Песочница Windows Windows Sandbox

В «песочнице» Windows обеспечивается легкая среда для безопасного запуска приложений в изоляции. Windows Sandbox provides a lightweight desktop environment to safely run applications in isolation. Программное обеспечение, установленное в среде песочницы Windows, остается «песочницой» и выполняется отдельно от хост-машины. Software installed inside the Windows Sandbox environment remains «sandboxed» and runs separately from the host machine.

Песочница временная. A sandbox is temporary. Когда он закрыт, все программное обеспечение и файлы и состояние удаляются. When it’s closed, all the software and files and the state are deleted. Каждый раз при открываемом приложении вы получаете совершенно новый экземпляр песочницы. You get a brand-new instance of the sandbox every time you open the application.

Программное обеспечение и приложения, установленные на хост, не доступны напрямую в песочнице. Software and applications installed on the host aren’t directly available in the sandbox. Если вам нужны конкретные приложения, доступные в среде Песочницы Windows, они должны быть явно установлены в среде. If you need specific applications available inside the Windows Sandbox environment, they must be explicitly installed within the environment.

В песочнице Windows имеются следующие свойства: Windows Sandbox has the following properties:

• Часть Windows. Все необходимое для этой функции включено в Windows 10 Pro и Enterprise. Part of Windows: Everything required for this feature is included in Windows 10 Pro and Enterprise. Нет необходимости скачивать VHD. There’s no need to download a VHD.
• Первозданныйвид. Каждый раз, когда windows Sandbox запускается, это так же чисто, как совершенно новая установка Windows. Pristine: Every time Windows Sandbox runs, it’s as clean as a brand-new installation of Windows.
• Одноразовая. На устройстве ничего не сохраняется. Disposable: Nothing persists on the device. Все отбрасывается, когда пользователь закрывает приложение. Everything is discarded when the user closes the application.
• Secure: Использует аппаратную виртуализацию для изоляции ядра. Secure: Uses hardware-based virtualization for kernel isolation. Он использует гипервизор Microsoft для запуска отдельного ядра, которое изолирует «песочницу» Windows от хоста. It relies on the Microsoft hypervisor to run a separate kernel that isolates Windows Sandbox from the host.
• Эффективно: Использует интегрированный планиратор ядра, интеллектуальное управление памятью и виртуальный GPU. Efficient: Uses the integrated kernel scheduler, smart memory management, and virtual GPU.

В следующем видео представлен обзор «Песочницы» Windows. The following video provides an overview of Windows Sandbox.

Предварительные условия Prerequisites

• Windows 10 Pro, Enterprise или Education build 18305 или более поздней версии (Windows Sandbox в настоящее время не поддерживается вдомашних skUs) Windows 10 Pro, Enterprise or Education build 18305 or later (Windows Sandbox is currently not supported on Home SKUs)
• Архитектура AMD64 AMD64 architecture
• Возможности виртуализации, включенные в BIOS Virtualization capabilities enabled in BIOS
• Не менее 4 ГБ оперативной памяти (рекомендуется 8 ГБ) At least 4 GB of RAM (8 GB recommended)
• Не менее 1 ГБ свободного дискового пространства (рекомендуется SSD) At least 1 GB of free disk space (SSD recommended)
• Не менее двух ядер ЦП (рекомендуется использовать четыре ядра с гипертекторами) At least two CPU cores (four cores with hyperthreading recommended)

Установка Installation

Убедитесь, что ваша машина использует Windows 10 Pro или Enterprise, сборка версии 18305 или более поздней версии. Ensure that your machine is using Windows 10 Pro or Enterprise, build version 18305 or later.

Включить виртуализацию на компьютере. Enable virtualization on the machine.

Если вы используете физический компьютер, убедитесь, что возможности виртуализации включены в BIOS. If you’re using a physical machine, make sure virtualization capabilities are enabled in the BIOS.

Если вы используете виртуальную машину, запустите следующую команду PowerShell, чтобы включить вложенную виртуализацию: If you’re using a virtual machine, run the following PowerShell command to enable nested virtualization:

Используйте планку поиска на панели задач и введите функции Windows включите и отключите, чтобы получить доступ к средству Необязательных функций Windows. Use the search bar on the task bar and type Turn Windows Features on and off to access the Windows Optional Features tool. Выберите «Песочницу Windows», а затем ОК. Select Windows Sandbox and then OK. Перезапустите компьютер, если вам будет предложено. Restart the computer if you’re prompted.

