Tính năng Sandbox mới trong hệ thống Windows 10 cho phép bạn kiểm tra an toàn các chương trình và tệp được tải xuống từ Internet bằng cách chạy chúng trong vùng chứa an toàn. Nó rất dễ sử dụng, nhưng cài đặt của nó bị ẩn trong tệp cấu hình văn bản.
Windows Hộp cát rất dễ sử dụng nếu bạn có nó
Tính năng này là một phần của bản cập nhật hệ thống Windows May 10, 2019 Sau khi cài đặt bản cập nhật, bạn cũng phải đang sử dụng các phiên bản Professional, Enterprise hoặc Education của hệ thống Windows 10. Không có sẵn trong hệ thống Windows 10 Nhà. Nhưng nếu nó có sẵn trên hệ thống của bạn, bạn có thể dễ dàng kích hoạt Sandbox rồi khởi chạy nó từ menu Start.
Hộp cát sẽ khởi chạy, nó sẽ tạo một bản sao của hệ điều hành hiện tại của bạn Windowsnó sẽ xóa quyền truy cập vào các thư mục cá nhân của bạn và cung cấp cho bạn một màn hình sạch Windows với truy cập internet. Trước khi Microsoft thêm tệp cấu hình này, bạn hoàn toàn không thể tùy chỉnh Sandbox. Nếu bạn không muốn truy cập Internet, bạn thường phải tắt nó ngay sau khi khởi động. Nếu cần truy cập các tệp trên hệ thống máy chủ, bạn cần sao chép và dán chúng vào Hộp cát. Và nếu bạn muốn cài đặt các chương trình cụ thể của bên thứ ba, bạn phải cài đặt chúng sau khi khởi chạy Sandbox.
Tại vì Windows Hộp cát xóa hoàn toàn phiên bản của nó khi nó đóng lại, bạn phải trải qua quá trình tùy chỉnh này mỗi khi chạy nó. Một mặt, điều này cung cấp một hệ thống an toàn hơn. Nếu xảy ra sự cố, hãy đóng hộp cát và mọi thứ sẽ bị xóa. Mặt khác, nếu bạn phải thực hiện các thay đổi một cách thường xuyên, việc thực hiện nó mỗi khi bạn chạy nhanh sẽ trở nên khó chịu.
Để giảm thiểu vấn đề này, Microsoft đã giới thiệu một tính năng cấu hình cho Windows hộp cát. Sử dụng các tệp XML, bạn có thể chạy Windows Hộp cát với các tham số đã đặt. Bạn có thể thắt chặt hoặc nới lỏng các giới hạn hộp cát. Ví dụ: bạn có thể tắt kết nối Internet, thiết lập thư mục dùng chung với bản sao của máy chủ hệ thống Windows 10 hoặc chạy tập lệnh để cài đặt ứng dụng. Các tùy chọn bị hạn chế một chút trong phiên bản đầu tiên của tính năng Hộp cát, nhưng Microsoft có thể sẽ bổ sung thêm trong các bản cập nhật hệ thống trong tương lai Windows 10.
Làm thế nào để cấu hình Windows hộp cát
Bản sao hệ thống của bạn Windows 10 ở chế độ hộp cát có thể truy cập thư mục dùng chung trong hệ điều hành máy chủ.
Hướng dẫn này giả định rằng bạn đã thiết lập hộp cát để sử dụng chung. Nếu bạn chưa có, trước tiên bạn cần bật nó trong hộp thoại Tính năng hệ thống Windows.
Để bắt đầu, bạn cần Notepad hoặc trình soạn thảo văn bản yêu thích của bạn – chúng tôi thích Notepad++ – và một tệp mới trống. Bạn sẽ tạo một tệp XML để cấu hình. Kiến thức về nền tảng Ngôn ngữ mã hóa XML là hữu ích, không cần thiết. Khi đã có tệp, bạn sẽ lưu tệp đó với phần mở rộng .wsb (ví dụ: Windows hộp cát). Nhấp đúp vào tệp sẽ khởi chạy Hộp cát với cấu hình đã chỉ định.
Theo giải thích của Microsoft, bạn có một số tùy chọn để chọn khi thiết lập hộp cát. Bạn có thể bật hoặc tắt vGPU (GPU ảo hóa), bật hoặc tắt mạng, chỉ định thư mục máy chủ được chia sẻ, đặt quyền đọc/ghi trên thư mục đó hoặc chạy tập lệnh khi khởi động.
