Windows-Sandbox-KonfigurationWindows Sandbox configuration

Die Windows-Sandbox unterstützt einfache Konfigurationsdateien, die einen minimalen Satz an Anpassungs Parametern für Sandkasten bereitstellen.Windows Sandbox supports simple configuration files, which provide a minimal set of customization parameters for Sandbox. Dieses Feature kann mit Windows 10 Build 18342 oder höher verwendet werden.This feature can be used with Windows 10 build 18342 or later.

Windows-Sandbox-Konfigurationsdateien werden als XML formatiert und über die WSB-Dateierweiterung dem Sandkasten zugeordnet.Windows Sandbox configuration files are formatted as XML and are associated with Sandbox via the .wsb file extension. Wenn Sie eine Konfigurationsdatei verwenden möchten, doppelklicken Sie darauf, um Sie im Sandkasten zu öffnen.To use a configuration file, double-click it to open it in the sandbox. Sie können es auch über die Befehlszeile aufrufen, wie hier gezeigt:You can also invoke it via the command line as shown here:

C:\temp> myconfigdatei. WSBC:\Temp> MyConfigFile.wsb

Eine Konfigurationsdatei ermöglicht es dem Benutzer, die folgenden Aspekte der Windows-Sandbox zu steuern:A configuration file enables the user to control the following aspects of Windows Sandbox:

  • vGPU (virtualisierte GPU): Aktivieren oder Deaktivieren der virtualisierten GPU.vGPU (virtualized GPU): Enable or disable the virtualized GPU. Wenn vGPU deaktiviert ist, wird im Sandkasten die Windows-erweiterte Raster-Plattform (Warp) verwendet.If vGPU is disabled, the sandbox will use Windows Advanced Rasterization Platform (WARP).
  • Netzwerk: Aktivierenoder Deaktivieren des Netzwerkzugriffs innerhalb der SandboxNetworking: Enable or disable network access within the sandbox.
  • Zugeordnete Ordner: Freigeben von Ordnern vom Host mit Lese -oder Schreib BerechtigungenMapped folders: Share folders from the host with read or write permissions. Beachten Sie, dass durch das verfügbar machen von Host Verzeichnissen schädliche Software das System beeinflussen oder Daten stehlen kann.Note that exposing host directories may allow malicious software to affect the system or steal data.
  • Anmelde Befehl: ein Befehl, der beim Starten der Windows-Sandbox ausgeführt wird.Logon command: A command that's executed when Windows Sandbox starts.
  • Audioeingabe: teilt den Mikrofoneingang des Hosts in den Sandkasten.Audio input: Shares the host's microphone input into the sandbox.
  • Video Eingabe: teilt die Webcam-Eingabe des Hosts in den Sandkasten auf.Video input: Shares the host's webcam input into the sandbox.
  • Geschützter Client: platziert erhöhte Sicherheitseinstellungen für die RDP-Sitzung im Sandkasten.Protected client: Places increased security settings on the RDP session to the sandbox.
  • Druckerumleitung: Freigabe von Druckern aus dem Host im Sandkasten.Printer redirection: Shares printers from the host into the sandbox.
  • Zwischenablageumleitung: teilt die Host-Zwischenablage mit der Sandbox, damit Text und Dateien hin und her eingefügt werden können.Clipboard redirection: Shares the host clipboard with the sandbox so that text and files can be pasted back and forth.
  • Arbeitsspeicher in MB: die Größe des Arbeitsspeichers in Megabyte, der der Sandbox zugewiesen werden soll.Memory in MB: The amount of memory, in megabytes, to assign to the sandbox.

Schlüsselwörter, Werte und GrenzwerteKeywords, values, and limits

vGPU: aktiviert oder deaktiviert die GPU-Freigabe.vGPU: Enables or disables GPU sharing.

<vGPU>value</vGPU>

Unterstützte Werte:Supported values:

  • Aktivieren: aktiviert die vGPU-Unterstützung im Sandkasten.Enable: Enables vGPU support in the sandbox.
  • Deaktivieren: deaktiviert die vGPU-Unterstützung im Sandkasten.Disable: Disables vGPU support in the sandbox. Wenn dieser Wert gesetzt ist, verwendet der Sandkasten Software-Rendering, das möglicherweise langsamer als virtualisierte GPU ist.If this value is set, the sandbox will use software rendering, which may be slower than virtualized GPU.
  • Standardwert Dies ist der Standardwert für die vGPU-Unterstützung.Default This is the default value for vGPU support. Derzeit bedeutet dies, dass vGPU deaktiviert ist.Currently this means vGPU is disabled.

Hinweis

Durch Aktivieren der virtualisierten GPU kann die Angriffsfläche der Sandbox potenziell erhöht werden.Enabling virtualized GPU can potentially increase the attack surface of the sandbox.

