Windows Sandboxのセキュアな設定
目的
Windows Sandboxをより安全に、快適に使ってみる。 (ためのconfigのメモ)
必要な環境 (公式より抜粋)
- Windows 10 Pro or Enterprise Insider build 18305 or later
- AMD64 architecture
- Virtualization capabilities enabled in BIOS
- At least 4GB of RAM (8GB recommended)
- At least 1 GB of free disk space (SSD recommended)
- At least 2 CPU cores (4 cores with hyperthreading recommended)
なお、Windows サンドボックスを有効化すると100MBほどディスク容量を使います。
インストール手順
- Windows FeaturesからWindows Sandboxを選択し、インストール、再起動。
- config.wsbファイルを好きな場所(デスクトップなど)作成("{ユーザー名}"は自身のユーザー名に置き換えてください。) なお、デフォルトの設定で起動するのであれば、configファイルは作成しなくともよいです。
<Configuration> <VGpu>Enable</VGpu> <Networking>Disable</Networking> <AudioInput>Disable</AudioInput> <VideoInput>Disable</VideoInput> <ProtectedClient>Enable</ProtectedClient> <PrinterRedirection>Disable</PrinterRedirection> <ClipboardRedirection>Disable</ClipboardRedirection> <MappedFolders> <MappedFolder> <HostFolder>C:\Users\{ユーザー名}\Downloads</HostFolder> <SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads</SandboxFolder> <ReadOnly>true</ReadOnly> </MappedFolder> </MappedFolders> <LogonCommand> <Command>explorer.exe C:\Users\WDAGUtilityAccount\Downloads </Command> </LogonCommand> </Configuration>
config.wsbでは、下記を設定
- パフォーマンス向上のため仮想GPUをオン
- セキュリティ強化のためネットワーク/ビデオ入力/オーディオ入力/プリンタリダイレクト/クリップボードをオフ (クリップボードをオフにしているのでホスト-ゲスト間でコピペができません。)
- セキュリティ強化のためProtectedClientをオン(RDPの機能制限を行っている模様)
- 利便性向上のため、ダウンロードフォルダを読み取りのみでサンドボックス内のダウンロードフォルダにマウント
利用方法
備考
- ホストのImageファイルを利用して実行しているため、Windows Sandbox内のWindowsのバージョンはホストと同じものとなる。
- configファイルであるwsbファイルで、相対パスが利用できないため、wsbを各ユーザー向けに作成する必要がある。
- Windowsにプリインストールされているアプリ以外は起動の度にインストールしなおさないといけない。(実質Officeが利用できない。)
まとめ
現在の機能では、OfficeやAdobe、アンチウイルスソフト(Windows Defenderは別)がインストールされていない状態のゲストマシンしか作成できないため、利用用途は狭い。 (毎回インストールするのはさすがに時間の無駄かと。) 主な利用用途は不審なパスワード付きZipファイルを解凍する程度か。
Windows 10 21H1のアップデートはマイナーアップデートになると予想されているため、Windows Sandboxの大幅な機能改善は望めない。そのため、便利に使えるようになるまではまだかかりそう。
参考資料
- https://techcommunity.microsoft.com/t5/windows-kernel-internals/windows-sandbox/ba-p/301849
- https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-sandbox/windows-sandbox-overview
- https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-sandbox/windows-sandbox-configure-using-wsb-file