Замкнутая программная среда в windows

Песочница — это новый легковесный инструмент в ОС Windows, позволяющий запускать приложения в безопасном изолированном окружении.

Случалось ли Вам оказаться в ситуации, когда необходимо запустить какую-то программу, но Вы не совсем уверены в источнике её происхождения? Или другой пример — необходимость проверить что-то на «чистой» версии Windows. Во всех подобных случаях раньше был только один выход — установить ОС на отдельную физическую или виртуальную машину и провести нужный эксперимент. Но это больше не так.

Microsoft разработал новый механизм под названием Песочница (eng. Windows Sandbox). Это изолированное временное окружение, в котором Вы можете запускать подозрительное программное обеспечение без риска навредить своему ПК. Любое ПО, установленное в Песочнице, остаётся только в Песочнице и не может взаимодействовать с основной ОС. Как только Вы закрываете Песочницу — всё её содержимое безвозвратно уничтожается.

Вот основные особенности Песочницы:

• Это часть ОС Windows. Если у Вас Windows 10 Pro или Enterprise, то Вы уже можете начать ею пользоваться.
• С чистого листа. При каждом запуске Песочницы Вы получаете одно и то же, чистое, неизменное окружение. В точности такое, какой была Ваша ОС сразу после её установки.
• Никаких следов. При закрытии Песочницы уничтожаются все установленные в ней приложения, все созданные там файлы. Закрыли Песочницу — не осталось никаких следов её существования.
• Безопасность. Используется аппаратная виртуализация, которая использует гипервизор для запуска отдельного ядра ОС и изолирует его от Вашей основной ОС
• Эффективность. Используется интегрированный планировщик задач, умное управление памятью, виртуальный GPU.

Системные требования

• Windows 10 Pro или Enterprise, билд 18305 или выше
• Архитектура AMD64
• Включенная в BIOS виртуализация
• Минимум 4 ГБ (рекомендовано 8 ГБ) оперативной памяти
• Минимум 1 ГБ свободного места на диске (рекомендуется SSD)
• Процессор с двумя ядрами (рекомендуется 4 с поддержкой hyper-threading)

Быстрый старт

1. Установите Windows 10 Pro или Enterprise, билд 18305 или выше

2. Включите виртуализацию:

• Если Вы работаете на физической машине — сделайте это в BIOS
• Если Вы работаете на виртуальной машине — используйте следующую PowerShell команду:

  Set-VMProcessor -VMName <VMName> -ExposeVirtualizationExtensions $true

3. Откройте (через Панель Управления) список установленных компонентов Windows и включите в нём Песочницу. Нажмите ОК. Если увидите запрос на перезагрузку компьютера — подтвердите его.

4. Запустите Песочницу из меню Пуск. Разрешите повышение прав для её процесса.

5. Скопируйте (через буфер обмена) в Песочницу бинарник, который хотите запустить.

6. Запустите бинарник в Песочнице. Если это инсталлятор — пройдите процедуру установки и запустите установленное приложение.

7. Используйте приложение по назначению.

8. Когда закончите — просто закройте Песочницу. Всё её содержимой будет удалено.

9. Опционально — можете убедиться, что в Вашей основной ОС ничего не изменилось.

Что под капотом у Песочницы

Песочница Windows построена на технологии, которая называется Windows Containers. Контейнеры разрабатывались (и давно используются) для работы в облаке. Microsoft взял уже достаточно зрелую и протестированную технологию и доработал её для пользователей десктопной Windows.

Среди ключевых адаптаций можно отметить:

Динамически генерируемый образ

Песочница является хотя и легковесной, но всё же виртуальной машиной. И, как любой виртуальной машине, ей требуется образ, с которого она может загрузится. Важнейшей особенностью Песочницы является то, что Вам не нужно откуда-то качать или создавать этот образ. Он создастся на лету, из файлов вашей текущей ОС Windows.