Если параметр «Песочница Windows» недоступен, компьютер не соответствует требованиям для запуска «Песочницы» Windows. If the Windows Sandbox option is unavailable, your computer doesn’t meet the requirements to run Windows Sandbox. Если вы считаете это неправильным, просмотрите список обязательных условий, а также шаги 1 и 2. If you think this is incorrect, review the prerequisite list as well as steps 1 and 2.

Чтобы включить песочницу с помощью PowerShell, откройте PowerShell в качестве администратора и запустите Enable-WindowsOptionalFeature-FeatureName «Containers-DisposableClientVM» -All-Online. To enable Sandbox using PowerShell, open PowerShell as Administrator and run Enable-WindowsOptionalFeature -FeatureName «Containers-DisposableClientVM» -All -Online.

Найдите и выберите «Песочницу Windows» в меню «Пуск», чтобы запустить ее впервые. Locate and select Windows Sandbox on the Start menu to run it for the first time.

Использование Usage

Скопируйте исполняемый файл (и все другие файлы, необходимые для запуска приложения) из хоста и вклейте их в окно «Песочница Windows». Copy an executable file (and any other files needed to run the application) from the host and paste them into the Windows Sandbox window.

Запустите исполняемый файл или установщик в песочнице. Run the executable file or installer inside the sandbox.

Когда вы закончите экспериментировать, закрой песочницу. When you’re finished experimenting, close the sandbox. В диалоговом окне будет огонек, что все содержимое песочницы будет удалено и удалено навсегда. A dialog box will state that all sandbox content will be discarded and permanently deleted. Выберите Ок. Select Ok.

Подтвердите, что на вашем хост-компьютере не представлены какие-либо изменения, сделанные в «песочнице» Windows. Confirm that your host machine doesn’t exhibit any of the modifications that you made in Windows Sandbox.

Конфигурация песочницы Windows Windows Sandbox configuration

Песочница Windows поддерживает простые файлы конфигурации, которые предоставляют минимальный набор параметров настройки для песочницы. Windows Sandbox supports simple configuration files, which provide a minimal set of customization parameters for Sandbox. Эту функцию можно использовать с Windows 10 сборки 18342 или более поздней версии. This feature can be used with Windows 10 build 18342 or later. Файлы конфигурации песочницы Windows форматируются в формате XML и связываются с песочницами через .wsb расширение файла. Windows Sandbox configuration files are formatted as XML and are associated with Sandbox via the .wsb file extension.

Файл конфигурации позволяет пользователю управлять следующими аспектами песочницы Windows: A configuration file enables the user to control the following aspects of Windows Sandbox:

• vGPU (виртуализированный GPU): включить или отключить виртуализированный GPU. vGPU (virtualized GPU): Enable or disable the virtualized GPU. Если vGPU отключен, песочница будет использовать платформу WINDOWS Advanced Rasterization Platform (WARP). If vGPU is disabled, the sandbox will use Windows Advanced Rasterization Platform (WARP).
• Сеть: включаем или отключаем сетевой доступ в песочнице. Networking: Enable or disable network access within the sandbox.
• Mapped folders: Share folders from the host with read or write permissions. Mapped folders: Share folders from the host with read or write permissions. Обратите внимание, что при разлиении каталогов хост-компьютеров вредоносное ПО может повлиять на систему или украсть данные. Note that exposing host directories may allow malicious software to affect the system or steal data.
• Команда для логотипа: команда, которая выполняется при выполнении «Песочницы Windows». Logon command: A command that’s executed when Windows Sandbox starts.
• Аудиовходящиеданные: в песочницу совмещаяся с микрофоном ведущего устройства. Audio input: Shares the host’s microphone input into the sandbox.
• Видеовводимыеданные: данные веб-камеры, вводимые хост-камерой, будут передаваться в песочницу. Video input: Shares the host’s webcam input into the sandbox.
• Защищенный клиент: помещает повышенные параметры безопасности в сеансЕ RDP в песочницу. Protected client: Places increased security settings on the RDP session to the sandbox.
• Перенаправление принтеров: принтеры с хоста в «песочницу». Printer redirection: Shares printers from the host into the sandbox.
• Перенаправление буфераобмена : обрезка хост-буфера с песочницой, чтобы текст и файлы можно было в pasted назад и вперед. Clipboard redirection: Shares the host clipboard with the sandbox so that text and files can be pasted back and forth.
• Память в МБ: объем памяти в мегабайтах, который необходимо назначить песочнице. Memory in MB: The amount of memory, in megabytes, to assign to the sandbox.

