La nouvelle fonctionnalité Sandbox de Windows 10 vous permet de tester en toute sécurité les programmes et les fichiers téléchargés sur Internet en les exécutant dans un conteneur sécurisé. Il est facile à utiliser, mais ses paramètres sont enterrés dans un fichier de configuration textuel.
Table des matières
Windows Sandbox est facile à utiliser si vous l’avez
Cette fonctionnalité fait partie de la mise à jour de mai 2019 de Windows 10. Une fois la mise à jour installée, vous devrez également utiliser les éditions Professionnel, Entreprise ou Éducation de Windows 10. Elle n’est pas disponible sur Windows 10 Famille. Mais, s’il est disponible sur votre système, vous pouvez facilement activer la fonction Sandbox, puis la lancer à partir du menu Démarrer.
Sandbox se lancera, effectuera une copie de votre système d’exploitation Windows actuel, supprimera l’accès à vos dossiers personnels et vous donnera un bureau Windows propre avec accès à Internet. Avant que Microsoft ajoute ce fichier de configuration, vous ne pouviez pas du tout personnaliser Sandbox. Si vous ne vouliez pas d’accès Internet, vous deviez normalement le désactiver juste après le lancement. Si vous aviez besoin d’accéder aux fichiers sur votre système hôte, vous deviez les copier et les coller dans Sandbox. Et, si vous vouliez installer des programmes tiers particuliers, vous deviez les installer après le lancement de Sandbox.
Étant donné que Windows Sandbox supprime entièrement son instance lors de sa fermeture, vous deviez passer par ce processus de personnalisation à chaque lancement. D’une part, cela rend le système plus sûr. Si quelque chose ne va pas, fermez le bac à sable et tout est supprimé. D’un autre côté, si vous avez besoin d’apporter des modifications régulièrement, le faire à chaque lancement devient rapidement frustrant.
Pour résoudre ce problème, Microsoft a introduit une fonctionnalité de configuration pour Windows Sandbox. À l’aide de fichiers XML, vous pouvez lancer Windows Sandbox avec des paramètres définis. Vous pouvez resserrer ou desserrer les restrictions du bac à sable. Par exemple, vous pouvez désactiver la connexion Internet, configurer des dossiers partagés avec votre copie hôte de Windows 10 ou exécuter un script pour installer des applications. Les options sont un peu limitées dans la première version de la fonctionnalité Sandbox, mais Microsoft en ajoutera probablement plus dans les futures mises à jour de Windows 10.
Comment configurer Windows Sandbox
Votre copie sandbox de Windows 10 peut avoir accès à un dossier partagé sur votre système d’exploitation hôte.
Ce guide suppose que vous avez déjà configuré Sandbox pour une utilisation générale. Si vous ne l’avez pas encore fait, vous devrez d’abord l’activer avec la boîte de dialogue Fonctionnalités Windows.
Pour commencer, vous aurez besoin du Bloc-notes ou de votre éditeur de texte préféré. Nous aimons Bloc-notes ++—Et un nouveau fichier vierge. Vous allez créer un fichier XML pour la configuration. Bien que la familiarité avec le Langage de codage XML est utile, ce n’est pas nécessaire. Une fois votre fichier en place, vous l’enregistrez avec une extension .wsb (pensez à Windows Sand Box.) Double-cliquez sur le fichier pour lancer Sandbox avec la configuration spécifiée.
Comme expliqué par Microsoft, vous avez le choix entre plusieurs options lors de la configuration du bac à sable. Vous pouvez activer ou désactiver le vGPU (GPU virtualisé), activer ou désactiver le réseau, spécifier un dossier hôte partagé, définir des autorisations de lecture / écriture sur ce dossier ou exécuter un script au lancement.
À l’aide de ce fichier de configuration, vous pouvez désactiver le GPU virtualisé (il est activé par défaut), désactiver le réseau (il est activé par défaut), spécifier un dossier hôte partagé (les applications sandbox n’ont accès à aucun par défaut), définir read / écrire des autorisations sur ce dossier, et / ou exécuter un script au lancement
Tout d’abord, ouvrez le Bloc-notes ou votre éditeur de texte préféré et commencez avec un nouveau fichier texte. Ajoutez le texte suivant:
Toutes les options que vous ajouterez doivent se trouver entre ces deux paramètres. Vous pouvez ajouter une seule option ou toutes les options – vous n’avez pas besoin d’en inclure chacune. Si vous ne spécifiez pas d’option, la valeur par défaut sera utilisée.
Comment désactiver le GPU virtuel ou la mise en réseau
Comme le souligne Microsoft, l’activation du GPU virtuel ou de la mise en réseau augmente les possibilités que les logiciels malveillants peuvent utiliser pour sortir du bac à sable. Donc, si vous testez quelque chose qui vous inquiète particulièrement, il peut être judicieux de les désactiver.
Pour désactiver le GPU virtuel, qui est activé par défaut, ajoutez le texte suivant à votre fichier de configuration.
Disable
Pour désactiver l’accès au réseau, qui est activé par défaut, ajoutez le texte suivant.
Disable
Comment mapper un dossier
Pour mapper un dossier, vous devez détailler exactement le dossier que vous souhaitez partager, puis spécifier si le dossier doit être en lecture seule ou non.
Le mappage d’un dossier ressemble à ceci:
C:UsersPublicDownloads true
HostFolder est l’endroit où vous répertoriez le dossier spécifique que vous souhaitez partager. Dans l’exemple ci-dessus, le dossier de téléchargement public trouvé sur les systèmes Windows est partagé. ReadOnly définit si Sandbox peut écrire ou non dans le dossier. Définissez-le sur true pour rendre le dossier en lecture seule ou sur false pour le rendre accessible en écriture.
Sachez simplement que vous introduisez essentiellement des risques pour votre système en liant un dossier entre votre hôte et Windows Sandbox. Donner un accès en écriture à Sandbox augmente ce risque. Si vous testez quelque chose que vous pensez être malveillant, vous ne devez pas utiliser cette option.
Comment exécuter un script au lancement
Enfin, vous pouvez exécuter des scripts créés personnalisés ou des commandes de base. Vous pouvez, par exemple, forcer le bac à sable à ouvrir un dossier mappé au lancement. La création de ce fichier ressemblerait à ceci:
C:UsersPublicDownloads true explorer.exe C:usersWDAGUtilityAccountDesktopDownloads
WDAGUtilityAccount est l’utilisateur par défaut de Windows Sandbox, vous y ferez donc toujours référence lors de l’ouverture de dossiers ou de fichiers dans le cadre d’une commande.
Malheureusement, dans la version proche de la mise à jour de mai 2019 de Windows 10, l’option LogonCommand ne semble pas fonctionner comme prévu. Cela n’a rien fait du tout, même lorsque nous avons utilisé l’exemple dans la documentation de Microsoft. Microsoft corrigera probablement ce bogue bientôt.
Comment lancer Sandbox avec vos paramètres
Une fois que vous avez terminé, enregistrez votre fichier et donnez-lui une extension de fichier .wsb. Par exemple, si votre éditeur de texte l’enregistre sous Sandbox.txt, enregistrez-le sous Sandbox.wsb. Pour lancer Windows Sandbox avec vos paramètres, double-cliquez sur le fichier .wsb. Vous pouvez le placer sur votre bureau ou créer un raccourci vers celui-ci dans le menu Démarrer.
Pour votre commodité, vous pouvez télécharger ce fichier DisabledNetwork pour vous épargner quelques étapes. Le fichier a une extension txt, renommez-le avec une extension de fichier .wsb et vous êtes prêt à lancer Windows Sandbox.