Мы хотим всегда получить одно и то же «чистое» окружение для Песочницы. Но есть проблема: некоторые системные файлы могут меняться. Решением было создание «динамически генерируемого образа»: для изменённых файлов в него будут включаться их оригинальные версии, но вот неизменные файлы физически в этот образ входить не будут. Вместо них будут использоваться ссылки на реальные файлы на диске. Как показала практика — такими ссылками будут большинство файлов в образе. Лишь малая их часть (около 100 МБ) войдут в образ полностью — это и будет его размер. Более того, когда Вы не используете Песочницу, эти файлы хранятся в сжатом виде и занимают около 25 МБ. При запуске Песочницы они разворачиваются в тот самый «динамический образ» размером около 100 МБ.

Умное управление памятью

Управление памятью для Песочницы — ещё одно важное усовершенствование. Гипервизор позволяет запускать на одной физической машине несколько виртуальных и это, в общем, неплохо работает на серверах. Но, в отличии от серверов, ресурсы обычных пользовательских машин значительно более ограничены. Для достижения приемлемого уровня производительности Microsoft разработал специальный режим работы памяти, при котором основная ОС и Песочница могут с некоторых случаях использовать одни и те же страницы памяти.

В самом деле: поскольку основная ОС и Песочница запускают один и тот же образ ОС, то большинство системных файлах в них будут одни и те же, а значит нет смысла дважды загружать в память одинаковые библиотеки. Можно сделать это один раз в основной ОС, а когда тот же файл понадобится в памяти Песочнице — ей можно дать ссылку на ту же страницу. Конечно, требуются некоторые дополнительные меры для обеспечения безопасности подобного подхода, но Microsoft позаботилась об этом.

Интегрированный планировщик

В случае использования обычных виртуальных машин гипервизор контролирует работу виртуальных процессоров, работающих в них. Для Песочницы была разработана новая технология, которая называется «интегрированный планировщик», которая позволяет основной ОС решать когда и сколько ресурсов выделить Песочнице. Работает это так: виртуальный процессоры Песочницы работают как потоки внутри процесса Песочницы. В итоге они имеют те же «права», что и остальные потоки в вашей основной ОС. Если, к примеру, у вас работают какие-то высокоприоритетные потоки, то Песочница не будет отнимать у них много времени для выполнения своих задач, которые имеют нормальный приоритет. Это позволит пользоваться Песочницей, не замедляя работу критически важных приложений и сохраняя достаточную отзывчивость UI основной ОС, аналогично тому, как работает Linux KVM.

Главной задачей было сделать Песочницу с одной стороны просто обычным приложением, а с другой — дать гарантию её изоляции на уровне классических виртуальных машин.

Использование «снимков»

Как уже говорилось выше, Песочница использует гипервизор. Мы по сути запускаем одну копию Windows внутри другой. А это означает, что для её загрузки понадобится какое-то время. Мы можем тратить его при каждом запуске Песочницы, либо сделать это лишь раз, сохранив после загрузки всё состояние виртуальной ОС (изменившиеся файлы, память, регистры процессора) на диске. После этого мы сможем запускать Песочницу из данного снимка, экономя при этом время её старта.

Виртуализация графики

Аппаратная виртуализация графики — это ключ к плавному и быстрому пользовательскому интерфейсу, особенно для «тяжелых» в плане графики приложений. Однако, классические виртуальные машины изначально ограничены в возможностях напрямую использовать все ресурсы GPU. И здесь важную роль выполняют средства виртуализации графики, которые позволяют преодолеть данную проблему и в какой-то форме использовать аппаратную акселерацию в виртуальном окружении. Примером такой технологии может быть, например, Microsoft RemoteFX.

Кроме того, Microsoft активно работала с производителями графических систем и драйверов для того, чтобы интегрировать возможности виртуализации графики непосредственно в DirectX и WDDM (модель драйверов в ОС Windows).

В результате графика в Песочнице работает следующим образом:

• Приложение в Песочнице использует графические функции обычным образом, не зная кто и как будет их выполнять
• Графическая подсистема Песочницы, получив команды отрисовки графики, передаёт их основной ОС
• Основная ОС, получив команды отрисовки графики, воспринимает их так, как будто они пришли от локально запущенного приложения и соответствующим образом выполняет их, выделяя и управляя необходимыми ресурсами.

