Nová funkce Sandbox systému Windows 10 vám umožňuje bezpečně testovat programy a soubory stažené z internetu jejich spuštěním v zabezpečeném kontejneru. Je snadno použitelný, ale jeho nastavení je pohřbeno v textovém konfiguračním souboru.
Table of Contents
Windows Sandbox se snadno používá, pokud jej máte
Tato funkce je součástí aktualizace Windows 10 z května 2019. Jakmile aktualizaci nainstalujete, budete také muset používat edici Professional, Enterprise nebo Education systému Windows 10. Není k dispozici ve Windows 10 Home. Pokud je však ve vašem systému k dispozici, můžete snadno aktivovat funkci Sandbox a poté ji spustit z nabídky Start.
Sandbox se spustí, vytvoří kopii vašeho aktuálního operačního systému Windows, odebere přístup k vašim osobním složkám a poskytne vám čistou plochu Windows s přístupem k internetu. Než Microsoft přidal tento konfigurační soubor, nemohli jste Sandbox vůbec přizpůsobit. Pokud jste nechtěli přístup k internetu, normálně jste jej museli zakázat hned po spuštění. Pokud jste potřebovali přístup k souborům na vašem hostitelském systému, museli jste je zkopírovat a vložit do Sandboxu. A pokud jste chtěli nainstalovat konkrétní programy třetích stran, museli jste je nainstalovat po spuštění Sandboxu.
Protože Windows Sandbox při zavření zcela odstraní svou instanci, museli jste při každém spuštění projít tímto procesem přizpůsobení. Na jednu stranu to znamená bezpečnější systém. Pokud se něco pokazí, zavřete Sandbox a vše se smaže. Na druhou stranu, pokud potřebujete provádět změny pravidelně, nutnost to dělat při každém spuštění je rychle frustrující.
Aby společnost Microsoft tento problém zmírnila, představila funkci konfigurace pro Windows Sandbox. Pomocí souborů XML můžete spustit Windows Sandbox s nastavenými parametry. Omezení pískoviště můžete zpřísnit nebo povolit. Můžete například zakázat připojení k internetu, nakonfigurovat sdílené složky s hostitelskou kopií Windows 10 nebo spustit skript pro instalaci aplikací. Možnosti jsou v prvním vydání funkce Sandbox trochu omezené, ale Microsoft pravděpodobně přidá další v budoucích aktualizacích Windows 10.
Jak nakonfigurovat Windows Sandbox
Vaše kopie systému Windows 10 v sandboxu může mít přístup ke sdílené složce ve vašem hostitelském operačním systému.
Tato příručka předpokládá, že jste již nastavili Sandbox pro obecné použití. Pokud jste to ještě neudělali, musíte to nejprve povolit v dialogovém okně Funkce systému Windows.
Chcete-li začít, budete potřebovat Poznámkový blok nebo svůj oblíbený textový editor – to se nám líbí Poznámkový blok++—a prázdný nový soubor. Vytvoříte soubor XML pro konfiguraci. Zatímco obeznámenost s XML kódovací jazyk je užitečné, není to nutné. Jakmile budete mít soubor na svém místě, uložíte jej s příponou .wsb (předpokládejme Windows Sand Box.) Dvojitým kliknutím na soubor spustíte Sandbox se zadanou konfigurací.
Tak jako vysvětlil Microsoft, máte při konfiguraci Sandboxu na výběr několik možností. Můžete povolit nebo zakázat vGPU (virtualizovaný GPU), zapnout nebo vypnout síť, určit sdílenou složku hostitele, nastavit oprávnění pro čtení/zápis pro tuto složku nebo spustit skript při spuštění.
Pomocí tohoto konfiguračního souboru můžete zakázat virtualizovaný GPU (ve výchozím nastavení je povolen), vypnout síť (ve výchozím nastavení je zapnutá), zadat sdílenou hostitelskou složku (aplikace v izolovaném prostoru nemají ve výchozím nastavení přístup k žádné), nastavit čtení /write oprávnění do této složky a/nebo spusťte skript při spuštění
Nejprve otevřete Poznámkový blok nebo svůj oblíbený textový editor a začněte s novým textovým souborem. Přidejte následující text:
Všechny možnosti, které přidáte, musí být mezi těmito dvěma parametry. Můžete přidat pouze jednu možnost nebo všechny – nemusíte zahrnout všechny. Pokud volbu neurčíte, použije se výchozí.
Jak zakázat virtuální GPU nebo síť
Jak zdůrazňuje Microsoft, aktivace virtuálního GPU nebo sítě zvyšuje cesty, které může škodlivý software použít k úniku z izolovaného prostoru. Pokud tedy testujete něco, čeho se obzvláště obáváte, možná by bylo rozumné je zakázat.
Chcete-li zakázat virtuální GPU, které je ve výchozím nastavení povoleno, přidejte do konfiguračního souboru následující text.
Disable
Chcete-li zakázat přístup k síti, který je ve výchozím nastavení povolen, přidejte následující text.
Disable
Jak namapovat složku
Chcete-li namapovat složku, budete muset přesně určit, jakou složku chcete sdílet, a poté určit, zda má být složka pouze pro čtení nebo ne.
Mapování složky vypadá takto:
C:UsersPublicDownloads true
HostFolder je místo, kde uvádíte konkrétní složku, kterou chcete sdílet. Ve výše uvedeném příkladu je sdílená složka Public Download nalezená v systémech Windows. ReadOnly nastavuje, zda Sandbox může zapisovat do složky nebo ne. Nastavte ji na hodnotu true, aby byla složka pouze pro čtení, nebo na hodnotu false, aby do ní bylo možné zapisovat.
Jen si uvědomte, že propojením složky mezi hostitelem a Windows Sandbox v podstatě představujete riziko pro svůj systém. Poskytnutí přístupu pro zápis Sandbox toto riziko zvyšuje. Pokud testujete něco, co si myslíte, že by mohlo být škodlivé, neměli byste tuto možnost používat.
Jak spustit skript při spuštění
Nakonec můžete spouštět vlastní vytvořené skripty nebo základní příkazy. Můžete například přinutit Sandbox, aby po spuštění otevřel namapovanou složku. Vytvoření tohoto souboru by vypadalo takto:
C:UsersPublicDownloads true explorer.exe C:usersWDAGUtilityAccountDesktopDownloads
WDAGUtilityAccount je výchozí uživatel pro Windows Sandbox, takže na něj budete vždy odkazovat při otevírání složek nebo souborů jako součást příkazu.
Bohužel se zdá, že v sestavení aktualizace systému Windows 10 z května 2019, které je v blízké době vydání, možnost LogonCommand nefunguje tak, jak bylo zamýšleno. Neudělalo to vůbec nic, ani když jsme použili příklad v dokumentaci Microsoftu. Microsoft pravděpodobně tuto chybu brzy opraví.
Jak spustit Sandbox s vašimi nastaveními
Až budete hotovi, uložte soubor a přidělte mu příponu .wsb. Pokud jej například váš textový editor uloží jako Sandbox.txt, uložte jej jako Sandbox.wsb. Chcete-li spustit sandbox systému Windows s vašimi nastaveními, poklepejte na soubor .wsb. Můžete jej umístit na plochu nebo k němu vytvořit zástupce v nabídce Start.
Pro vaše pohodlí si můžete stáhnout tento soubor DisabledNetwork, který vám ušetří několik kroků. Soubor má příponu txt, přejmenujte jej na příponu .wsb a jste připraveni spustit Windows Sandbox.