Windows Sandbox là một môi trường ảo hoá của Microsoft, ngay bên trong Windows hay gọi vui là chạy máy ảo Windows trong chính Windows. Sandbox là một công cụ để test app, kiểm thử các phần mềm để tránh các rủi ro về malware, virus hay spyware xâm nhập vào máy tính của mình. Sandbox hoạt động như một môi trường riêng biệt so với Windows chính mà người dùng đang sử dụng, sau khi đóng Sandbox thì mọi thứ đã cài đặt, đã kiểm tra cũng sẽ biến mất mà không để lại bất kì dấu vết nào.
Ra mắt từ hồi Windows 10, Sandbox là tính năng chỉ có trên nhũng phiên bản Windows Pro, Education hoặc Enterpise mà thôi, phiên bản Home sẽ không có tính năng này. Để khởi động Sandbox người dùng cần thiết lập môi trường ảo hoá có sẵn trong Windows. Có nhiều cách để cài đặt Windows Sandbox nhưng dươi đây là cách đơn giản nhất anh em có thể làm:
Sau khi khởi động lại máy tính, Windows Sandbox sẽ xuất hiện trong Start Menu, hoặc nếu không có thì anh em có thể gõ từ khoá để tìm kiếm.
Đây là giao diện Windows Sandbox lên thì giao diện chính nó sẽ như thế này, rất giống với khi anh em chạy những máy ảo Windows khác hay chạy Windows trên macOS. Nhưng mà về bản chất Sandbox nó cũng là máy ảo nên nó cũng đòi hỏi một số yêu cầu cấu hình tối thiểu để hoạt động mượt mà, anh em có thể xem tại đây.
Hướng dẫn kích hoạt Windows Sandbox
Ra mắt từ hồi Windows 10, Sandbox là tính năng chỉ có trên nhũng phiên bản Windows Pro, Education hoặc Enterpise mà thôi, phiên bản Home sẽ không có tính năng này. Để khởi động Sandbox người dùng cần thiết lập môi trường ảo hoá có sẵn trong Windows. Có nhiều cách để cài đặt Windows Sandbox nhưng dươi đây là cách đơn giản nhất anh em có thể làm:
- Mở khung search, gõ Turn Windows features on or off.
- Tìm đến 3 tính năng là Virtual Machine Platform, Windows Hypervisor Platform và Windows Sandbox, bật cả 3 lên và restart máy là xong.
Sau khi khởi động lại máy tính, Windows Sandbox sẽ xuất hiện trong Start Menu, hoặc nếu không có thì anh em có thể gõ từ khoá để tìm kiếm.
Đây là giao diện Windows Sandbox lên thì giao diện chính nó sẽ như thế này, rất giống với khi anh em chạy những máy ảo Windows khác hay chạy Windows trên macOS. Nhưng mà về bản chất Sandbox nó cũng là máy ảo nên nó cũng đòi hỏi một số yêu cầu cấu hình tối thiểu để hoạt động mượt mà, anh em có thể xem tại đây.
Sandbox hoạt động trên cả Windows bình thường lẫn Windows on Arm, mình đang demo với anh em bằng Windows on Arm.
Cài đặt phần mềm qua Windows Sandbox
Đến đây thì anh em chỉ việc cài đặt các file .exe, các phần mềm hay giải pháp mà anh em muốn kiểm tra xem nó có gây hại gì cho hệ thống hay không. Sandbox sẽ khác các máy ảo khác đó là nó nhẹ hơn và sẽ thiết lập một bản OS mới toanh mỗi khi anh em khởi động nó, nhưng nó sẽ bị giới hạn về tính năng cũng như việc nó sẽ xoá hết tất cả mọi thứ mỗi khi anh em đóng lại. Chính vì vậy, Sandbox không phù hợp để anh em sử dụng như một máy ảo thứ hai bên cạnh hệ thống Windows chính, nó chỉ phù hợp để kiểm thử phần mềm mà thôi, hay thử nhanh một tính năng nào đó mà anh em không muốn thay đổi các cài đặt hệ thống đang có.
Với các file cài đặt có sẵn ở hệ thống Windows chính muốn đưa vào Sandbox, anh em chỉ việc copy file đó và paste lại vào môi trường Sandbox là xong, y như cách anh em copy/paste thông thường vậy. Thế nhưng Windows Sandbox hiện mình không thấy có hỗ trợ việc kéo thả file, anh em có thể kiểm tra giúp mình nhé.
Sandbox sẽ hiệu quả nhất nếu anh em cài đặt các file dll, các file reg ảnh hưởng trực tiếp đến hệ thống máy tính chính của anh em (ngày xưa cài game cờ rắc hay bị thiếu file dll lắm 😁), thường các file này rất dễ bị cài đặt mã độc để tấn công máy tính người dùng. Cách phát hiện mã độc, virus sẽ tương tự như Windows anh em đang xài trước giờ, nhưng sẽ có cảnh báo trong Sandbox để anh em biết.
