indows 沙盒提供了輕型桌面環(huán)境，可以安全地在隔離狀態(tài)下運行應(yīng)用程序。 安裝在 Windows 沙盒環(huán)境下的軟件保持“沙盒”狀態(tài)，并且與主機分開運行。

沙盒是臨時的。 關(guān)閉后，系統(tǒng)將刪除所有軟件和文件以及狀態(tài)。 每次打開應(yīng)用程序時，都會獲得沙盒的全新實例。

安裝在主機上的軟件和應(yīng)用程序不會直接出現(xiàn)在沙盒中。 如果需要在 Windows 沙盒環(huán)境中運行特定的應(yīng)用程序，則相應(yīng)的應(yīng)用程序必須就是安裝在沙盒環(huán)境中才行。

Windows 沙盒具有以下屬性：

• Windows 自帶功能：此功能所需的一切內(nèi)容都包含在 Windows 10 專業(yè)版和企業(yè)版中。 無需單獨下載 。

• 原生：每次 Windows 沙盒運行時，都像全新安裝的 Windows 一樣干凈。

• 無痕：設(shè)備上不會保留任何內(nèi)容。 當用戶關(guān)閉應(yīng)用程序時，系統(tǒng)會丟棄所有內(nèi)容。

• 安全：使用基于硬件的虛擬化進行內(nèi)核隔離。 它依賴 Microsoft 虛擬機監(jiān)控程序運行單獨的內(nèi)核，可將 Windows 沙盒與主機隔離。

• 高效： 采用集成的內(nèi)核計劃程序、智能內(nèi)存管理和虛擬 GPU。

• Windows 沙盒默認啟用網(wǎng)絡(luò)連接。

開啟windows沙盒的必備條件

• Windows 10 專業(yè)版、企業(yè)版或教育版 18305 或 Windows 11（Windows 家庭版當前暫不支持 Windows 沙盒）

• AMD64 或（截至Windows 11 內(nèi)部版本 22483）ARM64 體系結(jié)構(gòu)

• BIOS 中啟用的虛擬化功能

• 至少 4GB 內(nèi)存（建議使用 8GB）

• 至少 1GB 可用硬盤空間（建議使用固態(tài)硬盤）

• 至少雙核 CPU（建議使用超線程四核）

如何查看windows版本

　　按下快捷鍵，win+R，輸入cmd，確定，打開命令窗口，輸入msinfo32，注意要在英文狀態(tài)下輸入，回車。然后在彈出的窗口中就可以看到系統(tǒng)的具體版本號了。

　　按下快捷鍵，win+R，輸入cmd，確定，打開命令窗口，輸入ver，回車。

　　按下快捷鍵，win+R，輸入winver，確定。　　

開啟沙盒：

1，點擊開始菜單--輸入“控制面板”

2，控制面板中，打開程序

3，在程序中，點擊 啟用或關(guān)閉windows功能，找到windows沙盒，打上√。點擊確定

沙盒軟件測試：

1，打開windows沙盒

點擊開始菜單--輸入 windows sandbox，點擊打開

2，下載安裝軟件

比如QQ，獨立安裝在windows沙盒中。并不會出現(xiàn)在主機上。當然主機上的軟件火絨也同樣不會出現(xiàn)在windows沙盒中。

3，關(guān)閉沙盒

點擊關(guān)閉windows沙盒程序，會提示，關(guān)閉windows沙盒后，其所有內(nèi)容都將放棄并永久丟失。

windows和沙盒之間的數(shù)據(jù)傳輸

windows沙盒和主機系統(tǒng)之間是無法通過拖拽傳輸數(shù)據(jù)的

可以通過復(fù)制粘貼，直接復(fù)制主機上的文件，然后粘貼在windows沙盒中即可

windows沙盒網(wǎng)絡(luò)如何通信

windows沙盒和主機之間的網(wǎng)絡(luò)通信，使用的是Hyper-V Network。采用了Hyper-V網(wǎng)絡(luò)虛擬化技術(shù)，通過虛擬網(wǎng)卡和主機進行通信。

windows沙盒網(wǎng)關(guān)地址指向主機上的Hyper-V虛擬網(wǎng)卡的地址。

windows沙盒，是否支持多開實例

不支持多開。運行一個windows沙盒后，再次打開Windows Sandbox。會提示如下報錯。僅允許一個運行的Windows沙盒

高級技巧：自定義沙盒

Windows 沙盒支持簡單的配置文件，這些文件為 Sandbox 提供最少的自定義參數(shù)集。 此功能可用于Windows 10版本 18342 或Windows 11。 Windows 沙盒配置文件的格式設(shè)置為 XML，并通過.wsb文件擴展名與 Sandbox 關(guān)聯(lián)。

