Microsoft wird mit Windows 10 Version 1903 die Windows Sandbox als neues Feature des Betriebssystems ausrollen. Die Windows Sandbox wird unter Windows 10 Pro unter Enterprise zur Verfügung stehen. Sie erlaubt es Anwendern, Apps und Programme in einer virtuellen Maschine isoliert auszuführen. Auf diese Weise soll die Sicherheit des Systems sowie des Firmennetzwerks gewährleistet bleiben, wenn eine nicht vertrauenswürdige Anwendung ausgeführt werden muss.
Windows Sandbox config Datei
Mit Windows 10 Build 18342 hat Microsoft die Windows Sandbox config Datei in das Betriebssystem implementiert. Mittels dieser Datei und einigen Parametern lässt sich die Windows Sandbox etwas anpassen. Damit können verschiedene Komponenten und Features deaktiviert werden, Ordner freigegeben, Programme beim Start automatisch ausgeführt und unterschiedliche Scripts ausgeführt werden.
Die Windows Sandbox config Datei ist als XML formattiert und über eine Datei mit der .wsb-Endung an die virtuelle Maschine angebunden.
Windows Sandbox config Datei unterstützt folgende Optionen
- vGPU (virtualisierte GPU)
- Aktiviert oder deaktiviert die virtualisierte GPU. Wenn vGPU deaktiviert ist, nutzt Windows Sandbox WARP.
- Netzwerk:
- Aktiviert der deaktiviert Netzwerk-Zugriff der Windows Sandbox
- Freigegebene Ordner:
- Der Host kann Order mit Lese- und Schreibzugriff für die Windows Sandbox freigeben.
- Scripts beim Start:
- Login-Aktionen für die Sandbox.
Keywords, Werte und Begrenzungen
- <VGpu>value</VGpu>
- Disable: vGPU ist deaktiviert
- Default: vGPU ist aktiviert
- <Networking>value</Networking>
- Disable: Deaktiviert Netzwerk-Zugriff in der Sandbox.
- Default: Aktiviert Netzwerk-Zugriff und erstellt einen virtuellen Switch am Host, wozu sich die Sandbox via virtuellen Netzwerkinterface verbindet.
- <MappedFolder>
<HostFolder>path to the host folder</HostFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>- HostFolder legt den Pfad zum freigegebenen Ordner am Host-System fest.
- ReadOnly (true/false) legt fest, ob nur ein Lesezugriff auf der Sandbox auf den Host-Ordner gestattet werden soll.
- <LogonCommand>
<Command>command to be invoked</Command>
</LogonCommand>- Command enthält den Pfad zu einem Script oder einer Anwendung, welche nach dem Login ausgeführt werden soll.
Beispieldatei:
<Configuration>
<VGpu>Disable</VGpu>
<Networking>Disable</Networking>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\Users\Public\Downloads</HostFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>explorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads</Command>
</LogonCommand>
</Configuration>
> Anleitung: Windows Sandbox aktivieren
Quelle: Microsoft