策略 CSP - WindowsSandbox
AllowAudioInput
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsSandbox/AllowAudioInput
此策略设置启用或禁用沙盒的音频输入。
如果启用此策略设置,Windows 沙盒将能够接收用户的音频输入。 使用麦克风的应用程序可能需要此设置。
如果禁用此策略设置,Windows 沙盒将无法接收来自用户的音频输入。 使用麦克风的应用程序可能无法在此设置下正常工作。
如果未配置此策略设置,将启用音频输入。
请注意,向容器公开主机音频输入可能存在安全隐患。
注意
必须重启Windows 沙盒才能使此策略设置的任何更改生效。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [0-1] |
| 默认值 | 1 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | AllowAudioInput |
| 友好名称 | 允许Windows 沙盒中的音频输入 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Windows 沙盒 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows\Sandbox |
| 注册表值名称 | AllowAudioInput |
| ADMX 文件名 | WindowsSandbox.admx |
AllowClipboardRedirection
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsSandbox/AllowClipboardRedirection
此策略设置启用或禁用与沙盒的剪贴板共享。
如果启用此策略设置,则允许在主机和Windows 沙盒之间复制和粘贴。
如果禁用此策略设置,将限制复制和粘贴沙盒。
如果未配置此策略设置,将启用剪贴板共享。
注意
必须重启Windows 沙盒才能使此策略设置的任何更改生效。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [0-1] |
| 默认值 | 1 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | AllowClipboardRedirection |
| 友好名称 | 允许使用Windows 沙盒共享剪贴板 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Windows 沙盒 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows\Sandbox |
| 注册表值名称 | AllowClipboardRedirection |
| ADMX 文件名 | WindowsSandbox.admx |
AllowMappedFolders
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsSandbox/AllowMappedFolders
此策略设置启用或禁用将文件夹映射到沙盒。
如果启用此策略设置,将允许将文件夹从主机映射到沙盒。
如果启用此策略设置并禁用对映射文件夹的写入,将允许将文件夹从主机映射到沙盒,但沙盒将仅具有读取文件的权限。
如果禁用此策略设置,则不允许将文件夹从主机映射到沙盒。
如果未配置此策略设置,将启用映射的文件夹。
请注意,将文件夹从主机公开到容器中可能存在安全隐患。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [0-1] |
| 默认值 | 1 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | AllowMappedFolders |
| 友好名称 | 允许将文件夹映射到 Windows 沙盒 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Windows 沙盒 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows\Sandbox |
| 注册表值名称 | AllowMappedFolders |
| ADMX 文件名 | WindowsSandbox.admx |
AllowNetworking
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsSandbox/AllowNetworking
此策略设置启用或禁用沙盒中的网络。 可以禁用网络访问,以减少沙盒暴露的攻击面。
如果启用此策略设置,则网络是通过在主机上创建虚拟交换机来完成的,并通过虚拟 NIC 将Windows 沙盒连接到该交换机。
如果禁用此策略设置,则会在 Windows 沙盒 中禁用网络。
如果未配置此策略设置,将启用网络。
请注意,启用网络可能会向内部网络公开不受信任的应用程序。
注意
必须重启Windows 沙盒才能使此策略设置的任何更改生效。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [0-1] |
| 默认值 | 1 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | AllowNetworking |
| 友好名称 | 允许Windows 沙盒中的网络 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Windows 沙盒 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows\Sandbox |
| 注册表值名称 | AllowNetworking |
| ADMX 文件名 | WindowsSandbox.admx |
AllowPrinterRedirection
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsSandbox/AllowPrinterRedirection
此策略设置启用或禁用从主机到沙盒的打印机共享。
如果启用此策略设置,主机打印机将共享到Windows 沙盒。
如果禁用此策略设置,Windows 沙盒将无法从主机查看打印机。
如果未配置此策略设置,将禁用打印机重定向。
注意
必须重启Windows 沙盒才能使此策略设置的任何更改生效。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [0-1] |
| 默认值 | 1 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | AllowPrinterRedirection |
| 友好名称 | 允许使用Windows 沙盒共享打印机 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Windows 沙盒 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows\Sandbox |
| 注册表值名称 | AllowPrinterRedirection |
| ADMX 文件名 | WindowsSandbox.admx |
AllowVGPU
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsSandbox/AllowVGPU
此策略设置用于启用或禁用虚拟化 GPU。
如果启用此策略设置,Windows 沙盒将支持 vGPU。
如果禁用此策略设置,Windows 沙盒将使用软件呈现,这可能比虚拟化 GPU 慢。
如果未配置此策略设置,则将启用 vGPU。
请注意,启用虚拟化 GPU 可能会增加沙盒的攻击面。
注意
必须重启Windows 沙盒才能使此策略设置的任何更改生效。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [0-1] |
| 默认值 | 1 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | AllowVGPU |
| 友好名称 | 允许Windows 沙盒的 vGPU 共享 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Windows 沙盒 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows\Sandbox |
| 注册表值名称 | AllowVGPU |
| ADMX 文件名 | WindowsSandbox.admx |
AllowVideoInput
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsSandbox/AllowVideoInput
此策略设置启用或禁用沙盒的视频输入。
如果启用此策略设置,则会在 Windows 沙盒 中启用视频输入。
如果禁用此策略设置,则会在 Windows 沙盒 中禁用视频输入。 使用视频输入的应用程序可能无法在Windows 沙盒中正常工作。
如果未配置此策略设置,将禁用视频输入。 使用视频输入的应用程序可能无法在Windows 沙盒中正常运行。
请注意,向容器公开主机视频输入可能存在安全隐患。
注意
必须重启Windows 沙盒才能使此策略设置的任何更改生效。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [0-1] |
| 默认值 | 1 |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | AllowVideoInput |
| 友好名称 | 允许Windows 沙盒中的视频输入 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Windows 沙盒 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows\Sandbox |
| 注册表值名称 | AllowVideoInput |
| ADMX 文件名 | WindowsSandbox.admx |
AllowWriteToMappedFolders
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 24H2 [10.0.26100] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/WindowsSandbox/AllowWriteToMappedFolders
此策略设置启用或禁用将文件夹映射到沙盒。
如果启用此策略设置,将允许将文件夹从主机映射到沙盒。
如果启用此策略设置并禁用对映射文件夹的写入,将允许将文件夹从主机映射到沙盒,但沙盒将仅具有读取文件的权限。
如果禁用此策略设置,则不允许将文件夹从主机映射到沙盒。
如果未配置此策略设置,将启用映射的文件夹。
请注意,将文件夹从主机公开到容器中可能存在安全隐患。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | int |
| 访问类型 | 添加、删除、获取、替换 |
| 允许的值 | 范围: [0-1] |
| 默认值 | 1 |
| 依赖项 [WindowsSandbox_AllowWriteToMappedFolders_DependencyGroup] | 依赖项类型: DependsOn 依赖项 URI: Device/Vendor/MSFT/Policy/Config/WindowsSandbox/AllowMappedFolders 依赖项允许值: [1] 依赖项允许值类型: Range |
组策略映射:
| 名称 | 值 |
|---|---|
| 名称 | AllowMappedFolders |
| 友好名称 | 允许将文件夹映射到 Windows 沙盒 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>Windows 沙盒 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows\Sandbox |
| 注册表值名称 | AllowMappedFolders |
| ADMX 文件名 | WindowsSandbox.admx |