Включение и настройка песочницы в Windows 10 программой Sandbox Editor

Одно из самых значимых нововведений Windows 10 — присутствие песочницы (Windows Sandbox). Окружение Sanbox — это виртуальный компьютер, который позволяет запускать сомнительные программы без вреда для физического компьютера. Здесь рассказываю о том, как происходит запуск и настройка песочницы в Windows 10.

Windows Snabox можно назвать более упрощённым вариантом виртуальных машины, созданных например, с помощью Oracle VM VirtualBox. Поэтому Windows Snabox является более удобным, лёгким в запуске и настройке для новичков.

Системные требования Windows Sandbox

Прежде чем приступать к работе с песочницей в Widnows 10, убедитесь в том, что компьютер соответствует необходимым системным требованиям. Как правило, большинство проболеем с этим окружением возникает именно из-за недостаточной конфигурации.

• 64-х битная Windows 10 версии Pro или Enterprise, с обновлением не ранее 18301.
• Включенная поддержка виртуализации (включается в BIOS/UEFI). Процессор компьютера должен уметь поддерживать виртуализацию.
• Минимальный объём оперативной памяти 4 Гб, рекомендуется 8Гб.
• Не менее чем два ядра процессора, рекомендуется четыре.
• Рекомендуется использовать SSD диск с не мене 1 Гб свободного пространства.

Посмотрите видео о включении и настройки песочницы в Windows 10.

Включение песочницы в Widnows 10

Итак, начнём. Включить песочницу в Windows 10 очень легко, намного проще, чем вам кажется. Откройте «Компоненты Wndows». Можно найти их с помощью поиска по соответствующему запросу внизу слева.

Найдите в поиске элемент «Включение и отключение компонентов Windows» и откройте.

Поставьте галочку на компоненте «Песочница Windows» и потом нажмите «Ок».

Поставьте галочку на «Песочница Windows», нажмите «Ок».

Произойдёт недолгий поиск файлов, затем компьютер предложит перезагрузку. Перезагрузите.

После поиска файлов, перезагрузите компьютер.

После перезагрузки вы можете запустить песочницу. Для этого откройте приложение Windows Sandbox. Его можно увидеть в списке программ в «Пуске» или найти по запросу в поиске.

Найдите и откройте приложение Windows Sanbox.

Дождитесь запуска песочницы и вы увидите окно, в котором работает полноценная Windows, не влияющая на работу основной системы. В ней можно безопасно запускать сомнительные приложения и выполнять многие другие операции.

Запущенная песочница Windows 10.

Особенности песочницы в Windows 10

Мы запустили песочницу, и теперь хотелось бы её как-то настроить. Но перед этим нужно узнать о некоторых особенностях ,которые пригодятся при использовании.

• Если закрыть окно песочницы, то работа её системы завершится, при этом ничего что было в текущей сессии, не сохранится.
• Песочница имеет доступ к сети.
• Но не имеет доступа к файлам основной системы (ниже расскажу, как это исправить).
• Windows Sandbox имеет общий буфер обмена с основной системой компьютера. Это значит, что можно копировать файл или текст на физическом компьютере и вставлять его в песочнице, или наоборот.

А теперь давайте посмотрим, как это можно настроить песочницу в Windows 10.

Настройка песочницы в Windows 10

Ранее для настройки было необходимо вручную создавать файлы конфигурации, что было неудобно для большинства пользователей. Но не так давно появилась программа, представляющая собой компилятор этих конфигурационных файлов, которые можно создать в удобном графическом интерфейсе. Правда, на английском языке.

Программа называется Windows Sandbox Editor, и скачать её можно по прямой ссылке ниже, либо на официальном сайте разработчика.

Программа не требует установки и представляет собой Portable версию. Скачайте архив и распакуйте на компьютере. На момент написания этой статьи в архиве есть две версии программы, которые можно запустить из папки EXE. Далее я буду показывать всё на версии 2, то есть запустив файл EXE / Windows Sandbox Editor v2.exe.

Итак, откройте файл программы. Вы увидите, что её интерфейс состоит из четырёх вкладок. Настройка песочницы в Windows 10 начинается с «Basic infos», в которой находятся основные опции конфигурации песочницы:

• Sandbox name — имя файла конфигурации.
• Sandbox path — место сохранения файла на компьютере.
• Networking status — статус сети.
• VGPU status — статус виртуального графического адаптера. Отвечает за скорость графики.
• Run sandbox after change — запустит песочницу после завершения создания конфигурации.

