Microsoft introdujo una nueva característica llamada "Espacio aislado" de Windows. Espacio aislado de Windows se basa en la tecnología hyper-V y permite poner en marcha un entorno aislado, temporal y de escritorio donde puedes ejecutar software que no es de confianza.
‘Espacio aislado’: una máquina virtual lista para usar
El espacio aislado es ideal para demostraciones, solución de problemas o si está tratando con malware. Si cierra el espacio aislado, todo el software con todos sus archivos y el estado se eliminan permanentemente. Se trata de una Windows 10 máquinas virtuales, con la ventaja de que está integrada en Windows 10, por lo que aprovecha el sistema operativo existente, lo que le proporciona un inicio más rápido, menos superficie, una mejor eficiencia y un control más fácil, sin perder seguridad.
Espacio aislado de Windows proporciona un entorno de escritorio ligero para ejecutar aplicaciones de forma segura de forma aislada. El software instalado dentro del entorno de Espacio aislado de Windows sigue siendo "espacio aislado" y se ejecuta por separado de la máquina host.
Un espacio aislado es temporal. Cuando se cierra, se eliminan todo el software y los archivos y el estado. Obtendrá una nueva instancia del espacio aislado cada vez que abra la aplicación. Tenga en cuenta, sin embargo, que a partir de Windows 11 compilación 22509, los datos se conservarán a través de un reinicio iniciado desde dentro del entorno virtualizado, útil para instalar aplicaciones que requieren que el sistema operativo se reinicie.
Windows Sandbox - "Espacio Aislado"
Windows Sandbox es una interesante característica de seguridad añadida en las versiones Pro, Education y Enterprise de Windows 10, que permite ejecutar aplicaciones en un entorno de escritorio aislado y seguro.
Si bien usuarios avanzados son capaces de configurar sus propias máquinas virtuales para verificar la procedencia o peligrosidad de las aplicaciones desconocidas, Microsoft ha desarrollado una forma más sencilla para que cualquier usuario pueda iniciar este tipo de software en un entorno de escritorio protegido.
Para ello, Windows Sandbox crea un entorno de escritorio temporal mediante una instalación reducida de Windows de aproximadamente 100 Mbytes y con un kernel separado y aislado del PC donde se ejecuta. Otra de sus ventajas es que está diseñado para ser no sólo ser seguro, sino desechable por lo que una vez que hayamos terminado de ejecutar las aplicaciones y cerremos esta herramienta, se eliminará todo el entorno generado.
- Accede al panel de control del sistema > Programas y características > Activar o desactivar características de Windows.
- Alternativamente, puedes acceder directamente escribiendo «Activar o desactivar características de Windows» en el buscador del sistema.
- Activa el Windows Sandbox (Espacio aislado de Windows). Requiere HyperVisor
- Reiniciar
Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online
Espacio aislado de Windows tiene las siguientes propiedades:
- Parte de Windows: todo lo necesario para esta característica se incluye en Windows 10 Pro y Enterprise. No es necesario descargar un VHD.
- Prístino: cada vez que se ejecuta Espacio aislado de Windows, es tan limpio como una instalación completamente nueva de Windows.
- Descartable: no se conserva nada en el dispositivo. Todo se descarta cuando el usuario cierra la aplicación.
- Seguro: usa la virtualización basada en hardware para el aislamiento del kernel. Se basa en el hipervisor Microsoft para ejecutar un kernel independiente que aísla Espacio aislado de Windows del host.
- Eficiente: Usa el programador de kernel integrado, la administración de memoria inteligente y la GPU virtual.
Requisitos
- Requisitos: Windows 10/11 Pro/Enterprise
- Instrucciones Virtualización BIOS/UEFI activadas
- Habilitar características Windows Sandbox (espacio aislado)
- Hardware ±4GB RAM
- NVIDIA=VGpu Enable
- Windows 10 Pro, Enterprise o Education compilación 18305 o Windows 11 (Espacio aislado de Windows no se admite actualmente en la edición Windows Home)
- ARQUITECTURA DE ARM64 o (a partir de Windows 11 compilación 22483)
- Funcionalidades de virtualización habilitadas en el BIOS
- Al menos 4 GB de RAM (se recomiendan 8 GB)
- Al menos 1 GB de espacio libre en disco (se recomienda SSD)
- Al menos dos núcleos de CPU (se recomiendan cuatro núcleos con hiperthreading)
Configuración del espacio aislado de Windows
Espacio aislado de Windows admite archivos de configuración simples,
que proporcionan un conjunto mínimo de parámetros de personalización
para sandbox. Esta característica se puede usar con Windows 10
compilación 18342 o Windows 11. Espacio aislado de Windows archivos de
configuración tienen el formato XML y están asociados con sandbox a
través de la extensión de .wsb
archivo.