Hiện tại Windows đang có một hệ thống bảo vệ mà mình rất tin tưởng là Windows Defender, nó có khả năng phát hiện các phần mềm, các file cài đặt có thể gây rủi ro cho máy tính mà từ đó ngăn chặn ngay lúc chuẩn bị tải về. Thường nó sẽ phát hiện ra các file cài đặt phần mềm đã bị bẻ khoá, ngăn chặn từ tầng đầu tiên trước khi người dùng có thể tiếp xúc được với các file này. Tuy vậy nó cũng là công cụ mà người dùng có thể bỏ qua, thậm chí tắt nó đi nếu vẫn muốn cài đặt các file đó, vì vậy Sandbox sinh ra để cho những bước như vậy. Để hiểu thêm về cách hoạt động của Sandbox, anh em có thể tham khảo bài viết dưới đây:
https://tinhte.vn/thread/windows-10-duoc-tich-hop-san-may-ao-sandbox-de-chay-cac-ung-dung-xau-no-hoat-dong-nhu-the-nao.2893910
Windows 10 được tích hợp sẵn máy ảo Sandbox để chạy các ứng dụng xấu, nó hoạt động như thế nào?
Vài tháng trước Microsoft đã bắt đầu tiết lộ một tính năng mới trên Windows 10 tên là InPrivate, cho phép tạo một máy ảo cấu hình thấp ngay trong hệ điều hành chính để chạy thử các ứng dụng không đáng tin cậy trong một môi trường hoàn toàn cách biệt.
tinhte.vn
Các giải pháp khác dành cho phiên bản Windows Home
Nếu anh em sử dụng Windows Home vẫn muốn dùng Sandbox thì sao? Vẫn sẽ có những phần mềm bên thứ ba giúp anh em có thể làm chuyện này, phổ biến nhất hiện tại mình thấy có Sandboxie Plus, nó miễn phí và đủ tính năng như Sandbox để anh em có thể kiểm thử, hoặc cao cấp hơn có SHADE Sandbox với giá 29.99 USD/năm. Hoặc nếu anh em chỉ cần một phần mềm ảo hoá để chạy Windows hay bất kì một hệ điều hành nào khác, có khá nhiều lựa chọn cho anh em như VMWare, VirtualBox hay Hyper-V của chính Windows.
Quảng cáo
Nhưng mà mọi thứ chưa dừng lại ở đó, anh em hoàn toàn có thể cấu hình (config) cho máy ảo Sandbox để nó hoạt động đúng theo ý muốn của anh em. Các file config cho Sandbox sẽ được lưu trữ dưới dạng các file XML và kết nối với Sandbox qua các extension .wsb.
Cấu hình các thành phần trong Windows Sandbox
Anh em có thể cấu hình về vGPU (GPU ảo, bật hoặc tắt), Network, Audio, video, bộ nhớ, clipboard…Tuy vậy những tuỳ chỉnh này Microsoft cũng khuyến cáo người dùng sử dụng cẩn thận vì những nguy cơ bị tấn công từ những thành phần này nếu bật chúng lên.
Để thực hiện config các thành phần trên, anh em tạo một file Notepad và đặt tên tuỳ ý với đuôi .wsb, sau đó chèn cú pháp vào giữa hai dòng lệnh:
<Configuration>
</Configuration>
Ví dụ: để bật hoặc tắt vGPU, anh em sẽ có cú pháp như sau:
Quảng cáo
<vGPU>Enable(hoặc Disable hoặc Default)</vGPU>
Theo mặc định, nếu set là Default thì vGPU sẽ bị tắt.
Tương tự như vậy với các thành phần khác. Thậm chí, anh em có thể mapping các folder từ hệ thống chính vào Sandbox cũng được luôn, thiết lập quyền chỉ đọc hoặc ghi đối với các tệp tin trong folder đó, nhưng lưu ý việc chia sẻ như vậy sẽ tăng nguy cơ bị tấn công. Cụ thể, cú pháp để thực hiện map folder như sau:
<MappedFolders>
<MappedFolder>
<HostFolder>absolute path to the host folder</HostFolder>
<SandboxFolder>absolute path to the sandbox folder</SandboxFolder>
<ReadOnly>value</ReadOnly>
</MappedFolder>
<MappedFolder>
...
</MappedFolder>
</MappedFolders>
HostFolder biểu thị thư mục trên hệ thống chính là máy tính của anh em, SandboxFolder sẽ là thư mục được tạo trên máy ảo để “chứa” HostFolder, giá trị ReadOnly được thiết lập mặc định là false, tức là không thể đọc, nếu là true thì tức là cấp quyền chỉ đọc cho folder được chia sẻ đó.
Anh em có thể tham khảo thêm về tuỳ biến các thành phần khác tại đây, ngoài những cái mình chia sẻ ở trên anh em cũng có thể Remote Desktop vào Sandbox, chia sẻ cài đặt máy in…
Lưu ý gì khi sử dụng Sandbox?
Qua trải nghiệm của mình thì thấy rằng, Windows Sandbox là công cụ tốt để anh em có thể kiểm thử các phần mềm, hoặc kiểm tra nhanh một tính năng nào đó mà không muốn đụng chạm đến hệ thống chính (host), nhưng cũng có vài lưu ý đến anh em:
- Nó chỉ phù hợp để kiểm thử, không giống với những phần mềm máy ảo phổ biến như VMware hay VirtualBox.
- Tất cả dữ liệu trong Sandbox sẽ bị xoá ngay sau khi anh em đóng máy ảo.
- Nó chỉ ngăn chặn các cuộc tấn công vào máy, điều đó không đồng nghĩa sẽ bảo vệ dữ liệu hay tài khoản, mật khẩu của anh em trên mạng, không nên đăng nhập tài khoản vào một bất kì website nào có dấu hiệu đáng nghi vì lúc này Sandbox sẽ không có hiệu quả nữa.