Вторая вкладка называется «Mapped folder» и используется она для того, чтобы создать в песочнице общие с основной системой папки.

Нажмите кнопку «Browse folder», и выберите папку на компьютере, которая будет доступна через песочницу. А с помощью переключателя «Read only» выберите права доступа — только для чтения или нет.

Третья вкладка называется «Startup Commands» и в ней можно задавать действия, которые будут выполняться при загрузке системы в песочнице. В качестве команды можно задать файл Power Shell, Visual Basic или приложения .exe и .msi. Выполняться будут только те команды, к которым песочница будет иметь доступ. Например, к программам на основном компьютере она доступа по-умолчанию не имеет.

Четвёртая вкладка называется «Overvirew». На ней можно увидеть код файла конфигурации.

Нажмите на кнопку «Create Sandbox», чтобы создать из кода файл для запуска песочницы с заданными параметрами.

Если всё в порядке, вы увидите сообщение об успехе, и в папке, которую указали в «Basic infos» появится файл. Откройте его, и запуститcя песочница Windows с параметрами, которые вы задали.

Если в будущем вам нужно будет изменить параметры созданного файла конфигурации, то для этого загрузите его в Sandbox Editor с помощью кнопки «Load existing sandbox». После внесения необходимых изменений, создайте файл заново кнопкой «Create Sandbox».

С Sandbox Editor настройка песочницы в Windows 10 становится простой задачей. Можно создать любое количество конфигураций и запускать их в зависимости от поставленных задач.

Похожие статьи:

Windows 10 в последних обновлениях обрела функцию игрового режима, при котором игры можно запускать в…

Официальный сайт Microsoft — это самый надёжный источник образов Windows. В них нет никаких посторонних…

Windows 10 в последних обновлениях обрела функцию игрового режима, при котором игры можно запускать в…

Конфигурация песочницы Windows Windows Sandbox configuration

Песочница Windows поддерживает простые файлы конфигурации, которые предоставляют минимальный набор параметров настройки для песочницы. Windows Sandbox supports simple configuration files, which provide a minimal set of customization parameters for Sandbox. Эту функцию можно использовать с Windows 10 сборки 18342 или более поздней версии. This feature can be used with Windows 10 build 18342 or later. Файлы конфигурации песочницы Windows форматируются в формате XML и связываются с песочницами через .wsb расширение файла. Windows Sandbox configuration files are formatted as XML and are associated with Sandbox via the .wsb file extension.

Файл конфигурации позволяет пользователю управлять следующими аспектами песочницы Windows: A configuration file enables the user to control the following aspects of Windows Sandbox:

• vGPU (виртуализированный GPU): включить или отключить виртуализированный GPU. vGPU (virtualized GPU): Enable or disable the virtualized GPU. Если vGPU отключен, песочница будет использовать платформу WINDOWS Advanced Rasterization Platform (WARP). If vGPU is disabled, the sandbox will use Windows Advanced Rasterization Platform (WARP).
• Сеть: включаем или отключаем сетевой доступ в песочнице. Networking: Enable or disable network access within the sandbox.
• Mapped folders: Share folders from the host with read or write permissions. Mapped folders: Share folders from the host with read or write permissions. Обратите внимание, что при разлиении каталогов хост-компьютеров вредоносное ПО может повлиять на систему или украсть данные. Note that exposing host directories may allow malicious software to affect the system or steal data.
• Команда для логотипа: команда, которая выполняется при выполнении «Песочницы Windows». Logon command: A command that’s executed when Windows Sandbox starts.
• Аудиовходящиеданные: в песочницу совмещаяся с микрофоном ведущего устройства. Audio input: Shares the host’s microphone input into the sandbox.
• Видеовводимыеданные: данные веб-камеры, вводимые хост-камерой, будут передаваться в песочницу. Video input: Shares the host’s webcam input into the sandbox.
• Защищенный клиент: помещает повышенные параметры безопасности в сеансЕ RDP в песочницу. Protected client: Places increased security settings on the RDP session to the sandbox.
• Перенаправление принтеров: принтеры с хоста в «песочницу». Printer redirection: Shares printers from the host into the sandbox.
• Перенаправление буфераобмена : обрезка хост-буфера с песочницой, чтобы текст и файлы можно было в pasted назад и вперед. Clipboard redirection: Shares the host clipboard with the sandbox so that text and files can be pasted back and forth.
• Память в МБ: объем памяти в мегабайтах, который необходимо назначить песочнице. Memory in MB: The amount of memory, in megabytes, to assign to the sandbox.

