La nueva función Sandbox de Windows 10 le permite probar programas y archivos descargados de Internet de forma segura ejecutándolos en un contenedor seguro. Es fácil de usar, pero su configuración está enterrada en un archivo de configuración basado en texto.
Windows Sandbox es fácil de usar si lo tiene
Contenidos
Esta característica forma parte de la actualización de Windows 10 de mayo de 2019. Una vez que haya instalado la actualización, también tendrá que usar las ediciones Professional, Enterprise o Education de Windows 10. No está disponible en Windows 10 Home. Pero, si está disponible en su sistema, puede activar fácilmente la función Sandbox y luego lanzarla desde el menú Inicio.
Sandbox se iniciará, hará una copia de su sistema operativo Windows actual, eliminará el acceso a sus carpetas personales y le proporcionará un escritorio Windows limpio con acceso a Internet. Antes de que Microsoft añadiera este archivo de configuración, no se podía personalizar el Sandbox en absoluto. Si no querías acceso a Internet, normalmente tenías que deshabilitarlo justo después del lanzamiento. Si necesitaba acceso a los archivos del sistema host, tenía que copiarlos y pegarlos en el entorno de pruebas. Y, si quería que se instalaran determinados programas de terceros, tenía que instalarlos después de iniciar Sandbox.
Dado que el entorno de pruebas de Windows elimina su instancia por completo al cerrarlo, tenía que pasar por ese proceso de personalización cada vez que lo iniciaba. Por un lado, eso hace que el sistema sea más seguro. Si algo sale mal, cierre el Sandbox y todo se borrará. Por otro lado, si necesitas hacer cambios regularmente, tener que hacer esto en cada lanzamiento se vuelve frustrante rápidamente.
Para aliviar este problema, Microsoft introdujo una función de configuración para el entorno de pruebas de Windows. Utilizando archivos XML, puede iniciar el entorno de pruebas de Windows con parámetros establecidos. Puede ajustar o aflojar las restricciones del arenero. Por ejemplo, puede deshabilitar la conexión a Internet, configurar carpetas compartidas con su copia host de Windows 10 o ejecutar un script para instalar aplicaciones. Las opciones son un poco limitadas en la primera versión de la característica Sandbox, pero Microsoft probablemente agregará más en futuras actualizaciones de Windows 10.
Cómo configurar el entorno de pruebas de Windows
Su copia de Windows 10 en un entorno de arena puede tener acceso a una carpeta compartida en el sistema operativo del host.
Esta guía asume que ya ha configurado el Sandbox para uso general. Si aún no lo ha hecho, deberá habilitarlo primero con el cuadro de diálogo Características de Windows.
Para empezar, necesitarás el Bloc de notas o tu editor de texto favorito (nos gusta Bloc de notas+++) y un nuevo archivo en blanco. Estará creando un archivo XML para la configuración. Aunque la familiaridad con el lenguaje de codificación XML es útil, no es necesario. Una vez que tenga el archivo en su lugar, lo guardará con la extensión.wsb (piense en Windows Sand Box.) Si hace doble clic en el archivo, se iniciará Sandbox con la configuración especificada.
Como explica Microsoft, tiene varias opciones entre las que elegir al configurar el entorno de pruebas. Puede activar o desactivar la vGPU (GPU virtualizada), activar o desactivar la red, especificar una carpeta de host compartida, establecer permisos de lectura/escritura en dicha carpeta o ejecutar un script al iniciarse.
Con este archivo de configuración, puede deshabilitar la GPU virtualizada (activada de forma predeterminada), desactivar la red (activada de forma predeterminada), especificar una carpeta de host compartida (las aplicaciones de entorno de pruebas no tienen acceso a ninguna de forma predeterminada), establecer permisos de lectura/escritura en dicha carpeta y/o ejecutar un script al iniciar la aplicación.
Primero, abra el Bloc de notas o su editor de texto favorito y comience con un nuevo archivo de texto. Añádase el siguiente texto:
<Configuration> </Configuration>
Todas las opciones que agregue deben estar entre estos dos parámetros. Puede agregar sólo una opción o todas: no tiene que incluir todas las opciones. Si no especifica una opción, se utilizará la opción predeterminada.
Cómo deshabilitar la GPU virtual o el trabajo en red
Como señala Microsoft, el hecho de tener habilitada la GPU virtual o el Networking aumenta las posibilidades que el software malicioso puede utilizar para salir de la caja de arena. Así que si estás probando algo que te preocupa especialmente, sería prudente desactivarlo.
Para desactivar la GPU virtual, que está habilitada de forma predeterminada, añada el siguiente texto a su archivo de configuración.
<VGpu>Disable</VGpu>
Para desactivar el acceso a la red, que está habilitado de forma predeterminada, agregue el siguiente texto.
<Networking>Disable</Networking>
Cómo asignar una carpeta
Para asignar una carpeta, deberá detallar exactamente qué carpeta desea compartir y, a continuación, especificar si la carpeta debe ser de sólo lectura o no.
La asignación de una carpeta tiene el siguiente aspecto:
<MappedFolders> <MappedFolder> <HostFolder>C:\Users\Public\Downloads</HostFolder> <ReadOnly>true</ReadOnly> </MappedFolder> </MappedFolders>
HostFolder es donde se muestra la carpeta específica que desea compartir. En el ejemplo anterior, se está compartiendo la carpeta Public Download que se encuentra en los sistemas Windows. ReadOnly establece si Sandbox puede escribir en la carpeta o no. Configúrelo a true para que la carpeta sea de sólo lectura o a false para que sea escribible.
Tenga en cuenta que, en esencia, está introduciendo riesgos en el sistema al vincular una carpeta entre el host y el entorno de pruebas de Windows. Dar acceso de escritura a Sandbox aumenta ese riesgo. Si estás probando algo que crees que puede ser malicioso, no deberías usar esta opción.
Cómo ejecutar un script en el lanzamiento
Por último, puede ejecutar scripts creados a medida o comandos básicos. Puede, por ejemplo, forzar al Sandbox a abrir una carpeta asignada al iniciarse. La creación de ese archivo se vería así:
<MappedFolders> <MappedFolder> <HostFolder>C:\Users\Public\Downloads</HostFolder> <ReadOnly>true</ReadOnly> </MappedFolder> </MappedFolders> <LogonCommand> <Command>explorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads</Command> </LogonCommand>
WDAGUtilityAccount es el usuario predeterminado para el entorno de pruebas de Windows, por lo que siempre hará referencia a esto cuando abra carpetas o archivos como parte de un comando.
Desafortunadamente, en la versión casi lanzada de la actualización de Windows 10 de mayo de 2019, la opción LogonCommand no parece estar funcionando como se esperaba. No hizo nada en absoluto, incluso cuando usamos el ejemplo de la documentación de Microsoft. Microsoft probablemente solucionará este problema pronto.
Cómo iniciar el Sandbox con su configuración
Una vez que haya terminado, guarde el archivo y dele una extensión de archivo.wsb. Por ejemplo, si su editor de texto lo guarda como Sandbox.txt, guárdelo como Sandbox.wsb. Para iniciar el entorno de pruebas de Windows con la configuración, haga doble clic en el archivo.wsb. Puede colocarlo en su escritorio o crear un acceso directo a él en el menú Inicio.
Para su comodidad, puede descargar este archivo de DisabledNetwork para guardar algunos pasos. El archivo tiene una extensión txt, renómbrelo con una extensión de archivo.wsb y estará listo para iniciar Windows Sandbox.
