如何在启动时自定义 Windows 沙盒

随心笔谈1年前 (2023)发布 admin
129 0

Windows Sandbox 是 Windows 10/11 的一项功能,它允许用户创建一个隔离的虚拟环境,因为它与主机隔离,因此可以安全地测试他们的应用程序和其他任务。 但是,每个新的 Sandbox 实例就像操作系统的全新安装,主机无法访问文件和文件夹。

您可以通过编写自定义配置文件的脚本并配置 Sandbox 以从自定义设置和配置开始来更改它。本文详细定义了 Sandbox 是什么以及如何在 Windows 计算机上对其进行配置以发挥您的优势。

什么是 Windows 沙盒

 

Windows Sandbox 创建一个虚拟桌面环境来复制您的主机操作系统,并且与它完全分离。 在 Sandbox 中执行的任何任务都不会影响主机,这使其成为运行可疑应用程序和执行使主机面临风险的任务的理想选择。

Sandbox 实例就像一个新安装的操作系统。 每次运行新的 Windows Sandbox 实例时,就好像操作系统是第一次启动一样。 同样,关闭实例将取消在沙盒窗口中所做的所有更改。

沙盒环境依赖于虚拟管理程序:Hyper-V。 由于它是主机操作系统的副本并且在您的设备上保持临时状态,因此它占用的空间不超过 100 MB。

现在让我们了解如何在 Windows 设备上启用此功能。

如何在 Windows 10/11 上安装 Windows 沙盒

 

Sandbox 是 Windows 10 和 11 的内置功能。但是,它默认处于禁用状态,需要手动启用。 在启用它之前,请检查您的系统是否满足最低硬件要求:

注意:Windows Sandbox 仅预装在专业版和企业版中。 了解如何在 Windows 10 家庭版中启用 Windows 沙盒。

至少 Windows 10 版本 1903。
硬件虚拟化已启用(从 BIOS 设置)。
硬盘驱动器上至少有 4 GB 的 RAM 和 1 GB 的可用空间。
至少 2 个处理器内核。

如果是,请按照以下指南启用 Windows Sandbox(需要重新启动):

1、按 Win+R 打开运行窗口,在运行中输入 optionalfeatures 以打开或关闭 Windows 功能。 这将打开 Windows 可选功能窗口。
2、现在,选中 Windows Sandbox 旁边的框,然后按确定。 然后 Windows 将启用该程序包。 但是,将需要重新启动。

启用该功能后,您可以在“开始”菜单中搜索“Windows Sandbox”并启动该应用程序。

或者,您也可以使用管理权限在 PowerShell 中运行以下命令以启用 Windows Sandbox:

1
Enable-WindowsOptionalFeature -FeatureName “Containers-DisposableClientVM” -All -Online

使用配置文件自定义 Windows Sandbox

 

由于沙盒实例就像主机操作系统的一块干净的平板,它不允许其用户访问主机上的任何内容,除非手动粘贴。

通过此自定义,您将能够使用预安装的应用程序和数据运行 Windows Sandbox。 这对于需要基本应用程序和工具来执行任务的测试环境特别有用。

这个过程非常简单。 您需要做的就是在任何文本编辑器中创建一个配置文件,然后使用 .wsb 扩展名保存它。 但在我们告诉您在配置文件中放置什么之前,让我们先了解一下使用此配置文件可以控制哪些方面。

组件 描述 命令
vGPU 启用或禁用虚拟化 GPU。 如果禁用了 vGPU,沙盒将使用 Windows 高级光栅化平台 (WARP)。 Enable
Disable
Default
网络 在沙箱内启用或禁用网络访问。 Disable
Default
映射文件夹 共享来自主机的具有读或写权限的文件夹。 请注意,暴露主机目录可能会允许恶意软件影响系统或窃取数据。 Host folder
Sandbox folder
ReadOnly
登录命令 Windows 沙盒启动时执行的命令。
音频输入 将主机的麦克风输入共享到沙盒中。 Enable
Disable
Default
视频输入 将主机的网络摄像头输入共享到沙盒中。 Enable
Disable
Default
打印重定向 将打印机从主机共享到沙盒中。 Enable
Disable
Default
受保护客户端 在与沙盒的 RDP 会话上放置增加的安全设置。 Enable
Disable
Default
剪贴板重定向 与沙盒共享主机剪贴板,以便可以来回粘贴文本和文件。 Disable
Default
内存 (MB) 分配给沙盒的内存量(以兆字节为单位)。

沙盒配置文件命令行开关

 

现在您了解了配置文件的功能,让我们通过几个示例向您展示如何创建配置文件。

首先,启动记事本(或您选择的任何文本编辑器)并将以下语法粘贴到其中。 请注意,这只是可以添加到配置文件中的内容的摘录:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<Configuration>
<VGpu></VGpu>
<Networking></Networking>
<MappedFolders>
<MappedFolder>
<HostFolder></HostFolder>
<SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads</SandboxFolder>
<ReadOnly></ReadOnly>
</MappedFolder>
<MappedFolder>
<HostFolder></HostFolder>
<SandboxFolder>C:\Users\WDAGUtilityAccount\Desktop</SandboxFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command></Command>
</LogonCommand>
</Configuration>

然后,使用您选择的名称将文件保存在主机上的任何位置。 但是,在保存文件时,选择保存类型前面的所有文件,然后将 .wsb 文件扩展名与文件名连接。

现在,根据您的要求对脚本进行更改。 使用上面提供的表格时,您可以在文件内的开始和结束组件(如果适用)之间选择启用、禁用或默认值。

下面是一个配置文件的例子:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<Configuration>
<VGpu>Disable</VGpu>
<Networking>Disable</Networking>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\Users\dayanzai\Downloads</HostFolder>
<SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads</SandboxFolder>
<ReadOnly></ReadOnly>
</MappedFolder>
<MappedFolder>
<HostFolder>C:\Users\dayanzai\Desktop</HostFolder>
<SandboxFolder>C:\Users\WDAGUtilityAccount\Desktop</SandboxFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>explorer.exe C:\Users\WDAGUtilityAccount\Downloads</Command>
</LogonCommand>
</Configuration>

在此示例中,我们将执行以下操作:

禁用 vGPU
禁用网络
将用户帐户“dayanzai”的下载文件夹映射到具有只读权限的 Sandbox 实例的默认下载文件夹
将用户帐户“dayanzai”的桌面文件夹映射到具有只读权限的 Sandbox 实例的默认桌面文件夹
Sandbox 启动后,自动运行命令以在文件资源管理器中打开下载文件夹。

如您所见,Sandbox 实例打开了文件资源管理器,同时打开了 Downloads 文件夹,而桌面已填充了主机计算机桌面文件夹的内容。

您可以对文件的语法进行必要的更改,然后使用 Ctrl + S 快捷键再次保存它。 完成后,通过双击运行配置文件来运行具有您自定义的沙盒实例。

最后

 

Windows Sandbox 的主要目的是为用户提供一个类似于宿主机的隔离环境,而无需经历创建虚拟机 (VM) 的整个过程。 但是,通过这些自定义,主机会暴露在沙盒内运行的恶意内容中,并可能影响主机的完整性。

因此,我们建议您非常谨慎地自定义配置文件,不要将任何敏感文件夹映射到 Windows 沙盒。

© 版权声明

相关文章