懷揣Windows 10沙盒，放心「做死」

本文於2019年02月24日首發於IT之家。

地址：點擊這裏

2018年12月19日，據IT之家報道，微軟爲Windows 10 19H1帶來了沙盒（Sandbox）功能，這項功能可以基於硬件虛擬化技術將沙盒與Windows主機隔離開來，咱們能夠在裏面安裝和運行任何可疑軟件而沒必要擔憂宿主機受到影響，當Windows沙盒關閉以後，其中的文件和軟件狀態會被永久刪除。

要使用Windows沙盒功能，咱們的電腦須要運行Windows 10專業版或者企業版，系統版本需高於Build 18301，同時，運行Windows沙盒的電腦的硬件配置應該至少知足如下條件：

• AMD64架構；

• 虛擬化功能已在BIOS中啓用；

• 4GB以上的內存（建議8GB）；

• 1GB以上的可用磁盤空間（建議使用SSD）；

• CPU至少有兩個核心（建議使用4個超線程核心）。

1、啓用Windows沙盒

IT之家小編使用的電腦知足運行Windows沙盒的全部軟硬件條件，如今，咱們來啓用Windows沙盒。

在開始按鈕右側的搜索框中搜索並打開「控制面板」；

點擊「程序」；

點擊「啓用或關閉Windows功能」；

勾選「Windows沙盒」，而後點擊「肯定」按鈕；

等待Windows應用更改，更改應用完成後從新啓動系統；

Windows沙盒功能啓用後，咱們能夠在「開始」菜單的全部程序列表中看到它的圖標。

2、隨便回答幾個問題

一、沙盒中的Windows 10是什麼版本？

小編的電腦所安裝的Windows 10的SKU是專業工做站版，可是沙盒中的Windows 10的SKU是專業版，Build版本方面，沙盒中的系統和宿主機的系統保持一致。

二、沙盒中的Windows 10激活了嗎？

並無，並且不建議激活。沙盒中的Windows 10每次運行結束以後都會被永久「銷燬」，在它身上浪費序列號不值得。

三、我能夠在沙盒裏面安裝微軟商店中的應用嗎？

並不能。由於沙盒中的Windows 10並不帶有微軟商店。除了必要的功能和組件以外，這個系統什麼也不會給你。

四、我能夠用個人微軟帳戶登陸沙盒中的Windows 10嗎？

也許能，可是IT之家小編沒有登錄成功，由於卡在了這一步：

五、在沙盒裏運行Windows 10流暢嗎？

小編的電腦是Intel Core i5-3470的處理器，8GB的內存，SSD的硬盤。Windows 10經過虛擬化技術運行在沙盒裏確定不如直接運行在宿主機裏流暢，總之，最好不要有在裏面打LOL的想法。

3、簡單做兩個死

對曰：拳打南山猛虎，懷揣Win10沙盒

橫批：放心做死

一、刪除/Windows/system32

據說刪除/Windows/system32以後電腦的運行速度會更快，咱們來試一下。

不行，刪不掉，卡在這裏了：

當前的帳戶沒有權限，咱們須要在Administrator帳戶下操做。

這個問題不算大，啓用而後登陸到Administrator帳戶便可。啓用的過程一切順利，很是好。

下面咱們來註銷當前帳戶而後嘗試用Administrator登陸。

……

噗……

有辦法在沙盒裏登陸Administrator帳戶的同窗歡迎在評論區留言……

二、運行WannaCry勒索病毒樣本

開始運行WannaCry勒索病毒以前，咱們先在沙盒裏存一個很是重要的文件：

這個是IT之家小編存在網盤裏用來壓箱底的WannaCry病毒樣本。它正呆在沙盒系統的某個文件夾裏，Windows Defender看它就像看空氣同樣。

咱們來雙擊這個病毒樣本，看看它如何做妖。

開始運行以後，與病毒文件同級的文件夾下多了不少其餘的文件。

就在剛剛的一瞬間，小編忽然感受到任務欄變黑了，回到桌面一看，果真，病毒無視了未激活的系統沒法進行個性化設置的規矩，把壁紙給改了……

如今咱們試着打開那個很是重要的文件。

文件已經被病毒感染了，內容變成了一堆亂碼。同時，WannaCry病毒彈出了一個索要比特幣的窗口。

看到這個窗口，小編的心裏毫無波動，對準沙盒的窗口反手就是一個關閉。

4、Windows沙盒配置文件的使用

Windows沙盒的配置文件的文件格式是XML，其經過.wsb文件擴展名與Windows沙盒相關聯。

在微軟技術社區的這篇文章中，咱們可以瞭解到Windows沙盒配置文件的使用方法。例如：

VGpu是用來禁用或啓用GPU共享的，它支持Disable和Default兩個參數，當VGpu的參數被設置成Disable時，沙盒中的GPU支持將會被禁用，而當VGpu的參數被設置成Default時，沙盒將會啓用GPU支持。

