Partilhar via

Usar e configurar a Área Restrita do Windows

Para iniciar uma Área Restrita do Windows com as configurações padrão, localize e selecione Área Restrita do Windows no menu Iniciar ou pesquise por 'Área Restrita do Windows'. Isso inicia uma Área Restrita básica com capacidade máxima de 4 GB de memória com as seguintes propriedades:

  • vGPU (GPU virtualizada): Habilitado em dispositivos não Arm64.
  • Rede: Habilitada. A área restrita usa o parâmetro padrão do Hyper-V.
  • Entrada de áudio: Habilitada. A área restrita compartilha a entrada do microfone do host na área restrita.
  • Entrada de vídeo: Desabilitada. A área restrita não compartilha a entrada de vídeo do host na área restrita.
  • Cliente protegido: Desabilitado. A área restrita não usa configurações de segurança avançadas na sessão do Protocolo RDP (RDP).
  • Redirecionamento de impressora: Desabilitado. A área restrita não compartilha impressoras com o host.
  • Redirecionamento da área de transferência: Habilitado. A área restrita compartilha a área de transferência do host com a área restrita para que texto e arquivos possam ser colados de um lado para o outro.

Importante

  • A rede é habilitada por padrão. Isso pode expor aplicativos não confiáveis à rede interna. Para iniciar uma Área Restrita com rede desabilitada, use um arquivo .wsb personalizado.
  • Com o redirecionamento da Área de Transferência habilitado automaticamente, você pode copiar arquivos do host com facilidade e colá-los na janela da Área Restrita do Windows.

Você tem a liberdade de abrir arquivos, instalar aplicativos da web e executar várias outras tarefas que se beneficiam de um ambiente limpo e isolado.

Quando terminar de experimentar, feche a área restrita. Uma caixa de diálogo solicita que você confirme a exclusão de todo o conteúdo da área restrita. Selecione Ok para continuar. Confirme que o computador host não apresenta nenhuma das modificações feitas na Área Restrita do Windows.

Configurar uma Área Restrita do Windows personalizada

A Área Restrita do Windows suporta arquivos de configuração simples, que fornece um conjunto mínimo de parâmetros de personalização para a Área Restrita. Esse recurso pode ser utilizado com o Windows 11 build 18342 ou Windows 10. Os arquivos de configuração da Área Restrita do Windows são formatados como XML e estão associados à Área Restrita através da extensão de arquivo .wsb.

Um arquivo de configuração permite ao usuário controlar os seguintes aspetos da Área Restrita do Windows:

  • vGPU (GPU virtualizada): habilite ou desabilite a GPU virtualizada. Se a vGPU estiver desabilitada, a área restrita usará a Plataforma de Rasterização Avançada do Windows (WARP).
  • Rede: habilite ou desabilite o acesso à rede na área restrita.
  • Pastas mapeadas: compartilhe pastas do host com permissões de leitura ou gravação. Expor diretórios do host pode permitir que software mal-intencionado afete o sistema ou roube dados.
  • Comando de logon: Um comando a ser executado quando a Área Restrita do Windows for iniciada.
  • Entrada de áudio: compartilha a entrada do microfone do host na área restrita.
  • Entrada de vídeo: compartilha a entrada da webcam do host na área restrita.
  • Cliente protegido: Aplica configurações de segurança avançadas à sessão do Protocolo RDP (RDP) para a área restrita.
  • Redirecionamento da impressora: compartilha impressoras do host na área restrita.
  • Redirecionamento da área de transferência: compartilha a área de transferência do host com a área restrita para que o texto e os arquivos possam ser colados de um para o outro.
  • Memória em MB: a quantidade de memória, em megabytes, a ser atribuída à área restrita.

Observação

Atualmente, o tamanho da janela da área restrita não é configurável.

Criar um arquivo de configuração

Para criar o arquivo de configuração:

  1. Abra um editor de texto simples ou editor de código fonte (por exemplo, Bloco de notas, Visual Studio Code etc.)

  2. Insira as seguintes linhas:

    <Configuration>
</Configuration>

  3. Adicione o texto de configuração adequado entre as duas linhas. Para obter detalhes, veja exemplos.

  4. Guarde o arquivo com o nome pretendido, mas certifique-se de que a extensão do nome do arquivo seja .wsb. No Bloco de Notas, deve incluir o nome do arquivo e a extensão entre aspas duplas, por exemplo, "MyConfigFile.wsb".

