Configuration de bac à sable WindowsWindows Sandbox configuration

Le bac à sable Windows prend en charge des fichiers de configuration simples, qui fournissent un ensemble minimal de paramètres de personnalisation pour le bac à sable (sandbox).Windows Sandbox supports simple configuration files, which provide a minimal set of customization parameters for Sandbox. Cette fonctionnalité peut être utilisée avec Windows 10 Build 18342 ou une version ultérieure.This feature can be used with Windows 10 build 18342 or later.

Les fichiers de configuration de bac à sable (sandbox) Windows sont au format XML et sont associés à un bac à sable via l’extension de fichier. WSB.Windows Sandbox configuration files are formatted as XML and are associated with Sandbox via the .wsb file extension. Pour utiliser un fichier de configuration, double-cliquez dessus pour l’ouvrir dans le bac à sable.To use a configuration file, double-click it to open it in the sandbox. Vous pouvez également l’appeler à l’aide de la ligne de commande, comme illustré ci-dessous:You can also invoke it via the command line as shown here:

C:\Temp> MyConfigFile. WSBC:\Temp> MyConfigFile.wsb

Un fichier de configuration permet à l’utilisateur de contrôler les aspects suivants du sandbox Windows:A configuration file enables the user to control the following aspects of Windows Sandbox:

  • processeur graphique (GPU): activez ou désactivez le processeur graphique virtuel.vGPU (virtualized GPU): Enable or disable the virtualized GPU. Si le processeur graphique virtuel est désactivé, le sandbox utilisera la plateforme de rastérisation avancée Windows.If vGPU is disabled, the sandbox will use Windows Advanced Rasterization Platform (WARP).
  • Réseau: activez ou désactivez l’accès réseau dans le bac à sable (sandbox).Networking: Enable or disable network access within the sandbox.
  • Dossiers mappés: Partagez des dossiers à partir de l’hôte avec des autorisations de lecture ou d' écriture .Mapped folders: Share folders from the host with read or write permissions. Notez que l’exposition d’annuaires d’hébergement peut permettre à des logiciels malveillants d’affecter le système ou de voler des données.Note that exposing host directories may allow malicious software to affect the system or steal data.
  • Commande Logon: commande exécutée au démarrage du bac à sable Windows.Logon command: A command that's executed when Windows Sandbox starts.
  • Entrée audio: partage l’entrée de microphone de l’hôte dans le bac à sable (sandbox).Audio input: Shares the host's microphone input into the sandbox.
  • Entrée vidéo: partage l’entrée webcam de l’hôte dans le bac à sable (sandbox).Video input: Shares the host's webcam input into the sandbox.
  • Client protégé: place des paramètres de sécurité plus importants sur la session RDP dans le bac à sable (sandbox).Protected client: Places increased security settings on the RDP session to the sandbox.
  • Redirection de l' imprimante: partage les imprimantes de l’hôte dans le bac à sable (sandbox).Printer redirection: Shares printers from the host into the sandbox.
  • Redirection du presse-papiers: partage le presse-papiers hôte avec le bac à sable (sandbox) de sorte que le texte et les fichiers puissent être collés.Clipboard redirection: Shares the host clipboard with the sandbox so that text and files can be pasted back and forth.
  • Mémoire en Mo: quantité de mémoire, en mégaoctets, à affecter au bac à sable (sandbox).Memory in MB: The amount of memory, in megabytes, to assign to the sandbox.

Mots clés, valeurs et limitesKeywords, values, and limits

processeur graphique virtuel: active ou désactive le partage GPU.vGPU: Enables or disables GPU sharing.

<vGPU>value</vGPU>

Valeurs prises en charge :Supported values:

  • Activez: active la prise en charge du processeur graphique dans le sandbox.Enable: Enables vGPU support in the sandbox.
  • Disable: désactivation de la prise en charge de processeur graphique sur le bac à sable (sandbox).Disable: Disables vGPU support in the sandbox. Si cette valeur est définie, le bac à sable (sandbox) utilise le rendu logiciel, ce qui peut être plus lent que le GPU virtualisé.If this value is set, the sandbox will use software rendering, which may be slower than virtualized GPU.
  • Par défaut Il s’agit de la valeur par défaut de la prise en charge de processeur graphique virtuel.Default This is the default value for vGPU support. Pour le moment, cela signifie que le processeur graphique est désactivé.Currently this means vGPU is disabled.

Notes

L’activation du GPU virtuel peut éventuellement augmenter la surface d’attaque du bac à sable (sandbox).Enabling virtualized GPU can potentially increase the attack surface of the sandbox.

