Поделиться через

Использование и настройка Песочница Windows

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Чтобы запустить Песочница Windows с параметрами по умолчанию, найдите и выберите Песочница Windows в меню Пуск или найдите Песочница Windows. При этом запускается базовая песочница с максимальным объемом памяти 4 ГБ со следующими свойствами:

  • vGPU (виртуализированный GPU): включено на устройствах, отличных от Arm64.
  • Сеть: включено. В песочнице используется переключатель Hyper-V по умолчанию.
  • Аудиовход: включено. Песочница совместно использует вход с микрофона узла в песочницу.
  • Видеовход: отключено. Песочница не совместно вводит видео в песочницу.
  • Защищенный клиент: отключено. Песочница не использует повышенные параметры безопасности в сеансе протокола удаленного рабочего стола (RDP).
  • Перенаправление принтера: отключено. Песочница не предоставляет общий доступ к принтерам с узлом.
  • Перенаправление буфера обмена: включено. Песочница совместно использует буфер обмена узла с песочницей, чтобы текст и файлы можно было вставить туда и обратно.

Важно.

  • Сеть включена по умолчанию. Это может предоставить ненадежные приложения во внутренней сети. Чтобы запустить песочницу с отключенной сетью, используйте пользовательский WSB-файл.
  • Автоматически включив перенаправление буфера обмена, вы можете легко скопировать файлы с узла и вставить их в окно Песочница Windows.

Вы можете открывать файлы, устанавливать приложения из Интернета и выполнять различные другие задачи, которые пользуются преимуществами изолированной чистой среды.

По завершении экспериментов закройте песочницу. В диалоговом окне появится запрос на подтверждение удаления всего содержимого песочницы. Нажмите кнопку ОК , чтобы продолжить. Убедитесь, что на главном компьютере нет никаких изменений, сделанных вами в Песочнице Windows.

Настройка пользовательской Песочница Windows

Песочница Windows поддерживает простые файлы конфигурации, которые предоставляют минимальный набор параметров настройки для песочницы. Эту функцию можно использовать с Windows 10 сборки 18342 или Windows 11. Песочница Windows файлы конфигурации форматируются как XML и связаны с песочницей через .wsb расширение файла.

Файл конфигурации позволяет пользователю управлять следующими аспектами Песочница Windows:

  • vGPU (виртуализированный GPU): включение или отключение виртуализированного GPU. Если vGPU отключен, песочница использует windows Advanced Rasterization Platform (WARP).
  • Сеть: включение или отключение сетевого доступа в песочнице.
  • Сопоставленные папки. Предоставление общего доступа к папкам с узла с разрешениями на чтение или запись . Предоставление каталогов узлов может позволить вредоносному программному обеспечению повлиять на систему или украсть данные.
  • Команда входа: команда, выполняемая при запуске Песочница Windows.
  • Аудиовход: предоставляет входные данные микрофона узла в песочницу.
  • Видеовход: предоставляет доступ к входу веб-камеры узла в песочницу.
  • Защищенный клиент: Places повышенные параметры безопасности в сеансе протокола удаленного рабочего стола (RDP) в песочницу.
  • Перенаправление принтеров. Предоставляет общий доступ к принтерам из узла в песочницу.
  • Перенаправление буфера обмена. Предоставляет доступ к буферу обмена узла с песочницей, чтобы текст и файлы можно было вставлять туда и обратно.
  • Память в МБ. Объем памяти в мегабайтах, который назначается песочнице.

Примечание.

Размер окна песочницы в настоящее время не настраивается.

Создание файла конфигурации

Чтобы создать файл конфигурации, выполните приведенные далее действия.

  1. Открытие редактора обычного текста или редактора исходного кода (например, Блокнот, Visual Studio Code и т. д.)

  2. Вставьте следующие строки:

    <Configuration>
</Configuration>

  3. Добавьте соответствующий текст конфигурации между двумя строками. Дополнительные сведения см. в примерах.

