Windows 10:s nya sandlådefunktion erbjuder ett säkert sätt att undersöka program och filer som laddas ner från internet. Detta sker genom att köra dem i en isolerad och skyddad miljö. Användningen är enkel, men dess inställningar är gömda i en textbaserad konfigurationsfil.
Enkel användning av Windows Sandbox för de som har tillgång
Denna funktion är integrerad i Windows 10:s maj 2019-uppdatering. För att använda den, krävs Professional-, Enterprise- eller Education-utgåvorna av Windows 10. Windows 10 Home-användare har inte tillgång till den här funktionen. För de som har rätt utgåva kan Sandbox enkelt aktiveras och startas från startmenyn.
När Sandbox startas skapas en kopia av ditt befintliga Windows-operativsystem. Denna kopia saknar tillgång till dina personliga mappar och ger dig en ren Windows-skrivbordsmiljö med internetanslutning. Tidigare, innan konfigurationsfilen introducerades, fanns det ingen möjlighet att anpassa Sandbox. Om du inte behövde internetanslutning behövde du stänga av det direkt efter start. Om du behövde filer från ditt värdsystem var du tvungen att kopiera och klistra in dem i Sandbox. Och för att installera tredjepartsprogram behövde du göra det efter att Sandbox hade startats.
Eftersom Windows Sandbox raderar sin instans vid stängning, behövde anpassningen upprepas vid varje start. Det ökade säkerheten, eftersom alla ändringar och potentiella problem försvann vid stängning. Men om anpassning var nödvändig ofta, blev processen frustrerande.
För att underlätta detta introducerade Microsoft en konfigurationsfunktion för Windows Sandbox. Genom att använda XML-filer kan du starta Windows Sandbox med förinställda parametrar. Du kan anpassa sandlådans begränsningar, exempelvis inaktivera internetanslutningen, konfigurera delade mappar med din värdkopia av Windows 10, eller köra skript för att installera applikationer. Funktionerna är begränsade i den första versionen, men det är sannolikt att Microsoft kommer att inkludera fler i framtida uppdateringar.
Konfigurera Windows Sandbox
Din Sandbox-instans av Windows 10 kan få tillgång till en delad mapp på ditt värdoperativsystem.
Denna guide förutsätter att Sandbox redan är konfigurerad. Om inte, behöver du aktivera den via dialogrutan för Windows-funktioner.
För att börja behöver du Anteckningar eller en annan textredigerare – vi föredrar Notepad++ – och en ny, tom fil. Här ska du skapa en XML-konfigurationsfil. Viss kännedom om XML-kodning är fördelaktigt men inte nödvändigt. Spara filen med filändelsen .wsb (Windows Sand Box). Ett dubbelklick på filen startar Sandbox med dina konfigurationsinställningar.
Som Microsoft förklarar, finns det flera alternativ att välja mellan när sandlådan konfigureras. Du kan aktivera eller inaktivera vGPU (virtualiserad GPU), slå på eller av nätverket, ange en delad värdmapp, ange skriv-/läsbehörigheter för den mappen eller köra ett skript vid start.
Med konfigurationsfilen kan du inaktivera den virtualiserade grafikprocessorn (som är aktiverad som standard), stänga av nätverket (som är aktiverat som standard), ange en delad värdmapp (Sandbox-appar har ingen standardåtkomst), ställa in skriv-/läsbehörigheter för den mappen och/eller köra ett skript vid start.
Börja med att öppna Anteckningar eller din textredigerare och skapa en ny textfil. Lägg till följande text:
<configuration/>
Alla alternativ du lägger till måste placeras mellan dessa två taggar. Du kan välja att lägga till ett eller flera alternativ – du behöver inte inkludera alla. Om du inte specificerar ett alternativ används standardinställningen.
Inaktivera den virtuella grafikprocessorn eller nätverket
Som Microsoft framhåller, ökar risken för att skadlig programvara bryter sig ut från sandlådan om den virtuella grafikprocessorn eller nätverket är aktiverat. Om du testar något som du är orolig för kan det därför vara klokt att inaktivera dessa funktioner.
För att inaktivera den virtuella GPU:n, som är aktiverad som standard, lägg till följande text i din konfigurationsfil:
<vgpu>Disable</vgpu>
För att inaktivera nätverksåtkomst, som också är aktiverad som standard, lägg till följande text:
<networking>Disable</networking>
Mappa en mapp
För att mappa en mapp måste du ange vilken mapp du vill dela och sedan ange om mappen ska vara skrivskyddad eller inte.
En mappmappning ser ut så här:
<mappedfolders><mappedfolder><hostfolder>C:UsersPublicDownloads</hostfolder><readonly>true</readonly></mappedfolder></mappedfolders>
HostFolder anger vilken specifik mapp du vill dela. I exemplet ovan delas mappen ”Public Downloads” på Windows-systemet. ReadOnly anger om Sandbox kan skriva till mappen eller inte. Sätt den till true för att göra mappen skrivskyddad eller false för att tillåta skrivning.
Tänk på att du i princip skapar risker för ditt system genom att länka en mapp mellan ditt värdsystem och Windows Sandbox. Att ge Sandbox skrivåtkomst ökar den risken. Om du testar något som du misstänker är skadligt bör du undvika det här alternativet.
Kör ett skript vid start
Slutligen kan du köra skräddarsydda skript eller kommandon. Du kan exempelvis tvinga sandlådan att öppna en mappad mapp vid start. Det motsvarande filinnehållet skulle se ut så här:
<mappedfolders><mappedfolder><hostfolder>C:UsersPublicDownloads</hostfolder><readonly>true</readonly></mappedfolder></mappedfolders><logoncommand><command>explorer.exe C:usersWDAGUtilityAccountDesktopDownloads</command></logoncommand>
WDAGUtilityAccount är standardanvändaren för Windows Sandbox. Därför kommer du alltid att referera till den när du öppnar mappar eller filer som en del av ett kommando.
I den tidiga versionen av Windows 10 maj 2019-uppdatering verkar alternativet LogonCommand inte fungera som det ska. Det gjorde inget alls, inte ens med exemplet från Microsofts dokumentation. Det är troligt att Microsoft kommer att åtgärda det här felet snart.
Starta Sandbox med dina inställningar
När du är klar med din konfiguration, spara filen med filändelsen .wsb. Om din textredigerare till exempel sparar den som Sandbox.txt, döp om den till Sandbox.wsb. För att starta Windows Sandbox med dina inställningar, dubbelklicka på .wsb-filen. Du kan placera filen på skrivbordet eller skapa en genväg till den i Start-menyn.
För din bekvämlighet kan du ladda ner den här filen för inaktiverat nätverk och spara lite tid. Filen har filändelsen .txt, byt namn på den med filändelsen .wsb så är du redo att starta Windows Sandbox.