Para usar um arquivo de configuração, clique duas vezes nele para iniciar a Área Restrita do Windows de acordo com as configurações. Você também pode invocá-la através da linha de comando, conforme mostrado aqui:

C:\Temp> MyConfigFile.wsb

Opções de configuração

vGPU

Habilita ou desabilita o compartilhamento de GPU.

<vGPU>value</vGPU>

Valores com suporte:

  • Habilitar: habilita o suporte de vGPU na área restrita.
  • Desabilitar: desabilita o suporte de vGPU na área restrita. Se este valor estiver definido, a área restrita usará renderização por software, que pode ser mais lenta do que a GPU virtualizada.
  • Padrão: Este valor é o valor padrão para suporte a vGPU. Atualmente, este valor padrão indica que a vGPU está habilitada.

Observação

Ativar a GPU virtualizada pode potencialmente aumentar a superfície de ataque da área restrita.

Rede

Habilita ou desabilita a rede na área restrita. Você pode desabilitar o acesso à rede para diminuir a superfície de ataque exposta pelo área restrita.

<Networking>value</Networking>

Valores com suporte:

  • Habilitar: habilita a rede na área restrita.
  • Desabilitar: desabilita a rede na área restrita.
  • Padrão: esse valor é o valor padrão para o suporte de rede. Esse valor permite que a rede crie um comutador virtual no host e conecta a área restrita a ele através de uma NIC virtual.

Observação

Habilitar a rede pode expor aplicativos não confiáveis à rede interna.

Pastas mapeadas

Uma matriz de pastas, cada uma representando um local no computador host que é compartilhado com a área restrita no caminho especificado. Atualmente, caminhos relativos não são compatíveis.

Ao usar <Mappedfolders> para mapear pastas, as pastas são mapeadas antes da execução do Comando de logon. A partir do Windows 11, versão 23H2, você pode usar variáveis de ambiente no caminho.

<MappedFolders>
  <MappedFolder>
    <HostFolder>absolute or relative path to the host folder</HostFolder>
    <SandboxFolder>absolute path to the sandbox folder</SandboxFolder>
    <ReadOnly>value</ReadOnly>
  </MappedFolder>
  <MappedFolder>
    ...
  </MappedFolder>
</MappedFolders>
  • HostFolder: especifica a pasta no computador host a ser compartilhada na área restrita. A pasta já deve existir no host ou o contêiner não iniciará.
  • SandboxFolder: especifica o destino na área restrita para o qual mapear a pasta. Se a pasta não existir, ela será criada. Se nenhuma pasta da área restrita for especificada, a pasta será mapeada para a área de trabalho do usuário do contêiner. O usuário padrão da Área Restrita é WDAGUtilityAccount.
  • ReadOnly: Se for true, impõe o acesso somente leitura à pasta compartilhada a partir do contêiner. Valores suportados: true/false. O padrão é false.

Observação

Arquivos e pastas mapeados do host podem ser comprometidos por aplicativos na área restrita ou afetar potencialmente o host. As alterações feitas durante uma sessão da Área Restrita em uma pasta mapeada com permissões de gravação persistirão após a eliminação da Área Restrita.

Comando de início de sessão

Especifica um único comando que será invocado automaticamente após a área restrita iniciar sessão. Os aplicativos na área restrita são executados na conta de usuário do contêiner. A conta de usuário do contêiner deve ser uma conta de administrador.

<LogonCommand>
  <Command>command to be invoked</Command>
</LogonCommand>

Comando: um caminho para um arquivo executável ou script dentro do contêiner que será executado após iniciar sessão.

Observação

Embora os comandos muito simples funcionem (como iniciar um arquivo executável ou um script), os cenários mais complicados que envolvam várias etapas devem ser colocados num arquivo de script. Este arquivo de script pode ser mapeado no contêiner por meio de uma pasta compartilhada e, em seguida, executado por meio de <LogonCommand>.