Создание файла конфигурации Creating a configuration file

Чтобы создать простой файл конфигурации: To create a simple configuration file:

Откройте текстовый редактор или редактор исходных кодов (например, Блокнот, Visual Studio code и т. д.) Open a plain text editor or source code editor (e.g. Notepad, Visual Studio Code, etc.)

Вставьте следующие строки: Insert the following lines:

Добавьте соответствующий текст конфигурации между двумя строками. Add appropriate configuration text between the two lines. Для более подробных сведений см. правильный синтаксис и примеры ниже. For details, see the correct syntax and the examples below.

Сохраните файл с нужным именем, но убедитесь, что его расширение .wsb . Save the file with the desired name, but make sure its filename extension is .wsb . В Блокноте необходимо заключить имя файла и расширение в двойные кавычка, «My config file.wsb» например. In Notepad, you should enclose the filename and the extension inside double quotation marks, e.g. «My config file.wsb» .

Использование файла конфигурации Using a configuration file

Чтобы использовать файл конфигурации, дважды щелкните его, чтобы запустить песочницу Windows в соответствии с ее настройками. To use a configuration file, double-click it to start Windows Sandbox according to its settings. Вы также можете вызвать его с помощью командной строки, как показано ниже: You can also invoke it via the command line as shown here:

Ключевые слова, значения и ограничения Keywords, values, and limits

vGPU vGPU

Включает или отключает общий доступ к GPU. Enables or disables GPU sharing.

Поддерживаемые значения: Supported values:

• Включить: включает поддержку VGPU в песочнице. Enable: Enables vGPU support in the sandbox.
• Отключение: отключает поддержку VGPU в песочнице. Disable: Disables vGPU support in the sandbox. Если установлено это значение, песочница будет использовать программную отрисовку, которая может быть медленнее, чем виртуализированный GPU. If this value is set, the sandbox will use software rendering, which may be slower than virtualized GPU.
• По умолчанию Это значение по умолчанию для поддержки VGPU. Default This is the default value for vGPU support. В настоящее время это означает, что VGPU отключен. Currently this means vGPU is disabled.

Включение виртуализированного GPU потенциально может увеличить поверхность атаки в песочнице. Enabling virtualized GPU can potentially increase the attack surface of the sandbox.

Сеть Networking

Включает или отключает сеть в песочнице. Enables or disables networking in the sandbox. Вы можете отключить сетевой доступ, чтобы уменьшить поверхность атаки, доступную песочнице. You can disable network access to decrease the attack surface exposed by the sandbox.

Поддерживаемые значения: Supported values:

• Отключение: отключает сеть в песочнице. Disable: Disables networking in the sandbox.
• Значениепо умолчанию: это значение по умолчанию для поддержки сети. Default: This is the default value for networking support. Это значение позволяет использовать сеть, создавая виртуальный коммутатор на хост-сайте и подключая к ней песочницу с помощью виртуальной сетевой сетевой сети. This value enables networking by creating a virtual switch on the host and connects the sandbox to it via a virtual NIC.

Включение сети может привести к предоставлению недоверных приложений во внутреннюю сеть. Enabling networking can expose untrusted applications to the internal network.

Mapped folders Mapped folders

Массив папок, каждый из которых представляет расположение на хост-компьютере, которое будет совместно использовать в песочнице по указанному пути. An array of folders, each representing a location on the host machine that will be shared into the sandbox at the specified path. В настоящее время относительные пути не поддерживаются. At this time, relative paths are not supported. Если путь не указан, папка будет соедана с рабочим столом пользователя контейнера. If no path is specified, the folder will be mapped to the container user’s desktop.

HostFolder: указывает папку на хост-компьютере для передачи в песочницу. HostFolder: Specifies the folder on the host machine to share into the sandbox. Обратите внимание, что папка должна уже существовать на хост-сайте, иначе контейнер не запустится. Note that the folder must already exist on the host, or the container will fail to start.

