Tags: Windows 10, Hyper-V, Sicherheit
Die mit Windows 10 1903 eingeführte Sandbox ist eine leichtgewichtige virtuelle Maschine, die eine Ausführung von Anwendungen in einer isolierten Umgebung erlaubt. Sie lässt sich nur eingeschränkt über eine XML-Datei konfigurieren. Um diese Aufgabe zu vereinfachen, gibt es den kostenlosen Sandbox Editor.
Die Windows Sandbox beruht auf Hyper-V, erfordert aber nicht, dass der Benutzer den Hypervisor selbst aktiviert. Ebensowenig muss er ein Gastbetriebssystem in der VM installieren, vielmehr wird dieses aus den Binaries des Host-OS automatisch generiert (siehe dazu diesen Grundlagenbeitrag zur Windows Sandbox).
Konfiguration über 4 Parameter
Neben der unkomplizierten Handhabung hat die Sandbox auch den Vorteil, dass dafür - anders als bei Windows in einer regulären VM - keine zusätzliche Lizenz erforderlich ist. Als Nachteil muss man dafür ein Kauf nehmen, dass sich diese abgeschottete Umgebung kaum anpassen lässt.
Nachdem die erste Preview gar keine Konfiguration vorsah, unterstützt Windows 10 1903 nun ein paar Einstellungen. Dazu zählen das Aktivieren der vGPU, des Netzwerks, von Ordnern für den Datenaustausch mit dem Host sowie das Ausführen von Programmen und Scripts beim Start.
Mehrere Konfigurationen pro Sandbox
Zuständig sind dafür XML-Dateien mit der Endung .wsb, über die man mittels Doppelklick die Sandbox sofort starten kann. Benutzer können somit mehrere Konfigurationen für verschiedene Anforderungen in jeweils eigenen Dateien speichern. Jedoch kann man zu einem Zeitpunkt immer nur eine Instanz der Sandbox ausführen.
Windows 10 bringt keine Tools für das Editieren der Sandbox-Konfiguration mit, so dass Benutzer die XML-Struktur selbst anlegen und bearbeiten müssen. Diese Lücke schließt der PowerShell-basierte Sandbox Editor, den man von Microsofts TechNet Gallery herunterladen kann.
Isolierung im Netzwerk
Das relativ simple Tool bildet die vier Parameter ab, mit denen sich die Sandbox anpassen lässt. Seine Nutzung erschließt sich in kurzer Zeit von selbst. Einen gewissen Erklärungsbedarf gibt es jedoch für die einzelnen Einstellungen.
So bewirkt Enable bei Networking Status nicht, dass die Sandbox vollen Zugriff auf das Netzwerk hat bzw. über dieses erreichbar ist. Damit erhält man zwar eine Verbindung in das Internet, aber die Rechner im lokalen Netzwerk sind weiterhin nicht sichtbar. Disable deaktiviert das Netzwerk vollständig.
Datenaustausch über Ordner
Schaltet man das Netzwerk ab, dann bleibt als einziger Kontakt zur Außenwelt der Datenaustausch mit dem Host. Für diesen Zweck kann man Verzeichnisse des Host-OS definieren, die nachher auf dem Desktop der Sandbox eingeblendet werden. Wahlweise lässt man hier nur den Lese- oder zusätzlich den Schreibzugriff zu.
Einige Anleitungen warnen davor, dass der Schreibzugriff für Transferverzeichnisse das Ausbreiten von Malware aus der Sandbox auf den Host begünstigt. Das kann man zwar nicht in Abrede stellen, aber die Beschränkung auf Readonly hilft nur bedingt, solange der ungehinderte Datenaustausch mittels Copy & Paste über RDP möglich ist. Und der lässt sich über die Konfiguration der Sandbox nicht deaktivieren.
Relativ klar sind die Auswirkungen, wenn man die vGPU abschaltet. Damit entfällt die Hardware-Unterstützung für Direct3D-Grafikoperationen und die Sandbox nutzt stattdessen die Advanced Rasterization Platform (WARP).
Startup-Scripts ausführen
Die letzte der vier Einstellungen erlaubt es, Programme oder Scripts festzulegen, die beim Start der Sandbox laufen sollen. Nachdem die Sandbox beim Beenden alle Änderungen verwirft und jedes Mal mit einem frischen Windows startet, bietet diese Option die Möglichkeit, die isolierte Umgebung etwas anzupassen.
In vielen Fällen wird das darauf hinauslaufen, dass man Schlüssel in der Registry ändert, zum Beispiel um die wichtigsten Einstellungen für den Explorer zu ändern. Dieser blendet standardmäßig etwa die Erweiterung der Dateinamen aus, was man in der Regel nicht haben möchte. Zu diesem Zweck könnte man ein Script wie jenes von der TechNet Gallery ausführen.
Zu bedenken wäre hier, dass die Execution-Policy in der Sandbox das Ausführen von Scripts nicht zulässt. Der Sandbox Editor löst diese Aufgabe, indem er einen Aufruf von PowerShell.exe mit dem passenden Wert für den Parameter ExecutionPolicy zusammenstellt.
Das Script selbst muss man zwangsläufig auf einem Verzeichnis des Hosts hinterlegen und dieses für den Datenaustausch freigeben. Um Letzteres muss man sich selbst kümmern, der Sandbox Editor generiert nur die Befehlszeile ohne Rücksicht darauf, ob das Script aus der Sandbox erreichbar ist.
Ob das Script dann wirklich läuft, ist eher Glücksache, und Ursachen für das Scheitern sind aufgrund der beschränkten Mittel in dieser Umgebung nur schwer zu finden.
Um den ganzen Vorgang überschaubarer zu machen, empfiehlt es sich, das PowerShell-Script zu einer .exe zu kompilieren. Diese kann man zur Not nach dem Start der Sandbox ohne großen Aufwand auch manuell ausführen.
Hinzu kommt, dass die Sandbox die Ausführung von PowerShell auf manchen Rechnern mit dem irreführenden Hinweis auf ein fehlendes .NET-Framework verweigert. Am KB4495620, das in Microsoft-Foren als Grund für diesen Fehler benannt wird, liegt es aber nicht.
Fazit
Die Windows Sandbox beruht auf einem interessanten Konzept, aber ist im aktuellen Zustand unausgereift und verfügt nicht einmal über ein Tool, um die Konfiguration zu bearbeiten. Diese Lücke schließt der Sandbox Editor, auch wenn es sich dabei nur um ein rudimentäres Programm handelt.
Die Anpassung der Sandbox anhand von bloß vier Einstellungen ist nur sehr beschränkt möglich. Ein großes Manko besteht darin, dass sich der für Hyper-V übliche RDP-Zugriff auf die Konsole des Gastes überhaupt nicht konfigurieren lässt.
Theoretisch kann man das Erscheinungsbild von Windows in der VM über ein Startup-Script anpassen, wenn man sich die Mühe dafür machen will. Aber die Festlegung von Folder-Einstellungen, Schriftgrößen oder anderen Präferenzen sollte die Sandbox selbst erlauben. Vermutlich wird Microsoft hier in einer nächsten Version nachbessern.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Windows 10 Sandbox installieren, isolierte Umgebung ausführen
- Kostenloses E-Book von Microsoft: Windows 10 for IT Professionals
- Überwachter Ordnerzugriff: Ransomware-Schutz mit Gruppenrichtlinien und PowerShell konfigurieren
- Windows 10 22H2: Neue Gruppenrichtlinien und Security Baseline, kein ADK
- Security Baseline für Windows 10 21H2: Neue Einstellung für PrintNightmare, Legacy Edge entfernt
Weitere Links