La nuova funzionalità Sandbox di Windows 10 ti consente di testare in sicurezza programmi e file scaricati da Internet eseguendoli in un contenitore sicuro. È facile da usare, ma le sue impostazioni sono nascoste in un file di configurazione basato su testo.
Sommario:
Windows Sandbox è facile da usare se ce l’hai
Questa funzione fa parte dell’aggiornamento di maggio 2019 di Windows 10. Dopo aver installato l’aggiornamento, dovrai anche utilizzare le edizioni Professional, Enterprise o Education di Windows 10. Non è disponibile su Windows 10 Home. Ma, se è disponibile sul tuo sistema, puoi facilmente attivare la funzione Sandbox e quindi avviarla dal menu Start.
Sandbox si avvierà, creerà una copia del tuo attuale sistema operativo Windows, rimuoverà l’accesso alle tue cartelle personali e ti fornirà un desktop Windows pulito con accesso a Internet. Prima che Microsoft aggiungesse questo file di configurazione, non era possibile personalizzare affatto Sandbox. Se non volevi l’accesso a Internet, normalmente dovevi disabilitarlo subito dopo l’avvio. Se avevi bisogno di accedere ai file sul tuo sistema host, dovevi copiarli e incollarli in Sandbox. E, se volevi installare particolari programmi di terze parti, dovevi installarli dopo aver avviato Sandbox.
Poiché Windows Sandbox elimina completamente la sua istanza quando la si chiude, è stato necessario eseguire questo processo di personalizzazione ogni volta che si avvia. Da un lato, questo rende il sistema più sicuro. Se qualcosa va storto, chiudi Sandbox e tutto viene eliminato. D’altra parte, se è necessario apportare modifiche regolarmente, doverlo fare ad ogni lancio diventa rapidamente frustrante.
Per alleviare questo problema, Microsoft ha introdotto una funzionalità di configurazione per Windows Sandbox. Utilizzando i file XML, puoi avviare Windows Sandbox con i parametri impostati. Puoi rafforzare o allentare le restrizioni della sandbox. Ad esempio, puoi disabilitare la connessione Internet, configurare le cartelle condivise con la tua copia host di Windows 10 o eseguire uno script per installare le applicazioni. Le opzioni sono un po ‘limitate nella prima versione della funzione Sandbox, ma Microsoft probabilmente ne aggiungerà altre nei futuri aggiornamenti a Windows 10.
Come configurare Windows Sandbox
La tua copia sandbox di Windows 10 può avere accesso a una cartella condivisa sul tuo sistema operativo host.
Questa guida presuppone che tu abbia già configurato Sandbox per l’uso generale. Se non l’hai ancora fatto, devi prima abilitarlo con la finestra di dialogo Funzionalità di Windows.
Per iniziare, avrai bisogno del Blocco note o del tuo editor di testo preferito: ci piace Notepad ++E un nuovo file vuoto. Creerai un file XML per la configurazione. Pur familiarità con il Linguaggio di codifica XML è utile, non è necessario. Una volta posizionato il file, lo salverai con un’estensione .wsb (pensa a Windows Sand Box). Facendo doppio clic sul file verrà avviato Sandbox con la configurazione specificata.
Come spiegato da Microsoft, hai diverse opzioni tra cui scegliere durante la configurazione di Sandbox. È possibile abilitare o disabilitare la vGPU (GPU virtualizzata), attivare o disattivare la rete, specificare una cartella host condivisa, impostare le autorizzazioni di lettura / scrittura su quella cartella o eseguire uno script all’avvio.
Utilizzando questo file di configurazione, è possibile disabilitare la GPU virtualizzata (è abilitata per impostazione predefinita), disattivare la rete (è attiva per impostazione predefinita), specificare una cartella host condivisa (le app sandbox non hanno accesso a nessuna per impostazione predefinita), impostare la lettura / scrivi i permessi su quella cartella e / o esegui uno script all’avvio
Innanzitutto, apri Blocco note o il tuo editor di testo preferito e inizia con un nuovo file di testo. Aggiungi il testo seguente:
Tutte le opzioni che aggiungerai devono essere comprese tra questi due parametri. Puoi aggiungere solo un’opzione o tutte, non devi includerle tutte. Se non specifichi un’opzione, verrà utilizzata l’impostazione predefinita.
Come disabilitare la GPU virtuale o la rete
Come sottolinea Microsoft, avere la GPU virtuale o la rete abilitata aumenta le strade che il software dannoso può utilizzare per uscire dalla sandbox. Quindi, se stai testando qualcosa di cui sei particolarmente preoccupato, potrebbe essere saggio disabilitarli.
Per disabilitare la GPU virtuale, che è abilitata per impostazione predefinita, aggiungi il testo seguente al tuo file di configurazione.
Disable
Per disabilitare l’accesso alla rete, abilitato per impostazione predefinita, aggiungi il testo seguente.
Disable
Come mappare una cartella
Per mappare una cartella è necessario specificare esattamente quale cartella si desidera condividere, quindi specificare se la cartella deve essere di sola lettura o meno.
La mappatura di una cartella ha questo aspetto:
C:UsersPublicDownloads true
HostFolder è dove elenchi la cartella specifica che desideri condividere. Nell’esempio precedente, la cartella Download pubblico trovata sui sistemi Windows viene condivisa. ReadOnly imposta se Sandbox può scrivere o meno nella cartella. Impostalo su true per rendere la cartella di sola lettura o false per renderla scrivibile.
Tieni presente che stai essenzialmente introducendo rischi al tuo sistema collegando una cartella tra il tuo host e Windows Sandbox. Fornire l’accesso in scrittura a Sandbox aumenta questo rischio. Se stai testando qualcosa che pensi possa essere dannoso, non dovresti usare questa opzione.
Come eseguire uno script all’avvio
Infine, puoi eseguire script personalizzati o comandi di base. Ad esempio, potresti forzare Sandbox ad aprire una cartella mappata all’avvio. La creazione di quel file sarebbe simile a questa:
C:UsersPublicDownloads true explorer.exe C:usersWDAGUtilityAccountDesktopDownloads
WDAGUtilityAccount è l’utente predefinito per Windows Sandbox, quindi lo farai sempre riferimento quando apri cartelle o file come parte di un comando.
Sfortunatamente, nella build prossima al rilascio dell’aggiornamento di maggio 2019 di Windows 10, l’opzione LogonCommand non sembra funzionare come previsto. Non ha fatto nulla, anche quando abbiamo usato l’esempio nella documentazione di Microsoft. Microsoft probabilmente risolverà presto questo bug.
Come avviare Sandbox con le tue impostazioni
Dopo aver finito, salva il file e assegnagli un’estensione .wsb. Ad esempio, se il tuo editor di testo lo salva come Sandbox.txt, salvalo come Sandbox.wsb. Per avviare Windows Sandbox con le tue impostazioni, fai doppio clic sul file .wsb. Puoi posizionarlo sul desktop o creare un collegamento ad esso nel menu Start.
Per tua comodità, puoi scaricare questo file DisabledNetwork per risparmiare alcuni passaggi. Il file ha un’estensione txt, rinominalo con un’estensione file .wsb e sei pronto per avviare Windows Sandbox.