Mit der neuen Sandbox-Funktion von Windows 10 können Sie aus dem Internet heruntergeladene Programme und Dateien sicher testen, indem Sie sie in einem sicheren Container ausführen. Es ist einfach zu verwenden, aber seine Einstellungen sind in einer textbasierten Konfigurationsdatei vergraben.
Inhaltsverzeichnis
Windows Sandbox ist einfach zu verwenden, wenn Sie es haben
Diese Funktion ist Teil des Mai 2019-Updates von Windows 10. Nachdem Sie das Update installiert haben, müssen Sie auch die Professional-, Enterprise- oder Education-Editionen von Windows 10 verwenden. Es ist unter Windows 10 Home nicht verfügbar. Wenn es jedoch auf Ihrem System verfügbar ist, können Sie die Sandbox-Funktion einfach aktivieren und dann über das Startmenü starten.
Sandbox wird gestartet, erstellt eine Kopie Ihres aktuellen Windows-Betriebssystems, entfernt den Zugriff auf Ihre persönlichen Ordner und bietet Ihnen einen sauberen Windows-Desktop mit Internetzugang. Bevor Microsoft diese Konfigurationsdatei hinzugefügt hat, konnten Sie Sandbox überhaupt nicht anpassen. Wenn Sie keinen Internetzugang wollten, mussten Sie ihn normalerweise direkt nach dem Start deaktivieren. Wenn Sie Zugriff auf Dateien auf Ihrem Hostsystem benötigten, mussten Sie diese kopieren und in die Sandbox einfügen. Und wenn Sie bestimmte Programme von Drittanbietern installieren wollten, mussten Sie diese nach dem Start von Sandbox installieren.
Da Windows Sandbox seine Instanz beim Schließen vollständig löscht, mussten Sie diesen Anpassungsprozess bei jedem Start durchführen. Das sorgt einerseits für ein sichereres System. Wenn etwas schief geht, schließen Sie die Sandbox und alles wird gelöscht. Auf der anderen Seite, wenn Sie regelmäßig Änderungen vornehmen müssen, wird es schnell frustrierend, dies bei jedem Start tun zu müssen.
Um dieses Problem zu beheben, hat Microsoft eine Konfigurationsfunktion für Windows Sandbox eingeführt. Mithilfe von XML-Dateien können Sie Windows Sandbox mit festgelegten Parametern starten. Sie können die Einschränkungen der Sandbox verschärfen oder lockern. Sie können beispielsweise die Internetverbindung deaktivieren, freigegebene Ordner mit Ihrer Hostkopie von Windows 10 konfigurieren oder ein Skript ausführen, um Anwendungen zu installieren. Die Optionen sind in der ersten Version der Sandbox-Funktion etwas eingeschränkt, aber Microsoft wird wahrscheinlich in zukünftigen Updates zu Windows 10 mehr hinzufügen.
So konfigurieren Sie die Windows-Sandbox
Ihre Sandkastenkopie von Windows 10 kann auf einen freigegebenen Ordner auf Ihrem Host-Betriebssystem zugreifen.
In dieser Anleitung wird davon ausgegangen, dass Sie Sandbox bereits für den allgemeinen Gebrauch eingerichtet haben. Wenn Sie dies noch nicht getan haben, müssen Sie es zuerst im Dialogfeld Windows-Funktionen aktivieren.
Um zu beginnen, benötigen Sie Notepad oder Ihren bevorzugten Texteditor – wir mögen Notizblock++– und eine leere neue Datei. Sie erstellen eine XML-Datei für die Konfiguration. Während die Vertrautheit mit dem XML-Codierungssprache ist hilfreich, es ist nicht notwendig. Sobald Sie Ihre Datei angelegt haben, speichern Sie sie mit der Erweiterung .wsb (denken Sie an Windows Sand Box). Ein Doppelklick auf die Datei startet Sandbox mit der angegebenen Konfiguration.
Wie erklärt von Microsoft, haben Sie bei der Konfiguration der Sandbox mehrere Optionen zur Auswahl. Sie können die vGPU (virtualisierte GPU) aktivieren oder deaktivieren, das Netzwerk ein- oder ausschalten, einen freigegebenen Hostordner angeben, Lese-/Schreibberechtigungen für diesen Ordner festlegen oder beim Start ein Skript ausführen.
