La récente fonctionnalité Bac à Sable (Sandbox) de Windows 10 offre un espace sécurisé pour tester des programmes et des fichiers téléchargés. Elle isole ces éléments dans un environnement contrôlé, réduisant ainsi les risques pour votre système. Bien que conviviale, sa personnalisation s’effectue via un fichier de configuration textuel.
Facilité d’utilisation de Windows Sandbox
Intégrée à la mise à jour de mai 2019 de Windows 10, cette fonctionnalité est accessible aux versions Professionnel, Entreprise et Éducation. Elle n’est pas disponible pour Windows 10 Famille. Si votre version est compatible, vous pouvez l’activer et la lancer via le menu Démarrer.
Lorsqu’elle est lancée, Sandbox crée une copie de votre système Windows actuel, tout en isolant vos dossiers personnels. Vous obtenez un bureau Windows propre avec accès à Internet. Avant l’introduction du fichier de configuration, la personnalisation de Sandbox était impossible. L’accès à Internet devait être désactivé manuellement après le lancement et le transfert de fichiers du système hôte se faisait par copier-coller. De même, l’installation d’applications tierces se faisait après le lancement.
Chaque fermeture de Sandbox supprime l’instance en cours. Ainsi, toute personnalisation devait être refaite à chaque nouvelle session. Bien que cela renforce la sécurité, cette répétition pouvait s’avérer fastidieuse.
Pour remédier à ce problème, Microsoft a ajouté la possibilité de configurer Sandbox via des fichiers XML. Vous pouvez désormais lancer Sandbox avec des paramètres prédéfinis, modifiant ainsi ses restrictions. Vous pouvez, par exemple, désactiver l’accès Internet, partager des dossiers avec votre système hôte ou exécuter des scripts pour installer des applications. Bien que les options soient limitées dans la première version, Microsoft prévoit d’en ajouter d’autres dans les mises à jour ultérieures.
Personnalisation de Windows Sandbox
Vous pouvez accorder à votre instance Sandbox l’accès à un dossier partagé de votre système hôte.
Ce guide suppose que vous avez déjà activé Sandbox. Si ce n’est pas le cas, il faudra l’activer via la boîte de dialogue des fonctionnalités Windows.
Pour démarrer, utilisez le Bloc-notes ou votre éditeur de texte favori. Il vous faudra créer un fichier XML pour la configuration. Bien qu’une connaissance du Langage XML soit utile, elle n’est pas indispensable. Enregistrez votre fichier avec l’extension .wsb (pour Windows Sand Box). Un double-clic sur ce fichier lancera Sandbox avec la configuration spécifiée.
Comme expliqué par Microsoft, vous pouvez configurer le GPU virtualisé (vGPU), activer ou désactiver le réseau, définir des dossiers partagés, les autorisations de lecture/écriture, ou exécuter des scripts au lancement.
Le fichier de configuration vous permet de désactiver le vGPU (activé par défaut), désactiver le réseau (activé par défaut), spécifier un dossier hôte partagé (aucun dossier n’est accessible par défaut), définir des autorisations sur ce dossier et exécuter un script au lancement.
Commencez par ouvrir un nouveau fichier dans votre éditeur de texte et ajoutez le texte suivant :
Toutes les options doivent être incluses entre ces deux balises. Vous pouvez ajouter une seule option ou toutes. Si aucune option n’est spécifiée, les valeurs par défaut seront utilisées.
Désactivation du GPU virtuel ou du réseau
Microsoft souligne que l’activation du GPU virtuel ou du réseau peut augmenter le risque d’évasion du bac à sable par des logiciels malveillants. Il peut donc être préférable de les désactiver si vous testez des éléments potentiellement dangereux.
Pour désactiver le GPU virtuel, ajoutez le texte suivant à votre fichier de configuration :
Disable
Pour désactiver l’accès au réseau, ajoutez le texte suivant :
Disable
Partage de dossiers
Pour partager un dossier, vous devez spécifier le dossier à partager et les autorisations de lecture/écriture.
Voici un exemple :
C:UsersPublicDownloads true
L’élément HostFolder
indique le dossier à partager. Dans cet exemple, le dossier de téléchargements public est partagé. L’élément ReadOnly
définit les autorisations : « true » pour la lecture seule, « false » pour l’accès en écriture.
Soyez prudent, le partage de dossiers entre l’hôte et Sandbox peut introduire des risques. Évitez l’accès en écriture pour tester des éléments potentiellement malveillants.
Exécution de scripts au démarrage
Vous pouvez exécuter des scripts personnalisés ou des commandes de base au lancement. Par exemple, vous pouvez forcer l’ouverture d’un dossier partagé. Voici un exemple :
C:UsersPublicDownloads true explorer.exe C:usersWDAGUtilityAccountDesktopDownloads
L’utilisateur par défaut de Sandbox est WDAGUtilityAccount. C’est donc à ce compte que vous devez faire référence lors de l’ouverture de dossiers ou de fichiers.
Dans la version de Windows 10 proche de la mise à jour de mai 2019, l’option LogonCommand
semble ne pas fonctionner correctement. Microsoft corrigera probablement ce problème prochainement.
Lancement de Sandbox avec votre configuration
Une fois le fichier de configuration prêt, enregistrez-le avec l’extension .wsb. Par exemple, si votre éditeur l’enregistre sous Sandbox.txt, renommez-le en Sandbox.wsb. Un double-clic sur ce fichier lancera Sandbox avec les paramètres spécifiés. Vous pouvez placer le fichier sur votre bureau ou créer un raccourci dans le menu Démarrer.
Pour vous faciliter la tâche, vous pouvez télécharger ce fichier DisabledNetwork. Il vous suffira de le renommer avec l’extension .wsb pour lancer Sandbox.