SandboxFolder: указывает место назначения в песочнице, с чем соотнесется папка. SandboxFolder: Specifies the destination in the sandbox to map the folder to. Если папка не существует, она будет создана. If the folder doesn’t exist, it will be created. Если папка песочницы не указана, она будет соедана с рабочим столом контейнера. If no sandbox folder is specified, the folder will be mapped to the container desktop.

ReadOnly: если имеется true, обеспечивает доступ только для чтения к общей папке из контейнера. ReadOnly: If true, enforces read-only access to the shared folder from within the container. Поддерживаемые значения: true / false. Supported values: true/false. Значение по умолчанию : false. Defaults to false.

Файлы и папки, соединая с хоста, могут быть скомпрометированы приложениями в песочнице или потенциально повлиять на хост. Files and folders mapped in from the host can be compromised by apps in the sandbox or potentially affect the host.

Команда для логотипа Logon command

Указывает одну команду, которая будет вызываться автоматически после входа в песочницу. Specifies a single command that will be invoked automatically after the sandbox logs on. Приложения в песочнице запускаются под учетной записью пользователя контейнера. Apps in the sandbox are run under the container user account.

Команда: путь к исполняемого или скрипта внутри контейнера, который будет выполняться после входа. Command: A path to an executable or script inside the container that will be executed after login.

Хотя очень простые команды будут работать (например, запуск исполняемого файла или сценария), в файл скрипта следует поместить более сложные сценарии, включающие несколько этапов. Although very simple commands will work (such as launching an executable or script), more complicated scenarios involving multiple steps should be placed into a script file. Этот файл скрипта может быть соположен с контейнером через общую папку, а затем выполнен с помощью директивы LogonCommand. This script file may be mapped into the container via a shared folder, and then executed via the LogonCommand directive.

Аудиовход Audio input

Включает или отключает ввод звука в песочницу. Enables or disables audio input to the sandbox.

Поддерживаемые значения: Supported values:

• Enable: Enables audio input in the sandbox. Enable: Enables audio input in the sandbox. Если за установлено это значение, песочница сможет принимать от пользователя звуковые данные. If this value is set, the sandbox will be able to receive audio input from the user. Приложения, которые используют микрофон, могут требовать этой возможности. Applications that use a microphone may require this capability.
• Отключение: отключает ввод звука в песочнице. Disable: Disables audio input in the sandbox. Если за установлено это значение, песочница не сможет принимать звуковые данные от пользователя. If this value is set, the sandbox can’t receive audio input from the user. Приложения, которые используют микрофон, могут работать неправильно с этим параметром. Applications that use a microphone may not function properly with this setting.
• Поумолчанию: это значение по умолчанию для поддержки аудиовводимых данных. Default: This is the default value for audio input support. В настоящее время это означает, что аудиовводимый ввод включен. Currently this means audio input is enabled.

Могут возникнуть угрозы безопасности при выводе аудиофайла хоста в контейнер. There may be security implications of exposing host audio input to the container.

Видеовход Video input

Включает или отключает видеовходящие данные в песочнице. Enables or disables video input to the sandbox.

Поддерживаемые значения: Supported values:

• Enable: Enables video input in the sandbox. Enable: Enables video input in the sandbox.
• Отключение: отключает видеовходящие данные в песочнице. Disable: Disables video input in the sandbox. Приложения, которые используют видеовводимый ввод, могут работать неправильно в песочнице. Applications that use video input may not function properly in the sandbox.
• Поумолчанию: это значение по умолчанию для поддержки видеовводимых данных. Default: This is the default value for video input support. В настоящее время это означает, что видеовводимые данные отключены. Currently this means video input is disabled. Приложения, которые используют видеовводимый ввод, могут работать неправильно в песочнице. Applications that use video input may not function properly in the sandbox.

Могут возникнуть угрозы безопасности при размещении видео в контейнере. There may be security implications of exposing host video input to the container.

Защищенный клиент Protected client

Применяет дополнительные параметры безопасности к клиенту удаленного рабочего стола в песочнице, уменьшая его поверхность атаки. Applies additional security settings to the sandbox Remote Desktop client, decreasing its attack surface.

