今年早些時候,微軟正在開發適用於Windows的“InPrivate桌面”功能。在Windows 10反饋中心,微軟將InPrivate Desktop描述為“用於安全,一次性執行不受信任軟體的沙箱”,而今天這一概念產品終於有了自己的新名字:“Windows Sandbox”。作為一個新穎的輕量級桌面環境,該沙盒專為“安全地執行應用程式”而量身定製。
沙盒”技術與主動防禦技術原理截然不同。主動防禦是發現程式有可疑行為時立即攔截並終止執行。“沙盒”技術則是發現可疑行為後讓程式繼續執行,當發現的確是病毒時才會終止。“沙盒”技術的實踐運用流程是:讓疑似病毒檔案的可疑行為在虛擬的“沙盒”裡充分表演,“沙盒”會記下它的每一個動作;當疑似病毒充分暴露了其病毒屬性後,“沙盒”就會執行“回滾”機制:將病毒的痕跡和動作抹去,恢復系統到正常狀態。
現在,“Windows Sandbox”的使用者可以在這個獨立的臨時桌面環境裡,執行不受信任的軟體,而不必擔心對 PC 主系統造成持久的影響。因為 Windows Sandbox 中安裝的任何軟體,僅會留在沙箱中。
這就像在一個裝滿了平整細沙的盒子裡,你可以盡情作畫,無論畫的好壞,都沒有關係,因為你可以用手把它瞬間撫平。Windows Sandbox允許你犯錯,並且它包裹住你的錯誤,不讓它擴散影響到你的PC。
Windows Sandbox 具有如下特性:
原生:作為 Windows 的一部分,此功能所需的一切資源,都隨 Windows 10 專業版 / 企業版一起提供,無需專門去下載 VHD 虛擬機器;
初始:每次執行 Windows Sandbox 時,執行環境都像全新安裝的 Windows 系統一樣乾淨;
安全:基於硬體虛擬化和核心隔離,後者依靠微軟虛擬機器管理程式執行單獨的核心,將 WindowsSandbox 與主機隔離開來;
高效:使用整合的核心排程程式,智慧記憶體管理,以及虛擬GPU;
一次性:裝置上不會遺留任何東西,關閉應用程式後,一切都將被丟棄。
使用該功能的先決條件:
執行 Windows 10 專業 / 企業版(18301+)作業系統;
支援 AMD64 架構、在 BIOS 中啟用虛擬化功能;
至少 4GB 運存(推薦 8GB+);
至少 1GB 可用磁碟空間(推薦使用 SSD 固態硬碟);
至少 2 個 CPU 核心(建議四核 / 超執行緒)。
要啟用這項功能,請先
(1)安裝 Windows 10 專業 /企業版(18292+);
(2.1)如果是物理機,請確保在 BIOS 中啟用了虛擬化功能;
(2.2)如果是虛擬機器,請參考如下 PowerShell cmdlet 啟用巢狀虛擬化;
(2.3)
Set-VMProcessor -VMName <VMName>-ExposeVirtualizationExtensions $true
(3)開啟 Windows 功能,選擇“Windows Sandbox”,點選確定以安裝 Windows Sandbox(可能要求重啟計算機)。
(4)在開始選單中找到 Windows Sandbox,允許其提升許可權;
(5)從主機複製可執行檔案;
(6)將可持續檔案貼上到 Windows Sandbox 視窗中(位於桌面);
(7)在 Windows Sandbox 中執行可執行檔案,如果是安裝程式,請繼續執行安裝;
(8)像往常那樣,在 Windows Sandbox 中使用應用程式;
(9)若結束使用,只需關閉 Windows Sandbox,沙盒內所有東西都將被永久刪除;
(10)確認 Windows Sandbox 未對主機系統造成任何影響。
Windows Sandbox需要Windows 10 Pro或Enterprise Build 18305或更高版本才能提供。微軟上週為FastRing Insiders釋出了19H1版本18298,18305版本預計將於本週釋出,就在美國的假日季之前。
參考來源:
更多資訊: