La recente funzionalità Sandbox di Windows 10 offre la possibilità di testare programmi e file scaricati da internet in un ambiente protetto. L’utilizzo è intuitivo, ma la configurazione si gestisce tramite un file testuale.
Windows Sandbox: facilità d’uso a portata di mano
Questa opzione è stata introdotta con l’aggiornamento di Windows 10 di maggio 2019. È necessario disporre delle edizioni Professional, Enterprise o Education per poterla utilizzare. Non è infatti disponibile su Windows 10 Home. Se il sistema supporta Sandbox, è possibile attivare la funzionalità e avviarla dal menu Start.
Sandbox crea una copia virtuale del sistema operativo Windows, isolando l’accesso alle cartelle personali e fornendo un ambiente desktop pulito con accesso a Internet. Prima dell’introduzione del file di configurazione, la personalizzazione era impossibile. Ad esempio, per disabilitare l’accesso a Internet, era necessario farlo manualmente dopo l’avvio. L’accesso ai file del sistema host richiedeva la copiatura e l’incolla all’interno di Sandbox e l’installazione di programmi di terze parti doveva essere eseguita ad ogni avvio.
Poiché Windows Sandbox elimina completamente la sua istanza alla chiusura, era necessario ripetere la personalizzazione a ogni avvio. Questo aumenta la sicurezza, in quanto ogni problema viene risolto chiudendo Sandbox. Tuttavia, l’obbligo di ripetere le modifiche ad ogni lancio può diventare frustrante.
Microsoft ha introdotto un file di configurazione XML per Windows Sandbox. Grazie a questo file, è possibile avviare Sandbox con parametri predefiniti, aumentando o diminuendo le restrizioni. Ad esempio, è possibile disabilitare la connessione Internet, configurare cartelle condivise con l’host o avviare script di installazione applicazioni. Le opzioni sono limitate nella prima versione, ma Microsoft ne aggiungerà di nuove nei prossimi aggiornamenti di Windows 10.
Come personalizzare Windows Sandbox
La sandbox di Windows 10 può accedere ad una cartella condivisa nel sistema operativo principale.
Questa guida presuppone che Sandbox sia già attivo sul sistema. In caso contrario, è necessario abilitarlo tramite le funzionalità di Windows.
Per iniziare, è necessario un editor di testo come Blocco note o Notepad ++. Si dovrà creare un file XML per la configurazione. La conoscenza del linguaggio XML è utile ma non indispensabile. Il file va salvato con estensione .wsb (Windows Sand Box). Il doppio click sul file avvierà Sandbox con la configurazione specificata.
Come spiegato da Microsoft, le opzioni di configurazione sono diverse. È possibile attivare o disattivare la vGPU (GPU virtualizzata), attivare o disattivare la rete, definire una cartella host condivisa, impostare i permessi di lettura/scrittura e avviare uno script all’avvio.
Il file di configurazione consente di disabilitare la GPU virtualizzata (abilitata di default), disattivare la rete (attiva di default), specificare una cartella host condivisa (nessuna di default), impostare i permessi di lettura/scrittura e avviare uno script all’avvio.
Iniziare aprendo Blocco note o un editor di testo e creare un nuovo file. Aggiungere il seguente testo:
Tutte le opzioni aggiuntive devono essere inserite tra questi due tag. È possibile inserire una o più opzioni, senza l’obbligo di includerle tutte. In assenza di specifiche, verranno utilizzate le impostazioni di default.
Per disabilitare l’accesso alla rete (abilitato di default), aggiungere:
Disable
Come mappare una cartella
Per mappare una cartella, è necessario specificare la cartella da condividere e definire se deve essere di sola lettura o meno.
Ecco un esempio di mappatura:
C:UsersPublicDownloads true
HostFolder definisce la cartella da condividere. In questo caso, si tratta della cartella Download pubblica di Windows. ReadOnly imposta se Sandbox può scrivere o meno nella cartella. Impostare true per sola lettura, false per scrittura.
La condivisione di cartelle tra host e Windows Sandbox introduce rischi per il sistema. La possibilità di scrivere su cartelle condivise aumenta ulteriormente questi rischi. È sconsigliabile utilizzare questa opzione per testare software potenzialmente dannoso.
Come eseguire uno script all’avvio
È possibile eseguire script personalizzati o comandi. Ad esempio, è possibile forzare l’apertura di una cartella mappata all’avvio. Ecco come definire il file:
C:UsersPublicDownloads true explorer.exe C:usersWDAGUtilityAccountDesktopDownloads
WDAGUtilityAccount è l’utente predefinito per Windows Sandbox. Questo account va usato quando si aprono cartelle o file con i comandi.
L’opzione LogonCommand sembra non funzionare come previsto nella build dell’aggiornamento di Windows 10 di maggio 2019. Non viene eseguito alcun comando anche usando l’esempio nella documentazione Microsoft. Probabilmente Microsoft risolverà presto il problema.
Avviare Sandbox con impostazioni personalizzate
Dopo aver terminato, salvare il file con estensione .wsb. Se il file è stato salvato come Sandbox.txt, rinominarlo in Sandbox.wsb. Per avviare Windows Sandbox con le impostazioni personalizzate, fare doppio clic sul file .wsb. Il file può essere posizionato sul desktop o si può creare un collegamento nel menu Start.
Per facilità, si può scaricare il file DisabledNetwork per velocizzare i passaggi. Il file è in formato .txt. Per utilizzarlo, sarà necessario rinominarlo in .wsb, a quel punto Windows Sandbox potrà essere avviato.