當前位置:
首頁 > 新聞 > Windows Sandbox:輕量級桌面環境專為安全運行應用程序而設計

Windows Sandbox:輕量級桌面環境專為安全運行應用程序而設計

新聞 01-06


寫在前面的話



有多少次,當你下載了一個可執行文件之後,你卻不敢直接運行它?你是否需要一個乾淨的Windows安裝環境,但是又懶得搭建一台虛擬機呢?


為了應對這種場景,微軟開發了Windows Sandbox:一款隔離的、臨時性的桌面環境,用戶可以在這個環境下運行不受信任的軟體,而無需擔心主機系統受到影響,因為任何安裝在Windows Sandbox中的軟體就只會在沙盒環境中運行。Windows Sandbox關閉之後,所有的軟體和文件都會被永久刪除。


Windows Sandbox的特點:Windows系統的默認組件、純凈版、一次性使用、安全和高效。


依賴條件



1、 Windows 10專業版或企業版(InsiderBuild 18305

及以上版本)


2、 AMD 64位架構


3、 BIOS啟用虛擬化功能


4、 至少4GB RAM(推薦8GB)


5、 至少1GB磁碟空間(推薦SSD)

6、 至少雙核CPU(推薦四核超線程CPU)


快速開始


1、 安裝Windows 10專業版或企業版,InsiderBuild 18305

及以上版本。


2、 啟用虛擬化:


a)     如果你使用的是物理設備,確保BIOS中開啟了虛擬化功能;


b)    如果你使用的是虛擬設備,運行下列PowerShell命令啟用嵌套虛擬化功能:

Set-VMProcessor -VMName <VMName>-ExposeVirtualizationExtensions $true

3、 在控制面板中進入「啟用或關閉Windows功能」,選擇Windows Sandbox,點擊「確定」,重啟電腦後即可完成Windows Sandbox的安裝:


4、 點擊「開始」菜單,找到Windows Sandbox,雙擊運行。


5、 從本地主機中複製一個可執行文件。


6、 將可執行文件粘貼到Windows Sandbox的運行窗口中。


7、 在Windows Sandbox中運行這個可執行文件,或完成程序安裝。


8、 正常使用該程序。


9、 實驗或分析完成後,關閉Windows Sandbox應用程序即可。沙盒環境下的所有內容都將被永久刪除。



註:Windows Sandbox遵循主機的診斷數據設置,所有其他的隱私設置均為默認值。


Windows Sandbox內部機制


Windows Sandbox基於WindowsContainers(Windows容器)技術實現,WindowsContainers主要適用於雲環境,微軟基於該技術實現了Windows Sandbox,並將其整合進了Windows 10中。

動態生成鏡像


Windows Sandbox實際上是一款輕量級虛擬機,因此它需要操作系統鏡像才可啟動。Windows Sandbox其中一個關鍵性升級,就是它可以使用本地主機的Windows10系統副本,因此用戶無需再下載一個新的VHD鏡像了。


在每次進行安全分析之前,我們都需要一個乾淨的分析環境,這裡我們提出了「動態鏡像」的概念:即保存一份純凈版的操作系統鏡像,基於這個操作系統鏡像做多個鏡像拷貝,鏡像拷貝文件可修改,但源鏡像不可修改。其中的大部分文件均為鏈接,因此整個操作系統的大小非常小,約為100MB。


如果主機沒有安裝Windows Sandbox,那麼系統會將動態鏡像以壓縮包的形式存儲,大小僅為25MB。但是安裝之後,動態鏡像數據包將會解壓並佔100MB磁碟空間。



智能內存管理


內存管理是另一個整合進Windows內核的部分,Windows的管理程序允許單一物理設備分隔成多個共享相同物理硬體的虛擬機。這種方式雖然對傳統的伺服器負載效果比較好,但它不太適用於那些資源有限的設備,而Windows Sandbox的優勢就在於主機可以根據需要來從沙盒系統中回收內存。


除此之外,由於Windows Sandbox的運行基本上跟主機操作系統相同,因此Windows Sandbox還可以通過「直接映射」技術來使用跟主機相同的物理內存頁面。



集成內核調度器

對於普通虛擬機,Windows的管理程序主要控制的是運行在虛擬機中的虛擬進程。但Windows Sandbox使用的是一種名叫「集成調度器」的新技術,這種技術允許主機來決定沙箱何時運行。


Windows Sandbox採用了獨特的調度策略,允許以跟進程調度線程相同的方式來調度沙箱的虛擬處理器。


值得一提的是,大家可以把Windows Sandbox當做一個應用程序,但是它卻能提供跟虛擬機一樣的安全保護。


快照和克隆


Windows Sandbox的每一次啟動其實並不需要花費完整的系統啟動資源,因為這裡使用了另外兩種技術:即「快照」和「克隆」。


快照允許我們掛起沙箱環境,並將內存、CPU和設備狀態存儲在磁碟中。當我們需要一個新的Windows Sandbox實例時,可以直接從磁碟恢復沙箱環境並將其放入內存中,這樣顯著降低了Windows Sandbox的啟動時間。


結束語


希望大家能夠充分利用這個Windows 10自帶的沙盒環境,如果使用過程中遇到了任何問題,均可直接向微軟提供報告或建議。


*參考來源:

microsoft

,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

密碼朋克的社會實驗(一):開燈看暗網
CVE-2018-17612:沒想到吧?買個耳機也能遭遇中間人攻擊

TAG:FreeBuf |