配置文件使用戶能夠控制Windows 沙盒的以下方面：

• **vGPU (虛擬化 GPU) **：啟用或禁用虛擬化 GPU。 如果禁用 vGPU，沙盒將使用 Windows 高級光柵化平臺 (WARP) 。

• 網(wǎng)絡(luò)：在沙盒中啟用或禁用網(wǎng)絡(luò)訪問。

• 映射的文件夾：使用讀取或?qū)懭霗?quán)限從主機共享文件夾。 公開主機目錄可能會允許惡意軟件影響系統(tǒng)或竊取數(shù)據(jù)。

• 登錄命令：啟動Windows 沙盒時執(zhí)行的命令。

• 音頻輸入：將主機的麥克風(fēng)輸入共享到沙盒中。

• 視頻輸入：將主機的網(wǎng)絡(luò)攝像頭輸入共享到沙盒中。

• 受保護的客戶端：將 RDP 會話上增強的安全設(shè)置放置到沙盒。

• 打印機重定向：將打印機從主機共享到沙盒中。

• 剪貼板重定向：與沙盒共享主機剪貼板，以便可以來回粘貼文本和文件。

• 內(nèi)存（以 MB 為單位）：要分配給沙盒的內(nèi)存量（以兆字節(jié)為單位）。

創(chuàng)建配置文件

若要創(chuàng)建配置文件，請執(zhí)行以下操作：

1. 打開純文本編輯器或源代碼編輯器 (，例如記事本、Visual Studio Code等)

2. 插入以下行：

<Configuration>
</Configuration>

3. 在兩行之間添加適當?shù)呐渲梦谋尽?有關(guān)詳細信息，請參閱正確的語法和下面的示例。

4. 保存具有所需名稱的文件，但請確保其文件名擴展名為 .wsb。 在記事本中，應(yīng)將文件名和擴展插件括在雙引號內(nèi)，例如 "My config file.wsb"。

使用配置文件

若要使用配置文件，請雙擊它，根據(jù)其設(shè)置開始Windows 沙盒。 也可以通過命令行調(diào)用它，如下所示：

C:\Temp> MyConfigFile.wsb 

關(guān)鍵字、值和限制

vGPU

啟用或禁用 GPU 共享。

<vGPU>value</vGPU>

支持的值：

• 啟用：在沙盒中啟用 vGPU 支持。

• 禁用：在沙盒中禁用 vGPU 支持。 如果設(shè)置此值，沙盒將使用軟件呈現(xiàn)，這可能比虛擬化 GPU 慢。

• 默認 此值是 vGPU 支持的默認值。 目前，此默認值表示已禁用 vGPU。

備注：啟用虛擬化 GPU 可能會增加沙盒的攻擊面。

網(wǎng)絡(luò)

啟用或禁用沙盒中的網(wǎng)絡(luò)。 可以禁用網(wǎng)絡(luò)訪問，以減少沙盒暴露的攻擊面。

<Networking>value</Networking>

支持的值：

• 禁用：在沙盒中禁用網(wǎng)絡(luò)。

• 默認值：此值是網(wǎng)絡(luò)支持的默認值。 此值通過在主機上創(chuàng)建虛擬交換機來啟用網(wǎng)絡(luò)，并通過虛擬 NIC 將沙盒連接到它。

備注：啟用網(wǎng)絡(luò)可以向內(nèi)部網(wǎng)絡(luò)公開不受信任的應(yīng)用程序。

映射的文件夾

一個文件夾數(shù)組，每個文件夾表示主機上將共享到指定路徑的沙盒中的位置。 目前不支持相對路徑。 如果未指定路徑，文件夾將映射到容器用戶的桌面。

<MappedFolders><MappedFolder> 
    <HostFolder>absolute path to the host folder</HostFolder> 
    <SandboxFolder>absolute path to the sandbox folder</SandboxFolder> 
    <ReadOnly>value</ReadOnly> 
  </MappedFolder><MappedFolder>  
    ...
  </MappedFolder></MappedFolders>