  4. Сохраните файл с нужным именем, но убедитесь, что его расширение имеет значение .wsb. В Блокноте следует заключить имя файла и расширение в двойные кавычки, например "MyConfigFile.wsb".

Чтобы использовать файл конфигурации, дважды щелкните его, чтобы запустить Песочница Windows в соответствии с его параметрами. Его также можно вызвать с помощью командной строки, как показано ниже:

C:\Temp> MyConfigFile.wsb

Параметры конфигурации

VGPU

Включает или отключает общий доступ к GPU.

<vGPU>value</vGPU>

Поддерживаемые значения:

  • Включить: включает поддержку vGPU в песочнице.
  • Отключить. Отключает поддержку vGPU в песочнице. Если это значение задано, песочница использует программную отрисовку, которая может работать медленнее, чем виртуализированный GPU.
  • По умолчанию. Это значение является значением по умолчанию для поддержки виртуальных ЦП. В настоящее время это значение по умолчанию указывает, что vGPU включен.

Примечание.

Включение виртуализированного GPU может потенциально увеличить область атак в песочнице.

Сеть

Включает или отключает сеть в песочнице. Вы можете отключить сетевой доступ, чтобы уменьшить область атак, которую предоставляет песочница.

<Networking>value</Networking>

Поддерживаемые значения:

  • Включить. Включает сеть в песочнице.
  • Отключить. Отключает сеть в песочнице.
  • По умолчанию. Это значение является значением по умолчанию для поддержки сети. Это значение позволяет создать виртуальный коммутатор на узле и подключить к нему песочницу через виртуальную сетевую карту.

Примечание.

Включение сети может предоставить ненадежные приложения для внутренней сети.

Сопоставленные папки

Массив папок, каждая из которых представляет расположение на хост-компьютере, которое совместно используется песочницей по указанному пути. В настоящее время относительные пути не поддерживаются.

При использовании <Mappedfolders> для сопоставления папок папки сопоставляются перед выполнением команды "Вход". Начиная с Windows 11 версии 23H2 в пути можно использовать переменные среды.

<MappedFolders>
  <MappedFolder>
    <HostFolder>absolute or relative path to the host folder</HostFolder>
    <SandboxFolder>absolute path to the sandbox folder</SandboxFolder>
    <ReadOnly>value</ReadOnly>
  </MappedFolder>
  <MappedFolder>
    ...
  </MappedFolder>
</MappedFolders>
  • HostFolder: указывает папку на хост-компьютере для совместного использования в песочнице. Папка должна уже существовать на узле, иначе контейнер не запускается.
  • SandboxFolder: указывает назначение в песочнице для сопоставления папки. Если папка не существует, она создается. Если папка песочницы не указана, она сопоставляется с рабочим столом пользователя контейнера. По умолчанию для песочницы используется WDAGUtilityAccountпользователь .
  • ReadOnly. Если значение равно true, обеспечивает доступ только для чтения к общей папке из контейнера. Поддерживаемые значения: true/false. Значение по умолчанию — false.

Примечание.

Файлы и папки, сопоставленные с узлом, могут быть скомпрометированы приложениями в песочнице или потенциально повлиять на узел. Изменения, внесенные во время сеанса песочницы в сопоставленную папку с разрешениями на запись, будут сохраняться после удаления песочницы.

Команда входа

Указывает одну команду, которая будет вызвана автоматически после входа в песочницу. Приложения в песочнице выполняются под учетной записью пользователя контейнера. Учетная запись пользователя контейнера должна быть учетной записью администратора.

<LogonCommand>
  <Command>command to be invoked</Command>
</LogonCommand>

Команда. Путь к исполняемому файлу или скрипту в контейнере, который будет выполнен после входа.

Примечание.

