Konfigurer Windows Sandbox: Sikker testing av filer & apper

Windows 10 sin nye Sandbox-funksjon tilbyr en trygg sone for å evaluere applikasjoner og filer lastet ned fra internett. Ved å kjøre disse i en isolert beholder, reduseres risikoen for systemet ditt. Funksjonen er brukervennlig, men de avanserte innstillingene er gjemt i en tekstbasert konfigurasjonsfil.

Enkel Start, Begrensede Standarder

Sandbox ble introdusert i Windows 10s Mai 2019-oppdatering, og er tilgjengelig for Professional, Enterprise og Education-utgavene. Dessverre er den ikke en del av Windows 10 Home. Når aktivert, kan Sandbox enkelt startes fra Start-menyen. Den oppretter en kopi av Windows-systemet ditt, isolert fra dine personlige mapper, og gir deg et rent skrivebord med tilgang til internett. Før konfigurasjonsfilen ble introdusert, var det ingen muligheter for å tilpasse Sandbox. Dette betydde at internettilgang måtte deaktiveres manuelt, filer måtte kopieres inn, og nødvendige applikasjoner installeres på nytt hver gang Sandbox ble startet.

Siden Windows Sandbox slettes fullstendig etter bruk, gjentok denne tilpasningsprosessen seg hver gang. Dette sikret et trygt miljø, men mangelen på konfigurasjon kunne frustrere brukere som ofte trengte å endre oppsettet. For å løse dette, har Microsoft introdusert en konfigurasjonsfil som lar deg starte Windows Sandbox med egendefinerte innstillinger. Ved hjelp av XML-filer kan du endre begrensningene til Sandbox, deaktivere internettilgang, konfigurere delte mapper med hovedsystemet, eller kjøre installasjonsskripter. Alternativene er foreløpig noe begrenset, men det forventes at flere vil bli lagt til i fremtidige oppdateringer.

Konfigurasjon av Windows Sandbox: En Skritt-for-Skritt Guide

Før du fortsetter, sørg for at Sandbox er aktivert gjennom Windows-funksjoner. Du trenger et tekstredigeringsprogram, som Notepad++, og en tom ny fil. Lag en XML-fil for konfigurering. Kjennskap til XML-kode er nyttig, men ikke et krav. Lagre filen med filendelsen .wsb (for Windows Sand Box). Et dobbeltklikk på filen vil starte Sandbox med de angitte innstillingene.

Microsoft forklarer at du kan velge mellom en rekke konfigurasjonsalternativer. Du kan aktivere eller deaktivere vGPU (virtualisert GPU), slå nettverk til eller fra, spesifisere en delt mappe, angi lese-/skrivetillatelser, eller kjøre et oppstartsskript.

Via konfigurasjonsfilen kan du velge å deaktivere den virtualiserte GPU-en (som er standard), slå av nettverket (som også er standard), spesifisere en delt mappe (Sandbox har som standard ingen tilgang til noen mapper), angi lese-/skriverettigheter for den delte mappen og/eller kjøre et skript ved oppstart.

Start med å åpne tekstredigeringsprogrammet ditt og legg til følgende tekst i en ny fil:

Alle de ekstra alternativene legges inn mellom disse to parameterne. Du kan legge til ett eller flere alternativer. Hvis et alternativ ikke er spesifisert, vil standardverdien bli brukt.

For å deaktivere nettverkstilgang, som også er aktivert som standard, legg til følgende tekst:

Disable

Konfigurering av Delte Mapper

For å dele en mappe mellom hovedsystemet og Sandbox, må du spesifisere nøyaktig hvilken mappe som skal deles og om den skal være skrivebeskyttet.

Dette gjøres ved å legge til følgende struktur i konfigurasjonsfilen:

C:UsersPublicDownloadstrue

HostFolder-elementet angir hvilken mappe som skal deles. I eksemplet over, deles den offentlige nedlastingsmappen. «Readonly» angir om Sandbox skal kunne skrive til mappen eller ikke. Sett verdien til «true» for skrivebeskyttet tilgang eller «false» for å gi Sandbox skrivetilgang.

Vær oppmerksom på at det å dele mapper mellom hovedsystemet og Windows Sandbox introduserer en viss risiko. Det er spesielt risikabelt å gi Sandbox skrivetilgang. Unngå dette alternativet hvis du tester noe du anser som potensielt skadelig.

Kjøring av Oppstartsskript

Det er også mulig å kjøre egendefinerte skript eller kommandoer ved oppstart. Du kan for eksempel tvinge Sandbox til å åpne en delt mappe automatisk. Dette kan gjøres med følgende konfigurasjon:

C:UsersPublicDownloadstrueexplorer.exe C:usersWDAGUtilityAccountDesktopDownloads

WDAGUtilityAccount er standardbrukeren for Windows Sandbox, og du må derfor referere til den når du skal åpne mapper eller filer via en kommando.

I den tidlige versjonen av Windows 10 Mai 2019-oppdateringen ser det imidlertid ut til at «LogonCommand»-alternativet ikke fungerer som tiltenkt. Selv med eksemplene i Microsofts dokumentasjon, ser det ikke ut til å ha noen effekt. Dette problemet vil trolig bli løst i en kommende oppdatering.

Start Sandbox med Dine Innstillinger

Når filen er klar, lagre den med filtypen .wsb. Dobbeltklikk på .wsb-filen for å starte Windows Sandbox med dine egendefinerte innstillinger. Filen kan plasseres på skrivebordet eller via en snarvei i startmenyen.

For å forenkle prosessen, kan du laste ned denne «DisabledNetwork»-filen som et utgangspunkt. Endre filendelsen fra .txt til .wsb, og du er klar til å starte Windows Sandbox med de angitte innstillingene.