Это процесс можно изобразить так:

Это позволяет виртуальному окружению получать полноценный доступ к аппаратно акселерируемой графике, что даёт как прирост производительности, так и экономию некоторых ресурсов (например, заряда батареи для ноутбуков) в следствие того, что для отрисовки графики больше не используются тяжелые расчёты на CPU.

Использование батареи

Песочница имеет доступ к информации о заряде батареи и может оптимизировать свою работу для его экономии.

Отзывы и сообщения о проблемах

В любой новой технологии могут быть баги. Microsoft просит присылать сообщения о них и предложения новых фич через Feedback Hub.

Песочница Windows (оригинальное название Windows Sandbox) – это внедрённая в Windows 10, начиная с её версии 1903 , отделённая среда тестирования сомнительного ПО. Каждый раз запускаемая эта среда являет собой чистую Windows 10 той же версии 1903, но работающую с некоторыми ограничениями. В этой среде можно запускать скачанные с левых сайтов программы, применять твики кастомизации и вносить в систему прочие рискованные настройки, распаковывать подозрительные файлы, сёрфить по низкосортным сайтам.

И даже намеренно запускать вирусы и прочие зловреды. Песочница надёжно изолирована от среды реальной Windows 10: распространённое в первой зло уйдёт в небытие вместе с её закрытием и не проникнет в среду второй. Что являет собой Windows Sandbox? И как её активировать в Windows 10?

Что такое песочница Windows

Песочница ещё на стадии тестирования инсайдерских сборок готовящегося накопительного обновления за первое полугодие 2019 года произвела на инсайдеров фурор как реально стоящая системная новинка. Но, увы, долгое время после официального выпуска обновления работа Windows Sandbox в русскоязычных сборках Windows 10 1903 завершалась ошибкой. Microsoft потребовалось несколько месяцев, чтобы устранить эту ошибку. И вот уже мы можем беспрепятственно работать с песочницей.

Windows Sandbox – это не предустановленный изначально системный компонент, а активируемый по необходимости. Активирован он может быть в 64-битной Windows 10, начиная с редакции Pro и, как уже говорилось, начиная с версии 1903. Есть ещё требования, вытекающие из специфики работы гипервизоров:

Как видим, большая часть условий активации песочницы такие же, как и для активации штатного гипервизора Hyper-V . Ведь именно на технологии Microsoft Hyper-V базируется работа Windows Sandbox. Но песочница – это ограниченная среда виртуализации. Мы не можем экспериментировать с эмуляцией аппаратной части, не можем выбирать версию Windows, да и та, что есть, среда виртуальной «Десятки» являет собой эмулятор настоящей системы лишь в части использования классического функционала. В ней представлены только отдельные системные приложения формата UWP, нет Microsoft Store , и, соответственно, нет возможности устанавливать из него UWP-приложения.

Есть и другие ограничения в работе виртуальной системы песочницы — например, недоступность запуска системного управления дисками. То ли это временный баг, то ли специально задуманное ограничение – неизвестно. Но в любом случае в части переразметки дискового пространства в среде Windows Sandbox не поэкспериментируешь. Дисковое пространство являет собой единственный диск С небольшого размера.

Сообщение песочницы с реальной Windows 10 возможно только путём двустороннего копирования файлов. Никакие устройства информации компьютера, отображаемые в среде реальной «Десятки», не могут быть подключены к среде виртуальной системы. Как и не может быть никаких общих папок между системами. Доступ к Интернету в виртуальной системе песочницы обеспечивается автоматически создаваемым эмулятором сетевого устройства – адаптером Hyper-V.

Вне зависимости от того, активирована ли реальная Windows 10, виртуальная среда песочницы – это система в триальном режиме. Тестовая среда не рассчитана на персонализацию, а это единственное, на что влияет отсутствие активации из ограниченного круга возможностей изолированной среды.

Windows Sandbox – это приложение без каких-либо настроек. Мы используем это приложение как есть, всё, что нам доступно (возможно, пока что) – это возможность развернуть приложение на весь экран. И работать со средой песочницы, как в среде обычной Windows.

