Einstellungen für Windows Sandbox (Netzwerk, Scripts, Transferordner) konfigurieren mit kostenlosem GUI-Tool

    , 23.09.2019
    Tags: , ,

    Windows 10 Sandbox in StartmenüDie mit Windows 10 1903 einge­führte Sand­box ist eine leicht­gewichtige virtuelle Maschine, die eine Aus­führung von Anwen­dungen in einer iso­lierten Umgebung er­laubt. Sie lässt sich nur einge­schränkt über eine XML-Datei konfi­gurieren. Um diese Auf­gabe zu verein­fachen, gibt es den kosten­losen Sandbox Editor.

    Die Windows Sandbox beruht auf Hyper-V, erfordert aber nicht, dass der Benutzer den Hypervisor selbst aktiviert. Ebenso­wenig muss er ein Gast­betriebs­system in der VM installieren, vielmehr wird dieses aus den Binaries des Host-OS automatisch generiert (siehe dazu diesen Grund­lagen­beitrag zur Windows Sandbox).

    Konfiguration über 4 Parameter

    Neben der unkomp­lizierten Handhabung hat die Sandbox auch den Vorteil, dass dafür - anders als bei Windows in einer regulären VM - keine zusätzliche Lizenz erforderlich ist. Als Nachteil muss man dafür ein Kauf nehmen, dass sich diese abgeschottete Umgebung kaum anpassen lässt.

    Nachdem die erste Preview gar keine Konfiguration vorsah, unterstützt Windows 10 1903 nun ein paar Einstellungen. Dazu zählen das Aktivieren der vGPU, des Netzwerks, von Ordnern für den Daten­austausch mit dem Host sowie das Ausführen von Programmen und Scripts beim Start.

    Mehrere Konfigurationen pro Sandbox

    Zuständig sind dafür XML-Dateien mit der Endung .wsb, über die man mittels Doppelklick die Sandbox sofort starten kann. Benutzer können somit mehrere Konfi­gurationen für verschiedene Anfor­derungen in jeweils eigenen Dateien speichern. Jedoch kann man zu einem Zeitpunkt immer nur eine Instanz der Sandbox ausführen.

    Die Sandbox lässt sich über Konfigurationsdateien im XML-Format anpassen.

    Windows 10 bringt keine Tools für das Editieren der Sandbox-Konfiguration mit, so dass Benutzer die XML-Struktur selbst anlegen und bearbeiten müssen. Diese Lücke schließt der PowerShell-basierte Sandbox Editor, den man von Microsofts TechNet Gallery herunterladen kann.

    Isolierung im Netzwerk

    Das relativ simple Tool bildet die vier Parameter ab, mit denen sich die Sandbox anpassen lässt. Seine Nutzung erschließt sich in kurzer Zeit von selbst. Einen gewissen Erklärungs­bedarf gibt es jedoch für die einzelnen Einstellungen.

    Konfiguration von Netzwerk und vGPU für die Windows Sandbox

    So bewirkt Enable bei Networking Status nicht, dass die Sandbox vollen Zugriff auf das Netzwerk hat bzw. über dieses erreichbar ist. Damit erhält man zwar eine Verbindung in das Internet, aber die Rechner im lokalen Netzwerk sind weiterhin nicht sichtbar. Disable deaktiviert das Netzwerk vollständig.

    Datenaustausch über Ordner

    Schaltet man das Netzwerk ab, dann bleibt als einziger Kontakt zur Außenwelt der Daten­austausch mit dem Host. Für diesen Zweck kann man Verzeichnisse des Host-OS definieren, die nachher auf dem Desktop der Sandbox eingeblendet werden. Wahlweise lässt man hier nur den Lese- oder zusätzlich den Schreibzugriff zu.

    Die freigegebenen Host-Ordner werden auf dem Desktop der Sandbox eingeblendet.

    Einige Anleitungen warnen davor, dass der Schreibzugriff für Transfer­verzeichnisse das Ausbreiten von Malware aus der Sandbox auf den Host begünstigt. Das kann man zwar nicht in Abrede stellen, aber die Beschränkung auf Readonly hilft nur bedingt, solange der unge­hinderte Daten­austausch mittels Copy & Paste über RDP möglich ist. Und der lässt sich über die Konfiguration der Sandbox nicht deaktivieren.