Réseau: active ou désactive la mise en réseau dans le bac à sable (sandbox).Networking: Enables or disables networking in the sandbox. Vous pouvez désactiver l’accès au réseau pour réduire la surface d’attaque exposée par le bac à sable (sandbox).You can disable network access to decrease the attack surface exposed by the sandbox.

<Networking>value</Networking>

Valeurs prises en charge :Supported values:

  • Disable: désactive la mise en réseau dans le bac à sable (sandbox).Disable: Disables networking in the sandbox.
  • Par défaut: il s’agit de la valeur par défaut pour la prise en charge réseau.Default: This is the default value for networking support. Cette valeur permet la mise en réseau en créant un commutateur virtuel sur l’hôte et en connectant le bac à sable (sandbox) par le biais d’une carte réseau virtuelle.This value enables networking by creating a virtual switch on the host and connects the sandbox to it via a virtual NIC.

Notes

L’activation du réseau peut exposer des applications non approuvées au réseau interne.Enabling networking can expose untrusted applications to the internal network.

Dossiers mappés: tableau de dossiers, qui représentent chacun un emplacement sur l’ordinateur hôte qui sera partagé dans le bac à sable (sandbox) pour le chemin d’accès spécifié.Mapped folders: An array of folders, each representing a location on the host machine that will be shared into the sandbox at the specified path. Pour le moment, les chemins d’accès relatifs ne sont pas pris en charge.At this time, relative paths are not supported. Si aucun chemin d’accès n’est spécifié, le dossier est mappé au bureau de l’utilisateur conteneur.If no path is specified, the folder will be mapped to the container user's desktop.

<MappedFolders>
  <MappedFolder> 
    <HostFolder>absolute path to the host folder</HostFolder> 
    <SandboxFolder>absolute path to the sandbox folder</SandboxFolder> 
    <ReadOnly>value</ReadOnly> 
  </MappedFolder>
  <MappedFolder>  
    ...
  </MappedFolder>
</MappedFolders>

HostFolder: spécifie le dossier de l’ordinateur hôte à partager dans le bac à sable (sandbox).HostFolder: Specifies the folder on the host machine to share into the sandbox. Notez que le dossier doit déjà exister sur l’hôte ou que le conteneur ne peut pas démarrer.Note that the folder must already exist on the host, or the container will fail to start.

SandboxFolder: spécifie la destination dans le bac à sable (sandbox) dans laquelle mapper le dossier.SandboxFolder: Specifies the destination in the sandbox to map the folder to. Si le dossier n’existe pas, il sera créé.If the folder doesn't exist, it will be created. Si aucun dossier sandbox n’est spécifié, le dossier est mappé au Bureau du conteneur.If no sandbox folder is specified, the folder will be mapped to the container desktop.

ReadOnly: si true, applique l’accès en lecture seule au dossier partagé à partir du conteneur.ReadOnly: If true, enforces read-only access to the shared folder from within the container. Valeurs prises en charge: true/false.Supported values: true/false. Par défaut, la valeur est false.Defaults to false.

Notes

Les fichiers et dossiers mappés à partir de l’hôte peuvent être compromis par des applications dans le bac à sable (sandbox) ou éventuellement affectant l’hôte.Files and folders mapped in from the host can be compromised by apps in the sandbox or potentially affect the host.

Commande d’ouverture de session: spécifie une seule commande qui est appelée automatiquement après la connexion du bac à sable.Logon command: Specifies a single command that will be invoked automatically after the sandbox logs on. Les applications du sandbox s’exécutent sous le compte d’utilisateur du conteneur.Apps in the sandbox are run under the container user account.

<LogonCommand>
  <Command>command to be invoked</Command>
</LogonCommand>

Commande: chemin d’accès d’un fichier exécutable ou d’un script à l’intérieur du conteneur qui sera exécuté après connexion.Command: A path to an executable or script inside the container that will be executed after login.

Notes

Bien que les commandes les plus simples fonctionnent (par exemple, le lancement d’un fichier exécutable ou d’un script), il est conseillé de placer des scénarios plus complexes impliquant plusieurs étapes dans un fichier de script.Although very simple commands will work (such as launching an executable or script), more complicated scenarios involving multiple steps should be placed into a script file. Ce fichier de script est susceptible d’être mappé dans le conteneur via un dossier partagé, puis exécuté via la directive LogonCommand .This script file may be mapped into the container via a shared folder, and then executed via the LogonCommand directive.

