策略 CSP - WindowsSandbox

AllowAudioInput

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 2004 [10.0.19041.4950] 及更高版本
✅Windows 10版本 20H2 [10.0.19042.4950] 及更高版本
✅Windows 10版本 21H1 [10.0.19043.4950] 及更高版本
✅Windows 11版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/WindowsSandbox/AllowAudioInput

此策略设置启用或禁用沙盒的音频输入。

  • 如果启用此策略设置,Windows 沙盒将能够接收用户的音频输入。 使用麦克风的应用程序可能需要此设置。

  • 如果禁用此策略设置,Windows 沙盒将无法接收来自用户的音频输入。 使用麦克风的应用程序可能无法在此设置下正常工作。

  • 如果未配置此策略设置,将启用音频输入。

请注意,向容器公开主机音频输入可能存在安全隐患。

注意

必须重启Windows 沙盒才能使此策略设置的任何更改生效。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 不允许。
1 (默认) 允许。

组策略映射:

名称
名称 AllowAudioInput
友好名称 允许Windows 沙盒中的音频输入
位置 “计算机配置”
路径 Windows 组件>Windows 沙盒
注册表项名称 SOFTWARE\Policies\Microsoft\Windows\Sandbox
注册表值名称 AllowAudioInput
ADMX 文件名 WindowsSandbox.admx

AllowClipboardRedirection

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 2004 [10.0.19041.4950] 及更高版本
✅Windows 10版本 20H2 [10.0.19042.4950] 及更高版本
✅Windows 10版本 21H1 [10.0.19043.4950] 及更高版本
✅Windows 11版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/WindowsSandbox/AllowClipboardRedirection

此策略设置启用或禁用与沙盒的剪贴板共享。

  • 如果启用此策略设置,则允许在主机和Windows 沙盒之间复制和粘贴。

  • 如果禁用此策略设置,将限制复制和粘贴沙盒。

  • 如果未配置此策略设置,将启用剪贴板共享。

注意

必须重启Windows 沙盒才能使此策略设置的任何更改生效。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 不允许。
1 (默认) 允许。

组策略映射:

名称
名称 AllowClipboardRedirection
友好名称 允许使用Windows 沙盒共享剪贴板
位置 “计算机配置”
路径 Windows 组件>Windows 沙盒
注册表项名称 SOFTWARE\Policies\Microsoft\Windows\Sandbox
注册表值名称 AllowClipboardRedirection
ADMX 文件名 WindowsSandbox.admx

AllowMappedFolders

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/WindowsSandbox/AllowMappedFolders

此策略设置启用或禁用将文件夹映射到沙盒。

  • 如果启用此策略设置,将允许将文件夹从主机映射到沙盒。

  • 如果启用此策略设置并禁用对映射文件夹的写入,将允许将文件夹从主机映射到沙盒,但沙盒将仅具有读取文件的权限。

  • 如果禁用此策略设置,则不允许将文件夹从主机映射到沙盒。

  • 如果未配置此策略设置,将启用映射的文件夹。

请注意,将文件夹从主机公开到容器中可能存在安全隐患。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 不允许。
1 (默认) 允许。

组策略映射:

名称
名称 AllowMappedFolders
友好名称 允许将文件夹映射到 Windows 沙盒
位置 “计算机配置”
路径 Windows 组件>Windows 沙盒
注册表项名称 SOFTWARE\Policies\Microsoft\Windows\Sandbox
注册表值名称 AllowMappedFolders
ADMX 文件名 WindowsSandbox.admx

AllowNetworking

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 2004 [10.0.19041.4950] 及更高版本
✅Windows 10版本 20H2 [10.0.19042.4950] 及更高版本
✅Windows 10版本 21H1 [10.0.19043.4950] 及更高版本
✅Windows 11版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/WindowsSandbox/AllowNetworking

此策略设置启用或禁用沙盒中的网络。 可以禁用网络访问,以减少沙盒暴露的攻击面。

  • 如果启用此策略设置,则网络是通过在主机上创建虚拟交换机来完成的,并通过虚拟 NIC 将Windows 沙盒连接到该交换机。

  • 如果禁用此策略设置,则会在 Windows 沙盒 中禁用网络。

  • 如果未配置此策略设置,将启用网络。

请注意,启用网络可能会向内部网络公开不受信任的应用程序。

注意

必须重启Windows 沙盒才能使此策略设置的任何更改生效。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 不允许。
1 (默认) 允许。

组策略映射:

名称
名称 AllowNetworking
友好名称 允许Windows 沙盒中的网络
位置 “计算机配置”
路径 Windows 组件>Windows 沙盒
注册表项名称 SOFTWARE\Policies\Microsoft\Windows\Sandbox
注册表值名称 AllowNetworking
ADMX 文件名 WindowsSandbox.admx

AllowPrinterRedirection

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 2004 [10.0.19041.4950] 及更高版本
✅Windows 10版本 20H2 [10.0.19042.4950] 及更高版本
✅Windows 10版本 21H1 [10.0.19043.4950] 及更高版本
✅Windows 11版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/WindowsSandbox/AllowPrinterRedirection