Netzwerk: aktiviert oder deaktiviert das Netzwerk im Sandkasten.Networking: Enables or disables networking in the sandbox. Sie können den Netzwerkzugriff deaktivieren, um die vom Sandkasten verfügbar gemachte Angriffsfläche zu verkleinern.You can disable network access to decrease the attack surface exposed by the sandbox.

<Networking>value</Networking>

Unterstützte Werte:Supported values:

  • Deaktivieren: deaktiviert das Netzwerk im Sandkasten.Disable: Disables networking in the sandbox.
  • Standard: Dies ist der Standardwert für die Netzwerkunterstützung.Default: This is the default value for networking support. Dieser Wert ermöglicht die Vernetzung durch Erstellen eines virtuellen Switches auf dem Host und verbindet den Sandkasten über eine virtuelle NIC mit ihm.This value enables networking by creating a virtual switch on the host and connects the sandbox to it via a virtual NIC.

Hinweis

Durch das Aktivieren von Netzwerk können nicht vertrauenswürdige Anwendungen im internen Netzwerk verfügbar gemacht werden.Enabling networking can expose untrusted applications to the internal network.

Zugeordnete Ordner: ein Array von Ordnern, die jeweils eine Position auf dem Hostcomputer darstellen, die am angegebenen Pfad in der Sandbox freigegeben wird.Mapped folders: An array of folders, each representing a location on the host machine that will be shared into the sandbox at the specified path. Zu diesem Zeitpunkt werden relative Pfade nicht unterstützt.At this time, relative paths are not supported. Wenn kein Pfad angegeben ist, wird der Ordner dem Desktop des Container Benutzers zugeordnet.If no path is specified, the folder will be mapped to the container user's desktop.

<MappedFolders>
  <MappedFolder> 
    <HostFolder>absolute path to the host folder</HostFolder> 
    <SandboxFolder>absolute path to the sandbox folder</SandboxFolder> 
    <ReadOnly>value</ReadOnly> 
  </MappedFolder>
  <MappedFolder>  
    ...
  </MappedFolder>
</MappedFolders>

HostFolder: gibt den Ordner auf dem Hostcomputer an, der in der Sandbox freigegeben werden soll.HostFolder: Specifies the folder on the host machine to share into the sandbox. Beachten Sie, dass der Ordner bereits auf dem Host vorhanden sein muss oder der Container nicht gestartet werden kann.Note that the folder must already exist on the host, or the container will fail to start.

SandboxFolder: gibt das Ziel im Sandkasten an, dem der Ordner zugeordnet werden soll.SandboxFolder: Specifies the destination in the sandbox to map the folder to. Wenn der Ordner nicht vorhanden ist, wird er erstellt.If the folder doesn't exist, it will be created. Wenn kein Sandkasten Ordner angegeben ist, wird der Ordner dem Container Desktop zugeordnet.If no sandbox folder is specified, the folder will be mapped to the container desktop.

ReadOnly: Wenn wahr, wird schreibgeschützter Zugriff auf den freigegebenen Ordner innerhalb des Containers erzwungen.ReadOnly: If true, enforces read-only access to the shared folder from within the container. Unterstützte Werte: true/false.Supported values: true/false. Standardwert ist false.Defaults to false.

Hinweis

Dateien und Ordner, die dem Host zugeordnet sind, können durch apps im Sandkasten beeinträchtigt werden oder sich potenziell auf den Host auswirken.Files and folders mapped in from the host can be compromised by apps in the sandbox or potentially affect the host.

Anmelde Befehl: gibt einen einzelnen Befehl an, der automatisch aufgerufen wird, nachdem sich der Sandkasten anmeldet.Logon command: Specifies a single command that will be invoked automatically after the sandbox logs on. Apps im Sandkasten werden unter dem Container-Benutzerkonto ausgeführt.Apps in the sandbox are run under the container user account.

<LogonCommand>
  <Command>command to be invoked</Command>
</LogonCommand>

Befehl: ein Pfad zu einer ausführbaren Datei oder einem Skript innerhalb des Containers, das nach der Anmeldung ausgeführt wird.Command: A path to an executable or script inside the container that will be executed after login.

Hinweis

Obwohl sehr einfache Befehle funktionieren (wie das Starten einer ausführbaren Datei oder eines Skripts), sollten kompliziertere Szenarien mit mehreren Schritten in einer Skriptdatei abgelegt werden.Although very simple commands will work (such as launching an executable or script), more complicated scenarios involving multiple steps should be placed into a script file. Diese Skriptdatei kann über einen freigegebenen Ordner dem Container zugeordnet und dann über die LogonCommand -Direktive ausgeführt werden.This script file may be mapped into the container via a shared folder, and then executed via the LogonCommand directive.