Un archivo de configuración permite al usuario controlar los siguientes aspectos de Espacio aislado de Windows:
- vGPU (GPU virtualizada): habilite o deshabilite la GPU virtualizada. Si vGPU está deshabilitado, el espacio aislado usará la Plataforma de rasterización avanzada de Windows (WARP).
- Redes: habilite o deshabilite el acceso a la red dentro del espacio aislado.
- Carpetas asignadas: comparta carpetas del host con permisos de lectura o escritura . La exposición de directorios host puede permitir que el software malintencionado afecte al sistema o robe datos.
- Comando de inicio de sesión: comando que se ejecuta cuando se inicia Espacio aislado de Windows.
- Entrada de audio: comparte la entrada del micrófono del host en el espacio aislado.
- Entrada de vídeo: comparte la entrada de la cámara web del host en el espacio aislado.
- Cliente protegido: coloca una mayor configuración de seguridad en la sesión RDP en el espacio aislado.
- Redirección de impresoras: comparte las impresoras del host en el espacio aislado.
- Redirección del Portapapeles: comparte el Portapapeles host con el espacio aislado para que el texto y los archivos se puedan pegar de un lado a otro.
- Memoria en MB: la cantidad de memoria, en megabytes, que se va a asignar al espacio aislado.
Creación de un archivo de configuración
Para crear un archivo de configuración:
Abra un editor de texto sin formato o un editor de código fuente (por ejemplo, Bloc de notas, Visual Studio Code, etc.)
Inserte las líneas siguientes:
XML
<Configuration> </Configuration>
Agregue el texto de configuración adecuado entre las dos líneas. Para obtener más información, consulte la sintaxis correcta y los ejemplos siguientes.
Guarde el archivo con el nombre deseado, pero asegúrese de que su extensión de nombre de archivo es
.wsb
. En el Bloc de notas, debe incluir el nombre de archivo y la extensión entre comillas dobles, por ejemplo,"My config file.wsb"
.
<Configuration><VGpu>Enable</VGpu><Networking>Disable</Networking></Configuration>
Uso de un archivo de configuración
Para usar un archivo de configuración, haga doble clic en él para iniciar Espacio aislado de Windows según su configuración. También puede invocarlo a través de la línea de comandos, como se muestra aquí:
C:\Temp> MyConfigFile.wsb
Palabras clave, valores y límites
vGPU
Habilita o deshabilita el uso compartido de GPU.
<vGPU>value</vGPU>
Valores admitidos:
- Habilitar: habilita la compatibilidad con vGPU en el espacio aislado.
- Deshabilitar: deshabilita la compatibilidad con vGPU en el espacio aislado. Si se establece este valor, el espacio aislado usará la representación de software, que puede ser más lenta que la GPU virtualizada.
- Predeterminado Este valor es el valor predeterminado para la compatibilidad con vGPU. Actualmente, este valor predeterminado indica que vGPU está deshabilitado.
Nota
Habilitar la GPU virtualizada puede aumentar potencialmente la superficie expuesta a ataques del espacio aislado.
Funciones de red
Habilita o deshabilita las redes en el espacio aislado. Puede deshabilitar el acceso a la red para reducir la superficie expuesta a ataques por el espacio aislado.
<Networking>value</Networking>
Valores admitidos:
- Deshabilitar: deshabilita las redes en el espacio aislado.
- Valor predeterminado: este valor es el valor predeterminado para la compatibilidad con redes. Este valor habilita las redes mediante la creación de un conmutador virtual en el host y conecta el espacio aislado a él a través de una NIC virtual.
Nota
La habilitación de redes puede exponer aplicaciones que no son de confianza a la red interna.
