Ja bieži lejupielādējat programmas, atverat e-pasta pielikumus vai izmēģināt rīkus no apšaubāmiem avotiem, droša un vienreizējās lietošanas vide sistēmā Windows Tas ir gandrīz obligāti. Šeit noder Windows Sandbox — funkcija, kas iebūvēta Windows profesionālajos izdevumos un ļauj veikt testus, neapdraudot galveno sistēmu.
Ar Windows Sandbox varat palaist Tīra, virtuāla un pagaidu Windows operētājsistēma WindowsIzmantojiet to kā savu darbvirsmu, un, to aizverot, jūs zaudēsiet pilnīgi visu, kas atradās iekšpusē. Nav programmatūras atlikumu, nav iestatījumu, nav pastāvīgas ļaunprogrammatūras: tas ir kā sākt ar pilnīgi jaunu, neskartu sistēmu katru reizi, kad to atverat.
Kas ir Windows Sandbox un kā darbojas tā izolācija?
Windows Sandbox, ko sauc spāņu valodā Windows smilškaste (WSB)Tā ir viegla darbvirsmas vide, kas darbojas jūsu sistēmā, izmantojot aparatūras virtualizāciju. Praktiski tā ir līdzīga virtuālās mašīnas lietošanai, taču nav jāinstalē papildu operētājsistēma vai jāveic sarežģītas konfigurācijas.
Šī izolētā telpa ir atkarīga no Microsoft hipervizora un aparatūras virtualizācija kodola izolēšanaiCitiem vārdiem sakot, operētājsistēmai, kas darbojas smilškastē, ir savs kodols, kas ir atsevišķi no jūsu galvenās Windows sistēmas, kas ievērojami samazina ļaunprātīgas programmas nokļūšanas resursdatorā iespējamību.
Viena no tās lielākajām priekšrocībām ir tā, ka tā ir vide vienreizlietojami un īslaicīgiKatru reizi, kad to atverat, tiek izveidota jauna, tīra instance, it kā jūs būtu instalējis Windows no nulles tieši tajā brīdī. Tiklīdz aizverat logu, visas veiktās izmaiņas, faili un iestatījumi tiek atmesti.
Programmatūra, ko esat instalējis savā galvenajā sistēmā Tas netiek automātiski kopēts smilškastēViss, ko vēlaties izmantot izolētajā vietā, būs tieši jāinstalē tur vai jākopē no resursdatora, izmantojot starpliktuvi vai piešķirtās mapes. Tā ir daļa no izolācijas: nekas netiek koplietots, ja vien jūs to neatļaujat.
Lai panāktu ļoti ātru sāknēšanas laiku un samazinātu resursu patēriņu, Windows Sandbox izmanto šādas metodes: atmiņas optimizācija un minimāla videTā nav jaudīga virtuālā mašīna ar desmitiem gigabaitu rezervētas diska vietas, bet gan viegla instance, kas tiek izveidota darbības laikā ar maksimāli aptuveni 4 GB atmiņas pēc noklusējuma un virtuālo krātuvi, kas netiek saglabāta.
Windows smilškastes galvenās iezīmes
Viena no interesantākajām lietām šajā funkcijā ir tā, ka Tā ir daļa no pašas Windows sistēmas. Profesionālajās versijās nav nepieciešams lejupielādēt ISO attēlus vai trešo pušu virtuālo mašīnu pārvaldniekus. Ja jums ir saderīgs izdevums, viss, kas jums jādara, ir jāaktivizē funkcija, un viss ir gatavs.
Vide ir pilnībā tīrs katrā izpildījumāIkreiz, kad startējat Windows Sandbox, tiek izveidota jauna instalācija bez papildu programmatūras, iepriekšējo konfigurāciju paliekām un iepriekšējām modifikācijām. Tas ir ideāli piemērots, ja vēlaties pārbaudīt programmu "it kā tā būtu pirmo reizi", bez bibliotēkām vai datiem, kas varētu ietekmēt rezultātu.
Vēl viens svarīgs elements ir drošība. Izolācija tiek panākta, apvienojot virtualizācija, AppContainer (aizsargātā klienta režīmā) un stingra procesu, tīklu, ierīču un akreditācijas datu atdalīšana. Tādā veidā, pat ja ļaunprogrammatūra darbojas smilškastē, tās iespējamība ietekmēt resursdatoru ir minimāla.
