如何配置 Windows 沙盒

作者
Tweet
Share
Share
Pin
0 Shares

Windows 10 的全新沙盒功能,为用户提供了一个安全的环境来测试从网络下载的程序和文件。这项功能通过在一个隔离的容器中运行这些内容,有效地降低了潜在的风险。虽然其使用简单直观,但沙盒的配置却隐藏在基于文本的配置文件中。

Windows 沙盒的简易使用体验

这项功能是 Windows 10 2019 年 5 月更新的一部分。更新安装完成后,您还需要拥有 Windows 10 的专业版、企业版或教育版才能使用它。Windows 10 家庭版不提供此功能。如果您的系统支持该功能,您只需轻松激活沙盒,然后从“开始”菜单启动它。

沙盒启动时,会复制您当前的 Windows 操作系统,并限制对您个人文件夹的访问,同时为您提供一个可以访问互联网的干净 Windows 桌面。在微软推出配置文件之前,用户无法对沙盒进行自定义设置。如果您不需要访问互联网,通常必须在启动后立即禁用它。若需访问主机系统上的文件,则必须将其复制并粘贴到沙盒中。此外,如果您希望安装特定的第三方程序,则必须在每次启动沙盒后重新安装。

由于 Windows 沙盒在关闭时会完全删除其运行实例,每次启动都需要重复自定义过程。虽然这种机制增强了安全性,确保问题发生时可以通过关闭沙盒来彻底清除,但对于需要频繁进行特定更改的用户而言,每次都重复相同的步骤可能会令人感到繁琐。

为了解决这个问题,微软推出了 Windows 沙盒的配置功能。用户可以通过 XML 文件来配置 Windows 沙盒的启动参数。您可以根据需要收紧或放松沙盒的限制。例如,您可以禁用互联网连接、配置共享文件夹以便访问 Windows 10 主机上的文件副本,或者通过运行脚本来自动安装应用程序。虽然首个版本的沙盒功能提供的选项相对有限,但微软有望在未来的 Windows 10 更新中添加更多功能。

配置 Windows 沙盒的方法

本指南假设您已经完成了沙盒的基本设置。如果尚未完成,您需要首先通过 Windows 功能对话框启用它。

首先,您需要一个文本编辑器,例如记事本,或者您常用的任何文本编辑器。我们推荐使用Notepad++。您还需要创建一个新的空白文件。您将使用这个文件来创建 XML 配置。虽然对 XML 编码语言
有一定的了解会有所帮助,但并非必要。文件准备就绪后,您需要将其保存为 .wsb 扩展名(wsb 代表 Windows Sandbox)。双击该文件将启动带有您指定配置的沙盒。

正如 微软解释,配置沙盒时有多种选项可供选择。您可以启用或禁用 vGPU(虚拟化 GPU)、打开或关闭网络连接、指定要共享的主机文件夹、设置该文件夹的读/写权限,以及在启动时运行脚本。

通过此配置文件,您可以禁用虚拟化 GPU(默认启用)、关闭网络连接(默认开启)、指定共享主机文件夹(默认情况下沙盒应用程序无权访问)、设置该文件夹的读取/写入权限,或者在启动时运行脚本。

首先,打开您的文本编辑器并创建一个新的文本文件,然后输入以下文本:

您要添加的所有配置选项都必须位于这两个参数之间。您可以选择添加一个或多个选项,不必包含每个可用选项。如果您没有指定选项,将使用默认设置。

如何禁用虚拟 GPU 或网络连接

微软指出,启用虚拟 GPU 或网络连接可能会增加恶意软件突破沙盒的途径。因此,如果您正在测试可能存在安全风险的内容,禁用这些功能可能是一个明智的选择。

要禁用默认启用的虚拟 GPU,请将以下代码添加到您的配置文件中: 

Disable

要禁用默认启用的网络访问,请添加以下代码:

Disable

如何映射文件夹

要映射文件夹,您需要指定要共享的文件夹路径,并设置该文件夹的读写权限。

映射文件夹的配置如下所示:

C:UsersPublicDownloadstrue

HostFolder 指定了要共享的特定文件夹路径。在上述示例中,共享的是 Windows 系统上的 Public Download 文件夹。ReadOnly 参数用于设置沙盒是否可以写入该文件夹。设置为 true 表示只读,设置为 false 表示可写。

请注意,通过链接主机和 Windows 沙盒之间的文件夹,您实际上是在给系统带来风险。赋予沙盒写入权限会增加这种风险。因此,如果您正在测试可能存在恶意行为的内容,请谨慎使用此选项。

如何在启动时运行脚本

最后,您还可以运行自定义创建的脚本或基本命令。例如,您可以强制沙盒在启动时打开映射的文件夹。创建配置文件的代码如下所示: 

C:UsersPublicDownloadstrueexplorer.exe C:usersWDAGUtilityAccountDesktopDownloads

WDAGUtilityAccount 是 Windows 沙盒的默认用户,因此在您将文件夹或文件作为命令的一部分打开时,您将始终引用此用户。

然而,在即将发布的 Windows 10 2019 年 5 月更新版本中,LogonCommand 选项似乎没有按预期工作。即使我们使用了微软文档中的示例,该选项也无法生效。微软可能会在后续更新中修复此问题。

如何使用配置启动沙盒

完成配置后,保存文件并将其命名为 .wsb 文件扩展名。例如,如果您的文本编辑器将其保存为 Sandbox.txt,则将其重命名为 Sandbox.wsb。要使用您的自定义设置启动 Windows 沙盒,请双击 .wsb 文件。您可以将其放置在桌面上,或者在“开始”菜单中创建快捷方式。

为了方便起见,您可以下载此 DisabledNetwork 文件来节省一些步骤。此文件以 txt 扩展名保存,请将其重命名为 .wsb 文件扩展名,您就可以直接启动 Windows 沙盒。