Carpetas asignadas
Matriz de carpetas, cada una de las cuales representa una ubicación en el equipo host que se compartirá en el espacio aislado en la ruta de acceso especificada. En este momento, no se admiten rutas de acceso relativas. Si no se especifica ninguna ruta de acceso, la carpeta se asignará al escritorio del usuario del contenedor.
<MappedFolders>
<MappedFolder>
<HostFolder>absolute path to the host folder</HostFolder>
<SandboxFolder>absolute path to the sandbox folder</SandboxFolder>
<ReadOnly>value</ReadOnly>
</MappedFolder>
<MappedFolder>
...
</MappedFolder>
</MappedFolders>
HostFolder: especifica la carpeta de la máquina host que se va a compartir en el espacio aislado. La carpeta ya debe existir en el host o el contenedor no se iniciará.
SandboxFolder: especifica el destino en el espacio aislado al que se va a asignar la carpeta. Si la carpeta no existe, se creará. Si no se especifica ninguna carpeta de espacio aislado, la carpeta se asignará al escritorio del contenedor.
ReadOnly: si es true, aplica el acceso de solo lectura a la carpeta compartida desde dentro del contenedor. Valores admitidos: true/false. El valor predeterminado es false.
Nota
Las aplicaciones del espacio aislado pueden poner en peligro los archivos y carpetas asignados desde el host o afectar potencialmente al host.
Comando de inicio de sesión
Especifica un único comando que se invocará automáticamente después de que el espacio aislado inicie sesión. Las aplicaciones del espacio aislado se ejecutan en la cuenta de usuario del contenedor. La cuenta de usuario del contenedor debe ser una cuenta de administrador.
<LogonCommand>
<Command>command to be invoked</Command>
</LogonCommand>
Comando: ruta de acceso a un archivo ejecutable o script dentro del contenedor que se ejecutará después de iniciar sesión.
Nota
Aunque los comandos muy sencillos funcionarán (como iniciar un archivo ejecutable o un script), los escenarios más complicados que implican varios pasos deben colocarse en un archivo de script. Este archivo de script se puede asignar al contenedor a través de una carpeta compartida y, a continuación, ejecutarse a través de la directiva LogonCommand .
Entrada de audio
Habilita o deshabilita la entrada de audio en el espacio aislado.
<AudioInput>value</AudioInput>
Valores admitidos:
- Habilitar: habilita la entrada de audio en el espacio aislado. Si se establece este valor, el espacio aislado podrá recibir la entrada de audio del usuario. Las aplicaciones que usan un micrófono pueden requerir esta funcionalidad.
- Deshabilitar: deshabilita la entrada de audio en el espacio aislado. Si se establece este valor, el espacio aislado no puede recibir la entrada de audio del usuario. Es posible que las aplicaciones que usan un micrófono no funcionen correctamente con esta configuración.
- Valor predeterminado: este valor es el valor predeterminado para la compatibilidad con la entrada de audio. Actualmente, este valor predeterminado indica que la entrada de audio está habilitada.
Nota
Puede haber implicaciones de seguridad al exponer la entrada de audio del host en el contenedor.
Entrada de vídeo
Habilita o deshabilita la entrada de vídeo en el espacio aislado.
<VideoInput>value</VideoInput>
Valores admitidos:
- Habilitar: habilita la entrada de vídeo en el espacio aislado.
- Deshabilitar: deshabilita la entrada de vídeo en el espacio aislado. Es posible que las aplicaciones que usan la entrada de vídeo no funcionen correctamente en el espacio aislado.
- Valor predeterminado: este valor es el valor predeterminado para la compatibilidad con la entrada de vídeo. Actualmente, este valor predeterminado indica que la entrada de vídeo está deshabilitada. Es posible que las aplicaciones que usan la entrada de vídeo no funcionen correctamente en el espacio aislado.
Nota
Puede haber implicaciones de seguridad al exponer la entrada de vídeo del host en el contenedor.
Cliente protegido
Aplica más configuración de seguridad al cliente de Escritorio remoto del espacio aislado, lo que reduce su superficie expuesta a ataques.
<ProtectedClient>value</ProtectedClient>
Valores admitidos:
- Habilitar: ejecuta el espacio aislado de Windows en modo de cliente protegido. Si se establece este valor, el espacio aislado se ejecuta con mitigaciones de seguridad adicionales habilitadas.
