Nová funkce systému Windows 10, nazývaná Sandbox, představuje bezpečný způsob, jak otestovat programy a soubory stažené z internetu. Funguje tak, že je spouští v izolovaném a chráněném prostředí. Její používání je poměrně intuitivní, nicméně konfigurace vyžaduje úpravu textového konfiguračního souboru.
Snadné použití Windows Sandbox, pokud je k dispozici
Tato funkce je součástí aktualizace Windows 10 z května 2019. Pro její používání je nutné mít edici Professional, Enterprise nebo Education. Není k dispozici v edici Home. Pokud však váš systém funkci Sandbox podporuje, můžete ji jednoduše aktivovat a spouštět z nabídky Start.
Po spuštění, Sandbox vytvoří kopii vašeho aktuálního systému Windows, odřízne přístup k vašim osobním souborům a poskytne čisté pracovní prostředí s připojením k internetu. Dříve, před zavedením konfiguračního souboru, nebyla možnost Sandbox nijak přizpůsobit. Uživatelé, kteří například nechtěli připojení k internetu, ho museli ručně zakázat po spuštění. Pokud byl potřeba přístup k souborům z hostitelského systému, musely být kopírovány do Sandboxu. Stejně tak instalace programů třetích stran musela být provedena až po spuštění Sandboxu.
Vzhledem k tomu, že Windows Sandbox při ukončení smaže veškerá data, musely být tyto úpravy prováděny při každém spuštění. Na jednu stranu je to záruka větší bezpečnosti. Pokud se něco pokazí, stačí Sandbox zavřít a vše se vymaže. Na druhou stranu, pokud potřebujete provádět stejné změny opakovaně, je nutnost vše nastavovat při každém spuštění poněkud frustrující.
Microsoft proto přidal funkci konfigurace pomocí souborů XML, která umožňuje spouštět Windows Sandbox s předdefinovanými parametry. Uživatelé mohou omezit nebo povolit různé funkce, například zakázat přístup k internetu, nastavit sdílené složky s hostitelským systémem, nebo spustit skript pro instalaci aplikací. Možnosti konfigurace jsou v první verzi sice omezené, ale je pravděpodobné, že Microsoft přidá další v budoucích aktualizacích systému Windows 10.
Konfigurace Windows Sandbox
Vaše virtuální kopie Windows 10, spuštěná v Sandboxu, může získat přístup ke sdíleným složkám z vašeho hlavního operačního systému.
Následující postup předpokládá, že už máte Sandbox aktivovaný. Pokud ne, je nutné ho nejprve povolit v dialogovém okně Funkce systému Windows.
Pro začátek budete potřebovat Poznámkový blok nebo jiný textový editor. Doporučujeme například Notepad++. Vytvořte nový prázdný soubor. V tomto souboru vytvoříte XML konfiguraci. I když je znalost XML výhodou, není to nezbytné. Uložený soubor pak uložte s příponou .wsb (z anglického Windows Sand Box). Spuštění Sandboxu s definovanou konfigurací docílíte dvojitým kliknutím na tento soubor.
Jak vysvětlil Microsoft, při konfiguraci Sandboxu máte několik možností. Můžete povolit nebo zakázat virtualizovanou grafickou kartu (vGPU), zapnout nebo vypnout síť, definovat sdílenou složku z hostitelského systému, nastavit oprávnění pro čtení/zápis k této složce, nebo spustit skript po startu.
Pomocí konfiguračního souboru tedy můžete zakázat virtualizovanou grafickou kartu (ve výchozím stavu je povolena), vypnout síť (ve výchozím stavu je zapnutá), určit sdílenou složku z hostitelského systému (aplikace v Sandboxu nemají ve výchozím stavu přístup k žádné), nastavit práva pro čtení/zápis k této složce a/nebo spustit skript po startu.
Nejprve otevřete Poznámkový blok nebo jiný textový editor a vytvořte nový soubor. Vložte do něj tento text:
Všechny volby, které přidáte, musí být vloženy mezi tyto dva parametry. Můžete přidat pouze jednu volbu nebo i všechny. Pokud volbu neurčíte, použije se výchozí nastavení.
Pro zakázání přístupu k síti, který je ve výchozím stavu povolen, vložte následující text:
Disable
Mapování složky
Pro mapování složky je nutné přesně definovat, kterou složku chcete sdílet, a zda bude mít Sandbox k této složce přístup pouze pro čtení.
Zápis pro mapování složky vypadá takto:
C:UsersPublicDownloads true
V HostFolder se uvádí cesta ke složce, kterou chcete sdílet. V příkladu je to složka Public Download. Hodnotou ReadOnly definujete, zda může Sandbox do složky zapisovat (false) nebo pouze číst (true).
Pamatujte na to, že sdílení složek mezi hostitelským systémem a Windows Sandbox představuje potenciální bezpečnostní riziko. Poskytnutí přístupu pro zápis toto riziko ještě zvyšuje. Pokud testujete software, o kterém se domníváte, že by mohl být nebezpečný, tuto možnost nepoužívejte.
Spuštění skriptu při startu
Nakonec máte možnost spouštět vlastní skripty nebo základní příkazy. Můžete například automaticky otevřít namapovanou složku po spuštění Sandboxu. Vytvoření takového souboru by vypadalo takto:
C:UsersPublicDownloads true explorer.exe C:usersWDAGUtilityAccountDesktopDownloads
WDAGUtilityAccount je výchozí uživatelský účet pro Windows Sandbox, proto je nutné na něj odkazovat při otevírání složek nebo souborů pomocí příkazu.
Bohužel se zdá, že v současné verzi systému Windows 10 z května 2019 funkce LogonCommand nefunguje tak, jak bylo zamýšleno. Ani v případě použití příkladu z dokumentace Microsoftu, funkce se nespustí. Je pravděpodobné, že Microsoft tuto chybu v blízké době opraví.
Spuštění Sandboxu s vašimi nastaveními
Po dokončení úprav uložte soubor s příponou .wsb. Pokud váš editor ukládá soubor jako například Sandbox.txt, přejmenujte ho na Sandbox.wsb. Sandbox se zadanými parametry spustíte dvojitým kliknutím na tento soubor. Soubor můžete umístit na plochu nebo k němu vytvořit zástupce v nabídce Start.
Pro vaše pohodlí si můžete stáhnout tento soubor DisabledNetwork, který vám ušetří několik kroků. Soubor má příponu .txt, stačí ho přejmenovat na .wsb a je připravený pro spuštění Windows Sandboxu.