Entrée audio: active ou désactive l’entrée audio dans le bac à sable (sandbox).Audio input: Enables or disables audio input to the sandbox.

<AudioInput>value</AudioInput>

Valeurs prises en charge :Supported values:

  • Activez: active l’entrée audio dans le bac à sable (sandbox).Enable: Enables audio input in the sandbox. Si cette valeur est définie, le bac à sable (sandbox) pourra recevoir une entrée audio de l’utilisateur.If this value is set, the sandbox will be able to receive audio input from the user. Il est possible que les applications qui utilisent un microphone requièrent cette fonctionnalité.Applications that use a microphone may require this capability.
  • Disable: désactive l’entrée audio dans le bac à sable (sandbox).Disable: Disables audio input in the sandbox. Si cette valeur est définie, le sandbox ne peut pas recevoir d’entrée audio de la part de l’utilisateur.If this value is set, the sandbox can't receive audio input from the user. Les applications qui utilisent un microphone risquent de ne pas fonctionner correctement avec ce paramètre.Applications that use a microphone may not function properly with this setting.
  • Par défaut: il s’agit de la valeur par défaut pour la prise en charge de l’entrée audio.Default: This is the default value for audio input support. Pour l’instant, l’entrée audio est activée.Currently this means audio input is enabled.

Notes

Il peut s’agir d’implications sur la sécurité de l’exposition de l’entrée audio de l’hôte au conteneur.There may be security implications of exposing host audio input to the container.

Entrée vidéo: active ou désactive l’entrée vidéo dans le bac à sable (sandbox).Video input: Enables or disables video input to the sandbox.

<VideoInput>value</VideoInput>

Valeurs prises en charge :Supported values:

  • Activez: active l’entrée vidéo dans le bac à sable (sandbox).Enable: Enables video input in the sandbox.
  • Disable: désactive l’entrée vidéo dans le bac à sable (sandbox).Disable: Disables video input in the sandbox. Les applications qui utilisent la saisie vidéo risquent de ne pas fonctionner correctement dans le bac à sable (sandbox).Applications that use video input may not function properly in the sandbox.
  • Par défaut: il s’agit de la valeur par défaut de la prise en charge de l’entrée vidéo.Default: This is the default value for video input support. Cela signifie que l’entrée vidéo est désactivée.Currently this means video input is disabled. Les applications qui utilisent la saisie vidéo risquent de ne pas fonctionner correctement dans le bac à sable (sandbox).Applications that use video input may not function properly in the sandbox.

Notes

Il peut y avoir des implications en sécurité sur l’exposition de l’entrée vidéo hôte au conteneur.There may be security implications of exposing host video input to the container.

Client protégé: applique des paramètres de sécurité supplémentaires au client de bureau distant sandbox, diminuant sa surface d’attaque.Protected client: Applies additional security settings to the sandbox Remote Desktop client, decreasing its attack surface.

<ProtectedClient>value</ProtectedClient>

Valeurs prises en charge :Supported values:

  • Activer: exécute le bac à sable (sandbox) Windows en mode client protégé.Enable: Runs Windows sandbox in Protected Client mode. Si cette valeur est définie, le sandbox s’exécute avec des réductions supplémentaires sur la sécurité activées.If this value is set, the sandbox runs with extra security mitigations enabled.
  • Disable: exécute le bac à sable (sandbox) en mode standard sans atténuation de sécurité supplémentaire.Disable: Runs the sandbox in standard mode without extra security mitigations.
  • Par défaut: il s’agit de la valeur par défaut du mode client protégé.Default: This is the default value for Protected Client mode. Pour l’instant, cela signifie que le sandbox ne s’exécute pas en mode client protégé.Currently, this means the sandbox doesn't run in Protected Client mode.

Notes

Ce paramètre peut limiter la possibilité pour les utilisateurs de copier/coller des fichiers dans et hors du bac à sable (sandbox).This setting may restrict the user's ability to copy/paste files in and out of the sandbox.

Redirection de l' imprimante: active ou désactive le partage d’imprimante à partir de l’hôte dans le bac à sable.Printer redirection: Enables or disables printer sharing from the host into the sandbox.