此策略设置启用或禁用从主机到沙盒的打印机共享。

  • 如果启用此策略设置,主机打印机将共享到Windows 沙盒。

  • 如果禁用此策略设置,Windows 沙盒将无法从主机查看打印机。

  • 如果未配置此策略设置,将禁用打印机重定向。

注意

必须重启Windows 沙盒才能使此策略设置的任何更改生效。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 不允许。
1 (默认) 允许。

组策略映射:

名称
名称 AllowPrinterRedirection
友好名称 允许使用Windows 沙盒共享打印机
位置 “计算机配置”
路径 Windows 组件>Windows 沙盒
注册表项名称 SOFTWARE\Policies\Microsoft\Windows\Sandbox
注册表值名称 AllowPrinterRedirection
ADMX 文件名 WindowsSandbox.admx

AllowVGPU

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 2004 [10.0.19041.4950] 及更高版本
✅Windows 10版本 20H2 [10.0.19042.4950] 及更高版本
✅Windows 10版本 21H1 [10.0.19043.4950] 及更高版本
✅Windows 11版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/WindowsSandbox/AllowVGPU

此策略设置用于启用或禁用虚拟化 GPU。

  • 如果启用此策略设置,Windows 沙盒将支持 vGPU。

  • 如果禁用此策略设置,Windows 沙盒将使用软件呈现,这可能比虚拟化 GPU 慢。

  • 如果未配置此策略设置,则将启用 vGPU。

请注意,启用虚拟化 GPU 可能会增加沙盒的攻击面。

注意

必须重启Windows 沙盒才能使此策略设置的任何更改生效。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 不允许。
1 (默认) 允许。

组策略映射:

名称
名称 AllowVGPU
友好名称 允许Windows 沙盒的 vGPU 共享
位置 “计算机配置”
路径 Windows 组件>Windows 沙盒
注册表项名称 SOFTWARE\Policies\Microsoft\Windows\Sandbox
注册表值名称 AllowVGPU
ADMX 文件名 WindowsSandbox.admx

AllowVideoInput

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 10版本 2004 [10.0.19041.4950] 及更高版本
✅Windows 10版本 20H2 [10.0.19042.4950] 及更高版本
✅Windows 10版本 21H1 [10.0.19043.4950] 及更高版本
✅Windows 11版本 21H2 [10.0.22000] 及更高版本
./Device/Vendor/MSFT/Policy/Config/WindowsSandbox/AllowVideoInput

此策略设置启用或禁用沙盒的视频输入。

  • 如果启用此策略设置,则会在 Windows 沙盒 中启用视频输入。

  • 如果禁用此策略设置,则会在 Windows 沙盒 中禁用视频输入。 使用视频输入的应用程序可能无法在Windows 沙盒中正常工作。

  • 如果未配置此策略设置,将禁用视频输入。 使用视频输入的应用程序可能无法在Windows 沙盒中正常运行。

请注意,向容器公开主机视频输入可能存在安全隐患。

注意

必须重启Windows 沙盒才能使此策略设置的任何更改生效。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1

允许的值:

描述
0 不允许。
1 (默认) 允许。

组策略映射:

名称
名称 AllowVideoInput
友好名称 允许Windows 沙盒中的视频输入
位置 “计算机配置”
路径 Windows 组件>Windows 沙盒
注册表项名称 SOFTWARE\Policies\Microsoft\Windows\Sandbox
注册表值名称 AllowVideoInput
ADMX 文件名 WindowsSandbox.admx

AllowWriteToMappedFolders

范围 版本 适用的操作系统
✅ 设备
❌ 用户
✅ 专业版
✅ 企业版
✅ 教育版
✅ Windows SE
✅ IoT 企业版/IoT 企业版 LTSC
✅Windows 11版本 24H2 [10.0.26100] 及更高版本
./Device/Vendor/MSFT/Policy/Config/WindowsSandbox/AllowWriteToMappedFolders

此策略设置启用或禁用将文件夹映射到沙盒。

  • 如果启用此策略设置,将允许将文件夹从主机映射到沙盒。

  • 如果启用此策略设置并禁用对映射文件夹的写入,将允许将文件夹从主机映射到沙盒,但沙盒将仅具有读取文件的权限。

  • 如果禁用此策略设置,则不允许将文件夹从主机映射到沙盒。

  • 如果未配置此策略设置,将启用映射的文件夹。

请注意,将文件夹从主机公开到容器中可能存在安全隐患。

描述框架属性:

属性名 属性值
格式 int
访问类型 添加、删除、获取、替换
默认值 1
依赖项 [WindowsSandbox_AllowWriteToMappedFolders_DependencyGroup] 依赖项类型: DependsOn
依赖项 URI: Device/Vendor/MSFT/Policy/Config/WindowsSandbox/AllowMappedFolders
依赖项允许值: [1]
依赖项允许值类型: Range

允许的值:

描述
0 不允许。
1 (默认) 允许。

组策略映射:

名称
名称 AllowMappedFolders
友好名称 允许将文件夹映射到 Windows 沙盒
位置 “计算机配置”
路径 Windows 组件>Windows 沙盒
注册表项名称 SOFTWARE\Policies\Microsoft\Windows\Sandbox
注册表值名称 AllowMappedFolders
ADMX 文件名 WindowsSandbox.admx

策略配置服务提供程序