Veiktspēja ir diezgan laba. Windows Sandbox parasti aizņem zināmu laiku. Startēšana aizņem tikai dažas sekundes.Kad tas ir iespējots, tas izmanto virtuālo GPU (vGPU) x64 sistēmās un efektīvi pārvalda atmiņu, lai izvairītos no pārmērīga resursu patēriņa. Lai gan tas nav tik viegls kā vietējā lietotne, tas darbojas ievērojami labāk nekā tradicionāla, resursu ietilpīga virtuālā mašīna.
Visbeidzot, tas ir izstrādāts tā, lai to varētu izmantot jebkurš lietotājs, nebūdams eksperts. Ar vienkāršu klikšķi jūs varat atvērt pilnīgi jaunu vidi lai pārbaudītu instalētājus, apmeklētu aizdomīgas tīmekļa vietnes vai palaistu skriptus. Un, ja jums ir lielākas tehniskās zināšanas, varat to precizēt, izmantojot .wsb konfigurācijas failus.
Smilškastes izolācijas praktisks pielietojums operētājsistēmā Windows
Viens no visizplatītākajiem lietošanas gadījumiem ir tīra vide jaunas programmatūras testēšanaiIzstrādātāji, atbalsta tehniķi vai pieredzējuši lietotāji var instalēt beta versijas, testa versijas vai mazpazīstamas programmas, "neapgrūtinot" savu reālo sistēmu.
Tas ir arī ļoti ērti, lai veiktu drošāka tīmekļa pārlūkošana Kad nepieciešams piekļūt aizdomīgām tīmekļa vietnēm, potenciāli bīstamām lejupielādēm vai portāliem, kuriem neuzticaties, atveriet smilšu kasti, pārlūkojiet to, izmantojot iebūvēto pārlūkprogrammu, un, ja kaut kas noiet greizi, vienkārši aizveriet logu, un viss pazūd.
Izolācija ir īpaši noderīga atvēršanas laikā neuzticami pielikumi un izpildāmie failiPiemēram, dokumenti, ko saņemat pa e-pastu no nezināmiem sūtītājiem, vai portatīvās utilītprogrammas, kas lejupielādētas no forumiem. Failu var kopēt uz smilškastes vidi, atvērt to tur, un, ja izrādīsies, ka tas ir ļaunprātīgs, tas tiks iesprostots šajā vidē.
Vēl viens ļoti praktisks scenārijs ir pirmais kontakts ar jaunas programmas, pievienojumprogrammas vai paplašinājumiPirms kaut kā instalēšanas galvenajā Windows sistēmā, varat to pārbaudīt smilškastē, pārbaudīt tā darbību un izlemt, vai ir vērts to integrēt ikdienas darba sistēmā.
Visbeidzot, daudzi izstrādātāji izmanto smilškastes vides priekšrocības, lai uzturētu vairākas labi atdalītas testēšanas videsPiemēram, to var izmantot, lai pārbaudītu dažādas Python versijas ar dažādām atkarībām vai dažādām bibliotēku un konfigurāciju kombinācijām, neiestatot vairākas pastāvīgas virtuālās mašīnas.
Saderīgi Windows izdevumi un licences
Lai izmantotu šo funkciju, ir svarīgi, lai būtu Windows profesionālais vai izglītības izdevumsWindows Sandbox ir pieejams operētājsistēmās Windows Pro, Windows Enterprise, Windows Pro Education/SE un Windows Education, tostarp to līdzvērtīgās versijās operētājsistēmā Windows 11.
Licences, kas piešķir tiesības izmantot Windows Sandbox, ietver Windows Pro un Pro Education/SEkā arī Windows Enterprise E3 un E5 abonementus un Windows Education A3 un A5 izglītības izdevumus. Praktiski, ja jūsu datoram bija Pro versija vai arī jūs izmantojat korporatīvo vidi ar Enterprise, jums vajadzētu būt iespējai to aktivizēt.
Ja izmantojat operētājsistēmu Windows Home, nevarēsiet aktivizēt Windows Sandbox tieši. Šādos gadījumos alternatīva būtu izmantot... klasiskie virtualizācijas risinājumi (Hyper-V, VirtualBox, VMware utt.), taču jūs zaudētu šīs funkcijas piedāvāto vienkāršo integrāciju un vienreizējās lietošanas iespēju ar vienu klikšķi.
