• Con il reindirizzamento degli Appunti abilitato automaticamente, è possibile copiare facilmente i file dall'host e incollarli nella finestra Sandbox di Windows.

Si ha la libertà di aprire file, installare applicazioni dal Web ed eseguire varie altre attività che traggono vantaggio da un ambiente pulito isolato.

Al termine dell'esperimento, chiudere la sandbox. Una finestra di dialogo richiede di confermare l'eliminazione di tutto il contenuto sandbox. Selezionare OK per continuare. Verificare che il computer host non presenti alcuna delle modifiche apportate in Sandbox di Windows.

Configurare un Sandbox di Windows personalizzato

Sandbox di Windows supporta file di configurazione semplici, che forniscono un set minimo di parametri di personalizzazione per Sandbox. Questa funzionalità può essere usata con Windows 10 build 18342 o Windows 11. Sandbox di Windows file di configurazione vengono formattati come XML e associati a Sandbox tramite l'estensione di .wsb file.

Un file di configurazione consente all'utente di controllare gli aspetti seguenti di Sandbox di Windows:

• vGPU (GPU virtualizzata): abilitare o disabilitare la GPU virtualizzata. Se vGPU è disabilitata, la sandbox usa Windows Advanced Rasterization Platform (WARP).
• Rete: abilitare o disabilitare l'accesso alla rete all'interno della sandbox.
• Cartelle mappate: condividere cartelle dall'host con autorizzazioni di lettura o scrittura . L'esposizione delle directory host potrebbe consentire al software dannoso di influire sul sistema o di rubare dati.
• Comando di accesso: comando da eseguire all'avvio di Sandbox di Windows.
• Input audio: condivide l'input del microfono dell'host nella sandbox.
• Input video: condivide l'input della webcam dell'host nella sandbox.
• Client protetto: Places maggiori impostazioni di sicurezza nella sessione RDP (Remote Desktop Protocol) nella sandbox.
• Reindirizzamento stampante: condivide le stampanti dall'host nella sandbox.
• Reindirizzamento degli Appunti: condivide gli Appunti host con la sandbox in modo che testo e file possano essere incollati avanti e indietro.
• Memoria in MB: quantità di memoria, in megabyte, da assegnare alla sandbox.

Nota

Le dimensioni della finestra sandbox non sono attualmente configurabili.

Creare un file di configurazione

Per creare un file di configurazione:

1. Aprire un editor di testo normale o un editor di codice sorgente, ad esempio Blocco note, Visual Studio Code e così via.

2. Inserire le righe seguenti:

   <Configuration>
   </Configuration>
   

3. Aggiungere il testo di configurazione appropriato tra le due righe. Per informazioni dettagliate, vedere esempi.

4. Salvare il file con il nome desiderato, ma assicurarsi che l'estensione del nome file sia .wsb. Nel Blocco note è necessario racchiudere il nome file e l'estensione tra virgolette doppie, "MyConfigFile.wsb"ad esempio .

Per usare un file di configurazione, fare doppio clic su di esso per avviare Sandbox di Windows in base alle impostazioni. È anche possibile richiamarlo tramite la riga di comando, come illustrato di seguito:

C:\Temp> MyConfigFile.wsb

Opzioni di configurazione

vGPU

Abilita o disabilita la condivisione GPU.

<vGPU>value</vGPU>

Valori supportati:

• Abilita: abilita il supporto vGPU nella sandbox.
• Disabilita: disabilita il supporto vGPU nella sandbox. Se questo valore è impostato, la sandbox usa il rendering software, che potrebbe essere più lento rispetto alla GPU virtualizzata.
• Impostazione predefinita: questo valore è il valore predefinito per il supporto di vGPU. Attualmente, questo valore predefinito indica che vGPU è abilitato.

Nota

L'abilitazione della GPU virtualizzata può potenzialmente aumentare la superficie di attacco della sandbox.

Rete

Abilita o disabilita la rete nella sandbox. È possibile disabilitare l'accesso alla rete per ridurre la superficie di attacco esposta dalla sandbox.

<Networking>value</Networking>

Valori supportati:

• Abilita: abilita la rete nella sandbox.
• Disabilita: disabilita la rete nella sandbox.
• Impostazione predefinita: questo valore è il valore predefinito per il supporto della rete. Questo valore abilita la rete creando un commutatore virtuale sull'host e connettendo la sandbox tramite una scheda di interfaccia di rete virtuale.

Nota

L'abilitazione della rete può esporre le applicazioni non attendibili alla rete interna.

Cartelle mappate

Matrice di cartelle, ognuna delle quali rappresenta una posizione nel computer host condivisa con la sandbox nel percorso specificato. Attualmente, i percorsi relativi non sono supportati.

Quando si usa <Mappedfolders> per eseguire il mapping delle cartelle, viene eseguito il mapping delle cartelle prima dell'esecuzione del comando Logon. A partire da Windows 11 versione 23H2, è possibile usare le variabili di ambiente nel percorso.

<MappedFolders>
  <MappedFolder>
    <HostFolder>absolute or relative path to the host folder</HostFolder>
    <SandboxFolder>absolute path to the sandbox folder</SandboxFolder>
    <ReadOnly>value</ReadOnly>
  </MappedFolder>
  <MappedFolder>
    ...
  </MappedFolder>
</MappedFolders>

• HostFolder: specifica la cartella nel computer host da condividere nella sandbox. La cartella deve essere già presente nell'host o il contenitore non viene avviato.
• SandboxFolder: specifica la destinazione nella sandbox a cui eseguire il mapping della cartella. Se la cartella non esiste, viene creata. Se non viene specificata alcuna cartella sandbox, la cartella viene mappata al desktop dell'utente del contenitore. L'utente predefinito di Sandbox è WDAGUtilityAccount.
• ReadOnly: se true, impone l'accesso in sola lettura alla cartella condivisa dall'interno del contenitore. Valori supportati: true/false. Il valore predefinito è false.

