מדריך להרצת Sandbox תחת חלונות 10

הקדמה

חלונות 10, החל מבניה 18305 תומכת בארגז חול מובנה, שמאפשר להריץ אפליקציות בסביבה מבודדת מהמארח. הארגז חול הינו זמני (ephemeral), שמתאפס בכל פעם שפותחים\סוגרים את הארגז חול.

דרישות מינימליות

  • חלונות 10 Pro, Enterprise or Education בניה 18305 והלאה.
  • ארכיטקטורת מעבד AMD64.
  • מעבד שתומך בוירטואליזציה (לשים לב שמופעל ב-BIOS).
  • לפחות 4 גיגה זכרון (מומלץ 8).
  • לפחות 1 גיגה בייט מקום פנוי בדיסק (מומלץ SSD).
  • לפחות מעבד בעל 2 ליבות (מומלץ 4 ליבות).

התקנה

לאחר שוידאתם כי המערכת שלכם תומכת בארגז חול של חלונות 10, תפעילו את הארגז חול בעזרת הפקודה ב-PowerShell כמנהל מערכת:

Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online

אם אתם רצים בתוך סביבה וירטואלית, תצטרו להפעיל Nested virtualization, הריצו את הפקודה:

Set-VMProcessor -VMName \<VMName> -ExposeVirtualizationExtensions $true

הרצה

בכדי להריץ ארגז חול, צריך ליצור קובץ מסוג wsb (עם הסיומת .wsb), זהו למעשה קובץ הגדרות, ראו לדוגמה איך להריץ את הדפדפן Tor בתוך ארגז חול, רק שימו לב שתצטרכו להתקין את הדפדפן ברמת המארח ולהריץ אותו לפחות פעם אחת, לאחר מכן אפשר להשתמש בהגדרות כפי שהן.

<Configuration>
  <VGpu>Disable</VGpu>
  <AudioInput>Disable</AudioInput>
  <VideoInput>Disable</VideoInput>
  <MemoryInMB>8000</MemoryInMB>
  <ProtectedClient>Disable</ProtectedClient>
  <PrinterRedirection>Disable</PrinterRedirection>
  <ClipboardRedirection>Default</ClipboardRedirection>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Users\default\Desktop\Tor Browser\</HostFolder>
      <SandboxFolder>C:\Users\WDAGUtilityAccount\Desktop\Tor</SandboxFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
    <MappedFolder>
      <HostFolder>C:\Users\default\Desktop\Tor Browser\Browser\TorBrowser\Data</HostFolder>
      <SandboxFolder>C:\Users\WDAGUtilityAccount\Desktop\Tor\Browser\TorBrowser\Data</SandboxFolder>
      <ReadOnly>false</ReadOnly>
    </MappedFolder>
    <MappedFolder>
      <HostFolder>C:\Users\default\Desktop\Sandbox.out</HostFolder>
      <SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads</SandboxFolder>
      <ReadOnly>false</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>C:\Users\WDAGUtilityAccount\Desktop\Tor\Browser\firefox.exe</Command>
  </LogonCommand>
</Configuration>
צורה בטוחה להריץ את Tor?

אני לא בטוח לגבי עד כמה הצורה הזו בטוחה להריץ את Tor, אולי עדיף פשוט להריץ VM יעודי וזהו. רק הנתיב שמחזיק את ההגדרות של Tor ונתיב להורדה ניתנים לכתיבה (לא איפה שהבינארים נמצאים), אני לא יודע עד כמה השינויים שניתן לבצע שם חושפים את המארח למפגעים. בתצורה הנוכחית לא תוכלו לעדכן את הדפדפן (תצטרכו לעשות את זה מחוץ לארגז חול, על המארח ישירות, וכאן יש סיכוי לוקטור תקיפה [הוזרק תוסף זדוני ועכשיו כאשר מריצים את הדפדפן על המארח בכדי לעדכנו הוא חשוף למארח]). פתרון אחר יכול להיות, זה להריץ התקנה שקטה של Tor בכל פעם שהארגז חול רץ, אבל אז לא תוכלו לשמור על ההגדרות שלהם (למשל אני מבצע שינוי בפרופיל שלי).

מקורות

  1. Microsoft - Docs - Windows Sandbox
לייק 1