Aparatūras un virtualizācijas prasības
Papildus pareizajai Windows versijai datoram ir jāatbilst vairākām prasībām. minimālās aparatūras un virtualizācijas prasības lai smilškastes izolācija darbotos pareizi un droši.
No vienas puses, a 64 bitu procesors ar virtualizācijas atbalstu un vismaz divi fiziski kodoli; Microsoft iesaka četrus kodolus ar hiperpavedienu tehnoloģiju labākai veiktspējai. Praksē lielākā daļa pēdējos gados izlaisto procesoru bez problēmām atbilst šīm prasībām.
Runājot par atmiņu, sistēmai ir nepieciešams vismaz 4 GB RAM Lai varētu palaist Windows Sandbox, lai gan vienmērīgai darbībai ieteicams 8 GB vai vairāk, it īpaši, ja vienlaikus strādājat ar lielām lietojumprogrammām gan resursdatorā, gan izolētā vidē.
Vismaz attiecībā uz uzglabāšanu 1 GB brīvas vietas diskāIdeālā gadījumā SSD disks jāizmanto ātrākai vides izveidei un iznīcināšanai, kā arī vienmērīgākai iekšējai darbībai. Smilškastes tehnoloģija nerada tradicionālu pastāvīgu cieto disku, taču tai ir nepieciešama pagaidu vieta.
Visbeidzot, ir obligāti, lai virtualizācijas opcijām jābūt iespējotām BIOS vai UEFI jūsu datora (Intel VT-x/VT-d, AMD-V utt.). Šis ir pamats, ko Hyper-V izmanto, lai izveidotu atsevišķu aparatūras vidi. Ja virtualizācija ir atspējota, Sandbox netiks startēts.
Kā iespējot virtualizāciju BIOS
Lai smilškastes izolācija būtu efektīva, Windows paļaujas uz Hyper-V un centrālā procesora aparatūras virtualizācijaLai gan daudziem procesoriem šī funkcija ir iespējota pēc noklusējuma, citos gadījumos tā ir jāiespējo manuāli no BIOS vai UEFI.
Konkrētais process ir atkarīgs no mātesplates ražotāja, taču parasti jums būs nepieciešams piekļūt BIOS, ieslēdzot datoruParasti to var izdarīt, startēšanas laikā nospiežot tādus taustiņus kā Delete, F2, F10 vai F12. Dažos klēpjdatoros ekrānā tiek parādīts ziņojums, kurā norādīts, kuru taustiņu lietot.
Kad esat iekšā, jums vajadzētu meklēt sadaļu, kas saistīta ar CPU, papildu drošība vai sistēmas konfigurācijakur parasti atrodas virtualizācijas opcija. Precīzs nosaukums atšķiras: Virtualizācija, Intel virtualizācijas tehnoloģija, VT-x, VT-d, SVM, VM monitora režīma paplašinājumi, Hyper-V, RVI utt.
Kad esat atradis šo opciju, pārliecinieties, vai tā ir iespējota. Saglabājiet izmaiņas atbilstošajā izvēlnē (Saglabāt un iziet vai līdzīga) un ļaujiet datoram restartēties, lai virtualizācija kļūtu aktīva aparatūras līmenī.
Paturiet prātā, ka daži centrālie procesori integrē virtualizāciju, neļaujot veikt izmaiņas no BIOS, tāpēc Jūs neredzēsiet nekādas opcijas, bet funkcionalitāte jau būs iespējota.Šādos gadījumos, ja atbilstat pārējām prasībām, Windows Sandbox joprojām vajadzētu darboties.
Kā aktivizēt Windows smilškastes funkciju operētājsistēmā Windows
Kad esat pārliecinājies, ka jūsu Windows izdevums ir saderīgs un virtualizācija ir gatava, nākamais solis ir Aktivizējiet Windows smilškastes funkciju, jo sistēmā tas pēc noklusējuma ir atspējots.
Lai to izdarītu, atveriet Windows meklēšanas joslu un sāciet rakstīt “Ieslēgt vai izslēgt Windows funkcijas”. Kad parādās rezultāts, noklikšķiniet uz tā, un atvērsies logs ar papildu sistēmas funkciju sarakstu, kuras varat iespējot vai atspējot.
