Tính năng Sandbox mới của Windows 10 cho phép bạn thử nghiệm an toàn các chương trình và file tải từ Internet bằng cách chạy chúng trong một môi trường an toàn. Tính năng này rất dễ sử dụng nhưng cài đặt của nó ẩn trong file cấu hình dạng text. Bài viết này sẽ hướng dẫn các bạn cách cấu hình Windows Sandbox trên Windows 10.
- Chạy các tệp .exe không đáng tin cậy: Hãy sử dụng Windows Sandbox
- 7 ứng dụng Sandbox tốt nhất cho Windows 10
- Sandbox là gì và cách sandbox một chương trình như thế nào?
Tính năng này là một phần của bản cập nhật May 2019 Update của Windows 10. Khi đã cài đặt bản cập nhật, bạn có thể sử dụng nó trên các bản Professional, Enterprise hoặc Education của Windows 10. Nhưng nếu nó có trên hệ thống, bạn có thể dễ dàng kích hoạt tính năng Sandbox và sau đó khởi chạy nó từ menu Start.
Sandbox sẽ khởi chạy, sao chép hệ điều hành Windows hiện tại, bỏ truy cập vào thư mục cá nhân, mang đến cho bạn một Windows desktop sạch với truy cập Internet. Trước khi Microsoft thêm file cấu hình này, bạn không thể tùy chỉnh Sandbox. Nếu không muốn truy cập Internet, bạn phải vô hiệu hóa nó ngay sau khi khởi chạy. Nếu cần truy cập vào file trên hệ thống host, bạn phải sao chép và dán chúng vào Sandbox. Và nếu muốn cài đặt chương trình bên thứ ba cụ thể bạn cũng phải cài đặt chúng sau khi khởi chạy Sandbox.
Bởi vì Windows Sandbox xóa toàn bộ instance của nó khi đóng để đảm bảo hệ thống an toàn hơn, do đó bạn phải thực hiện quá trình tùy chỉnh mỗi lần khởi chạy nó. Nếu xảy ra vấn đề, đóng Sandbox và mọi thứ sẽ bị xóa.
Cách cấu hình Windows Sandbox
Hướng dẫn này giả sử bạn đã thiết lập Sandbox cho việc sử dụng thông thường. Nếu chưa, bạn cần kích hoạt nó trước với hộp thoại Windows Features.
Để bắt đầu, bạn cần sử dụng ứng dụng Notepad hoặc ứng dụng chỉnh sửa văn bản khác. Bạn cần tạo một file XML để cấu hình. Khi đã tạo file xong bạn cần lưu nó với đuôi .wsb, sau đó click đúp vào file đó sẽ khởi chạy Sandbox với cấu hình cụ thể.
Theo giải thích của Microsoft, bạn nên chọn một số tùy chọn khi cấu hình Sandbox như kích hoạt hoặc vô hiệu hóa vGPU (GPU ảo) bật hoặc tắt mạng, xác định thư mục host chia sẻ, thiết lập quyền đọc/ghi trên thư mục hoặc chạy script khi khởi chạy.
Việc sử dụng file cấu hình này sẽ cho phép bạn vô hiệu hóa GPU ảo (nó bật theo mặc định), tắt mạng (bật theo mặc định), chỉ định thư mục host chia sẻ (ứng dụng sandbox không có quyền truy cập vào thư mục này theo mặc định), thiết lập quyền đọc/ghi trên thư mục đó và chạy script khi khởi chạy.
Đầu tiên, mở Notepad hoặc ứng dụng chỉnh sửa văn bản yêu thích của bạn và thêm dòng sau vào file text mới:
<Configuration>
</Configuration>
Tất cả các tùy chọn bạn thêm vào phải để giữa hai tham số này. Bạn có thể thêm một hoặc nhiều tùy chọn hoặc nếu không thêm gì, nó sẽ sử dụng cấu hình mặc định.
Cách vô hiệu hóa GPU ảo hoặc mạng
Theo Microsoft, việc bật mạng hoặc GPU ảo sẽ tăng khả năng phần mềm độc hại thoát ra khỏi môi trường sandbox, do đó nếu cần thử nghiệm thứ gì đó nghi có phần mềm độc hại, bạn nên vô hiệu hóa nó.
Để vô hiệu hóa GPU ảo (được bật theo mặc định) thêm dòng văn bản sau vào file cấu hình.
<VGpu>Disable</VGpu>
Để vô hiệu hóa truy cập mạng network (bật theo mặc định) thêm dòng văn bản sau:
<Networking>Disable</Networking>
Cách ánh xạ thư mục
Để ánh xạ thư mục bạn cần chỉ ra thư mục cần chia sẻ và sau đó chỉ định thư mục nào chỉ được đọc.
Thực hiện ánh xạ thư mục sử dụng các dòng text tương tự như sau:
<MappedFolders>
<MappedFolder>
<HostFolder>C:\Users\Public\Downloads</HostFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
HostFolder là nơi bạn liệt kê thư mục cụ thể muốn chia sẻ. Trong ví dụ trên, thư mục Public Download trong hệ thống Windows được chia sẻ. ReadOnly thiết lập khả năng Sandbox ghi thư mục với giá trị true chỉ để đọc hoặc false để ghi.
Tuy nhiên bạn cần lưu ý là hệ thống của bạn có thể gặp nguy hiểm khi liên kết thư mục giữa Windows Sandbox với nơi lưu trữ và việc cấp quyền ghi càng tăng thêm mối nguy hiểm này. Nếu thử nghiệm thứ gì đó nghi là độc hại, bạn không nên sử dụng tùy chọn này.
Cách chạy script khi khởi chạy
Cuối cùng, bạn có thể chạy script tùy chỉnh hoặc lệnh cơ bản để buộc Sandbox mở thư mục được ánh xạ khi khởi chạy. Thay thế đường dẫn thư mục và cấp quyền đúng cho thư mục của bạn.
<MappedFolders>
<MappedFolder>
<HostFolder>C:\Users\Public\Downloads</HostFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>explorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads</Command>
</LogonCommand>
WDAGUtilityAccount là người dùng mặc định của Windows Sandbox, do đó bạn cần xem nó như là một phần của lệnh khi mở thư mục hoặc file.
Tuy nhiên, trong bản build được phát hành gần đây của bản cập nhật May 2019 của Windows 10, tùy chọn LogonCommand không hoạt động, nó không thực hiện bất cứ hành động nào. Hy vọng Microsoft sẽ sớm khắc phục lỗi này
Cách khởi chạy Sandbox trong Settings
Sau khi chỉnh sửa file cấu hình, lưu nó ở dạng .wsb. Ví dụ, nếu ứng dụng chỉnh sửa văn bản của bạn lưu file thành Sandbox.txt, sửa nó thành Sandbox.wsb. Để khởi chạy Windows Sandbox trong cài đặt, click đúp vào file .wsb. Bạn có thể để file này ở desktop hoặc tạo shortcut trong menu Start.
Chúc các bạn thực hiện thành công!