Audioeingabe: aktiviert oder deaktiviert die Audioeingabe in den Sandkasten.Audio input: Enables or disables audio input to the sandbox.

<AudioInput>value</AudioInput>

Unterstützte Werte:Supported values:

  • Aktivieren: aktiviert die Audioeingabe im Sandkasten.Enable: Enables audio input in the sandbox. Wenn dieser Wert gesetzt ist, kann der Sandkasten die Audioeingabe des Benutzers empfangen.If this value is set, the sandbox will be able to receive audio input from the user. Für Anwendungen, die ein Mikrofon verwenden, ist diese Funktion möglicherweise erforderlich.Applications that use a microphone may require this capability.
  • Deaktivieren: deaktiviert die Audioeingabe im Sandkasten.Disable: Disables audio input in the sandbox. Wenn dieser Wert gesetzt ist, kann der Sandkasten keine Audioeingabe vom Benutzer empfangen.If this value is set, the sandbox can't receive audio input from the user. Anwendungen, die ein Mikrofon verwenden, funktionieren möglicherweise nicht ordnungsgemäß mit dieser Einstellung.Applications that use a microphone may not function properly with this setting.
  • Standard: Dies ist der Standardwert für die Audioeingabe-Unterstützung.Default: This is the default value for audio input support. Derzeit bedeutet dies, dass die Audioeingabe aktiviert ist.Currently this means audio input is enabled.

Hinweis

Möglicherweise gibt es Sicherheitsimplikationen, wenn Sie die Host-Audioeingabe für den Container verfügbar machen.There may be security implications of exposing host audio input to the container.

Video Eingabe: aktiviert oder deaktiviert die Video Eingabe in den Sandkasten.Video input: Enables or disables video input to the sandbox.

<VideoInput>value</VideoInput>

Unterstützte Werte:Supported values:

  • Aktivieren: aktiviert die Video Eingabe in der Sandbox.Enable: Enables video input in the sandbox.
  • Deaktivieren: deaktiviert die Video Eingabe im Sandkasten.Disable: Disables video input in the sandbox. Anwendungen, die Video Eingaben verwenden, funktionieren möglicherweise nicht ordnungsgemäß im Sandkasten.Applications that use video input may not function properly in the sandbox.
  • Standard: Dies ist der Standardwert für die Video Eingabeunterstützung.Default: This is the default value for video input support. Derzeit bedeutet dies, dass die Video Eingabe deaktiviert ist.Currently this means video input is disabled. Anwendungen, die Video Eingaben verwenden, funktionieren möglicherweise nicht ordnungsgemäß im Sandkasten.Applications that use video input may not function properly in the sandbox.

Hinweis

Möglicherweise gibt es Sicherheitsimplikationen, wenn Sie die Host-Video Eingabe für den Container verfügbar machen.There may be security implications of exposing host video input to the container.

Geschützter Client: wendet zusätzliche Sicherheitseinstellungen auf den Sandkasten-Remote Desktop Client an, wodurch die Angriffsfläche verringert wird.Protected client: Applies additional security settings to the sandbox Remote Desktop client, decreasing its attack surface.

<ProtectedClient>value</ProtectedClient>

Unterstützte Werte:Supported values:

  • Aktivieren: führt die Windows-Sandbox im geschützten Client Modus aus.Enable: Runs Windows sandbox in Protected Client mode. Wenn dieser Wert gesetzt ist, wird der Sandkasten mit zusätzlichen Sicherheitsrisiken aktiviert.If this value is set, the sandbox runs with extra security mitigations enabled.
  • Deaktivieren: führt den Sandkasten im Standardmodus ohne zusätzliche Sicherheitsrisiken aus.Disable: Runs the sandbox in standard mode without extra security mitigations.
  • Standard: Dies ist der Standardwert für den geschützten Client Modus.Default: This is the default value for Protected Client mode. Dies bedeutet derzeit, dass die Sandbox nicht im geschützten Client Modus ausgeführt wird.Currently, this means the sandbox doesn't run in Protected Client mode.

Hinweis

Diese Einstellung kann die Möglichkeit des Benutzers einschränken, Dateien in den Sandkasten zu kopieren/einzufügen.This setting may restrict the user's ability to copy/paste files in and out of the sandbox.

Druckerumleitung: aktiviert oder deaktiviert die Druckerfreigabe vom Host in den Sandkasten.Printer redirection: Enables or disables printer sharing from the host into the sandbox.