Entrada de áudio

Habilita ou desabilita a entrada de áudio na área restrita.

<AudioInput>value</AudioInput>

Valores com suporte:

  • Habilitar: habilita a entrada de áudio na área restrita. Se este valor estiver definido, a área restrita poderá receber entrada de áudio do usuário. Aplicativos que usam microfone podem exigir essa capacidade.
  • Desabilitar: desabilita a entrada de áudio na área restrita. Se esse valor estiver definido, a área restrita não pode receber entradas de áudio do usuário. Aplicativos que usam um microfone podem não funcionar corretamente com esta configuração.
  • Padrão: esse valor é o valor padrão para o suporte de entrada de áudio. Atualmente, esse valor padrão indica que a entrada de áudio está habilitada.

Observação

Pode haver implicações de segurança na exposição de entrada de áudio do host no contêiner.

Entrada de vídeo

Habilita ou desabilita a entrada de vídeo na área restrita.

<VideoInput>value</VideoInput>

Valores com suporte:

  • Habilitar: habilita a entrada de video na área restrita.
  • Desabilitar: desabilita a entrada de vídeo na área restrita. Aplicativos que usam entrada de vídeo podem não funcionar corretamente na área restrita.
  • Padrão: esse valor é o valor padrão para o suporte de entrada de vídeo. Atualmente, esse valor padrão indica que a entrada de vídeo está desabilitada. Aplicativos que usam entrada de vídeo podem não funcionar corretamente na área restrita.

Observação

Pode haver implicações de segurança na exposição de entrada de vídeo do host no contêiner.

Cliente protegido

Quando o modo Cliente Protegido está habilitado, a Área Restrita adiciona uma nova camada de limite de segurança ao executar dentro de um ambiente de execução de Isolamento de AppContainer. O Isolamento de AppContainer fornece isolamento de Credencial, Dispositivo, Arquivo, Rede, Processo e Janela.

<ProtectedClient>value</ProtectedClient>

Valores com suporte:

  • Habilitar: executa a área restrita do Windows no modo Cliente Protegido. Se esse valor estiver definido, a Área Restrita é executada no Isolamento de AppContainer.
  • Desabilitar: executa a área restrita no modo padrão sem mitigações de segurança extras.
  • Padrão: esse valor é o valor padrão para o modo Cliente Protegido. Atualmente, esse valor padrão indica que a área restrita não é executada no modo Cliente Protegido.

Observação

Essa configuração pode restringir a capacidade do usuário de copiar/colar arquivos dentro e fora da área restrita.

Redirecionamento de impressora

Habilita ou desabilita o compartilhamento de impressora do host na área restrita.

<PrinterRedirection>value</PrinterRedirection>

Valores com suporte:

  • Habilitar: permite o compartilhamento de impressoras host na área restrita.
  • Desabilitar: desabilita o redirecionamento de impressora na área restrita. Se esse valor estiver definido, a área restrita não pode exibir impressoras do host.
  • Padrão: esse valor é o valor padrão para o suporte de redirecionamento de impressora. Atualmente, esse valor padrão indica que o redirecionamento de impressora está desabilitado.

Redirecionamento da área de transferência

Habilita ou desabilita o compartilhamento da área de transferência do host com a área restrita.

<ClipboardRedirection>value</ClipboardRedirection>

Valores com suporte:

  • Habilitar: habilita o compartilhamento da área de transferência do host com a área restrita.
  • Desabilitar: desabilita o redirecionamento de área de transferência na área restrita. Se este valor estiver definido, a cópia/colagem dentro e fora da área restrita será restrita.
  • Padrão: esse valor é o valor padrão para o redirecionamento de área de transferência. Atualmente, copiar/colar entre o host e a área restrita são permitidos em Padrão.

Memória em MB

Especifica a quantidade de memória que a área restrita pode usar em megabytes (MB).

<MemoryInMB>value</MemoryInMB>

Se o valor de memória especificado for insuficiente para inicializar uma área restrita, ele será automaticamente aumentado para o valor mínimo obrigatório de 2048 MB.