Принцип работы песочницы – сохранение изменений только до момента закрытия приложения, выключения или перезагрузки виртуальной системы. Из чего вытекает ещё одно ограничение: мы не сможем экспериментировать с настройками и софтом, требующим для внесения изменений перезагрузку системы или применение операций в режиме предзагрузки.

Такая вот у Windows 10 теперь есть песочница. Функция эта, безусловно, рассчитана на начинающих пользователей. Ну или пользователей опытных, однако не имеющих времени на активные эксперименты и работу с полноценными гипервизорами. И, кстати, ещё один недостаток обнаружат те, кто параллельно работает с полноценными гипервизорами – программами VirtualBox или VMware. Песочница конфликтует со сторонними программами виртуализации операционных систем. При активном компоненте Windows Sandbox виртуальные машины VirtualBox или VMware не будут запускаться. Песочницу надо будет деактивировать и отключить запуск Hyper-V в командной строке.

Как активировать песочницу

Чтобы активировать Windows Sandbox, жмём клавиши Win + X . Выбираем «Приложения и компоненты».

Кликаем ссылку «Программы и компоненты».

Далее жмём «Включение и отключение компонентов».

В перечне ищем пункт «Песочница Windows» и ставим галочку компонента.

Ожидаем применения изменений и перезагружаем компьютер.

Замкнутая среда windows 10

Вопрос

Для организации рабочего места АРМ СУФД (Система удаленного финансового документооборота) требуется настройка замкнутой программной среды (ЗПС) на клиентском рабочем месте. Для этого необходимо убрать из интерфейса все элементы, провоцирующие пользователя на попытку запуска программ, не включенных в состав ЗПС. В состав необходимых настроек входит запрет объектов на рабочем столе, исключение с кнопки «Пуск» команд «Поиск» и «Выполнить», запрет отображения общих групп программ. В предыдущих версиях Windows это реализовывалось изменением стандартных настроек Windows через групповые политики.

Для Windows 10 не удалось реализовать отключение поиска в меню «Пуск», чтобы поиском не находились программы и файлы, приложения типа gpedit.msc, regedit. Как это можно реализовать?

Удалось отключить в меню «Пуск» все программы и ярлыки, убрать везде вызов контекстного меню при нажатии правой кнопки мыши.

Ответы

Для организации рабочего места АРМ СУФД (Система удаленного финансового документооборота) требуется настройка замкнутой программной среды (ЗПС) на клиентском рабочем месте. Для этого необходимо убрать из интерфейса все элементы, провоцирующие пользователя на попытку запуска программ, не включенных в состав ЗПС. В состав необходимых настроек входит запрет объектов на рабочем столе, исключение с кнопки «Пуск» команд «Поиск» и «Выполнить», запрет отображения общих групп программ. В предыдущих версиях Windows это реализовывалось изменением стандартных настроек Windows через групповые политики.

Для Windows 10 не удалось реализовать отключение поиска в меню «Пуск», чтобы поиском не находились программы и файлы, приложения типа gpedit.msc, regedit. Как это можно реализовать?

Удалось отключить в меню «Пуск» все программы и ярлыки, убрать везде вызов контекстного меню при нажатии правой кнопки мыши.

То что вы называйте «ЗПС» называется «kiosk mode»:

This posting is provided «AS IS» with no warranties, and confers no rights.

Замкнутая среда windows 10

Question

Для организации рабочего места АРМ СУФД (Система удаленного финансового документооборота) требуется настройка замкнутой программной среды (ЗПС) на клиентском рабочем месте. Для этого необходимо убрать из интерфейса все элементы, провоцирующие пользователя на попытку запуска программ, не включенных в состав ЗПС. В состав необходимых настроек входит запрет объектов на рабочем столе, исключение с кнопки «Пуск» команд «Поиск» и «Выполнить», запрет отображения общих групп программ. В предыдущих версиях Windows это реализовывалось изменением стандартных настроек Windows через групповые политики.

Для Windows 10 не удалось реализовать отключение поиска в меню «Пуск», чтобы поиском не находились программы и файлы, приложения типа gpedit.msc, regedit. Как это можно реализовать?

Удалось отключить в меню «Пуск» все программы и ярлыки, убрать везде вызов контекстного меню при нажатии правой кнопки мыши.