    Ordner für den Datenaustausch zwischen Gast und Host lassen sich im Lese- oder Schreibzugriff freigeben.

    Relativ klar sind die Auswirkungen, wenn man die vGPU abschaltet. Damit entfällt die Hardware-Unterstützung für Direct3D-Grafikoperationen und die Sandbox nutzt stattdessen die Advanced Rasterization Platform (WARP).

    Startup-Scripts ausführen

    Die letzte der vier Einstellungen erlaubt es, Programme oder Scripts festzulegen, die beim Start der Sandbox laufen sollen. Nachdem die Sandbox beim Beenden alle Änderungen verwirft und jedes Mal mit einem frischen Windows startet, bietet diese Option die Möglichkeit, die isolierte Umgebung etwas anzupassen.

    In vielen Fällen wird das darauf hinaus­laufen, dass man Schlüssel in der Registry ändert, zum Beispiel um die wichtigsten Einstellungen für den Explorer zu ändern. Dieser blendet standard­mäßig etwa die Erweiterung der Dateinamen aus, was man in der Regel nicht haben möchte. Zu diesem Zweck könnte man ein Script wie jenes von der TechNet Gallery ausführen.

    Zu bedenken wäre hier, dass die Execution-Policy in der Sandbox das Ausführen von Scripts nicht zulässt. Der Sandbox Editor löst diese Aufgabe, indem er einen Aufruf von PowerShell.exe mit dem passenden Wert für den Parameter ExecutionPolicy zusammenstellt.

    Der Sandbox Editor erstellt die Befehlszeile für PowerShell-Scripts automatisch.

    Das Script selbst muss man zwangsläufig auf einem Verzeichnis des Hosts hinterlegen und dieses für den Daten­austausch freigeben. Um Letzteres muss man sich selbst kümmern, der Sandbox Editor generiert nur die Befehlszeile ohne Rücksicht darauf, ob das Script aus der Sandbox erreichbar ist.

    Programme und Scripts lassen sich aus einem Mapped Folder starten.

    Ob das Script dann wirklich läuft, ist eher Glücksache, und Ursachen für das Scheitern sind aufgrund der beschränkten Mittel in dieser Umgebung nur schwer zu finden.

    Um den ganzen Vorgang über­schaubarer zu machen, empfiehlt es sich, das PowerShell-Script zu einer .exe zu kompilieren. Diese kann man zur Not nach dem Start der Sandbox ohne großen Aufwand auch manuell ausführen.

    Hinzu kommt, dass die Sandbox die Ausführung von PowerShell auf manchen Rechnern mit dem irreführenden Hinweis auf ein fehlendes .NET-Framework verweigert. Am KB4495620, das in Microsoft-Foren als Grund für diesen Fehler benannt wird, liegt es aber nicht.

    Die Ausführung von PowerShell scheitert häufig mit einer irreführenden Fehlermeldung.

    Fazit

    Die Windows Sandbox beruht auf einem interessanten Konzept, aber ist im aktuellen Zustand unausgereift und verfügt nicht einmal über ein Tool, um die Konfiguration zu bearbeiten. Diese Lücke schließt der Sandbox Editor, auch wenn es sich dabei nur um ein rudimentäres Programm handelt.

    Die Anpassung der Sandbox anhand von bloß vier Einstellungen ist nur sehr beschränkt möglich. Ein großes Manko besteht darin, dass sich der für Hyper-V übliche RDP-Zugriff auf die Konsole des Gastes überhaupt nicht konfigurieren lässt.

    Theoretisch kann man das Erscheinungsbild von Windows in der VM über ein Startup-Script anpassen, wenn man sich die Mühe dafür machen will. Aber die Festlegung von Folder-Einstellungen, Schrift­größen oder anderen Präferenzen sollte die Sandbox selbst erlauben. Vermutlich wird Microsoft hier in einer nächsten Version nachbessern.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links