Met de nieuwe Sandbox-functie van Windows 10 kunt u veilig programma’s en bestanden testen die van internet zijn gedownload door ze in een beveiligde container uit te voeren. Het is gemakkelijk te gebruiken, maar de instellingen zijn begraven in een op tekst gebaseerd configuratiebestand.
Windows Sandbox is gemakkelijk te gebruiken als je het hebt
Deze functie maakt deel uit van de update van mei 2019 van Windows 10. Nadat je de update hebt geïnstalleerd, moet je ook de Professional-, Enterprise- of Education-edities van Windows 10 gebruiken. Deze is niet beschikbaar op Windows 10 Home. Maar als het beschikbaar is op uw systeem, kunt u eenvoudig de Sandbox-functie activeren en vervolgens starten vanuit het menu Start.
VERWANT: De nieuwe sandbox van Windows 10 gebruiken (om apps veilig te testen)
Sandbox wordt gestart, maakt een kopie van uw huidige Windows-besturingssysteem, verwijdert de toegang tot uw persoonlijke mappen en geeft u een schoon Windows-bureaublad met internettoegang. Voordat Microsoft dit configuratiebestand toevoegde, kon u Sandbox helemaal niet aanpassen. Als u geen internettoegang wilde, moest u dit normaal gesproken direct na het opstarten uitschakelen. Als je toegang nodig had tot bestanden op je hostsysteem, moest je ze kopiëren en in Sandbox plakken. En als u bepaalde programma’s van derden wilde installeren, moest u deze installeren nadat u Sandbox had gestart.
Omdat Windows Sandbox zijn exemplaar volledig verwijdert wanneer het wordt gesloten, moest u dat aanpassingsproces elke keer dat u startte doorlopen. Enerzijds zorgt dat voor een veiliger systeem. Als er iets misgaat, sluit u de Sandbox en wordt alles verwijderd. Aan de andere kant, als u regelmatig wijzigingen moet aanbrengen, wordt het snel frustrerend om dit bij elke lancering te moeten doen.
Om dat probleem te verhelpen, heeft Microsoft een configuratiefunctie voor Windows Sandbox geïntroduceerd. Met XML-bestanden kunt u Windows Sandbox starten met ingestelde parameters. U kunt de beperkingen van de sandbox verscherpen of versoepelen. U kunt bijvoorbeeld de internetverbinding uitschakelen, gedeelde mappen configureren met uw host-exemplaar van Windows 10 of een script uitvoeren om applicaties te installeren. De opties zijn een beetje beperkt in de eerste release van de Sandbox-functie, maar Microsoft zal waarschijnlijk meer toevoegen in toekomstige updates voor Windows 10.
Hoe Windows Sandbox te configureren
In deze handleiding wordt ervan uitgegaan dat u Sandbox al heeft ingesteld voor algemeen gebruik. Als u dit nog niet heeft gedaan, moet u dit eerst inschakelen via het dialoogvenster Windows-onderdelen.
Om te beginnen heb je Kladblok of je favoriete teksteditor nodig – we houden van Notepad ++ – en een leeg nieuw bestand. U maakt een XML-bestand voor configuratie. Hoewel bekendheid met de XML-coderingstaal nuttig is, is het niet nodig. Zodra u uw bestand op zijn plaats heeft, slaat u het op met de extensie .wsb (denk aan Windows Sand Box.) Dubbelklikken op het bestand zal Sandbox starten met de opgegeven configuratie.
Zoals uitgelegd door Microsoft, heb je verschillende opties om uit te kiezen bij het configureren van de Sandbox. U kunt de vGPU (gevirtualiseerde GPU) in- of uitschakelen, het netwerk in- of uitschakelen, een gedeelde hostmap specificeren, lees- / schrijfrechten instellen voor die map of een script uitvoeren bij het starten.