Answers

Для организации рабочего места АРМ СУФД (Система удаленного финансового документооборота) требуется настройка замкнутой программной среды (ЗПС) на клиентском рабочем месте. Для этого необходимо убрать из интерфейса все элементы, провоцирующие пользователя на попытку запуска программ, не включенных в состав ЗПС. В состав необходимых настроек входит запрет объектов на рабочем столе, исключение с кнопки «Пуск» команд «Поиск» и «Выполнить», запрет отображения общих групп программ. В предыдущих версиях Windows это реализовывалось изменением стандартных настроек Windows через групповые политики.

Для Windows 10 не удалось реализовать отключение поиска в меню «Пуск», чтобы поиском не находились программы и файлы, приложения типа gpedit.msc, regedit. Как это можно реализовать?

Удалось отключить в меню «Пуск» все программы и ярлыки, убрать везде вызов контекстного меню при нажатии правой кнопки мыши.

То что вы называйте «ЗПС» называется «kiosk mode»:

This posting is provided «AS IS» with no warranties, and confers no rights.

Замкнутая среда windows 10

Вопрос

Для организации рабочего места АРМ СУФД (Система удаленного финансового документооборота) требуется настройка замкнутой программной среды (ЗПС) на клиентском рабочем месте. Для этого необходимо убрать из интерфейса все элементы, провоцирующие пользователя на попытку запуска программ, не включенных в состав ЗПС. В состав необходимых настроек входит запрет объектов на рабочем столе, исключение с кнопки «Пуск» команд «Поиск» и «Выполнить», запрет отображения общих групп программ. В предыдущих версиях Windows это реализовывалось изменением стандартных настроек Windows через групповые политики.

Для Windows 10 не удалось реализовать отключение поиска в меню «Пуск», чтобы поиском не находились программы и файлы, приложения типа gpedit.msc, regedit. Как это можно реализовать?

Удалось отключить в меню «Пуск» все программы и ярлыки, убрать везде вызов контекстного меню при нажатии правой кнопки мыши.

Ответы

Для организации рабочего места АРМ СУФД (Система удаленного финансового документооборота) требуется настройка замкнутой программной среды (ЗПС) на клиентском рабочем месте. Для этого необходимо убрать из интерфейса все элементы, провоцирующие пользователя на попытку запуска программ, не включенных в состав ЗПС. В состав необходимых настроек входит запрет объектов на рабочем столе, исключение с кнопки «Пуск» команд «Поиск» и «Выполнить», запрет отображения общих групп программ. В предыдущих версиях Windows это реализовывалось изменением стандартных настроек Windows через групповые политики.

Для Windows 10 не удалось реализовать отключение поиска в меню «Пуск», чтобы поиском не находились программы и файлы, приложения типа gpedit.msc, regedit. Как это можно реализовать?

Удалось отключить в меню «Пуск» все программы и ярлыки, убрать везде вызов контекстного меню при нажатии правой кнопки мыши.

То что вы называйте «ЗПС» называется «kiosk mode»:

This posting is provided «AS IS» with no warranties, and confers no rights.

Замкнутая среда windows 10

Вопрос

Для организации рабочего места АРМ СУФД (Система удаленного финансового документооборота) требуется настройка замкнутой программной среды (ЗПС) на клиентском рабочем месте. Для этого необходимо убрать из интерфейса все элементы, провоцирующие пользователя на попытку запуска программ, не включенных в состав ЗПС. В состав необходимых настроек входит запрет объектов на рабочем столе, исключение с кнопки «Пуск» команд «Поиск» и «Выполнить», запрет отображения общих групп программ. В предыдущих версиях Windows это реализовывалось изменением стандартных настроек Windows через групповые политики.

Для Windows 10 не удалось реализовать отключение поиска в меню «Пуск», чтобы поиском не находились программы и файлы, приложения типа gpedit.msc, regedit. Как это можно реализовать?

Удалось отключить в меню «Пуск» все программы и ярлыки, убрать везде вызов контекстного меню при нажатии правой кнопки мыши.