<PrinterRedirection>value</PrinterRedirection>

Valeurs prises en charge :Supported values:

  • Activez: active le partage d’imprimantes hôtes dans le bac à sable (sandbox).Enable: Enables sharing of host printers into the sandbox.
  • Disable: désactive la redirection de l’imprimante dans le bac à sable (sandbox).Disable: Disables printer redirection in the sandbox. Si cette valeur est définie, le sandbox ne peut pas afficher les imprimantes de l’hôte.If this value is set, the sandbox can't view printers from the host.
  • Par défaut: il s’agit de la valeur par défaut pour la prise en charge de la redirection d’imprimante.Default: This is the default value for printer redirection support. Cela signifie que la redirection d’imprimante est désactivée.Currently this means printer redirection is disabled.

Redirection du presse-papiers: active ou désactive le partage du presse-papiers hôte avec le bac à sable (sandbox).Clipboard redirection: Enables or disables sharing of the host clipboard with the sandbox.

<ClipboardRedirection>value</ClipboardRedirection>

Valeurs prises en charge :Supported values:

  • Disable: désactive la redirection du presse-papiers dans le bac à sable (sandbox).Disable: Disables clipboard redirection in the sandbox. Si cette valeur est définie, copier/coller dans et hors du sandbox sera limité.If this value is set, copy/paste in and out of the sandbox will be restricted.
  • Par défaut: il s’agit de la valeur par défaut de la redirection du presse-papiers.Default: This is the default value for clipboard redirection. Le copier-coller actuellement entre l’hôte et le sandbox est autorisé par défaut.Currently copy/paste between the host and sandbox are permitted under Default.

Mémoire en Mo: spécifie la quantité de mémoire qui peut être utilisée par le sandbox en mégaoctets (Mo).Memory in MB: Specifies the amount of memory that the sandbox can use in megabytes (MB).

<MemoryInMB>value</MemoryInMB>

Si la valeur de mémoire spécifiée est insuffisante pour démarrer un bac à sable (sandbox), il sera automatiquement augmenté du montant minimal requis.If the memory value specified is insufficient to boot a sandbox, it will be automatically increased to the required minimum amount.

Exemple1Example 1
Le fichier de configuration suivant peut être utilisé pour tester facilement les fichiers téléchargés à l’intérieur du bac à sable.The following config file can be used to easily test downloaded files inside the sandbox. Pour cela, la mise en réseau et le processeur graphique virtuel sont désactivés, et le sandbox dispose d’un accès en lecture seule au dossier téléchargements partagés.To achieve this, networking and vGPU are disabled, and the sandbox is allowed read-only access to the shared downloads folder. Pour des raisons de commodité, la commande de connexion ouvre le dossier téléchargements dans le bac à sable au démarrage.For convenience, the logon command opens the downloads folder inside the sandbox when it's started.

Téléchargements. WSBDownloads.wsb

<Configuration>
  <VGpu>Disable</VGpu>
  <Networking>Disable</Networking>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Users\Public\Downloads</HostFolder>
      <SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads</SandboxFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>explorer.exe C:\users\WDAGUtilityAccount\Downloads</Command>
  </LogonCommand>
</Configuration>

Exemple2Example 2

Le fichier de configuration suivant installe le code Visual Studio dans le bac à sable (sandbox), qui nécessite une configuration LogonCommand légèrement plus complexe.The following config file installs Visual Studio Code in the sandbox, which requires a slightly more complicated LogonCommand setup.

Deux dossiers sont mappés au sandbox; le premier (SandboxScripts) contient VSCodeInstall. cmd, qui permet d’installer et d’exécuter du code Visual Studio.Two folders are mapped into the sandbox; the first (SandboxScripts) contains VSCodeInstall.cmd, which will install and run Visual Studio Code. Le deuxième dossier (CodingProjects) est censé contenir les fichiers de projet que le développeur souhaite modifier à l’aide de code Visual Studio.The second folder (CodingProjects) is assumed to contain project files that the developer wants to modify using Visual Studio Code.

Lorsque le script du programme d’installation de code Visual Studio est déjà mappé dans le bac à sable (sandbox), LogonCommand peut le référencer.With the Visual Studio Code installer script already mapped into the sandbox, the LogonCommand can reference it.

VSCodeInstall. cmdVSCodeInstall.cmd

REM Download Visual Studio Code
curl -L "https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Desktop\vscode.exe

REM Install and run Visual Studio Code
C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes

VSCode. WSBVSCode.wsb

<Configuration>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\SandboxScripts</HostFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
    <MappedFolder>
      <HostFolder>C:\CodingProjects</HostFolder>
      <ReadOnly>false</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>C:\Users\WDAGUtilityAccount\Desktop\SandboxScripts\VSCodeInstall.cmd</Command>
  </LogonCommand>
</Configuration>