Met behulp van dit configuratiebestand kunt u de gevirtualiseerde GPU uitschakelen (deze is standaard ingeschakeld), het netwerk uitschakelen (standaard ingeschakeld), een gedeelde hostmap specificeren (sandbox-apps hebben er standaard geen toegang toe), zet read / schrijfmachtigingen voor die map en / of voer een script uit bij het opstarten
Open eerst Kladblok of uw favoriete teksteditor en begin met een nieuw tekstbestand. Voeg de volgende tekst toe:
<Configuration> </Configuration>
Alle opties die u toevoegt, moeten tussen deze twee parameters staan. U kunt slechts één optie of alle opties toevoegen; u hoeft niet elke optie afzonderlijk op te nemen. Als u geen optie opgeeft, wordt de standaard gebruikt.
Hoe de virtuele GPU of netwerken uit te schakelen
Zoals Microsoft opmerkt, vergroot het hebben van de virtuele GPU of netwerkfunctionaliteit de mogelijkheden die schadelijke software kan gebruiken om uit de sandbox te ontsnappen. Dus als u iets test waar u zich vooral zorgen over maakt, is het misschien verstandig om dit uit te schakelen.
Om de virtuele GPU uit te schakelen, die standaard is ingeschakeld, voegt u de volgende tekst toe aan uw configuratiebestand.
<VGpu>Disable</VGpu>
Om netwerktoegang uit te schakelen, die standaard is ingeschakeld, voegt u de volgende tekst toe.
<Networking>Disable</Networking>
Een map toewijzen
Om een ​​map toe te wijzen, moet u precies aangeven welke map u wilt delen, en vervolgens specificeren of de map alleen-lezen moet zijn of niet.
Het toewijzen van een map ziet er als volgt uit:
<MappedFolders> <MappedFolder> <HostFolder>C:UsersPublicDownloads</HostFolder> <ReadOnly>true</ReadOnly> </MappedFolder> </MappedFolders>
HostFolder hier vermeld je de specifieke map die je wilt delen. In het bovenstaande voorbeeld wordt de openbare downloadmap op Windows-systemen gedeeld. ReadOnly stelt in of Sandbox naar de map kan schrijven of niet. Zet het op true om de map alleen-lezen te maken of false om het schrijfbaar te maken.
Houd er rekening mee dat u in wezen risico’s voor uw systeem introduceert door een map tussen uw host en Windows Sandbox te koppelen. Sandbox schrijftoegang geven verhoogt dat risico. Als u iets test waarvan u denkt dat het schadelijk is, dient u deze optie niet te gebruiken.
Een script uitvoeren bij het opstarten
Ten slotte kunt u op maat gemaakte scripts of basisopdrachten uitvoeren. U kunt bijvoorbeeld de Sandbox dwingen om bij het opstarten een toegewezen map te openen. Het maken van dat bestand zou er als volgt uitzien:
<MappedFolders> <MappedFolder> <HostFolder>C:UsersPublicDownloads</HostFolder> <ReadOnly>true</ReadOnly> </MappedFolder> </MappedFolders> <LogonCommand> <Command>explorer.exe C:usersWDAGUtilityAccountDesktopDownloads</Command> </LogonCommand>
WDAGUtilityAccount is de standaardgebruiker voor Windows Sandbox, dus u zult daar altijd naar verwijzen wanneer u mappen of bestanden opent als onderdeel van een opdracht.
Helaas is in de bijna-release-build van de update van Windows 10 van mei 2019 de LogonCommand optie lijkt niet te werken zoals bedoeld. Het deed helemaal niets, zelfs niet toen we het voorbeeld in de documentatie van Microsoft gebruikten. Microsoft zal deze bug waarschijnlijk binnenkort oplossen.
Sandbox starten met uw instellingen
Als u klaar bent, slaat u uw bestand op en geeft u het de bestandsextensie .wsb. Als uw teksteditor het bijvoorbeeld opslaat als Sandbox.txt, sla het dan op als Sandbox.wsb. Dubbelklik op het .wsb-bestand om de Windows Sandbox met uw instellingen te starten. U kunt het op uw bureaublad plaatsen of er een snelkoppeling naar maken in het menu Start.
Voor uw gemak kunt u dit DisabledNetwork-bestand downloaden om u een paar stappen te besparen. Het bestand heeft de extensie txt, hernoem het met een .wsb-bestandsextensie en u bent klaar om Windows Sandbox te starten.