Networking是用來控制沙盒聯網與否的。禁用沙盒網絡鏈接的好處是可以減小沙盒暴露的攻擊面。它一樣支持Disable和Default共兩個參數，這兩個參數的用法和在VGpu上差很少，Disable表明禁用，Default表明啓用。

MappedFolder、HostFolder和ReadOnly關鍵字的用法咱們能夠用這樣一個一看就懂的例子來講明：

 

<MappedFolder>
    <HostFolder> SandboxFolder </HostFolder>
    <ReadOnly>true</ReadOnly>
</MappedFolder>

 

它的做用是將宿主機C盤中的「SharedFolder」文件夾共享到沙盒中，並將其設置爲只讀，這個文件夾將被映射到沙盒系統的桌面上。

LogonCommand是用來在容器登陸後調用單個命令的。使用方法是：

 

<LogonCommand>
   <Command>要調用的命令</Command>
</LogonCommand>

 

下面咱們來試試微軟技術社區裏面給出的幾個實戰示例管無論用。

首先是這個：

 

<Configuration>
<Networking>Disable</Networking>
<MappedFolders>
   <MappedFolder>
     <HostFolder>C:\SandboxFolder</HostFolder>
     <ReadOnly>true</ReadOnly>
   </MappedFolder>
</MappedFolders>
<LogonCommand>
   <Command>explorer.exe C:\users\WDAGUtilityAccount\Desktop\SandboxFolder</Command>
</LogonCommand>
</Configuration>

 

它的做用是禁用網絡，以只讀的方式與沙盒共享宿主機C盤根目錄下的「SandboxFolder」文件夾，並在沙盒系統登陸時自動打開共享文件夾。

咱們把這點代碼粘貼到記事本里，保存的時候把它的擴展名設置成.wsb，而後雙擊運行。

運行效果不錯，共享文件夾自動打開了，沒問題；

裏面的共享文件確實是宿主機C盤根目錄下SandboxFolder文件夾裏面的，沒問題；

文件夾是隻讀的，沒問題；

網絡是被禁用的，也沒問題。

來玩下一個。

這一個稍微有點複雜，它是由兩部分組成的。

其中一部分是.cmd文件，內容是這樣的：

 

REM Download PCMaster
curl -L "https://sm.myapp.com/original/System/pcmastersetup_u66_full-6.2.1.0-0402.exe" --output C:\users\WDAGUtilityAccount\Desktop\pcmaster.exe
REM Install and run PCMaster
C:\users\WDAGUtilityAccount\Desktop\pcmaster.exe

 

這個.cmd文件的做用是下載並運行軟媒魔方的安裝文件。

另一部分是Windows沙盒的配置文件，內容是這樣的：

 

<Configuration>
<MappedFolders>
   <MappedFolder>
     <HostFolder>C:\SandboxFolder</HostFolder>
     <ReadOnly>true</ReadOnly>
   </MappedFolder>
</MappedFolders>
<LogonCommand>
   <Command>C:\users\wdagutilityaccount\desktop\SandboxFolder\InstallPCMaster.cmd</Command>
</LogonCommand>
</Configuration>

 

它的做用是以只讀的方式與沙盒共享宿主機C盤根目錄下的「SandboxFolder」文件夾，而後運行共享文件夾裏的.cmd文件。

雙擊沙盒配置文件以後，全部的事情正如咱們預期的那樣進行。沙盒開機後自動下載並運行了軟媒魔方的安裝嚮導。

只此時只要咱們手動點擊「當即安裝」，軟媒魔方就會被安裝在沙盒裏。

上文提到的兩個.wsb文件和一個.cmd文件請到這裏下載。只要熟悉Windows沙盒配置文件的寫法，咱們能夠在Windows沙盒的配置文件上玩出不少花樣。

5、總結

在Windows 10中提供第一方的沙盒功能對於進階用戶、IT專業人員和開發者來說無疑是一個福音，而對於普通用戶來說，Windows沙箱則更是一個功能性和趣味性兼具的存在。相信隨着Windows 10 19H1不久後的正式推送，更多人將會喜歡上這個繼Linux子系統以後Windows最重要的功能之一。

話說，面對這麼好的一個功能，微軟「砍刀部」此次好像格外地安靜啊……