Cómo configurar el sandbox de Windows

La nueva función Sandbox de Windows 10 le permite probar de forma segura programas y archivos descargados de Internet ejecutándolos en un contenedor seguro. Es fácil de usar, pero su configuración está oculta en un archivo de configuración basado en texto.

La nueva función Sandbox de Windows 10 le permite probar de forma segura programas y archivos descargados de Internet ejecutándolos en un contenedor seguro. Es fácil de usar, pero su configuración está oculta en un archivo de configuración basado en texto.

Windows Sandbox es fácil de usar si lo tiene

Esta característica es parte de la actualización de mayo de 2019 de Windows 10. Una vez que haya instalado la actualización, también deberá usar las ediciones Professional, Enterprise o Education de Windows 10. No está disponible en Windows 10 Home. Pero, si está disponible en su sistema, puede activar fácilmente la función Sandbox y luego iniciarla desde el menú Inicio.

Sandbox se iniciará, hará una copia de su sistema operativo Windows actual, eliminará el acceso a sus carpetas personales y le brindará un escritorio limpio de Windows con acceso a Internet. Antes de que Microsoft agregara este archivo de configuración, no podía personalizar Sandbox en absoluto. Si no deseabas tener acceso a Internet, normalmente tenías que deshabilitarlo justo después del lanzamiento. Si necesitabas acceder a los archivos en tu sistema host, tenías que copiarlos y pegarlos en Sandbox. Y, si desea instalar programas particulares de terceros, debe instalarlos después de iniciar Sandbox.

Debido a que Windows Sandbox elimina su instancia por completo cuando la cierra, tenía que pasar por ese proceso de personalización cada vez que inicia. Por un lado, eso lo convierte en un sistema más seguro. Si algo sale mal, cierre el Sandbox y todo se eliminará. Por otro lado, si necesita hacer cambios regularmente, tener que hacer esto en cada lanzamiento se vuelve frustrante rápidamente.

Para aliviar ese problema, Microsoft introdujo una función de configuración para Windows Sandbox. Usando archivos XML, puede iniciar Windows Sandbox con parámetros establecidos. Puede apretar o aflojar las restricciones del sandbox. Por ejemplo, puede deshabilitar la conexión a Internet, configurar carpetas compartidas con su copia de host de Windows 10 o ejecutar un script para instalar aplicaciones. Las opciones son un poco limitadas en la primera versión de la función Sandbox, pero Microsoft probablemente agregará más en futuras actualizaciones de Windows 10.

Cómo configurar Windows Sandbox

Su copia de seguridad de Windows 10 puede tener acceso a una carpeta compartida en su sistema operativo host.

Esta guía asume que ya ha configurado Sandbox para uso general. Si aún no lo ha hecho, primero deberá habilitarlo con el cuadro de diálogo Características de Windows.

Para comenzar, necesitará Notepad o su editor de texto favorito (nos gusta Notepad ++) y un nuevo archivo en blanco. Creará un archivo XML para la configuración. Si bien la familiaridad con el lenguaje de codificación XML es útil, no es necesaria. Una vez que tenga su archivo en su lugar, lo guardará con una extensión .wsb (piense en Windows Sand Box). Al hacer doble clic en el archivo, se iniciará Sandbox con la configuración especificada.

Según lo explicado por Microsoft, tiene varias opciones para elegir al configurar Sandbox. Puede habilitar o deshabilitar la vGPU (GPU virtualizada), activar o desactivar la red, especificar una carpeta de host compartida, establecer permisos de lectura/escritura en esa carpeta o ejecutar un script en el inicio.

Con este archivo de configuración, puede deshabilitar la GPU virtualizada (está habilitada de forma predeterminada), desactivar la red (está activada de manera predeterminada), especificar una carpeta de host compartida (las aplicaciones de espacio aislado no tienen acceso a ninguna de forma predeterminada), establecer lectura/escribir permisos en esa carpeta y/o ejecutar un script en el inicio

Primero, abra el Bloc de notas o su editor de texto favorito y comience con un nuevo archivo de texto. Agregue el siguiente texto:


Todas las opciones que agregará deben estar entre estos dos parámetros. Puede agregar solo una opción o todas ellas; no tiene que incluir todas y cada una. Si no especifica una opción, se utilizará la predeterminada.

Cómo deshabilitar la GPU virtual o las redes

Como señala Microsoft, tener habilitada la GPU virtual o la conexión en red aumenta las posibilidades que el software malicioso puede usar para salir del entorno limitado. Por lo tanto, si está probando algo que le preocupa especialmente, puede ser conveniente desactivarlo.

Para deshabilitar la GPU virtual, que está habilitada de manera predeterminada, agregue el siguiente texto a su archivo de configuración.

 Desactivar 

Para deshabilitar el acceso a la red, que está habilitado de manera predeterminada, agregue el siguiente texto.

 Desactivar 

Cómo asignar una carpeta

Para asignar una carpeta, deberá detallar exactamente qué carpeta desea compartir y luego especificar si la carpeta debe ser de solo lectura o no.

La asignación de una carpeta se ve así:

C: \ Usuarios \ Público \ Descargas
cierto

HostFolder es donde enumera la carpeta específica que desea compartir.En el ejemplo anterior, se está compartiendo la carpeta de descarga pública que se encuentra en los sistemas Windows. ReadOnly establece si Sandbox puede escribir en la carpeta o no. Configúrelo en true para que la carpeta sea de solo lectura o false para que se pueda escribir.

Solo tenga en cuenta que esencialmente está introduciendo riesgos en su sistema al vincular una carpeta entre su host y Windows Sandbox. Dar acceso de escritura a Sandbox aumenta ese riesgo. Si está probando algo que cree que puede ser malicioso, no debe usar esta opción.

Cómo ejecutar un script en el lanzamiento

Finalmente, puede ejecutar scripts creados personalizados o comandos básicos. Podría, por ejemplo, forzar a Sandbox a abrir una carpeta asignada al iniciarla. Crear ese archivo se vería así:

C: \ Usuarios \ Público \ Descargas
cierto
explorer.exe C: \ usuarios \ WDAGUtilityAccount \ Desktop \ Descargas

WDAGUtilityAccount es el usuario predeterminado para Windows Sandbox, por lo que siempre hará referencia a eso al abrir carpetas o archivos como parte de un comando.

Desafortunadamente, en la versión de lanzamiento cercano de la actualización de mayo de 2019 de Windows 10, la opción LogonCommand no parece funcionar como se esperaba. No hizo nada en absoluto, incluso cuando usamos el ejemplo en la documentación de Microsoft. Microsoft probablemente solucionará este error pronto.

Cómo iniciar Sandbox con tu configuración

Una vez que hayas terminado, guarda tu archivo y dale una extensión de archivo .wsb. Por ejemplo, si su editor de texto lo guarda como Sandbox.txt, guárdelo como Sandbox.wsb. Para iniciar Windows Sandbox con su configuración, haga doble clic en el archivo .wsb. Puede colocarlo en su escritorio o crear un acceso directo en el menú Inicio.

Para su comodidad, puede descargar este archivo DisabledNetwork para guardar algunos pasos. El archivo tiene una extensión txt, cámbiele el nombre por una extensión de archivo .wsb y estará listo para iniciar Windows Sandbox.

Rate article
labsfabs.com
Add a comment