Хотя будут работать очень простые команды (например, запуск исполняемого файла или скрипта), более сложные сценарии, включающие несколько шагов, следует поместить в файл скрипта. Этот файл скрипта можно сопоставить с контейнером через общую папку, а затем выполнить через <LogonCommand>.

Аудиовход

Включает или отключает вход звука в песочницу.

<AudioInput>value</AudioInput>

Поддерживаемые значения:

  • Включить: включает вход звука в песочнице. Если это значение задано, песочница может получать звуковые данные от пользователя. Эта возможность может потребоваться приложениям, используюющим микрофон.
  • Отключить. Отключает вход звука в песочнице. Если это значение задано, песочница не может принимать входные данные звука от пользователя. Приложения, использующие микрофон, могут неправильно работать с этим параметром.
  • По умолчанию. Это значение является значением по умолчанию для поддержки аудиовхода. В настоящее время это значение по умолчанию указывает, что аудиовход включен.

Примечание.

Могут быть последствия для безопасности, связанные с предоставлением аудиовхода узла контейнеру.

Видеовход

Включает или отключает вход видео в песочницу.

<VideoInput>value</VideoInput>

Поддерживаемые значения:

  • Включить: включает видеовход в песочнице.
  • Отключить: отключает видеовход в песочнице. Приложения, использующие видеовход, могут неправильно работать в песочнице.
  • По умолчанию: это значение по умолчанию для поддержки видеовхода. В настоящее время это значение по умолчанию означает, что видеовход отключен. Приложения, использующие видеовход, могут неправильно работать в песочнице.

Примечание.

Могут быть последствия для безопасности, связанные с предоставлением входного видео узла контейнеру.

Защищенный клиент

Если включен режим защищенного клиента, песочница добавляет новый уровень границы безопасности, запуская в среде выполнения изоляции AppContainer . Изоляция AppContainer обеспечивает изоляцию учетных данных, устройств, файлов, сети, процессов и окон.

<ProtectedClient>value</ProtectedClient>

Поддерживаемые значения:

  • Включить: запускает песочницу Windows в режиме защищенного клиента. Если это значение задано, песочница выполняется в изоляции AppContainer.
  • Отключить. Запускает песочницу в стандартном режиме без дополнительных мер безопасности.
  • По умолчанию. Это значение является значением по умолчанию для режима защищенного клиента. В настоящее время это значение по умолчанию означает, что песочница не работает в режиме защищенного клиента.

Примечание.

Этот параметр может ограничить возможность пользователя копировать и вставлять файлы в песочницу и из нее.

Перенаправление принтера

Включает или отключает общий доступ к принтеру с узла в песочницу.

<PrinterRedirection>value</PrinterRedirection>

Поддерживаемые значения:

  • Включить: позволяет совместно использовать принтеры узла в песочнице.
  • Отключить. Отключает перенаправление принтера в песочнице. Если это значение задано, песочница не сможет просматривать принтеры с узла.
  • По умолчанию. Это значение является значением по умолчанию для поддержки перенаправления принтера. В настоящее время это значение по умолчанию означает, что перенаправление принтера отключено.

Перенаправление буфера обмена

Включает или отключает общий доступ к буферу обмена узла с песочницей.

<ClipboardRedirection>value</ClipboardRedirection>

Поддерживаемые значения:

  • Включить. Включает общий доступ к буферу обмена узла с песочницей.
  • Отключить. Отключает перенаправление буфера обмена в песочнице. Если это значение задано, копирование и вставка в песочнице и из нее ограничены.
  • По умолчанию: это значение по умолчанию для перенаправления буфера обмена. В настоящее время копирование и вставка между узлом и песочницей разрешено в разделе По умолчанию.

Память в МБ

Указывает объем памяти, который песочница может использовать в мегабайтах (МБ).

<MemoryInMB>value</MemoryInMB>

Если указанного значения памяти недостаточно для загрузки песочницы, оно автоматически увеличивается до требуемого минимального объема в 2048 МБ.