Eén van de belangrijkste nieuwe toevoegingen in de Windows 10 mei 2019 update is de sandbox om verdachte bestanden en software te controleren, zonder het besturingssysteem aan te tasten. We leggen uit hoe je aan de slag gaat met de sandbox en de virtuele omgeving helemaal naar je hand zet.
De Windows Sandbox is een schone en virtuele kopie van je Windows-systeem. Elke keer dat je de applicatie opent, start een nieuwe versie op, die na afsluiten weer volledige wordt gewist. De toepassing is bedoeld om onbekende bestanden en software in een veilige omgeving te testen, zonder risico te lopen dat malware je computer besmet.
De sandboxomgeving is onderdeel van de Windows 10 May 2019 Update voor Pro-, Enterprise- en Education-gebruikers. Thuisgebruikers vallen op dit moment nog uit de boot.
Windows Sandbox activeren
Wie over een compatibele Windows-versie beschikt, moet twee of drie stappen doorlopen om de applicatie te activeren.
Stap 1: Controleer of virtualisatie is geactiveerd
De Windows Sandbox doet net zoals een virtuele machine beroep op virtualisatie om te functioneren. Open daarom eerst Taakbeheer en kijk onder het tabblad ‘Prestaties’ bij ‘Processor’ of virtualisatie is ingeschakeld. Doorgaans is dit standaard het geval en kan je meteen naar stap 3. Zo niet, dan moet je de functie zelf nog inschakelen.
Stap 2: Activeer virtualisatie in het bios
Om virtualisatie in te schakelen, moet je in de bios-instellingen van de pc duiken. Start je computer opnieuw op en druk op de correcte functietoets (dit verschilt per fabrikant) om het bios te openen. De virtualisatie-optie vindt je onder het menu ‘Security’. Schakel de optie in, bewaar je aanpassingen en laat het systeem normaal opstarten.
Stap 3: Activeer de Windows Sandbox
Dan rest je alleen nog om de Windows Sandbox te activeren. Typ ‘Windows-onderdelen in- of uitschakelen’ in het zoekvak van de taakbalk. Scroll naar beneden in de lijst tot je ‘Windows-Sandbox’ ziet staan en vink het vakje aan. Bevestig met ‘OK’ en herstart het systeem. Daarna vind je de Windows Sandbox terug als applicatie in het startmenu.
De sandbox gebruiken
De Windows Sandbox werkt zoals elke andere virtuele machine. Je kan bestanden kopiëren en rechtsreeks in de sandbox plakken, alsook software installeren en uitvoeren. Omdat alles in een geïsoleerde container gebeurt, is er in geval van malware geen risico op besmetting van de rest van het systeem. Wanneer je de sandbox afsluit, worden alle bestanden gewist en elke aanpassing ongedaan gemaakt. Je start elke keer weer met een schone lei.
Telkens je de Windows Sandbox afsluit en weer opstart, begin je met een schone lei.
Een voordeel van Windows Sandbox ten opzichte van andere virtuele machines, is dat de virtuele omgeving telkens dynamisch wordt gegenereerd op basis van het host-systeem. Dat betekent dat de sandbox altijd dezelfde Windows-versie draait als de host. Is je Windows 10 up-to-date, dan is de sandbox dat ook, terwijl je een traditionele VM nog apart moet updaten.
In tegenstelling tot andere virtuele machines functioneert de Windows Sandbox op beperkte hardware. De minimale systeemeisen zijn een 64-bit-processor met twee rekenkernen, 4 GB RAM en 1 GB vrije opslagcapaciteit. Doorgaans is meer rekenkracht vereist, maar de mogelijkheden van traditionele virtuele machines zijn dan ook meer uitgebreid (meerdere besturingssystemen installeren, meerdere snapshots maken, meerdere VM’s naast elkaar draaien…). Windows Sandbox heeft maar één taak: het controleren van verdachte bestanden.
Windows Sandbox configureren
De Windows Sandbox heeft standaard wel toegang tot het internet, maar niet tot de persoonlijke documenten van het host-systeem. Ook externe applicaties die op de host draaien, zijn niet toegankelijk in de sandbox, tenzij je ze opnieuw installeert. Doe je aanpassingen aan de standaardconfiguratie, dan moet je die bij elke herstart opnieuw uitvoeren.
Om dat probleem te verhelpen, laat Microsoft toe om een XML-bestand te maken, waarin je bepaalde parameters voor de sandbox kan configureren. Zo kan je de beperkingen van de sandboxomgeving nog verstrengen (e.g. geen internettoegang) of net versoepelen (e.g. toegang tot gedeelde documentmappen).
Open een nieuw tekstbestand in Kladblok en voeg de volgende code toe:
<Configuration> </Configuration>
Alle configuratie-opties die je wil aanpassen, moeten tussen deze twee parameters staan. Concreet kunnen volgende aspecten van Windows Sandbox worden gemanipuleerd:
- Virtuele GPU (vGPU) in- of uitschakelen:
- Netwerktoegang in- of uitschakelen
- Toegang tot gedeelde mappen
- Actie uitvoeren bij opstarten
Hoewel vGPU en netwerktoegang standaard zijn ingeschakeld, verhogen ze de kans voor malware om alsnog uit de sandboxomgeving te ontsnappen. Het configuratiebestand hieronder, bedoeld om gedownloade bestanden veilig te testen, schakelt daarom netwerktoegang en vGPU uit, geeft leestoegang tot de gedeelde downloadmap van de host en opent deze automatisch wanneer de sandbox wordt opgestart.
<Configuration>
<VGpu>Disable</VGpu>
<Networking>Disable</Networking>
<MappedFolders>
<MappedFolder>
<HostFolder>C:UsersPublicDownloads</HostFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>explorer.exe C:usersWDAGUtilityAccountDesktopDownloads</Command>
</LogonCommand>
</Configuration>
WDAGUtilityAccount is het standaard gebruikersaccount van de Windows Sandbox, dat je kan gebruiken in commando’s om bepaalde bestanden of mappen te openen.
In deze documentatie van Microsoft vind je de codes en waarden voor alle mogelijke configuratie-opties van de sandbox. Om het bestand interpreteerbaar te maken voor Windows Sandbox, verander je de bestandsextensie naar .wsb.
De sandbox in je eigen configuratie openen is eenvoudig: dubbelklik op het bestand en je bent vertrokken.