- Deshabilitar: ejecuta el espacio aislado en modo estándar sin mitigaciones de seguridad adicionales.
- Valor predeterminado: este valor es el valor predeterminado para el modo de cliente protegido. Actualmente, este valor predeterminado indica que el espacio aislado no se ejecuta en modo de cliente protegido.
Nota
Esta configuración puede restringir la capacidad del usuario de copiar o pegar archivos dentro y fuera del espacio aislado.
Redireccionamiento de impresora
Habilita o deshabilita el uso compartido de impresoras del host en el espacio aislado.
<PrinterRedirection>value</PrinterRedirection>
Valores admitidos:
- Habilitar: permite el uso compartido de impresoras host en el espacio aislado.
- Deshabilitar: deshabilita el redireccionamiento de la impresora en el espacio aislado. Si se establece este valor, el espacio aislado no puede ver las impresoras del host.
- Valor predeterminado: este valor es el valor predeterminado para la compatibilidad con el redireccionamiento de impresora. Actualmente, este valor predeterminado indica que el redireccionamiento de la impresora está deshabilitado.
Redirección del Portapapeles
Habilita o deshabilita el uso compartido del Portapapeles del host con el espacio aislado.
<ClipboardRedirection>value</ClipboardRedirection>
Valores admitidos:
- Deshabilitar: deshabilita el redireccionamiento del Portapapeles en el espacio aislado. Si se establece este valor, se restringirá la copia y pegado dentro y fuera del espacio aislado.
- Valor predeterminado: este valor es el valor predeterminado para el redireccionamiento del Portapapeles. Actualmente, se permite copiar y pegar entre el host y el espacio aislado en Predeterminado.
Memoria en MB
Especifica la cantidad de memoria que el espacio aislado puede usar en megabytes (MB).
<MemoryInMB>value</MemoryInMB>
Si el valor de memoria especificado no es suficiente para arrancar un espacio aislado, se aumentará automáticamente a la cantidad mínima necesaria.
Ejemplo 1
El siguiente archivo de configuración se puede usar para probar fácilmente los archivos descargados dentro del espacio aislado. Para lograr esta prueba, se deshabilitan las redes y vGPU y se permite el acceso de solo lectura al espacio aislado a la carpeta de descargas compartidas. Para mayor comodidad, el comando de inicio de sesión abre la carpeta de descargas dentro del espacio aislado cuando se inicia.
Downloads.wsb
<Configuration>
<VGpu>Disable</VGpu>
<Networking>Disable</Networking>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\Users\Public\Downloads</HostFolder>
<SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads</SandboxFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>explorer.exe C:\users\WDAGUtilityAccount\Downloads</Command>
</LogonCommand>
</Configuration>
Ejemplo 2
El siguiente archivo de configuración instala Visual Studio Code en el espacio aislado, lo que requiere una configuración de LogonCommand ligeramente más complicada.
Dos carpetas se asignan al espacio aislado; el primero (SandboxScripts) contiene VSCodeInstall.cmd, que se instalará y ejecutará Visual Studio Code. Se supone que la segunda carpeta (CodingProjects) contiene archivos de proyecto que el desarrollador desea modificar mediante Visual Studio Code.
Con el script del instalador de Visual Studio Code ya asignado al espacio aislado, LogonCommand puede hacer referencia a él.
VSCodeInstall.cmd
Descarga de vscode en la downloads
carpeta y ejecución desde la downloads
carpeta
REM Download Visual Studio Code
curl -L "https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Downloads\vscode.exe
REM Install and run Visual Studio Code
C:\users\WDAGUtilityAccount\Downloads\vscode.exe /verysilent /suppressmsgboxes
VSCode.wsb
<Configuration>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\SandboxScripts</HostFolder>
<SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads\sandbox</SandboxFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
<MappedFolder>
<HostFolder>C:\CodingProjects</HostFolder>
<SandboxFolder>C:\Users\WDAGUtilityAccount\Documents\Projects</SandboxFolder>
<ReadOnly>false</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>C:\Users\WDAGUtilityAccount\Downloads\sandbox\VSCodeInstall.cmd</Command>
</LogonCommand>
</Configuration>
lamentablemente he visto salir programas de VMwareVM, me pregunto en mi ignorancia si es exclusivo de la plataforma o es problema de arquitectura del x86
ResponderEliminar