HostFolder：指定要共享到沙盒中的主機上的文件夾。 該文件夾必須已存在于主機上，否則容器將無法啟動。

沙盒文件夾：指定要將文件夾映射到的沙盒中的目標。 如果文件夾不存在，則會創(chuàng)建該文件夾。 如果未指定沙盒文件夾，文件夾將映射到容器桌面。

ReadOnly：如果 為 true，則強制從容器內(nèi)對共享文件夾進行只讀訪問。 支持的值： true/false。 默認值為 false。

備注：從主機映射的文件和文件夾可能會被沙盒中的應(yīng)用入侵，或者可能會影響主機。

登錄命令

指定在沙盒登錄后自動調(diào)用的單個命令。 沙盒中的應(yīng)用在容器用戶帳戶下運行。 容器用戶帳戶應(yīng)為管理員帳戶。

<LogonCommand><Command>command to be invoked</Command></LogonCommand>

命令：容器中要在登錄后執(zhí)行的可執(zhí)行文件或腳本的路徑。

備注：盡管非常簡單的命令 (（例如啟動可執(zhí)行文件或腳本) ）有效，但應(yīng)將涉及多個步驟的更復(fù)雜的方案放入腳本文件中。 此腳本文件可通過共享文件夾映射到容器，然后通過 LogonCommand 指令執(zhí)行。

音頻輸入

啟用或禁用沙盒的音頻輸入。

<AudioInput>value</AudioInput>

支持的值：

• 啟用：在沙盒中啟用音頻輸入。 如果設(shè)置了此值，沙盒將能夠接收用戶的音頻輸入。 使用麥克風(fēng)的應(yīng)用程序可能需要此功能。

• 禁用：禁用沙盒中的音頻輸入。 如果設(shè)置了此值，沙盒將無法接收用戶的音頻輸入。 使用麥克風(fēng)的應(yīng)用程序可能無法在此設(shè)置中正常運行。

• 默認值：此值是音頻輸入支持的默認值。 目前，此默認值表示已啟用音頻輸入。

備注：向容器公開主機音頻輸入可能會有安全影響。

視頻輸入

啟用或禁用沙盒的視頻輸入。

<VideoInput>value</VideoInput>

支持的值：

• 啟用：在沙盒中啟用視頻輸入。

• 禁用：在沙盒中禁用視頻輸入。 使用視頻輸入的應(yīng)用程序可能無法在沙盒中正常工作。

• 默認值：此值是視頻輸入支持的默認值。 目前，此默認值表示已禁用視頻輸入。 使用視頻輸入的應(yīng)用程序可能無法在沙盒中正常工作。

備注：向容器公開主機視頻輸入可能會產(chǎn)生安全影響。

受保護的客戶端

將更多安全設(shè)置應(yīng)用到沙盒遠程桌面客戶端，減少其攻擊面。

<ProtectedClient>value</ProtectedClient>

支持的值：

• 啟用：在受保護的客戶端模式下運行 Windows 沙盒。 如果設(shè)置了此值，沙盒將運行并啟用額外的安全緩解措施。

• 禁用：在標準模式下運行沙盒，而無需額外的安全緩解措施。

• 默認值：此值是受保護客戶端模式的默認值。 目前，此默認值表示沙盒未在受保護的客戶端模式下運行。

備注：此設(shè)置可能會限制用戶在沙盒中復(fù)制/粘貼文件的能力。

打印機重定向

啟用或禁用從主機到沙盒的打印機共享。

<PrinterRedirection>value</PrinterRedirection>

支持的值：

• 啟用：啟用將主機打印機共享到沙盒。

• 禁用：在沙盒中禁用打印機重定向。 如果設(shè)置了此值，沙盒將無法從主機查看打印機。

• 默認值：此值是打印機重定向支持的默認值。 目前，此默認值表示已禁用打印機重定向。

剪貼板重定向

啟用或禁用與沙盒共享主機剪貼板。

<ClipboardRedirection>value</ClipboardRedirection>

支持的值：

• 禁用：在沙盒中禁用剪貼板重定向。 如果設(shè)置了此值，則會限制在沙盒中復(fù)制/粘貼。

• 默認值：此值是剪貼板重定向的默認值。 目前， 默認情況下允許在主機和沙盒之間復(fù)制/粘貼。

內(nèi)存（以 MB 為單位）

指定沙盒可以使用 MB (MB) 的內(nèi)存量。

<MemoryInMB>value</MemoryInMB>

如果指定的內(nèi)存值不足以啟動沙盒，則會自動將其增加到所需的最小量。

Sandbox配置實例1

以下配置文件可用于輕松測試沙盒內(nèi)下載的文件。 若要實現(xiàn)此測試，將禁用網(wǎng)絡(luò)和 vGPU，并允許沙盒對共享下載文件夾進行只讀訪問。 為方便起見，登錄命令會在沙盒中打開下載文件夾。

<Configuration>
  <VGpu>Disable</VGpu>
  <Networking>Disable</Networking>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Users\Public\Downloads</HostFolder>
      <SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads</SandboxFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>explorer.exe C:\users\WDAGUtilityAccount\Downloads</Command>
  </LogonCommand>
</Configuration>

注意事項：

對應(yīng)的文件夾目錄一定要正確，否則無法打開windows sandbox，會有報錯提示。

<HostFolder>C:\Users\Public\Downloads</HostFolder>，對應(yīng)你本機的文件夾目錄。

Sandbox配置實例2

以下配置文件在沙盒中安裝Visual Studio Code，這需要稍微復(fù)雜的 LogonCommand 安裝。

兩個文件夾映射到沙盒中;第一個 (SandboxScripts) 包含 VSCodeInstall.cmd，它將安裝并運行Visual Studio Code。 (CodingProjects) 的第二個文件夾假定包含開發(fā)人員想要使用Visual Studio Code修改的項目文件。

這2個文件夾需要在主機目錄下創(chuàng)建。

C:\SandboxScripts

C:\CodingProjects

由于Visual Studio Code安裝程序腳本已映射到沙盒中，LogonCommand 可以引用它。

VSCodeInstall.cmd

REM Download Visual Studio Code
curl -L "https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Desktop\vscode.exe

REM Install and run Visual Studio Code
C:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes

VSCode.wsb

<Configuration>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\SandboxScripts</HostFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
    <MappedFolder>
      <HostFolder>C:\CodingProjects</HostFolder>
      <ReadOnly>false</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>C:\Users\WDAGUtilityAccount\Desktop\SandboxScripts\VSCodeInstall.cmd</Command>
  </LogonCommand>
</Configuration>

運行后VSCode.wsb，沙盒中自動下載并運行vscode

如何使用你的配置啟動沙盒文件

完成后，保存文件并為其提供 .wsb 文件擴展名。例如，如果文本編輯器將其另存為沙盒.txt，請將其另存為 Sandbox.wsb。若要使用你的設(shè)置啟動 Windows 沙盒，請雙擊 .wsb 文件。你可以將其放在桌面上，也可以在“開始”菜單中創(chuàng)建它的快捷方式。

核心內(nèi)容:

1. Windows 沙盒提供隔離的輕型桌面環(huán)境,可安全運行應(yīng)用程序。

2. 沙盒環(huán)境中的軟件與主機隔離,狀態(tài)不會保留。關(guān)閉后,系統(tǒng)刪除所有內(nèi)容。

3. 每次打開,獲取全新沙盒實例。主機軟件不直接出現(xiàn)在沙盒中。

4. Windows 沙盒屬性:

a) 自帶Windows 10專業(yè)版和企業(yè)版功能,無需下載。

b) 如全新Windows安裝,每次運行均干凈。

c) 無內(nèi)容保留,關(guān)閉后丟棄所有內(nèi)容。

d) 硬件虛擬化隔離內(nèi)核,依賴Microsoft虛擬機監(jiān)控程序。

e) 高效,采用集成內(nèi)核計劃程序、智能內(nèi)存管理和虛擬GPU。

f) 默認啟用網(wǎng)絡(luò)連接。

5. 開啟Windows 沙盒必備條件:Windows 10專業(yè)版、企業(yè)版;AMD64或ARM64體系結(jié)構(gòu);BIOS中啟用虛擬化;至少4GB內(nèi)存;至少1GB硬盤空間;至少雙核CPU。

6. 查看Windows版本:win+R,輸入cmd,確定,在命令窗口輸入msinfo32;或ver;或winver。

7. 開啟沙盒:開始菜單→控制面板→程序→啟用或關(guān)閉Windows功能→Windows沙盒。

8. 沙盒軟件測試:開始菜單→Windows沙盒;下載并獨立安裝軟件,不出現(xiàn)在主機上;關(guān)閉沙盒,提示內(nèi)容將丟失。

9. 沙盒與主機數(shù)據(jù)傳輸:無法拖拽,可以復(fù)制粘貼。

10. 沙盒網(wǎng)絡(luò)通信:使用Hyper-V Network,通過虛擬網(wǎng)卡與主機通信。網(wǎng)關(guān)地址指向主機Hyper-V虛擬網(wǎng)卡地址。

11. 沙盒不支持多開實例。

12. 自定義沙盒:使用.wsb配置文件控制沙盒vGPU、網(wǎng)絡(luò)、映射文件夾、登錄命令等。

13. 創(chuàng)建和使用配置文件:新建.wsb文件;插入<Configuration></Configuration>標簽;添加配置文本;保存為.wsb文件;雙擊使用或命令行調(diào)用。

14. 配置文件關(guān)鍵字、值和限制:vGPU、網(wǎng)絡(luò)、映射文件夾、登錄命令等。

15. 配置實例1:禁用網(wǎng)絡(luò)和vGPU,映射只讀下載文件夾,登錄命令打開下載文件夾。

16. 配置實例2:映射文件夾,登錄命令下載并運行VS Code。

17. 使用配置文件啟動沙盒:保存為.wsb文件,雙擊使用。可放在桌面或開始菜單中。

詳細內(nèi)容：

Windows 沙盒提供了輕型桌面環(huán)境，可以安全地在隔離狀態(tài)下運行應(yīng)用程序。 安裝在 Windows 沙盒環(huán)境下的軟件保持“沙盒”狀態(tài)，并且與主機分開運行。

沙盒是臨時的。 關(guān)閉后，系統(tǒng)將刪除所有軟件和文件以及狀態(tài)。 每次打開應(yīng)用程序時，都會獲得沙盒的全新實例。

安裝在主機上的軟件和應(yīng)用程序不會直接出現(xiàn)在沙盒中。 如果需要在 Windows 沙盒環(huán)境中運行特定的應(yīng)用程序，則相應(yīng)的應(yīng)用程序必須就是安裝在沙盒環(huán)境中才行。

Windows 沙盒具有以下屬性：

• Windows 自帶功能：此功能所需的一切內(nèi)容都包含在 Windows 10 專業(yè)版和企業(yè)版中。 無需單獨下載 。

• 原生：每次 Windows 沙盒運行時，都像全新安裝的 Windows 一樣干凈。

• 無痕：設(shè)備上不會保留任何內(nèi)容。 當用戶關(guān)閉應(yīng)用程序時，系統(tǒng)會丟棄所有內(nèi)容。

• 安全：使用基于硬件的虛擬化進行內(nèi)核隔離。 它依賴 Microsoft 虛擬機監(jiān)控程序運行單獨的內(nèi)核，可將 Windows 沙盒與主機隔離。

• 高效： 采用集成的內(nèi)核計劃程序、智能內(nèi)存管理和虛擬 GPU。

• Windows 沙盒默認啟用網(wǎng)絡(luò)連接。

開啟windows沙盒的必備條件

• Windows 10 專業(yè)版、企業(yè)版或教育版 18305 或 Windows 11（Windows 家庭版當前暫不支持 Windows 沙盒）

• AMD64 或（截至Windows 11 內(nèi)部版本 22483）ARM64 體系結(jié)構(gòu)

• BIOS 中啟用的虛擬化功能

• 至少 4GB 內(nèi)存（建議使用 8GB）

• 至少 1GB 可用硬盤空間（建議使用固態(tài)硬盤）

• 至少雙核 CPU（建議使用超線程四核）

如何查看windows版本

　　按下快捷鍵，win+R，輸入cmd，確定，打開命令窗口，輸入msinfo32，注意要在英文狀態(tài)下輸入，回車。然后在彈出的窗口中就可以看到系統(tǒng)的具體版本號了。

　　按下快捷鍵，win+R，輸入cmd，確定，打開命令窗口，輸入ver，回車。

　　按下快捷鍵，win+R，輸入winver，確定。　

開啟沙盒：

1，點擊開始菜單--輸入“控制面板”

2，控制面板中，打開程序

3，在程序中，點擊 啟用或關(guān)閉windows功能，找到windows沙盒，打上√。點擊確定

沙盒軟件測試：

1，打開windows沙盒

點擊開始菜單--輸入 windows sandbox，點擊打開

2，下載安裝軟件

比如QQ，獨立安裝在windows沙盒中。并不會出現(xiàn)在主機上。當然主機上的軟件火絨也同樣不會出現(xiàn)在windows沙盒中。

3，關(guān)閉沙盒

點擊關(guān)閉windows沙盒程序，會提示，關(guān)閉windows沙盒后，其所有內(nèi)容都將放棄并永久丟失。

windows和沙盒之間的數(shù)據(jù)傳輸

windows沙盒和主機系統(tǒng)之間是無法通過拖拽傳輸數(shù)據(jù)的

可以通過復(fù)制粘貼，直接復(fù)制主機上的文件，然后粘貼在windows沙盒中即可

windows沙盒網(wǎng)絡(luò)如何通信

windows沙盒和主機之間的網(wǎng)絡(luò)通信，使用的是Hyper-V Network。采用了Hyper-V網(wǎng)絡(luò)虛擬化技術(shù)，通過虛擬網(wǎng)卡和主機進行通信。

windows沙盒網(wǎng)關(guān)地址指向主機上的Hyper-V虛擬網(wǎng)卡的地址。

windows沙盒，是否支持多開實例

不支持多開。運行一個windows沙盒后，再次打開Windows Sandbox。會提示如下報錯。僅允許一個運行的Windows沙盒

高級技巧：自定義沙盒

Windows 沙盒支持簡單的配置文件，這些文件為 Sandbox 提供最少的自定義參數(shù)集。 此功能可用于Windows 10版本 18342 或Windows 11。 Windows 沙盒配置文件的格式設(shè)置為 XML，并通過

.wsb

文件擴展名與 Sandbox 關(guān)聯(lián)。

配置文件使用戶能夠控制Windows 沙盒的以下方面：

• **vGPU (虛擬化 GPU) **：啟用或禁用虛擬化 GPU。 如果禁用 vGPU，沙盒將使用 Windows 高級光柵化平臺 (WARP) 。

• 網(wǎng)絡(luò)：在沙盒中啟用或禁用網(wǎng)絡(luò)訪問。

• 映射的文件夾：使用讀取或?qū)懭霗?quán)限從主機共享文件夾。 公開主機目錄可能會允許惡意軟件影響系統(tǒng)或竊取數(shù)據(jù)。

• 登錄命令：啟動Windows 沙盒時執(zhí)行的命令。

• 音頻輸入：將主機的麥克風(fēng)輸入共享到沙盒中。

• 視頻輸入：將主機的網(wǎng)絡(luò)攝像頭輸入共享到沙盒中。

• 受保護的客戶端：將 RDP 會話上增強的安全設(shè)置放置到沙盒。

• 打印機重定向：將打印機從主機共享到沙盒中。

• 剪貼板重定向：與沙盒共享主機剪貼板，以便可以來回粘貼文本和文件。

• 內(nèi)存（以 MB 為單位）：要分配給沙盒的內(nèi)存量（以兆字節(jié)為單位）。

創(chuàng)建配置文件

若要創(chuàng)建配置文件，請執(zhí)行以下操作：

1. 打開純文本編輯器或源代碼編輯器 (，例如記事本、Visual Studio Code等)

1. 插入以下行：

<Configuration></Configuration>

1. 在兩行之間添加適當?shù)呐渲梦谋尽?有關(guān)詳細信息，請參閱正確的語法和下面的示例。

1. 保存具有所需名稱的文件，但請確保其文件名擴展名為 .wsb。 在記事本中，應(yīng)將文件名和擴展插件括在雙引號內(nèi)，例如 "My config file.wsb"。

使用配置文件

若要使用配置文件，請雙擊它，根據(jù)其設(shè)置開始Windows 沙盒

。 也可以通過命令行調(diào)用它，如下所示：

C:\Temp> MyConfigFile.wsb

關(guān)鍵字、值和限制

vGPU

啟用或禁用 GPU 共享。

<vGPU>value</vGPU>

支持的值：

• 啟用：在沙盒中啟用 vGPU 支持。

• 禁用：在沙盒中禁用 vGPU 支持。 如果設(shè)置此值，沙盒將使用軟件呈現(xiàn)，這可能比虛擬化 GPU 慢。

• 默認 此值是 vGPU 支持的默認值。 目前，此默認值表示已禁用 vGPU。

備注：啟用虛擬化 GPU 可能會增加沙盒的攻擊面。

網(wǎng)絡(luò)

啟用或禁用沙盒中的網(wǎng)絡(luò)。 可以禁用網(wǎng)絡(luò)訪問，以減少沙盒暴露的攻擊面。

<Networking>value</Networking>

支持的值：

• 禁用：在沙盒中禁用網(wǎng)絡(luò)。

• 默認值：此值是網(wǎng)絡(luò)支持的默認值。 此值通過在主機上創(chuàng)建虛擬交換機來啟用網(wǎng)絡(luò)，并通過虛擬 NIC 將沙盒連接到它。

備注：啟用網(wǎng)絡(luò)可以向內(nèi)部網(wǎng)絡(luò)公開不受信任的應(yīng)用程序。

映射的文件夾

一個文件夾數(shù)組，每個文件夾表示主機上將共享到指定路徑的沙盒中的位置。 目前不支持相對路徑。 如果未指定路徑，文件夾將映射到容器用戶的桌面。

<MappedFolders><MappedFolder>     <HostFolder>absolute path to the host folder</HostFolder>     <SandboxFolder>absolute path to the sandbox folder</SandboxFolder>     <ReadOnly>value</ReadOnly>   </MappedFolder><MappedFolder>      ...  </MappedFolder></MappedFolders>

HostFolder

：指定要共享到沙盒中的主機上的文件夾。 該文件夾必須已存在于主機上，否則容器將無法啟動。

沙盒文件夾

：指定要將文件夾映射到的沙盒中的目標。 如果文件夾不存在，則會創(chuàng)建該文件夾。 如果未指定沙盒文件夾，文件夾將映射到容器桌面。

ReadOnly

：如果

為 true

，則強制從容器內(nèi)對共享文件夾進行只讀訪問。 支持的值：

true

/

false

。 默認值為

false

。

備注：從主機映射的文件和文件夾可能會被沙盒中的應(yīng)用入侵，或者可能會影響主機。

登錄命令

指定在沙盒登錄后自動調(diào)用的單個命令。 沙盒中的應(yīng)用在容器用戶帳戶下運行。 容器用戶帳戶應(yīng)為管理員帳戶。

<LogonCommand><Command>command to be invoked</Command></LogonCommand>

命令

：容器中要在登錄后執(zhí)行的可執(zhí)行文件或腳本的路徑。

備注：盡管非常簡單的命令 (（例如啟動可執(zhí)行文件或腳本) ）有效，但應(yīng)將涉及多個步驟的更復(fù)雜的方案放入腳本文件中。 此腳本文件可通過共享文件夾映射到容器，然后通過

LogonCommand

指令執(zhí)行。

音頻輸入

啟用或禁用沙盒的音頻輸入。

<AudioInput>value</AudioInput>

支持的值：

• 啟用：在沙盒中啟用音頻輸入。 如果設(shè)置了此值，沙盒將能夠接收用戶的音頻輸入。 使用麥克風(fēng)的應(yīng)用程序可能需要此功能。

• 禁用：禁用沙盒中的音頻輸入。 如果設(shè)置了此值，沙盒將無法接收用戶的音頻輸入。 使用麥克風(fēng)的應(yīng)用程序可能無法在此設(shè)置中正常運行。

• 默認值：此值是音頻輸入支持的默認值。 目前，此默認值表示已啟用音頻輸入。

備注：向容器公開主機音頻輸入可能會有安全影響。

視頻輸入

啟用或禁用沙盒的視頻輸入。

<VideoInput>value</VideoInput>

支持的值：

• 啟用：在沙盒中啟用視頻輸入。

• 禁用：在沙盒中禁用視頻輸入。 使用視頻輸入的應(yīng)用程序可能無法在沙盒中正常工作。

• 默認值：此值是視頻輸入支持的默認值。 目前，此默認值表示已禁用視頻輸入。 使用視頻輸入的應(yīng)用程序可能無法在沙盒中正常工作。

備注：向容器公開主機視頻輸入可能會產(chǎn)生安全影響。

受保護的客戶端

將更多安全設(shè)置應(yīng)用到沙盒遠程桌面客戶端，減少其攻擊面。

<ProtectedClient>value</ProtectedClient>

支持的值：

• 啟用：在受保護的客戶端模式下運行 Windows 沙盒。 如果設(shè)置了此值，沙盒將運行并啟用額外的安全緩解措施。

• 禁用：在標準模式下運行沙盒，而無需額外的安全緩解措施。

• 默認值：此值是受保護客戶端模式的默認值。 目前，此默認值表示沙盒未在受保護的客戶端模式下運行。

備注：此設(shè)置可能會限制用戶在沙盒中復(fù)制/粘貼文件的能力。

打印機重定向

啟用或禁用從主機到沙盒的打印機共享。

<PrinterRedirection>value</PrinterRedirection>

支持的值：

• 啟用：啟用將主機打印機共享到沙盒。

• 禁用：在沙盒中禁用打印機重定向。 如果設(shè)置了此值，沙盒將無法從主機查看打印機。

• 默認值：此值是打印機重定向支持的默認值。 目前，此默認值表示已禁用打印機重定向。

剪貼板重定向

啟用或禁用與沙盒共享主機剪貼板。

<ClipboardRedirection>value</ClipboardRedirection>

支持的值：

• 禁用：在沙盒中禁用剪貼板重定向。 如果設(shè)置了此值，則會限制在沙盒中復(fù)制/粘貼。

• 默認值：此值是剪貼板重定向的默認值。 目前， 默認情況下允許在主機和沙盒之間復(fù)制/粘貼。

內(nèi)存（以 MB 為單位）

指定沙盒可以使用 MB (MB) 的內(nèi)存量。

<MemoryInMB>value</MemoryInMB>

如果指定的內(nèi)存值不足以啟動沙盒，則會自動將其增加到所需的最小量。

Sandbox配置實例1

以下配置文件可用于輕松測試沙盒內(nèi)下載的文件。 若要實現(xiàn)此測試，將禁用網(wǎng)絡(luò)和 vGPU，并允許沙盒對共享下載文件夾進行只讀訪問。 為方便起見，登錄命令會在沙盒中打開下載文件夾。

<Configuration>  <VGpu>Disable</VGpu>  <Networking>Disable</Networking>  <MappedFolders>    <MappedFolder>      <HostFolder>C:\Users\Public\Downloads</HostFolder>      <SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads</SandboxFolder>      <ReadOnly>true</ReadOnly>    </MappedFolder>  </MappedFolders>  <LogonCommand>    <Command>explorer.exe C:\users\WDAGUtilityAccount\Downloads</Command>  </LogonCommand></Configuration>

注意事項：

對應(yīng)的文件夾目錄一定要正確，否則無法打開windows sandbox，會有報錯提示。

<HostFolder>C:\Users\Public\Downloads</HostFolder>，對應(yīng)你本機的文件夾目錄。

Sandbox配置實例2

以下配置文件在沙盒中安裝Visual Studio Code，這需要稍微復(fù)雜的 LogonCommand 安裝。

兩個文件夾映射到沙盒中;第一個 (SandboxScripts) 包含 VSCodeInstall.cmd，它將安裝并運行Visual Studio Code。 (CodingProjects) 的第二個文件夾假定包含開發(fā)人員想要使用Visual Studio Code修改的項目文件。

這2個文件夾需要在主機目錄下創(chuàng)建。

C:\SandboxScripts

C:\CodingProjects

由于Visual Studio Code安裝程序腳本已映射到沙盒中，LogonCommand 可以引用它。

VSCodeInstall.cmd

REM Download Visual Studio Codecurl -L "https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Desktop\vscode.exeREM Install and run Visual Studio CodeC:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes

VSCode.wsb

<Configuration>  <MappedFolders>    <MappedFolder>      <HostFolder>C:\SandboxScripts</HostFolder>      <ReadOnly>true</ReadOnly>    </MappedFolder>    <MappedFolder>      <HostFolder>C:\CodingProjects</HostFolder>      <ReadOnly>false</ReadOnly>    </MappedFolder>  </MappedFolders>  <LogonCommand>    <Command>C:\Users\WDAGUtilityAccount\Desktop\SandboxScripts\VSCodeInstall.cmd</Command>  </LogonCommand></Configuration>

運行后VSCode.wsb，沙盒中自動下載并運行vscode

如何使用你的配置啟動沙盒文件

完成后，保存文件并為其提供 .wsb 文件擴展名。例如，如果文本編輯器將其另存為沙盒.txt，請將其另存為 Sandbox.wsb。若要使用你的設(shè)置啟動 Windows 沙盒，請雙擊 .wsb 文件。你可以將其放在桌面上，也可以在“開始”菜單中創(chuàng)建它的快捷方式。

碼字不易，覺得有點用就點個贊吧