“Windows Sandbox”——PC主系統從未如此安全

今年早些時候，微軟正在開發適用於Windows的“InPrivate桌面”功能。在Windows 10反饋中心，微軟將InPrivate Desktop描述為“用於安全，一次性執行不受信任軟體的沙箱”，而今天這一概念產品終於有了自己的新名字：“Windows Sandbox”。作為一個新穎的輕量級桌面環境，該沙盒專為“安全地執行應用程式”而量身定製。

沙盒”技術與主動防禦技術原理截然不同。主動防禦是發現程式有可疑行為時立即攔截並終止執行。“沙盒”技術則是發現可疑行為後讓程式繼續執行，當發現的確是病毒時才會終止。“沙盒”技術的實踐運用流程是：讓疑似病毒檔案的可疑行為在虛擬的“沙盒”裡充分表演，“沙盒”會記下它的每一個動作；當疑似病毒充分暴露了其病毒屬性後，“沙盒”就會執行“回滾”機制：將病毒的痕跡和動作抹去，恢復系統到正常狀態。

現在，“Windows Sandbox”的使用者可以在這個獨立的臨時桌面環境裡，執行不受信任的軟體，而不必擔心對 PC 主系統造成持久的影響。因為 Windows Sandbox 中安裝的任何軟體，僅會留在沙箱中。

這就像在一個裝滿了平整細沙的盒子裡，你可以盡情作畫，無論畫的好壞，都沒有關係，因為你可以用手把它瞬間撫平。Windows Sandbox允許你犯錯，並且它包裹住你的錯誤，不讓它擴散影響到你的PC。

Windows Sandbox 具有如下特性：

原生：作為 Windows 的一部分，此功能所需的一切資源，都隨 Windows 10 專業版 / 企業版一起提供，無需專門去下載 VHD 虛擬機器；

初始：每次執行 Windows Sandbox 時，執行環境都像全新安裝的 Windows 系統一樣乾淨；

安全：基於硬體虛擬化和核心隔離，後者依靠微軟虛擬機器管理程式執行單獨的核心，將 WindowsSandbox 與主機隔離開來；

高效：使用整合的核心排程程式，智慧記憶體管理，以及虛擬GPU；

 一次性：裝置上不會遺留任何東西，關閉應用程式後，一切都將被丟棄。

使用該功能的先決條件：

執行 Windows 10 專業 / 企業版（18301+）作業系統；

支援 AMD64 架構、在 BIOS 中啟用虛擬化功能；

至少 4GB 運存（推薦 8GB+）；

至少 1GB 可用磁碟空間（推薦使用 SSD 固態硬碟）；

至少 2 個 CPU 核心（建議四核 / 超執行緒）。

要啟用這項功能，請先

（1）安裝 Windows 10 專業 /企業版（18292+）；

（2.1）如果是物理機，請確保在 BIOS 中啟用了虛擬化功能；

（2.2）如果是虛擬機器，請參考如下 PowerShell cmdlet 啟用巢狀虛擬化；

（2.3）

Set-VMProcessor -VMName <VMName>-ExposeVirtualizationExtensions $true

（3）開啟 Windows 功能，選擇“Windows Sandbox”，點選確定以安裝 Windows Sandbox（可能要求重啟計算機）。

（4）在開始選單中找到 Windows Sandbox，允許其提升許可權；

（5）從主機複製可執行檔案；

（6）將可持續檔案貼上到 Windows Sandbox 視窗中（位於桌面）；

（7）在 Windows Sandbox 中執行可執行檔案，如果是安裝程式，請繼續執行安裝；

（8）像往常那樣，在 Windows Sandbox 中使用應用程式；

（9）若結束使用，只需關閉 Windows Sandbox，沙盒內所有東西都將被永久刪除；

（10）確認 Windows Sandbox 未對主機系統造成任何影響。

Windows Sandbox需要Windows 10 Pro或Enterprise Build 18305或更高版本才能提供。微軟上週為FastRing Insiders釋出了19H1版本18298，18305版本預計將於本週釋出，就在美國的假日季之前。

參考來源：

• cnbeta

更多資訊：

• 看雪CTF.TSRC 2018 團隊賽 第九題『諜戰』 解題思路

• 使用者該怎麼捉資料洩露的“BUG”

• 網路黑客利用漏洞“截胡”商家服務費 牟利2500餘萬元

• Chrome將強化“後退”按鈕 打擊後退至廣告頁行為