Fast Ring 通道的 Windows Insider 用戶安裝 19H1 build 18305 后可在特定硬件上試用 Windows Sandbox。

Windows Sandbox 有個(gè)簡(jiǎn)單卻有用的主張：執(zhí)行任意軟件而不用擔(dān)心設(shè)備上會(huì)駐留潛在惡意軟件。該功能可能為用戶省下設(shè)置虛擬機(jī)來(lái)評(píng)估非受信軟件的時(shí)間。

Windows Sandbox 中安裝的任何軟件都只存在于沙箱中，影響不到實(shí)體主機(jī)。一旦 Windows Sandbox 關(guān)閉，所有軟件連同其文件和狀態(tài)統(tǒng)統(tǒng)永久刪除。

微軟和谷歌早就在其Edge和Chrome瀏覽器中啟用了沙箱限制，用上沙箱技術(shù)后攻擊者便無(wú)法利用其它軟件(如 Adobe Flash )中的漏洞往主機(jī)操作系統(tǒng)中安裝惡意軟件了。

該新功能降低了使用硬件虛擬化技術(shù)測(cè)試潛在惡意軟件的門檻，利用微軟Hyper-V虛擬機(jī)管理程序運(yùn)行一個(gè)獨(dú)立的內(nèi)核將 Windows Sandbox 與主機(jī)隔開。

但該新功能要求主機(jī)基于AMD64架構(gòu)，且BIOS啟用虛擬化功能。操作系統(tǒng)版本也得是 Windows 10 Pro 或 Windows 10 企業(yè)版。

微軟將 Windows Sandbox 描述為需要操作系統(tǒng)鏡像來(lái)引導(dǎo)啟動(dòng)的“輕量級(jí)虛擬機(jī)”。使用該功能的一個(gè)主要好處在于，用戶無(wú)需下載虛擬機(jī)通常要求的虛擬硬盤，有已安裝 Windows 10 的一個(gè)副本即可。

物理主機(jī)BIOS中啟用虛擬化后，用戶需要PowerShell命令暴露出 Windows Sandbox 并勾選之。然后用戶就能在開始菜單中看到 Windows Sandbox 了。執(zhí)行 Windows Sandbox 并將可疑軟件從主機(jī)復(fù)制過(guò)去，便可在沙箱中運(yùn)行該軟件并觀察會(huì)發(fā)生什么情況。關(guān)掉 Windows Sandbox 限制的應(yīng)用，該沙箱中的內(nèi)容也就消失了。

微軟指出，當(dāng)前實(shí)現(xiàn)中還有一些缺陷，比如安裝后和每個(gè)服務(wù)事件之后都會(huì)有1分鐘左右的CPU和磁盤高占用，拖慢開始菜單響應(yīng)時(shí)間，不支持需要重啟的安裝程序，對(duì)高分辨率屏幕和多屏設(shè)置支持不夠等等。

為實(shí)現(xiàn)能處理一些文件修改的干凈Windows環(huán)境，微軟打造了“動(dòng)態(tài)基鏡像”，該Windows鏡像有可修改文件的新鮮副本，但鏈向無(wú)法修改的操作系統(tǒng)鏡像中的文件。

微軟工程師解釋稱：

“

我們希望總能呈現(xiàn)一個(gè)干凈的環(huán)境，但問(wèn)題是某些操作系統(tǒng)文件會(huì)變。我們的解決方案是構(gòu)建所謂的‘動(dòng)態(tài)基鏡像’：具備可變文件的干凈副本，但鏈向主機(jī)上該Windows鏡像中不可修改的文件。大部分的文件都是鏈接(不可變文件)，這就是為什么不到100MB就能承載完整操作系統(tǒng)的原因。我們用 Windows Container 術(shù)語(yǔ)稱此實(shí)例為 Windows Sandbox ‘基鏡像’。

本文轉(zhuǎn)自安全牛，nana

原文鏈接：https://mp.weixin.qq.com/s/ztmd1pxW780RC6BUEaqjjw