Создание файла конфигурации Creating a configuration file

Чтобы создать простой файл конфигурации: To create a simple configuration file:

Откройте текстовый редактор или редактор исходных кодов (например, Блокнот, Visual Studio code и т. д.) Open a plain text editor or source code editor (e.g. Notepad, Visual Studio Code, etc.)

Вставьте следующие строки: Insert the following lines:

Добавьте соответствующий текст конфигурации между двумя строками. Add appropriate configuration text between the two lines. Для более подробных сведений см. правильный синтаксис и примеры ниже. For details, see the correct syntax and the examples below.

Сохраните файл с нужным именем, но убедитесь, что его расширение .wsb . Save the file with the desired name, but make sure its filename extension is .wsb . В Блокноте необходимо заключить имя файла и расширение в двойные кавычка, «My config file.wsb» например. In Notepad, you should enclose the filename and the extension inside double quotation marks, e.g. «My config file.wsb» .

Использование файла конфигурации Using a configuration file

Чтобы использовать файл конфигурации, дважды щелкните его, чтобы запустить песочницу Windows в соответствии с ее настройками. To use a configuration file, double-click it to start Windows Sandbox according to its settings. Вы также можете вызвать его с помощью командной строки, как показано ниже: You can also invoke it via the command line as shown here:

Ключевые слова, значения и ограничения Keywords, values, and limits

vGPU vGPU

Включает или отключает общий доступ к GPU. Enables or disables GPU sharing.

Поддерживаемые значения: Supported values:

• Включить: включает поддержку VGPU в песочнице. Enable: Enables vGPU support in the sandbox.
• Отключение: отключает поддержку VGPU в песочнице. Disable: Disables vGPU support in the sandbox. Если установлено это значение, песочница будет использовать программную отрисовку, которая может быть медленнее, чем виртуализированный GPU. If this value is set, the sandbox will use software rendering, which may be slower than virtualized GPU.
• По умолчанию Это значение по умолчанию для поддержки VGPU. Default This is the default value for vGPU support. В настоящее время это означает, что VGPU отключен. Currently this means vGPU is disabled.

Включение виртуализированного GPU потенциально может увеличить поверхность атаки в песочнице. Enabling virtualized GPU can potentially increase the attack surface of the sandbox.

Сеть Networking

Включает или отключает сеть в песочнице. Enables or disables networking in the sandbox. Вы можете отключить сетевой доступ, чтобы уменьшить поверхность атаки, доступную песочнице. You can disable network access to decrease the attack surface exposed by the sandbox.

Поддерживаемые значения: Supported values:

• Отключение: отключает сеть в песочнице. Disable: Disables networking in the sandbox.
• Значениепо умолчанию: это значение по умолчанию для поддержки сети. Default: This is the default value for networking support. Это значение позволяет использовать сеть, создавая виртуальный коммутатор на хост-сайте и подключая к ней песочницу с помощью виртуальной сетевой сетевой сети. This value enables networking by creating a virtual switch on the host and connects the sandbox to it via a virtual NIC.

Включение сети может привести к предоставлению недоверных приложений во внутреннюю сеть. Enabling networking can expose untrusted applications to the internal network.

Mapped folders Mapped folders

Массив папок, каждый из которых представляет расположение на хост-компьютере, которое будет совместно использовать в песочнице по указанному пути. An array of folders, each representing a location on the host machine that will be shared into the sandbox at the specified path. В настоящее время относительные пути не поддерживаются. At this time, relative paths are not supported. Если путь не указан, папка будет соедана с рабочим столом пользователя контейнера. If no path is specified, the folder will be mapped to the container user’s desktop.

HostFolder: указывает папку на хост-компьютере для передачи в песочницу. HostFolder: Specifies the folder on the host machine to share into the sandbox. Обратите внимание, что папка должна уже существовать на хост-сайте, иначе контейнер не запустится. Note that the folder must already exist on the host, or the container will fail to start.