Ответы

Для организации рабочего места АРМ СУФД (Система удаленного финансового документооборота) требуется настройка замкнутой программной среды (ЗПС) на клиентском рабочем месте. Для этого необходимо убрать из интерфейса все элементы, провоцирующие пользователя на попытку запуска программ, не включенных в состав ЗПС. В состав необходимых настроек входит запрет объектов на рабочем столе, исключение с кнопки «Пуск» команд «Поиск» и «Выполнить», запрет отображения общих групп программ. В предыдущих версиях Windows это реализовывалось изменением стандартных настроек Windows через групповые политики.

Для Windows 10 не удалось реализовать отключение поиска в меню «Пуск», чтобы поиском не находились программы и файлы, приложения типа gpedit.msc, regedit. Как это можно реализовать?

Удалось отключить в меню «Пуск» все программы и ярлыки, убрать везде вызов контекстного меню при нажатии правой кнопки мыши.

То что вы называйте «ЗПС» называется «kiosk mode»:

This posting is provided «AS IS» with no warranties, and confers no rights.

1. Песочница Windows простыми словами
2. Зачем нужна Песочница Windows?
3. Как включить и запустить Песочницу Windows 10?
4. Использование Песочницы Windows
5. Настройка Песочницы Windows
6. Настройка Песочницы Windows при помощи утилиты Sandbox Configuration Manager

Начиная со сборки (версии) 1903 в операционных системах Windows 10 появилась новая функция — «Песочница» или «Sandbox». Если кратко, она нужна для запуска Windows-программ в изолированной от рабочей системы среде. Что такое «Песочница» Windows, в каких целях ее можно использовать, как вообще ее включить, настроить и пользоваться — все это далее в нашем материале.

Песочница Windows простыми словами

Вообще, программы-песочницы появились задолго до того, как в Microsoft решили внедрить продукт собственной разработки в систему. И Windows Sandbox, как и любое аналогичное приложение, представляет собой программное обеспечение, в задачу которого входит создание изолированной аппаратно-программной среды для запуска в ней других программ (в данном случае только тех, что созданы для Windows).

Изолированная аппаратно-программная среда — это среда, создаваемая программами-песочницами непосредственно на том компьютере и в той системе, где они запускаются. Для функционирования этой среды выделяется некоторый объем аппаратных ресурсов компьютера — место на жестком диске, объем оперативной памяти и т.д. Изолированной данная среда называется потому, что программы, запускаемые в них, не могут самостоятельно получить доступ к основным аппаратным ресурсам ПК и любым программным объектам, включая хранящиеся на дисках файлы и данные в оперативной памяти. Доступ к этим ресурсам может предоставить только сама программа-песочница и только, если на это дал добро пользователь.

Грубо, такую изолированную среду можно сравнить, например, с запечатанным аквариумом, помещенным в водоем. В этом аквариуме точно такие же условия — температура, состав воды и т.д., но его обитатели не могут вырваться наружу или хоть как-то взаимодействовать со своим окружением. Однако процессами, протекающими в аквариуме, можно управлять извне. Также можно изменять физические параметры аквариума — объем, температуру, состав воды и т.д.

Зачем нужна Песочница Windows?

Если кратко — для экспериментов. Допустим, пользователь скачал в интернете неизвестную программу, которая потенциально может  нести в себе угрозу. Ее можно сразу установить на компьютер обычным способом, то в этом случае она получит доступ ко всем ресурсам компьютера и операционной системы. Если эта программа действительно является вредоносной, она с легкостью будет решать заложенные в нее злоумышленником задачи — красть пароли и данные банковских карт, удалять/шифровать/повреждать/пересылать личные файлы и много чего еще.

Однако всего этого можно избежать, если установить и запустить программы в изолированной среде. Да, она по-прежнему останется вредоносной и будет способна выполнять свои вредоносные действия. Но все это она будет делать в «аквариуме», не имея возможности получить доступ к действительно важным для пользователя данным.

