O novo recurso do Windows 10, chamado Sandbox, oferece um ambiente seguro para testar programas e arquivos baixados da internet. Ele cria um espaço isolado para execução desses arquivos, protegendo o sistema principal. Embora seja fácil de usar, suas configurações ficam armazenadas em um arquivo de configuração de texto.
O Windows Sandbox: Praticidade e Acessibilidade
Integrado à atualização de maio de 2019 do Windows 10, o Sandbox está disponível nas edições Professional, Enterprise e Education, não sendo acessível na versão Home. Se o seu sistema atender aos requisitos, você pode ativá-lo e iniciá-lo facilmente pelo menu Iniciar.
Ao ser executado, o Sandbox cria uma cópia do seu sistema Windows, remove o acesso às suas pastas pessoais e fornece uma área de trabalho limpa com acesso à internet. Antes da introdução do arquivo de configuração, a personalização do Sandbox era limitada. Caso não desejasse acesso à internet, era necessário desativá-lo após o início. Para acessar arquivos do sistema principal, era preciso copiá-los para o Sandbox, e a instalação de aplicativos de terceiros era necessária a cada nova execução.
Como o Windows Sandbox é totalmente apagado ao ser fechado, todas as configurações e personalizações eram perdidas a cada nova execução. Embora isso aumente a segurança, já que qualquer problema pode ser resolvido simplesmente fechando o Sandbox, a necessidade de refazer as mesmas configurações a cada inicialização torna o processo cansativo.
Para solucionar esse problema, a Microsoft introduziu um sistema de configuração para o Windows Sandbox. Através de arquivos XML, é possível iniciar o Sandbox com parâmetros definidos, permitindo aumentar ou diminuir as restrições. Por exemplo, é possível desabilitar a conexão com a internet, definir pastas compartilhadas com o sistema principal ou executar scripts para instalar aplicativos. Embora as opções sejam limitadas no primeiro lançamento, a Microsoft planeja adicionar mais funcionalidades em futuras atualizações do Windows 10.
Personalizando o Windows Sandbox
O Windows Sandbox permite compartilhar pastas do sistema principal, proporcionando acesso controlado a arquivos e dados.
Este guia assume que você já ativou o recurso Sandbox. Caso ainda não o tenha feito, é necessário habilitá-lo na caixa de diálogo “Recursos do Windows”.
Para começar, utilize o Bloco de Notas ou seu editor de texto favorito (sugerimos Notepad++). Crie um novo arquivo em branco. Nele, você criará um arquivo XML para configuração. O conhecimento da linguagem XML não é obrigatório. Após a criação, salve o arquivo com a extensão .wsb (Windows Sand Box). Ao clicar duas vezes no arquivo, o Sandbox será iniciado com as configurações especificadas.
Conforme explicado pela Microsoft, existem várias opções de configuração. É possível habilitar ou desabilitar a vGPU (GPU virtualizada), ativar ou desativar a rede, especificar pastas compartilhadas, definir permissões de leitura/gravação nessas pastas e executar scripts durante a inicialização.
Através deste arquivo de configuração, é possível desabilitar a GPU virtualizada (que é ativada por padrão), desativar a rede (também ativada por padrão), especificar pastas compartilhadas (aplicativos no Sandbox não têm acesso a nenhuma pasta por padrão), definir permissões de leitura/escrita nessas pastas e/ou executar um script no início.
Inicie o Bloco de Notas ou seu editor de texto e crie um novo arquivo. Adicione o seguinte texto:
<configuration/>
Todas as opções adicionais devem ser inseridas entre esses dois parâmetros. É possível adicionar apenas uma opção ou todas elas; não é necessário incluir todas. Se uma opção não for especificada, o valor padrão será aplicado.
Desativando a GPU ou Rede Virtual
Segundo a Microsoft, habilitar a GPU ou rede virtual aumenta os riscos de software malicioso escapar do Sandbox. Portanto, ao testar algo que gere preocupação, é recomendado desativá-los.
Para desativar a GPU virtual, que é ativada por padrão, adicione o seguinte ao arquivo de configuração:
<vgpu>Disable</vgpu>
Para desativar o acesso à rede, que também é ativado por padrão, adicione o seguinte:
<networking>Disable</networking>
Mapeando uma Pasta
Para mapear uma pasta, você precisa especificar qual pasta deseja compartilhar e definir se ela será somente leitura ou não.
O mapeamento de uma pasta é feito da seguinte forma:
<mappedfolders><mappedfolder><hostfolder>C:UsersPublicDownloads</hostfolder><readonly>true</readonly></mappedfolder></mappedfolders>
O elemento `HostFolder` define a pasta a ser compartilhada. No exemplo, a pasta de downloads pública do Windows está sendo compartilhada. `ReadOnly` define se o Sandbox pode escrever na pasta. Defina como `true` para somente leitura ou `false` para permissão de escrita.
É importante estar ciente de que o compartilhamento de pastas entre o sistema principal e o Windows Sandbox pode apresentar riscos. Fornecer acesso de escrita ao Sandbox aumenta esse risco. Se estiver testando algo suspeito, evite essa opção.
Executando um Script na Inicialização
É possível executar scripts personalizados ou comandos básicos. Por exemplo, você pode forçar o Sandbox a abrir uma pasta mapeada ao iniciar. A configuração ficaria assim:
<mappedfolders><mappedfolder><hostfolder>C:UsersPublicDownloads</hostfolder><readonly>true</readonly></mappedfolder></mappedfolders><logoncommand><command>explorer.exe C:usersWDAGUtilityAccountDesktopDownloads</command></logoncommand>
`WDAGUtilityAccount` é o usuário padrão do Windows Sandbox. Ao abrir pastas ou arquivos via comando, sempre utilize esse usuário.
Na versão próxima ao lançamento da atualização de maio de 2019, a opção `LogonCommand` não parecia funcionar como esperado, não executando nenhuma ação, mesmo com exemplos da documentação da Microsoft. No entanto, a Microsoft provavelmente corrigirá esse problema em breve.
Iniciando o Sandbox com as Configurações
Após finalizar as edições, salve o arquivo com a extensão .wsb. Por exemplo, se seu editor de texto salvá-lo como `Sandbox.txt`, salve-o como `Sandbox.wsb`. Para iniciar o Windows Sandbox com as configurações, clique duas vezes no arquivo .wsb. Você pode colocá-lo na área de trabalho ou criar um atalho no menu Iniciar.
Para sua conveniência, você pode baixar este arquivo DisabledNetwork para evitar alguns passos. O arquivo está com a extensão `.txt`, renomeie para a extensão `.wsb` e você estará pronto para iniciar o Windows Sandbox.