Mit dieser Konfigurationsdatei können Sie die virtualisierte GPU deaktivieren (standardmäßig aktiviert), das Netzwerk ausschalten (standardmäßig aktiviert), einen freigegebenen Hostordner angeben (Sandbox-Apps haben standardmäßig keinen Zugriff darauf), das Lesen festlegen /Schreibberechtigungen für diesen Ordner und/oder ein Skript beim Start ausführen
Öffnen Sie zunächst Notepad oder Ihren bevorzugten Texteditor und beginnen Sie mit einer neuen Textdatei. Fügen Sie den folgenden Text hinzu:
Alle Optionen, die Sie hinzufügen, müssen zwischen diesen beiden Parametern liegen. Sie können nur eine Option oder alle hinzufügen – Sie müssen nicht jede einzelne hinzufügen. Wenn Sie keine Option angeben, wird die Standardeinstellung verwendet.
So deaktivieren Sie die virtuelle GPU oder das Netzwerk
Wie Microsoft betont, erhöht die Aktivierung der virtuellen GPU oder des Netzwerks die Möglichkeiten, die bösartige Software nutzen kann, um aus der Sandbox auszubrechen. Wenn Sie also etwas testen, worüber Sie sich besonders Sorgen machen, ist es möglicherweise ratsam, sie zu deaktivieren.
Um die standardmäßig aktivierte virtuelle GPU zu deaktivieren, fügen Sie Ihrer Konfigurationsdatei den folgenden Text hinzu.
Disable
Um den standardmäßig aktivierten Netzwerkzugriff zu deaktivieren, fügen Sie den folgenden Text hinzu.
Disable
So ordnen Sie einen Ordner zu
Um einen Ordner zuzuordnen, müssen Sie genau angeben, welchen Ordner Sie freigeben möchten, und dann angeben, ob der Ordner schreibgeschützt sein soll oder nicht.
Das Zuordnen eines Ordners sieht so aus:
C:UsersPublicDownloads true
HostFolder ist der Ort, an dem Sie den bestimmten Ordner auflisten, den Sie freigeben möchten. Im obigen Beispiel wird der auf Windows-Systemen gefundene öffentliche Download-Ordner freigegeben. ReadOnly legt fest, ob Sandbox in den Ordner schreiben kann oder nicht. Setzen Sie ihn auf true, um den Ordner schreibgeschützt zu machen, oder auf false, um ihn beschreibbar zu machen.
Beachten Sie jedoch, dass Sie Ihr System im Wesentlichen gefährden, indem Sie einen Ordner zwischen Ihrem Host und der Windows-Sandbox verknüpfen. Wenn Sie der Sandbox Schreibzugriff gewähren, erhöht sich dieses Risiko. Wenn Sie etwas testen, von dem Sie glauben, dass es bösartig ist, sollten Sie diese Option nicht verwenden.
So führen Sie ein Skript beim Start aus
Schließlich können Sie benutzerdefinierte erstellte Skripte oder grundlegende Befehle ausführen. Sie könnten beispielsweise die Sandbox zwingen, beim Start einen zugeordneten Ordner zu öffnen. Das Erstellen dieser Datei würde so aussehen:
C:UsersPublicDownloads true explorer.exe C:usersWDAGUtilityAccountDesktopDownloads
WDAGUtilityAccount ist der Standardbenutzer für Windows Sandbox, sodass Sie immer darauf verweisen, wenn Sie Ordner oder Dateien als Teil eines Befehls öffnen.
Leider scheint die LogonCommand-Option im kurz vor der Veröffentlichung befindlichen Build des Windows 10-Updates vom Mai 2019 nicht wie beabsichtigt zu funktionieren. Es hat überhaupt nichts gebracht, selbst als wir das Beispiel in der Dokumentation von Microsoft verwendet haben. Microsoft wird diesen Fehler wahrscheinlich bald beheben.
So starten Sie Sandbox mit Ihren Einstellungen
Wenn Sie fertig sind, speichern Sie Ihre Datei und geben Sie ihr die Dateierweiterung .wsb. Wenn Ihr Texteditor es beispielsweise als Sandbox.txt speichert, speichern Sie es als Sandbox.wsb. Um die Windows Sandbox mit Ihren Einstellungen zu starten, doppelklicken Sie auf die .wsb-Datei. Sie können es auf Ihrem Desktop ablegen oder im Startmenü eine Verknüpfung dazu erstellen.
Zur Vereinfachung können Sie diese DisabledNetwork-Datei herunterladen, um einige Schritte zu sparen. Die Datei hat eine txt-Erweiterung, benennen Sie sie in eine .wsb-Dateierweiterung um, und Sie können Windows Sandbox starten.