SandboxFolder: указывает место назначения в песочнице, с чем соотнесется папка. SandboxFolder: Specifies the destination in the sandbox to map the folder to. Если папка не существует, она будет создана. If the folder doesn’t exist, it will be created. Если папка песочницы не указана, она будет соедана с рабочим столом контейнера. If no sandbox folder is specified, the folder will be mapped to the container desktop.

ReadOnly: если имеется true, обеспечивает доступ только для чтения к общей папке из контейнера. ReadOnly: If true, enforces read-only access to the shared folder from within the container. Поддерживаемые значения: true / false. Supported values: true/false. Значение по умолчанию : false. Defaults to false.

Файлы и папки, соединая с хоста, могут быть скомпрометированы приложениями в песочнице или потенциально повлиять на хост. Files and folders mapped in from the host can be compromised by apps in the sandbox or potentially affect the host.

Команда для логотипа Logon command

Указывает одну команду, которая будет вызываться автоматически после входа в песочницу. Specifies a single command that will be invoked automatically after the sandbox logs on. Приложения в песочнице запускаются под учетной записью пользователя контейнера. Apps in the sandbox are run under the container user account.

Команда: путь к исполняемого или скрипта внутри контейнера, который будет выполняться после входа. Command: A path to an executable or script inside the container that will be executed after login.

Хотя очень простые команды будут работать (например, запуск исполняемого файла или сценария), в файл скрипта следует поместить более сложные сценарии, включающие несколько этапов. Although very simple commands will work (such as launching an executable or script), more complicated scenarios involving multiple steps should be placed into a script file. Этот файл скрипта может быть соположен с контейнером через общую папку, а затем выполнен с помощью директивы LogonCommand. This script file may be mapped into the container via a shared folder, and then executed via the LogonCommand directive.

Аудиовход Audio input

Включает или отключает ввод звука в песочницу. Enables or disables audio input to the sandbox.

Поддерживаемые значения: Supported values:

• Enable: Enables audio input in the sandbox. Enable: Enables audio input in the sandbox. Если за установлено это значение, песочница сможет принимать от пользователя звуковые данные. If this value is set, the sandbox will be able to receive audio input from the user. Приложения, которые используют микрофон, могут требовать этой возможности. Applications that use a microphone may require this capability.
• Отключение: отключает ввод звука в песочнице. Disable: Disables audio input in the sandbox. Если за установлено это значение, песочница не сможет принимать звуковые данные от пользователя. If this value is set, the sandbox can’t receive audio input from the user. Приложения, которые используют микрофон, могут работать неправильно с этим параметром. Applications that use a microphone may not function properly with this setting.
• Поумолчанию: это значение по умолчанию для поддержки аудиовводимых данных. Default: This is the default value for audio input support. В настоящее время это означает, что аудиовводимый ввод включен. Currently this means audio input is enabled.

Могут возникнуть угрозы безопасности при выводе аудиофайла хоста в контейнер. There may be security implications of exposing host audio input to the container.

Видеовход Video input

Включает или отключает видеовходящие данные в песочнице. Enables or disables video input to the sandbox.

Поддерживаемые значения: Supported values:

• Enable: Enables video input in the sandbox. Enable: Enables video input in the sandbox.
• Отключение: отключает видеовходящие данные в песочнице. Disable: Disables video input in the sandbox. Приложения, которые используют видеовводимый ввод, могут работать неправильно в песочнице. Applications that use video input may not function properly in the sandbox.
• Поумолчанию: это значение по умолчанию для поддержки видеовводимых данных. Default: This is the default value for video input support. В настоящее время это означает, что видеовводимые данные отключены. Currently this means video input is disabled. Приложения, которые используют видеовводимый ввод, могут работать неправильно в песочнице. Applications that use video input may not function properly in the sandbox.

Могут возникнуть угрозы безопасности при размещении видео в контейнере. There may be security implications of exposing host video input to the container.

Защищенный клиент Protected client

Применяет дополнительные параметры безопасности к клиенту удаленного рабочего стола в песочнице, уменьшая его поверхность атаки. Applies additional security settings to the sandbox Remote Desktop client, decreasing its attack surface.

