mardi 26 mai 2020

Sandbox ( Bac à sable) de Windows 10





Le bac à sable ( Sandbox ) Windows permet d’installer, d'exécuter et de tester en toute sécurité des logiciels potentiellement à risque. La Sandbox est un bureau virtuel temporaire et jetable, complètement isolé du Windows installé dans le PC. A la fermeture de la Sandbox tous les logiciels et fichiers sont supprimés. Les logiciels installés sur le Windows 10 du PC ne sont pas disponibles dans la Sandbox, mais la fonction  copier/coller est possible dans les 2 sens.

Les prérequis sont :

- Windows 10 professionnel ou entreprise 64 bits version 18305 ou ultérieur
- Virtualisation activée dans le Bios
- Au moins 4 Go de mémoire
- 1 Go d'espace libre sur disque
- Processeur à 2 cœurs au moins

Installation :

1) Activer la virtualisation dans le Bios de la carte mère du PC si ce n'est déjà fait.

2) Dans la barre de recherche des tâches, rechercher "activer et désactiver les fonctionnalités de Windows", cocher "Bac à sable Windows", valider "OK" puis redémarrer Windows.

Si l'installation échoue, dans certains cas, activer "Hyper-V" en plus de "Windows Sandbox".




Utilisation simple:

La Sandbox se trouve dans le menu démarrer.

Vous pouvez copier/coller les fichiers et autres données dans les 2 sens : hôte ( Windows 10 ) <=> invité ( Sandbox )



Après la fermeture du bac à sable, une boite de dialogue indique que le contenu de la Sandbox est définitivement supprimé.

Utilisation avec un fichier ce configuration :

Création d'une fichier de configuration WSB pour la Sandbox :

1) Créer un fichier avec Notepad et le sauvegarder avec l'extension .wsb

2) Modifier ce fichier au format XML avec les lignes ci-dessous en fonction des contrôles que vous souhaitez appliquer: la carte graphique, les mises à jour, le partage des dossiers ou les scripts de démarrage.

3) Cliquer sur le fichier .wsb pour lancer la Sandbox avec les modifications de configuration que vous avez spécifiées.

Gestion du réseau virtuel de la Sandbox:

pour le désactiver:

<Configuration>
    <Networking>Disable</Networking>
</Configuration>

pour l'activer ( état par défaut ) :
<Configuration>
  <Networking>Default</Networking>
</Configuration>
Gestion de la carte graphique virtuelle :

pour la désactiver:
<Configuration>
  <VGpu>Disable</VGpu> 
</Configuration>
pour l'activer ( état par défaut ) :
<Configuration>
  <VGpu>Default</VGpu> 
</Configuration>
Gestion du partage des dossiers :

Partager un dossier du périphérique hôte (physique) vers le bureau de la Sandbox:
Dans le script, assurez-vous de spécifier le chemin d'accès du dossier hôte que vous souhaitez voir apparaître dans la Sandbox dans le bloc HostFolder. De plus, à l'intérieur du bloc ReadOnly, utilisez la valeur "true" (recommandé) pour imposer l'accès au dossier en mode lecture seule, ou utilisez la valeur "false" pour autoriser l'accès en lecture et en écriture au dossier.
<Configuration>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Ma_SANDBOX</HostFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
</Configuration>
Après avoir terminé les étapes, lorsque vous exécutez le fichier .wsd, la Sandbox mappera le dossier, auquel vous pourrez ensuite accéder facilement à partir du bureau. Chaque commande que vous exécutez avec Windows Sandbox sera exécutée sous le compte "WDAGUtilityAccount", ce qui signifie que les dossiers partagés apparaîtront toujours sur le bureau.

Vous pouvez créer plusieurs blocs MappedFolder à l'intérieur du bloc MappedFolders ( avec un s !! ) pour monter autant de dossiers à partir du périphérique hôte que vous le souhaitez.

Gestion des actions à lancer au démarrage de la Sandbox:

Exemples:

- commande simple comme une fenêtre d'invite de commande:
<LogonCommand>
    <Command>cmd.exe</Command>
</LogonCommand>
- commande complexe: installer un logiciel ( ici notepad++.exe ) depuis un dossier partagé dans la Sandbox :
<LogonCommand>
    <Command>C:\Users\WDAGUtilityAccount\Desktop\
Ma_SANDBOX\
notepad++.exe /S</Command> </LogonCommand>
- commande d’exécution d'un autre script préexistant dans un dossier partagé dans la Sandbox :
<LogonCommand>
   <Command>C:\users\wdagutilityaccount\desktop\
SandboxScripts\VSCodeInstall.cmd</Command> </LogonCommand>

Fichier de configuration WBS comportant plusieurs options exécutées au lancement de la Sandbox:

- désactive la mise en réseau et vGPU
- désactive le vGPU
- limite le dossier de téléchargements partagés à un accès en lecture seule dans le conteneur.
- lance l'explorateur Windows afin d'ouvrir  le dossier de téléchargement à l'intérieur du conteneur au démarrage.

fichier "Dowloads.wsb" :
<Configuration>
<VGpu>Disable</VGpu>
<Networking>Disable</Networking>
<MappedFolders>
   <MappedFolder>
     <HostFolder>C:\Users\Public\Downloads</HostFolder>
     <ReadOnly>true</ReadOnly>
   </MappedFolder>
</MappedFolders>
<LogonCommand>
   <Command>explorer.exe C:\users\WDAGUtilityAccount\
Desktop\Downloads</Command> </LogonCommand> </Configuration>

Alternatives à Windows Sandbox :

- Si vous voulez garder les modifications effectuées dans cet espace protégé, vous devriez plutôt utiliser une machine virtuelle comme Virtualbox ou VMware pour Windows, Linux... ou Hyper-V ( Windows Server Virtualisation ).



Aucun commentaire:

Enregistrer un commentaire