คุณสมบัติ Sandbox ใหม่ของ Windows 10 ช่วยให้คุณปลอดภัยทดสอบโปรแกรมและไฟล์ที่ดาวน์โหลดจากอินเทอร์เน็ตโดยเรียกใช้งานในที่เก็บที่ปลอดภัย ใช้งานง่าย แต่การตั้งค่าถูกฝังไว้ในไฟล์กำหนดค่าแบบข้อความ
Windows Sandbox ใช้งานง่ายถ้าคุณมี
คุณลักษณะนี้เป็นส่วนหนึ่งของ Windows 10 พฤษภาคม 2019ปรับปรุง เมื่อคุณติดตั้งการอัปเดตแล้วคุณจะต้องใช้รุ่น Professional, Enterprise หรือ Education ของ Windows 10 แต่จะไม่สามารถใช้ได้ใน Windows 10 Home แต่ถ้ามันมีอยู่ในระบบของคุณคุณสามารถเปิดใช้งานคุณสมบัติ Sandbox ได้อย่างง่ายดายแล้วเปิดใช้งานได้จากเมนูเริ่ม
ที่เกี่ยวข้อง: วิธีใช้ Sandbox ใหม่ของ Windows 10 (เพื่อทดสอบแอปอย่างปลอดภัย)
Sandbox จะเปิดตัวสร้างสำเนาปัจจุบันของคุณระบบปฏิบัติการ Windows ลบการเข้าถึงโฟลเดอร์ส่วนตัวของคุณและให้เดสก์ท็อป Windows แบบใหม่พร้อมการเชื่อมต่ออินเทอร์เน็ต ก่อนที่ Microsoft จะเพิ่มไฟล์การกำหนดค่านี้คุณจะไม่สามารถปรับแต่ง Sandbox ได้เลย หากคุณไม่ต้องการใช้อินเทอร์เน็ตคุณต้องปิดการใช้งานทันทีหลังจากเปิดตัว หากคุณต้องการเข้าถึงไฟล์ในระบบโฮสต์ของคุณคุณต้องคัดลอกและวางไฟล์ลงใน Sandbox และหากคุณต้องการให้โปรแกรมของบุคคลที่สามติดตั้งคุณต้องติดตั้งโปรแกรมหลังจากเปิดตัว Sandbox
เพราะ Windows Sandbox ลบอินสแตนซ์ของมันทั้งหมดเมื่อปิดมันคุณจะต้องผ่านกระบวนการปรับแต่งนั้นทุกครั้งที่คุณเปิดตัว ในอีกด้านหนึ่งนั่นทำให้ระบบมีความปลอดภัยมากขึ้น หากมีบางอย่างผิดปกติให้ปิด Sandbox และทุกอย่างจะถูกลบ ในทางกลับกันหากคุณจำเป็นต้องทำการเปลี่ยนแปลงอย่างสม่ำเสมอการทำเช่นนี้ในทุกการเปิดตัวจะทำให้คุณหงุดหงิดอย่างรวดเร็ว
เพื่อบรรเทาปัญหาดังกล่าว Microsoft ได้แนะนำคุณสมบัติการกำหนดค่าสำหรับ Windows Sandbox เมื่อใช้ไฟล์ XML คุณสามารถเปิดใช้ Windows Sandbox ด้วยพารามิเตอร์ชุด คุณสามารถกระชับหรือคลายข้อ จำกัด ของกล่องทราย ตัวอย่างเช่นคุณสามารถปิดใช้งานการเชื่อมต่ออินเทอร์เน็ตกำหนดค่าโฟลเดอร์ที่ใช้ร่วมกับสำเนาโฮสต์ Windows 10 หรือเรียกใช้สคริปต์เพื่อติดตั้งแอปพลิเคชัน ตัวเลือกมี จำกัด ในรุ่นแรกของคุณสมบัติ Sandbox แต่ Microsoft อาจจะเพิ่มมากขึ้นในการปรับปรุงในอนาคตสำหรับ Windows 10
วิธีกำหนดค่า Windows Sandbox
คู่มือนี้จะถือว่าคุณได้ตั้งค่า Sandbox ไว้สำหรับการใช้งานทั่วไปแล้ว หากยังไม่ได้ดำเนินการคุณจะต้องเปิดใช้งานก่อนด้วยกล่องโต้ตอบคุณลักษณะ Windows