Šajā sarakstā atrodiet ierakstu “Windows smilškaste”Atzīmējiet izvēles rūtiņu kreisajā pusē un apstipriniet izmaiņas. Windows lejupielādēs un konfigurēs nepieciešamos komponentus; šis process var ilgt dažas minūtes atkarībā no datora ātruma.
Instalēšanas beigās sistēma jums jautās Restartējiet datoru Lai lietotu jauno funkciju, apstipriniet restartēšanu, un, kad dators atkal tiks startēts, Windows Sandbox būs pieejama starp jūsu lietojumprogrammām.
Turpmāk izvēlnē Sākt vai meklēšanas lodziņā meklējiet “Windows Sandbox”, lai palaistu smilšu kasti. Jūs redzēsiet atvērtu logu ar tīru Windows darbvirsmu, kas ir atdalīta no jūsu darbvirsmas.
Noklusējuma smilškastes izolācijas iestatījumi
Ja startējat Windows Sandbox bez pielāgotiem konfigurācijas failiem, vide tiek izveidota ar noklusējuma parametri, kas paredzēti, lai līdzsvarotu drošību un komfortuAtmiņas ierobežojums ir iestatīts uz 4 GB, un ir iespējotas noteiktas pamata integrācijas ar resursdatoru.
X64 sistēmās, kas nav balstītas uz ARM, virtuālais GPU (vGPU) parasti ir iekļauts. iespējots pēc noklusējumaTas ļauj izmantot resursdatora sistēmas grafikas paātrinājumu smilškastes vidē. Tas uzlabo saskarnes un dažu lietojumprogrammu veiktspēju, lai gan nedaudz palielina uzbrukuma virsmu.
Tīkla līmenī smilškaste sākas ar savienojamība ir iespējota Tas tiek panākts, izmantojot virtuālu Hyper-V slēdzi un saistītu virtuālo tīkla saskarnes karti (NIC). Tas ļauj pārlūkot internetu, lejupielādēt instalētājus vai piekļūt tiešsaistes resursiem tieši no izolētas vides.
Audio ieeja (mikrofons) parasti ir iespējota, ļaujot iekšējām lietojumprogrammām uztvert skaņu no resursdatora, ja nepieciešams. Tomēr video ieeja (kamera) Tas ir atspējots, lai neļautu lietojumprogrammām smilšu kastē bez kontroles piekļūt datora tīmekļa kamerai.
Drošības apsvērumu dēļ printera pāradresācija paliek atspējota, kamēr Koplietotā starpliktuve ir iespējotaŠī pēdējā funkcija ļauj ērti kopēt un ielīmēt tekstu un failus starp parasto Windows un smilšu kasti.
.wsb faili: papildu izolācijas iestatījumi
Ja vēlaties spert soli tālāk, Windows Sandbox atbalsta konfigurācijas faili ar paplašinājumu .wsbŠie faili, kas rakstīti vienkāršā XML formātā, ļauj pielāgot izolētās vides darbību, nepieskaroties papildu iekšējās sistēmas opcijām.
Pamata .wsb fails sastāv no saknes taga un tā slēgšana Šie iestatījumi ietver dažādus konfigurācijas blokus. Cita starpā varat kontrolēt vGPU izmantošanu, tīklu, koplietotās mapes, startēšanas komandas, audio, video, uzlaboto drošību, printerus, starpliktuvi un piešķirto atmiņu.
Lai to izveidotu, vienkārši atveriet vienkāršu teksta redaktoru, piemēram, Piezīmju bloks vai Visual Studio kodsUzrakstiet nepieciešamo konfigurācijas struktūru un saglabājiet dokumentu ar paplašinājumu .wsb (piemēram, "MySandbox.wsb"). Saglabājot programmā Notepad, ir svarīgi iekļaut nosaukumu pēdiņās, lai tas respektētu paplašinājumu.
Kad vēlaties palaist smilškastes vidi ar šo konkrēto konfigurāciju, jums vienkārši ir jādara veiciet dubultklikšķi uz .wsb failaWindows atvērs smilškastes logu, piemērojot visus failā definētos parametrus. Varat to palaist arī no komandrindas, ievadot faila ceļu.