Поддерживаемые значения: Supported values:

• Включить: запускает песочницу Windows в режиме защищенного клиента. Enable: Runs Windows sandbox in Protected Client mode. Если за установлено это значение, песочница запускается с включенными дополнительными мерами безопасности. If this value is set, the sandbox runs with extra security mitigations enabled.
• Отключение: запускает песочницу в стандартном режиме без дополнительных мер безопасности. Disable: Runs the sandbox in standard mode without extra security mitigations.
• Поумолчанию: это значение по умолчанию для режима защищенного клиента. Default: This is the default value for Protected Client mode. В настоящее время это означает, что песочница не работает в режиме защищенного клиента. Currently, this means the sandbox doesn’t run in Protected Client mode.

Этот параметр может ограничить возможность пользователя копировать и вать файлы в песочницу и из нее. This setting may restrict the user’s ability to copy/paste files in and out of the sandbox.

Перенаправление принтера Printer redirection

Включает или отключает общий доступ к принтерам с хоста в песочнице. Enables or disables printer sharing from the host into the sandbox.

Поддерживаемые значения: Supported values:

• Enable: Enables sharing of host printers into the sandbox. Enable: Enables sharing of host printers into the sandbox.
• Отключение: отключает перенаправление принтера в песочнице. Disable: Disables printer redirection in the sandbox. Если за установлено это значение, песочница не сможет просматривать принтеры с хоста. If this value is set, the sandbox can’t view printers from the host.
• Поумолчанию: это значение по умолчанию для поддержки перенаправления принтера. Default: This is the default value for printer redirection support. В настоящее время это означает, что перенаправление принтера отключено. Currently this means printer redirection is disabled.

Перенаправление буфера обмена Clipboard redirection

Включает или отключает совместное использование буфера обмена хоста с песочницой. Enables or disables sharing of the host clipboard with the sandbox.

Поддерживаемые значения: Supported values:

• Отключение: отключает перенаправление буфера обмена в песочнице. Disable: Disables clipboard redirection in the sandbox. Если за установлено это значение, копирование и в paste in and out of the sandbox будет ограничено. If this value is set, copy/paste in and out of the sandbox will be restricted.
• Поумолчанию: это значение по умолчанию для перенаправления буфера обмена. Default: This is the default value for clipboard redirection. В настоящее время копирование и ветвь между хостом и песочницой разрешено по умолчанию. Currently copy/paste between the host and sandbox are permitted under Default.

Память в МБ Memory in MB

Указывает объем памяти, который песочница может использовать в мегабайтах (МБ). Specifies the amount of memory that the sandbox can use in megabytes (MB).

Если указанного значения памяти недостаточно для загрузки песочницы, оно автоматически увеличивается до необходимого минимального значения. If the memory value specified is insufficient to boot a sandbox, it will be automatically increased to the required minimum amount.

Пример 1 Example 1

Следующий файл config можно использовать для легкой проверки загруженных файлов в песочнице. The following config file can be used to easily test downloaded files inside the sandbox. Для этого сеть и VGPU отключены, а песочнице разрешен доступ только для чтения к общей папке скачиваемых скачать. To achieve this, networking and vGPU are disabled, and the sandbox is allowed read-only access to the shared downloads folder. Для удобства команда для начала работы открывает папку загрузки в песочнице. For convenience, the logon command opens the downloads folder inside the sandbox when it’s started.

Downloads.wsb Downloads.wsb

Пример 2 Example 2

Следующий файл конфигурации устанавливает Visual Studio в песочнице, что требует немного более сложной настройки LogonCommand. The following config file installs Visual Studio Code in the sandbox, which requires a slightly more complicated LogonCommand setup.

Две папки соеждаются в песочнице; Первый (SandboxScripts) содержит VSCodeInstall.cmd, который будет устанавливать и запускать Visual Studio Code. Two folders are mapped into the sandbox; the first (SandboxScripts) contains VSCodeInstall.cmd, which will install and run Visual Studio Code. Предполагается, что вторая папка (CodingProjects) содержит файлы проекта, которые разработчик хочет изменить с помощью Visual Studio Code. The second folder (CodingProjects) is assumed to contain project files that the developer wants to modify using Visual Studio Code.

Если сценарий Visual Studio кода уже соподинен с песочницой, logonCommand может ссылаться на него. With the Visual Studio Code installer script already mapped into the sandbox, the LogonCommand can reference it.