Windows-песочницу также можно использовать и для других целей, например:

• Тестирование программ, предназначенных, к примеру, для обслуживания/оптимизации системы. Т.к. эти программы удаляют мусор с жесткого диска, изменяют параметры ОС и т.д., их действия могут привести к выходу ОС из строя, потому лучше их сначала протестировать в Песочнице.
• Проверка работоспособности программ, которые не работают при их установке на компьютер обычным способом. Например, пользователь скачал и установил приложение, а оно не запускается вовсе или сбоит в работе. Причиной этому могут являться какие-либо сбои в самой ОС. Песочница Windows — это практически «чистая» неизмененная система, потому в ней нерабочая программа может легко запуститься и работать без сбоев. Если нет, то пользователь хотя бы поймет, что проблема не в его компьютере/системе.
• Необходимость установки и запуска программы так, чтобы на компьютере не осталось никаких следов. Согласно заявлениям Microsoft, все данные, сгенерированные в изолированной среде Песочницы Windows, удаляются безвозвратно и восстановлению не подлежат. Таким образом, в Песочнице можно запускать любые приложения, не опасаясь, что о факте их присутствия на компьютере кто-либо узнает.

Как включить и запустить Песочницу Windows 10?

При новой установке операционной системы Windows или ее обновления до сборки версии 1903 Песочница по умолчанию отключена. Активировать ее несложно, однако следует иметь в виду, что для нормальной работы Песочницы требуется, как минимум 4 Гб ОЗУ (желательно 8 Гб) и двуядерный процессор (желательно 4-ядерный).

Для активации и последующего запуска Песочницы Windows выполните следующие действия:

• Выполните комбинацию клавиш «Win + R», затем скопируйте в открывшееся окно «Выполнить» команду — control — и нажмите «ОК».

1

• Откроется окно «Панель управления». Найдите в нем и перейдите в раздел «Удаление программы».

• В левой части окна кликните по элементу «Включение или отключение компонентов Windows».

• В списке вновь открывшегося окна найдите пункт «Песочница Windows», установите напротив него галочку и нажмите «ОК».

• Установка нового компонента может занять некоторое время. Дождитесь окончания процесса:

• После окончания установки компьютер нужно будет перезагрузить:

• После перезагрузки откройте внутрисистемный поиск, кликнув по значку лупы рядом с меню «Пуск», впишите в поисковую строку — Windows Sandbox, затем кликните по иконке найденного приложения.

• Песочница Windows будет запущена.

Использование Песочницы Windows

Как видно из изображения выше, Песочница Windows представляет собой виртуальный монитор, выполненный в виде обычного окна. В нем присутствует рабочий стол и панель задач — все, как в обычной операционной системе Windows. Давайте, установим и запустим какую-нибудь программу в виртуальной среде:

• Первым делом нужно поместить в Песочницу установочный файл требуемой программы. Для этого просто скопируйте его, а затем вставьте на рабочий стол в виртуальной среде:

• Запускаем скопированный установочный файл, в нашем случае — это «FirefoxSetup.x64».

• Дальше установка протекает точно так же, как и в обычной системе Windows. По завершению установке на виртуальном рабочем столе отобразится значок установленной программы. Ее можно сразу же запустить.

• Как видно на изображении ниже, только что установленный браузер Mozilla Firefox спокойно запустился и открыл сайт.

Для установки любой другой программы проделайте те же самые действия. При необходимости можно исключить первое действие — копирование установочного файла. Как именно это сделать, читайте ниже.

Настройка Песочницы Windows

В самом приложении «Песочница Windows» отсутствуют какие-либо настройки. Но что делать, если, к примеру, нам нужно отключить в виртуальной среде доступ в интернет, который по умолчанию включен? А сделать можно следующее: либо запустить приложение с предварительными настройками, для чего нужно создать специальный WSB-файл и наполнить его XML-кодом, либо воспользоваться специальной утилитой, которая   делает то же самое, но в автоматическом режиме.

Настройка Песочницы Windows при помощи WSB-файла

На самом деле здесь не все так сложно, как может показаться. Рассмотрим один пример запуска Песочницы с предварительно отключенной функцией доступа в интернет:

• Первым делом нам нужно создать файл с расширением WSB. Просто создайте где-нибудь обычный текстовый файл и откройте его для редактирования.