ในการเริ่มต้นคุณจะต้องใช้ Notepad หรือของคุณโปรแกรมแก้ไขข้อความรายการโปรด - เราชอบ Notepad ++ - และไฟล์ใหม่ที่ว่างเปล่า คุณจะสร้างไฟล์ XML เพื่อกำหนดค่า แม้ว่าความคุ้นเคยกับภาษาการเข้ารหัส XML จะมีประโยชน์ แต่ก็ไม่จำเป็น เมื่อคุณมีไฟล์เรียบร้อยแล้วคุณจะบันทึกด้วยนามสกุล. wsb (คิดว่า Windows Sand Box) ดับเบิลคลิกที่ไฟล์จะเปิด Sandbox พร้อมกำหนดค่าที่ระบุ
ตามที่อธิบายโดย Microsoft คุณมีหลายอย่างตัวเลือกให้เลือกเมื่อกำหนดค่า Sandbox คุณสามารถเปิดหรือปิดการใช้งาน vGPU (GPU เสมือนจริง) สลับเปิดหรือปิดเครือข่ายระบุโฟลเดอร์โฮสต์ที่ใช้ร่วมกันตั้งค่าสิทธิ์การอ่าน / เขียนในโฟลเดอร์นั้นหรือเรียกใช้สคริปต์เมื่อเปิดตัว
เมื่อใช้ไฟล์กำหนดค่านี้คุณสามารถปิดการใช้งานได้GPU เสมือนจริง (เปิดใช้งานตามค่าเริ่มต้น) สลับเครือข่ายปิด (เปิดใช้งานตามค่าเริ่มต้น) ระบุโฟลเดอร์โฮสต์ที่ใช้ร่วมกัน (แอปทรายที่ไม่มีสิทธิ์เข้าถึงใด ๆ เป็นค่าเริ่มต้น) ตั้งค่าสิทธิ์การอ่าน / เขียนในโฟลเดอร์นั้นและ / หรือเรียกใช้สคริปต์เมื่อเปิดตัว
ก่อนอื่นให้เปิด Notepad หรือโปรแกรมแก้ไขข้อความที่คุณโปรดปรานแล้วเริ่มด้วยไฟล์ข้อความใหม่ เพิ่มข้อความต่อไปนี้:
<Configuration> </Configuration>
ตัวเลือกทั้งหมดที่คุณจะเพิ่มจะต้องอยู่ระหว่างตัวเลือกเหล่านี้สองพารามิเตอร์ คุณสามารถเพิ่มตัวเลือกเดียวหรือทั้งหมดได้โดยไม่ต้องรวมทุกตัว หากคุณไม่ระบุตัวเลือกระบบจะใช้ค่าเริ่มต้น
วิธีปิดการใช้งาน GPU เสมือนหรือระบบเครือข่าย
Microsoft ชี้ให้เห็นว่าการมี GPU เสมือนจริงหรือระบบเครือข่ายที่เปิดใช้งานเพิ่มซอฟต์แวร์ที่เป็นอันตรายซึ่งสามารถใช้เพื่อแยกออกจากกล่องทราย ดังนั้นหากคุณกำลังทดสอบสิ่งที่คุณกังวลเป็นพิเศษคุณอาจต้องปิดใช้งาน
หากต้องการปิดใช้งาน GPU เสมือนซึ่งเปิดใช้งานโดยค่าเริ่มต้นให้เพิ่มข้อความต่อไปนี้ลงในไฟล์กำหนดค่าของคุณ
<VGpu>Disable</VGpu>
หากต้องการปิดใช้งานการเข้าถึงเครือข่ายซึ่งเปิดใช้งานตามค่าเริ่มต้นให้เพิ่มข้อความต่อไปนี้
<Networking>Disable</Networking>
วิธีแมปโฟลเดอร์
ในการจับคู่โฟลเดอร์คุณจะต้องระบุรายละเอียดให้ชัดเจนว่าคุณต้องการแชร์โฟลเดอร์ใดจากนั้นระบุว่าโฟลเดอร์ควรเป็นแบบอ่านอย่างเดียวหรือไม่
การแม็พโฟลเดอร์จะมีลักษณะดังนี้:
<MappedFolders> <MappedFolder> <HostFolder>C:UsersPublicDownloads</HostFolder> <ReadOnly>true</ReadOnly> </MappedFolder> </MappedFolders>
HostFolder
เป็นที่ที่คุณแสดงรายการโฟลเดอร์เฉพาะที่คุณต้องการแชร์ ในตัวอย่างด้านบนโฟลเดอร์สาธารณะดาวน์โหลดที่พบในระบบ Windows กำลังถูกแชร์ ReadOnly
ตั้งค่าว่า Sandbox สามารถเขียนไปยังโฟลเดอร์ได้หรือไม่ ตั้งเป็น true
เพื่อทำให้โฟลเดอร์เป็นแบบอ่านอย่างเดียวหรือ false
เพื่อให้สามารถเขียนได้
เพิ่งทราบว่าคุณกำลังแนะนำความเสี่ยงต่อระบบของคุณโดยเชื่อมโยงโฟลเดอร์ระหว่างโฮสต์กับ Windows Sandbox ของคุณ การให้สิทธิ์การเข้าถึงการเขียนแซนด์บ็อกซ์เป็นการเพิ่มความเสี่ยง หากคุณกำลังทดสอบสิ่งที่คุณคิดว่าอาจเป็นอันตรายคุณไม่ควรใช้ตัวเลือกนี้
วิธีการเรียกใช้สคริปต์ในการเปิดตัว
ในที่สุดคุณสามารถเรียกใช้สคริปต์ที่สร้างขึ้นเองหรือคำสั่งพื้นฐาน ตัวอย่างเช่นคุณสามารถบังคับให้ Sandbox เปิดโฟลเดอร์ที่แมปเมื่อเปิดตัว การสร้างไฟล์นั้นจะมีลักษณะเช่นนี้:
<MappedFolders> <MappedFolder> <HostFolder>C:UsersPublicDownloads</HostFolder> <ReadOnly>true</ReadOnly> </MappedFolder> </MappedFolders> <LogonCommand> <Command>explorer.exe C:usersWDAGUtilityAccountDesktopDownloads</Command> </LogonCommand>
WDAGUtilityAccount เป็นผู้ใช้เริ่มต้นสำหรับ Windows Sandbox ดังนั้นคุณจะอ้างอิงเสมอเมื่อเปิดโฟลเดอร์หรือไฟล์เป็นส่วนหนึ่งของคำสั่ง
น่าเสียดายที่ในรุ่นใกล้เคียงกับการอัปเดตพฤษภาคม 2019 ของ Windows 10 LogonCommand
ตัวเลือกไม่ทำงานตามที่ต้องการ มันไม่ได้ทำอะไรเลยแม้แต่ตอนที่เราใช้ตัวอย่างในเอกสารของ Microsoft Microsoft มีแนวโน้มที่จะแก้ไขข้อผิดพลาดนี้ในไม่ช้า
วิธีเปิดใช้ Sandbox ด้วยการตั้งค่าของคุณ
หลังจากเสร็จสิ้นให้บันทึกไฟล์และมอบเป็นไฟล์นามสกุล WSS ตัวอย่างเช่นหากโปรแกรมแก้ไขข้อความของคุณบันทึกเป็น Sandbox.txt ให้บันทึกเป็น Sandbox.wsb หากต้องการเปิดใช้งาน Windows Sandbox ด้วยการตั้งค่าของคุณให้ดับเบิลคลิกที่ไฟล์. wsb คุณสามารถวางไว้บนเดสก์ท็อปของคุณหรือสร้างทางลัดในเมนูเริ่ม
เพื่อความสะดวกของคุณคุณสามารถดาวน์โหลดได้ปิดการใช้งานไฟล์เครือข่ายเพื่อให้คุณประหยัดได้ไม่กี่ขั้นตอน ไฟล์ดังกล่าวมีนามสกุลเป็น txt เปลี่ยนชื่อเป็นนามสกุลไฟล์. wsb และคุณพร้อมที่จะเปิดตัว Windows Sandbox