Sử dụng tệp cấu hình này, bạn có thể tắt GPU ảo hóa (được bật theo mặc định), tắt mạng (được bật theo mặc định), chỉ định thư mục máy chủ được chia sẻ (ứng dụng hộp cát không có quyền truy cập vào bất kỳ ứng dụng nào theo mặc định), thiết lập read/ ghi quyền trên thư mục đó và/hoặc chạy tập lệnh khi khởi động
Đầu tiên, mở Notepad hoặc trình soạn thảo văn bản yêu thích của bạn và bắt đầu với một tệp văn bản mới. Thêm văn bản sau:
Mọi tùy chọn bạn thêm phải nằm giữa hai tham số này. Bạn có thể chỉ thêm một tùy chọn hoặc tất cả các tùy chọn đó – bạn không cần phải thêm tất cả các tùy chọn đó. Nếu bạn không chỉ định một tùy chọn, mặc định sẽ được sử dụng.
Cách tắt GPU hoặc kết nối mạng ảo
Như Microsoft lưu ý, việc bật hỗ trợ mạng hoặc GPU ảo sẽ làm tăng khả năng phần mềm độc hại có thể sử dụng để thoát khỏi hộp cát. Vì vậy, nếu bạn đang thử nghiệm thứ gì đó mà bạn đặc biệt quan tâm, bạn nên tắt chúng đi.
Để tắt GPU ảo, được bật theo mặc định, hãy thêm văn bản sau vào tệp cấu hình.
Disable
Để tắt truy cập mạng, được bật theo mặc định, hãy thêm văn bản sau.
Disable
Cách ánh xạ một thư mục
Để ánh xạ thư mục, bạn cần chỉ định chính xác thư mục bạn muốn chia sẻ, sau đó chỉ định xem bạn có muốn thư mục ở chế độ chỉ đọc hay không.
Ánh xạ thư mục trông như thế này:
C:UsersPublicDownloadstrue
HostFolder là nơi bạn chỉ định thư mục cụ thể mà bạn muốn chia sẻ. Trong ví dụ trên, thư mục Tải xuống chung được tìm thấy trên các hệ thống được chia sẻ Windows. ReadOnly xác định xem Sandbox có thể ghi vào thư mục hay không. Đặt nó thành true để đặt thư mục ở chế độ chỉ đọc hoặc false thành chỉ ghi.
Chỉ cần lưu ý rằng về cơ bản, bạn đang đặt rủi ro vào hệ thống của mình bằng cách hợp nhất thư mục giữa Máy chủ và Windows hộp cát. Cấp quyền truy cập ghi hộp cát làm tăng rủi ro này. Nếu bạn đang thử nghiệm bất kỳ thứ gì mà bạn cho là có thể độc hại, thì bạn không nên sử dụng tùy chọn này.
Cách chạy tập lệnh khi khởi động
Cuối cùng, bạn có thể chạy tập lệnh tùy chỉnh hoặc lệnh cơ bản. Ví dụ: bạn có thể buộc sandbox mở một thư mục được ánh xạ khi khởi động. Tạo tập tin này sẽ trông như thế này:
C:UsersPublicDownloadstrueexplorer.exe C:usersWDAGUtilityAccountDesktopDownloads
WDAGUtilityAccount là người dùng mặc định cho Windows Hộp cát để bạn luôn được thông báo khi mở thư mục hoặc tệp trong một lệnh.
Thật không may, trong phiên bản cập nhật hệ thống gần như được phát hành Windows Ngày 10 tháng 5 năm 2019 LogonCommand không hoạt động như dự định. Nó không làm gì cả, ngay cả khi chúng tôi sử dụng một ví dụ trong tài liệu của Microsoft. Microsoft có thể sẽ sửa lỗi này sớm.
Cách chạy hộp cát với cài đặt
Khi hoàn tất, hãy lưu tệp và cung cấp cho nó phần mở rộng .wsb. Ví dụ: nếu trình soạn thảo văn bản của bạn lưu dưới dạng Sandbox.txt, hãy lưu dưới dạng Sandbox.wsb. Chạy Windows Hộp cát với cài đặt, nhấp đúp vào tệp .wsb. Bạn có thể đặt nó trên màn hình của mình hoặc tạo lối tắt cho nó trong menu Bắt đầu.
Để thuận tiện cho bạn, bạn có thể tải xuống tệp DisabledNetwork này để tiết kiệm cho mình một vài bước. Tệp có phần mở rộng txt, đổi tên tệp thành phần mở rộng tệp .wsb và bạn có thể chạy Windows hộp cát.