• Вставьте в текстовый документ строку <Configuration>, нажмите пару раз Enter и затем вставьте </Configuration>. Должно получиться так:

• Теперь между этих строк вставьте команду, отключающую доступ в сеть из Песочницы Windows: <Networking>Disable</Networking>.

• Сохраните текстовый документ, а затем поменяйте его расширение с TXT на WSB.

• Иконка текстового документа изменится на иконку приложения «Песочница Windows». Теперь просто кликните два раза по созданному WSB-файлу. Начнется загрузка Песочницы с предварительно отключенным доступом в сеть.
• Обратите внимание на значок в системном трее, сигнализирующий об отсутствии доступа в сеть. Если перейти в «Параметры сети и Интернет», можно также убедиться в отсутствии подключения.

Но более интересным является другой параметр Песочницы Windows — <MappedFolders>. С его помощью можно открыть доступ к любой папке на жестком диске из виртуальной среды. Сделав это, можно забыть о необходимости отдельного копирования установочных файлов в виртуальную среду, их можно будет размещать в указанной папке.

По умолчанию нам доступен лишь системный «Локальный диск C:». Запустите «Проводник» в Песочнице и убедитесь в этом сами:

Чтобы открыть доступ к папке на жестком диске, откройте в блокноте ранее созданный WSB-файл либо создайте новый по инструкции выше. Скопируйте следующий текст в файл параметров:

<Configuration>

<MappedFolders>

<MappedFolder>

<HostFolder>Путь к вашей папке на диске</HostFolder>

<ReadOnly>true</ReadOnly>

</MappedFolder>

</MappedFolders>

</Configuration>

Вместо строки «Путь к вашей папке на диске» укажите, например: W:Install. В итоге должно получиться следующее:

Кстати, параметр <ReadOnly>true</ReadOnly> означает, что папка будет открыта только для чтения, т.е. вы не сможете изменять ее содержимое — удалять, копировать в нее файлы, переименовывать их и т.д. Если есть необходимость во всех этих действиях, замените «true» на «false«, чтобы получилось: <ReadOnly>false</ReadOnly>. Но этого лучше не делать, если Песочница используется для проверки вредоносных программ (иначе она может повредить файлы в указанной папке).

Запускаем созданный/отредактированный WSB-файл, и видим, что на рабочем столе появилась открытая папка, в нашем случае — «Install». Открываем ее:

Все файлы, хранившиеся в папке «Install», теперь стали доступными и из виртуальной среды.

Настройка Песочницы Windows при помощи утилиты Sandbox Configuration Manager

Программа Sandbox Configuration Manager предназначена для предварительной настройки Песочницы Windows путем создания WSB-файла и последующего наполнения его XML-кодом. Это бесплатное приложение, которое можно скачать с официального сайта разработчиков.

Установка не требуется — просто распакуйте скачанный архив и запустите от имени администратора файл «Windows Sandbox Editor  v1.exe» или «Windows Sandbox Editor  v2.exe» (можно сразу вторую версию).

Утилита Sandbox Configuration Manager имеет 4 функциональные вкладки:

1. Basic Infos. Здесь задаем имя для создаваемой Песочницы (для файла конфигурации), указываем папку для сохранения; включаем или отключаем доступ из Песочницы в сеть (Networking Status) и/или к графическому ускорителю (VGPU Status).

1. Mapped Folders. В этой вкладке можно добавить папки, которые будут доступны из виртуальной среды Песочницы. Можно добавить несколько папок одновременно. При помощи переключателя «Read only» задаем, будет ли указанная папка открыта только для чтения или для записи.

1. Startup commands. В этой вкладке указывается команда, которая будет выполнена при старте Песочницы. В качестве такой команды можно указать путь до любого исполнимого файла (EXE или MSI) либо файлов-скриптов (PS1 или VBS). Что-либо здесь заполнять необязательно.

1. Overview. В этой вкладке можно просмотреть XML-код, сгенерированный программой Sandbox Configuration Manager для запуска Песочницы Windows. Нажмите здесь кнопку «Create Sandbox» для запуска Песочницы.

Песочница будет запущена. На рабочем столе отобразятся две папки, добавленные ранее в программе Sandbox Configuration Manager.

На этом можно заканчивать наш обзор Песочницы Windows.