<PrinterRedirection>value</PrinterRedirection>

Unterstützte Werte:Supported values:

  • Aktivieren: ermöglicht die Freigabe von Host Druckern in der Sandbox.Enable: Enables sharing of host printers into the sandbox.
  • Deaktivieren: deaktiviert die Druckerumleitung im Sandkasten.Disable: Disables printer redirection in the sandbox. Wenn dieser Wert gesetzt ist, kann der Sandkasten Drucker nicht vom Host aus anzeigen.If this value is set, the sandbox can't view printers from the host.
  • Standard: Dies ist der Standardwert für die Unterstützung der Druckerumleitung.Default: This is the default value for printer redirection support. Derzeit bedeutet dies, dass die Druckerumleitung deaktiviert ist.Currently this means printer redirection is disabled.

Zwischenablageumleitung: aktiviert oder deaktiviert die Freigabe der Host Zwischenablage im Sandkasten.Clipboard redirection: Enables or disables sharing of the host clipboard with the sandbox.

<ClipboardRedirection>value</ClipboardRedirection>

Unterstützte Werte:Supported values:

  • Deaktivieren: deaktiviert die Zwischenablageumleitung im Sandkasten.Disable: Disables clipboard redirection in the sandbox. Wenn dieser Wert festgesetzt ist, wird das Kopieren/Einfügen in und aus der Sandbox eingeschränkt.If this value is set, copy/paste in and out of the sandbox will be restricted.
  • Standard: Dies ist der Standardwert für die Zwischenablage-Umleitung.Default: This is the default value for clipboard redirection. Das Kopieren/Einfügen zwischen dem Host und der Sandbox ist derzeit unter Standardzulässig.Currently copy/paste between the host and sandbox are permitted under Default.

Arbeitsspeicher in MB: gibt die Größe des Arbeitsspeichers an, der von der Sandbox in Megabytes (MB) verwendet werden kann.Memory in MB: Specifies the amount of memory that the sandbox can use in megabytes (MB).

<MemoryInMB>value</MemoryInMB>

Wenn der angegebene Speicherwert nicht ausreicht, um einen Sandkasten zu booten, wird er automatisch auf den erforderlichen Mindestbetrag erhöht.If the memory value specified is insufficient to boot a sandbox, it will be automatically increased to the required minimum amount.

Beispiel 1Example 1
Die folgende Konfigurationsdatei kann zum einfachen Testen von heruntergeladenen Dateien in der Sandbox verwendet werden.The following config file can be used to easily test downloaded files inside the sandbox. Um dies zu erreichen, sind Netzwerk-und vGPU deaktiviert, und die Sandbox ist schreibgeschützter Zugriff auf den Ordner "freigegebene Downloads" möglich.To achieve this, networking and vGPU are disabled, and the sandbox is allowed read-only access to the shared downloads folder. Aus Gründen der Benutzerfreundlichkeit öffnet der Befehl "Anmeldung" den Ordner "Downloads" im Sandkasten, wenn er gestartet wird.For convenience, the logon command opens the downloads folder inside the sandbox when it's started.

Downloads. WSBDownloads.wsb

<Configuration>
  <VGpu>Disable</VGpu>
  <Networking>Disable</Networking>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Users\Public\Downloads</HostFolder>
      <SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads</SandboxFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>explorer.exe C:\users\WDAGUtilityAccount\Downloads</Command>
  </LogonCommand>
</Configuration>

Beispiel 2Example 2

Die folgende Konfigurationsdatei installiert Visual Studio-Code in der Sandbox, was ein etwas komplizierter LogonCommand-Setup erfordert.The following config file installs Visual Studio Code in the sandbox, which requires a slightly more complicated LogonCommand setup.

Zwei Ordner werden dem Sandkasten zugeordnet; die erste (SandboxScripts) enthält VSCodeInstall. cmd, mit dem Visual Studio-Code installiert und ausgeführt wird.Two folders are mapped into the sandbox; the first (SandboxScripts) contains VSCodeInstall.cmd, which will install and run Visual Studio Code. Der zweite Ordner (CodingProjects) wird davon ausgegangen, dass Projektdateien enthalten sind, die der Entwickler mithilfe von Visual Studio-Code ändern möchte.The second folder (CodingProjects) is assumed to contain project files that the developer wants to modify using Visual Studio Code.

Wenn das Visual Studio-Code Installationsskript bereits in der Sandbox zugeordnet ist, kann die LogonCommand darauf verweisen.With the Visual Studio Code installer script already mapped into the sandbox, the LogonCommand can reference it.

VSCodeInstall. cmdVSCodeInstall.cmd

REM Download Visual Studio Code
curl -L "https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Desktop\vscode.exe

REM Install and run Visual Studio Code
C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes

VSCode. WSBVSCode.wsb

<Configuration>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\SandboxScripts</HostFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
    <MappedFolder>
      <HostFolder>C:\CodingProjects</HostFolder>
      <ReadOnly>false</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>C:\Users\WDAGUtilityAccount\Desktop\SandboxScripts\VSCodeInstall.cmd</Command>
  </LogonCommand>
</Configuration>