Šī sistēma atvieglo vairāku izolētu telpu "veidņu" izveidi, piemēram, vienu ar atspējotu tīklu un tikai lasāmu lejupielāžu mapi, otru ar lielāku atmiņu intensīvai testēšanai vai trešo ar startēšanas skriptu, kas automatizē programmatūras instalēšanu katru reizi.
Svarīgākās konfigurācijas opcijas
Viena no .wsb faila atslēgām ir direktīva kas ļauj iespējot vai atspējot virtualizēto GPUIzmantojot “Enable” (Iespējot), Sandbox sistēmai tiek piešķirta piekļuve resursdatora grafikas paātrinājumam, savukārt, “Disable” (Atspējot), tiek piespiesta izmantot programmatūras renderēšanu (WARP), kas ir drošāka, bet parasti lēnāka.
Etiķete Kontrolē tīkla darbību. Ar “Iespējot” tiek piešķirta pilnīga savienojamība; ar “Atspējot” tiek izveidota pilnīga “smilškaste”. Kad savienojums ir atvienots, tas ir ideāli piemērots ļaunprogrammatūras palaišanai. kas mēģina sazināties ar ārpasauli; un ar “Noklusējuma” tiek lietota standarta konfigurācija, kas iespējo tīklošanu, izmantojot Hyper-V virtuālo slēdzi.
Caur Varat norādīt resursdatora mapju kolekciju, kas tiks koplietota ar smilškasti. Katra ietver ceļu uz resursdatora ( ), mērķa mape smilškastē ( ) un, pēc izvēles, etiķeti lai izveidotu tikai lasīšanas vai lasīšanas/rakstīšanas piekļuvi.
Ar un jūs varat definēt komanda vai skripts, kas darbojas automātiski kad sesija sākas smilškastē. Tas ir ļoti noderīgi instalētāju, konfigurācijas skriptu vai testēšanas rīku palaišanai, to nedarot manuāli katrā startēšanas reizē.
Turklāt jums ir iespējas pārvaldīt audio ievadi ( ), video ( ), aizsargāts klienta režīms ( ), printera pāradresācija ( ) un starpliktuvē ( ), tādējādi pielāgojot līdzsvaru starp komfortu un izolāciju atbilstoši jūsu vajadzībām katrā scenārijā.
Pielāgojiet smilškastes atmiņu un resursus
Etiķete ļauj norādīt, RAM apjoms, ko smilškaste var izmantot, izteikts megabaitos. Piemēram, 4096 — 4 GB, 8192 — 8 GB, 12288 — 12 GB vai 16384 — 16 GB, ja jūsu aparatūrai ir pietiekami daudz atmiņas.
Ja iestatāt vērtību, kas ir pārāk zema, lai Sandbox varētu startēt, Windows automātiski palielinās skaitli, līdz tas sasniegs minimālā tehniskā prasība, kas parasti ir 2048 MBPat ja tā, ieteicams nenovērtēt par zemu prasības, lai izvairītos no aiztures, palaižot prasīgas lietojumprogrammas.
Paturiet prātā, ka smilškastes videi piešķirtā atmiņa tiek īslaicīgi atņemta no resursdatora pieejamās atmiņas, tāpēc ieteicams... Pielāgojiet vērtību, pamatojoties uz faktiski instalēto RAMPiemēram, datorā ar 8 GB varētu būt lietderīgi piešķirt 4096 MB, lai galvenā sistēma netiktu pārāk ierobežota.
Apvienojot Izmantojot vGPU un tīkla konfigurāciju, varat izveidot dažādus lietošanas profilus: sākot ar vieglu un īpaši drošu vidi ar atspējotu tīklu un GPU, līdz jaudīgai smilškastei ar daudziem resursiem, kas rezervēti prasīgiem testiem.
Šis kontroles līmenis padara Windows Sandbox par diezgan elastīgu rīku, kas spēj pielāgoties abiem lietotāji, kuri vēlas tikai ātru "smilškastes" versiju kā arī profesionāļiem, kuriem nepieciešams reproducēt ļoti specifiskas testa vides.
Pateicoties šai pieejai, Windows Sandbox ir kļuvusi par vienu no vienkāršākajiem veidiem, kā Konfigurējiet reālu izolāciju testēšanai operētājsistēmā Windows, apvienojot ērtības, ko sniedz integrācija sistēmā, ar aparatūras izolācijas stabilitāti un .wsb konfigurācijas failu elastību.
