Como configurar a caixa de proteção do Windows

O novo recurso Sandbox do Windows 10 permite que você teste com segurança programas e arquivos baixados da Internet, executando-os em um contêiner seguro. É fácil de usar, mas suas configurações estão ocultas em um arquivo de configuração baseado em texto.

O Windows Sandbox é fácil de usar se você o tiver

Esse recurso faz parte da atualização de maio de 2019 do Windows 10. Depois de instalar a atualização, você também precisará usar as edições Professional, Enterprise ou Education do Windows 10. Ela não está disponível no Windows 10 Home. Mas, se estiver disponível no seu sistema, você pode facilmente ativar o recurso Sandbox e iniciá-lo a partir do menu Iniciar.

RELACIONADO: Como usar o novo sandbox do Windows 10 (para testar aplicativos com segurança)

O Sandbox será iniciado, fará uma cópia do seu sistema operacional Windows atual, removerá o acesso às suas pastas pessoais e fornecerá a você uma área de trabalho limpa do Windows com acesso à Internet. Antes de a Microsoft adicionar esse arquivo de configuração, você não poderia personalizar o Sandbox. Se você não quisesse acessar a Internet, normalmente teria que desativá-lo logo após o lançamento. Se você precisasse de acesso a arquivos em seu sistema host, você teria que copiá-los e colá-los no Sandbox. E, se você quisesse programas de terceiros instalados, você tinha que instalá-los após o lançamento do Sandbox.

Como o Windows Sandbox exclui sua instância completamente quando a fecha, você precisa passar por esse processo de personalização toda vez você lança. Por um lado, isso contribui para um sistema mais seguro. Se algo der errado, feche o Sandbox e tudo será excluído. Por outro lado, se você precisar fazer alterações regularmente, ter que fazer isso em cada inicialização fica frustrante rapidamente.

Para aliviar esse problema, a Microsoft introduziu um recurso de configuração para o Windows Sandbox. Usando arquivos XML, você pode iniciar o Windows Sandbox com parâmetros definidos. Você pode apertar ou afrouxar as restrições da sandbox. Por exemplo, você pode desativar a conexão com a Internet, configurar pastas compartilhadas com sua cópia de host do Windows 10 ou executar um script para instalar aplicativos. As opções são um pouco limitadas na primeira versão do recurso Sandbox, mas a Microsoft provavelmente adicionará mais em futuras atualizações para o Windows 10.

Como configurar o Windows Sandbox

Este guia pressupõe que você já tenha configurado o Sandbox para uso geral. Se você ainda não fez, precisará ativá-lo primeiro com a caixa de diálogo Recursos do Windows.

Para começar, você precisará do Bloco de Notas ou do seu editor de texto favorito - gostaríamos do Notepad ++ - e novo arquivo em branco. Você criará um arquivo XML para configuração. Embora a familiaridade com a linguagem de codificação XML seja útil, não é necessário. Uma vez que você tenha seu arquivo no lugar, você o salvará com uma extensão .wsb (pense no Windows Sand Box.) Clicar duas vezes no arquivo iniciará o Sandbox com a configuração especificada.

Como explicado pela Microsoft, você tem várias opções para escolher ao configurar o Sandbox. Você pode ativar ou desativar a vGPU (GPU virtualizada), ativar ou desativar a rede, especificar uma pasta de host compartilhada, definir permissões de leitura / gravação nessa pasta ou executar um script na inicialização.

arquivo de configuração, você pode desabilitar a GPU virtualizada (ela está habilitada por padrão), desabilitar a rede (ela está ativada por padrão), especificar uma pasta de host compartilhada (aplicativos em área restrita não têm acesso a nenhum por padrão), definir leitura / gravação permissões na pasta, e / ou executar um script no lançamento

Primeiro, abra o Bloco de Notas ou o seu editor de texto favorito e comece com um novo arquivo de texto. Adicione o seguinte texto:

 < Configuration > < / Configuração > 

Todas as opções adicionadas devem estar entre esses dois parâmetros. Você pode adicionar apenas uma opção ou todas elas. Você não precisa incluir todas as opções. Se você não especificar uma opção, o padrão será usado.

Como desativar a GPU virtual ou a rede

Como a Microsoft aponta, ter a GPU virtual ou a rede ativada aumenta os caminhos que o software mal-intencionado pode usar para sair da sandbox. Então, se você está testando algo que você está particularmente preocupado, pode ser aconselhável desativá-los.

Para desativar a GPU virtual, que é ativada por padrão, adicione o seguinte texto ao seu arquivo de configuração.

 < VGpu > Desativar < / VGpu > 

Para desativar o acesso à rede, que é ativado por padrão, adicione o texto a seguir.

 < Rede > Desativar < / Rede > 

Como mapear uma pasta

Para mapear uma pasta, você precisará detalhar exatamente qual pasta deseja compartilhar e, em seguida, especificar se a pasta deve ser somente de leitura ou não.

Mapear uma pasta tem esta aparência:

 < MappedFolders > < Pasta Mapeada > < HostFolder > C: \ Usuários \ Public \ Downloads < / HostFolder > < ReadOnly > true < / somente leitura > < / MappedFolder > < / MappedFolders > 

HostFolder é onde você lista a pasta específica que deseja compartilhar. No exemplo acima, a pasta Public Download encontrada nos sistemas Windows está sendo compartilhada. ReadOnly define se o Sandbox pode gravar na pasta ou não. Defina como true para tornar a pasta somente leitura ou false para torná-la gravável.

Só lembre-se de que você está introduzindo risco ao seu sistema ao vincular uma pasta entre o host e o Windows Sandbox. O acesso de gravação do Sandbox aumenta esse risco. Se você estiver testando algo que possa ser malicioso, não use essa opção.

Como executar um script no Launch

Por fim, você pode executar scripts personalizados ou comandos básicos. Você poderia, por exemplo, forçar o Sandbox a abrir uma pasta mapeada no lançamento. A criação desse arquivo seria assim:

 < MappedFolders > < Pasta Mapeada > < HostFolder > C: \ Usuários \ Public \ Downloads < / HostFolder > < ReadOnly > true < / somente leitura > < / MappedFolder > < / MappedFolders > < LogonCommand > < Comando > explorer.exe C: \ users \ WDAGUtilityAccount \ Desktop \ Downloads < / Command > < / LogonCommand > 

WDAGUtilityAccount é o usuário padrão para o Windows Sandbox, então você sempre fará referência a isso ao abrir pastas ou arquivos como parte de um comando.

Infelizmente, na versão de quase lançamento de Atualização de maio de 2019 do Windows 10, a opção LogonCommand não parece estar funcionando conforme o esperado. Não fez nada, mesmo quando usamos o exemplo na documentação da Microsoft. A Microsoft provavelmente corrigirá esse bug em breve.

Como iniciar o Sandbox com suas configurações

Depois de terminar, salve seu arquivo e dê um Extensão de arquivo .wsb. Por exemplo, se o seu editor de texto o salva como Sandbox.txt, salve-o como Sandbox.wsb. Para iniciar o Windows Sandbox com suas configurações, clique duas vezes no arquivo .wsb. Você pode colocá-lo em sua área de trabalho ou criar um atalho para ele no menu Iniciar.

Para sua conveniência, você pode baixar este arquivo DisabledNetwork para economizar alguns passos. O arquivo tem uma extensão de txt, renomeia com uma extensão de arquivo .wsb e você está pronto para iniciar o Windows Sandbox.

Via: How to Geek