Поддерживаемые значения: Supported values:

• Включить: запускает песочницу Windows в режиме защищенного клиента. Enable: Runs Windows sandbox in Protected Client mode. Если за установлено это значение, песочница запускается с включенными дополнительными мерами безопасности. If this value is set, the sandbox runs with extra security mitigations enabled.
• Отключение: запускает песочницу в стандартном режиме без дополнительных мер безопасности. Disable: Runs the sandbox in standard mode without extra security mitigations.
• Поумолчанию: это значение по умолчанию для режима защищенного клиента. Default: This is the default value for Protected Client mode. В настоящее время это означает, что песочница не работает в режиме защищенного клиента. Currently, this means the sandbox doesn’t run in Protected Client mode.

Этот параметр может ограничить возможность пользователя копировать и вать файлы в песочницу и из нее. This setting may restrict the user’s ability to copy/paste files in and out of the sandbox.

Перенаправление принтера Printer redirection

Включает или отключает общий доступ к принтерам с хоста в песочнице. Enables or disables printer sharing from the host into the sandbox.

Поддерживаемые значения: Supported values:

• Enable: Enables sharing of host printers into the sandbox. Enable: Enables sharing of host printers into the sandbox.
• Отключение: отключает перенаправление принтера в песочнице. Disable: Disables printer redirection in the sandbox. Если за установлено это значение, песочница не сможет просматривать принтеры с хоста. If this value is set, the sandbox can’t view printers from the host.
• Поумолчанию: это значение по умолчанию для поддержки перенаправления принтера. Default: This is the default value for printer redirection support. В настоящее время это означает, что перенаправление принтера отключено. Currently this means printer redirection is disabled.

Перенаправление буфера обмена Clipboard redirection

Включает или отключает совместное использование буфера обмена хоста с песочницой. Enables or disables sharing of the host clipboard with the sandbox.

Поддерживаемые значения: Supported values:

• Отключение: отключает перенаправление буфера обмена в песочнице. Disable: Disables clipboard redirection in the sandbox. Если за установлено это значение, копирование и в paste in and out of the sandbox будет ограничено. If this value is set, copy/paste in and out of the sandbox will be restricted.
• Поумолчанию: это значение по умолчанию для перенаправления буфера обмена. Default: This is the default value for clipboard redirection. В настоящее время копирование и ветвь между хостом и песочницой разрешено по умолчанию. Currently copy/paste between the host and sandbox are permitted under Default.

Память в МБ Memory in MB

Указывает объем памяти, который песочница может использовать в мегабайтах (МБ). Specifies the amount of memory that the sandbox can use in megabytes (MB).

Если указанного значения памяти недостаточно для загрузки песочницы, оно автоматически увеличивается до необходимого минимального значения. If the memory value specified is insufficient to boot a sandbox, it will be automatically increased to the required minimum amount.

Пример 1 Example 1

Следующий файл config можно использовать для легкой проверки загруженных файлов в песочнице. The following config file can be used to easily test downloaded files inside the sandbox. Для этого сеть и VGPU отключены, а песочнице разрешен доступ только для чтения к общей папке скачиваемых скачать. To achieve this, networking and vGPU are disabled, and the sandbox is allowed read-only access to the shared downloads folder. Для удобства команда для начала работы открывает папку загрузки в песочнице. For convenience, the logon command opens the downloads folder inside the sandbox when it’s started.

Downloads.wsb Downloads.wsb

Пример 2 Example 2

Следующий файл конфигурации устанавливает Visual Studio в песочнице, что требует немного более сложной настройки LogonCommand. The following config file installs Visual Studio Code in the sandbox, which requires a slightly more complicated LogonCommand setup.

Две папки соеждаются в песочнице; Первый (SandboxScripts) содержит VSCodeInstall.cmd, который будет устанавливать и запускать Visual Studio Code. Two folders are mapped into the sandbox; the first (SandboxScripts) contains VSCodeInstall.cmd, which will install and run Visual Studio Code. Предполагается, что вторая папка (CodingProjects) содержит файлы проекта, которые разработчик хочет изменить с помощью Visual Studio Code. The second folder (CodingProjects) is assumed to contain project files that the developer wants to modify using Visual Studio Code.

Если сценарий Visual Studio кода уже соподинен с песочницой, logonCommand может ссылаться на него. With the Visual Studio Code installer script already mapped into the sandbox, the LogonCommand can reference it.