Nota

I file e le cartelle mappati dall'host possono essere compromessi dalle app nella sandbox o potenzialmente influire sull'host. Le modifiche apportate durante una sessione sandbox a una cartella mappata con autorizzazioni di scrittura verranno mantenute dopo l'eliminazione di una sandbox.

Comando Di accesso

Specifica un singolo comando che verrà richiamato automaticamente dopo l'accesso alla sandbox. Le app nella sandbox vengono eseguite con l'account utente del contenitore. L'account utente del contenitore deve essere un account amministratore.

<LogonCommand>
  <Command>command to be invoked</Command>
</LogonCommand>

Comando: percorso di un eseguibile o di uno script all'interno del contenitore che verrà eseguito dopo l'accesso.

Nota

Anche se i comandi molto semplici funzioneranno (ad esempio l'avvio di un eseguibile o di uno script), gli scenari più complessi che coinvolgono più passaggi devono essere inseriti in un file di script. Questo file script può essere mappato nel contenitore tramite una cartella condivisa e quindi eseguito tramite <LogonCommand>.

Input audio

Abilita o disabilita l'input audio nella sandbox.

<AudioInput>value</AudioInput>

Valori supportati:

• Abilita: abilita l'input audio nella sandbox. Se questo valore è impostato, la sandbox può ricevere l'input audio dall'utente. Le applicazioni che usano un microfono potrebbero richiedere questa funzionalità.
• Disabilita: disabilita l'input audio nella sandbox. Se questo valore è impostato, la sandbox non può ricevere l'input audio dall'utente. Le applicazioni che usano un microfono potrebbero non funzionare correttamente con questa impostazione.
• Impostazione predefinita: questo valore è il valore predefinito per il supporto dell'input audio. Attualmente, questo valore predefinito indica che l'input audio è abilitato.

Nota

L'esposizione dell'input audio dell'host al contenitore può comportare implicazioni per la sicurezza.

Input video

Abilita o disabilita l'input video nella sandbox.

<VideoInput>value</VideoInput>

Valori supportati:

• Abilita: abilita l'input video nella sandbox.
• Disabilita: disabilita l'input video nella sandbox. Le applicazioni che usano l'input video potrebbero non funzionare correttamente nella sandbox.
• Impostazione predefinita: questo valore è il valore predefinito per il supporto dell'input video. Attualmente, questo valore predefinito indica che l'input video è disabilitato. Le applicazioni che usano l'input video potrebbero non funzionare correttamente nella sandbox.

Nota

L'esposizione dell'input video dell'host al contenitore può comportare implicazioni per la sicurezza.

Client protetto

Quando la modalità Client protetto è abilitata, Sandbox aggiunge un nuovo livello di limite di sicurezza eseguendo in un ambiente di esecuzione dell'isolamento AppContainer . L'isolamento AppContainer fornisce l'isolamento di credenziali, dispositivi, file, reti, processi e finestre.

<ProtectedClient>value</ProtectedClient>

Valori supportati:

• Abilita: esegue la sandbox di Windows in modalità client protetto. Se questo valore è impostato, la sandbox viene eseguita in Isolamento AppContainer.
• Disabilita: esegue la sandbox in modalità standard senza mitigazioni di sicurezza aggiuntive.
• Impostazione predefinita: questo valore è il valore predefinito per la modalità client protetto. Attualmente, questo valore predefinito indica che la sandbox non viene eseguita in modalità client protetto.

Nota

Questa impostazione può limitare la possibilità dell'utente di copiare/incollare file all'interno e all'esterno della sandbox.

Reindirizzamento stampante

Abilita o disabilita la condivisione della stampante dall'host nella sandbox.

<PrinterRedirection>value</PrinterRedirection>

Valori supportati:

• Abilita: abilita la condivisione delle stampanti host nella sandbox.
• Disabilita: disabilita il reindirizzamento della stampante nella sandbox. Se questo valore è impostato, la sandbox non può visualizzare le stampanti dall'host.
• Impostazione predefinita: questo valore è il valore predefinito per il supporto del reindirizzamento della stampante. Attualmente, questo valore predefinito indica che il reindirizzamento della stampante è disabilitato.

Reindirizzamento degli Appunti

Abilita o disabilita la condivisione degli Appunti host con la sandbox.

<ClipboardRedirection>value</ClipboardRedirection>

Valori supportati:

• Abilita: abilita la condivisione degli Appunti host con la sandbox.
• Disabilita: disabilita il reindirizzamento degli Appunti nella sandbox. Se questo valore è impostato, la copia/incolla all'interno e all'esterno della sandbox è limitata.
• Impostazione predefinita: questo valore è il valore predefinito per il reindirizzamento degli Appunti. Attualmente, la copia/incolla tra l'host e la sandbox è consentita in Impostazione predefinita.

Memoria in MB

Specifica la quantità di memoria che la sandbox può usare in megabyte (MB).

<MemoryInMB>value</MemoryInMB>

Se il valore di memoria specificato non è sufficiente per avviare una sandbox, viene automaticamente aumentato fino alla quantità minima richiesta di 2048 MB.