Windows 10 で Windows サンドボックスを構成する方法

Windows 10 の新しいサンドボックス機能を使用すると、インターネットからダウンロードしたプログラムやファイルを安全な環境で実行して、安全にテストできます。この機能は使いやすいですが、その設定はテキスト構成ファイルに隠されています。この記事では、Windows 10 で Windows サンドボックスを構成する方法を説明します。

この機能は、Windows 10 の 2019 年 5 月の更新プログラムの一部です。更新プログラムをインストールすると、Windows 10 の Professional、Enterprise、または Education エディションで使用できます。ただし、システムで利用可能な場合は、簡単に有効にすることができます。サンドボックス機能を選択し、 [スタート] メニューから起動します。

サンドボックスが起動し、現在の Windows オペレーティングシステムがコピーされ、個人フォルダーへのアクセスが削除され、インターネットにアクセスできるクリーンな Windows デスクトップが提供されます。 Microsoft がこの構成ファイルを追加する前は、サンドボックスをカスタマイズできませんでした。インターネットにアクセスしたくない場合は、起動後すぐに無効にする必要があります。ホストシステム上のファイルにアクセスする必要がある場合は、ファイルをコピーしてサンドボックスに貼り付ける必要があります。また、特定のサードパーティプログラムをインストールする場合は、サンドボックスの起動後にそれらのプログラムもインストールする必要があります。

Windows サンドボックスは、システムをより安全にするために閉じるときにインスタンス全体を削除するため、起動するたびにカスタマイズプロセスを実行する必要があります。問題が発生した場合は、サンドボックスを閉じるとすべてが削除されます。

Windows サンドボックスを構成する方法

Windows 10 で Windows サンドボックスを構成する方法

このガイドは、通常の使用のためにサンドボックスがすでにセットアップされていることを前提としています。そうでない場合は、まず [Windows の機能] ダイアログボックスで有効にする必要があります。

開始するには、メモ帳アプリまたは別のテキスト編集アプリを使用する必要があります。設定用の XML ファイルを作成する必要があります。ファイルを作成したら、拡張子 .wsb を付けて保存し、ファイルをダブルクリックして特定の構成でサンドボックスを起動する必要があります。

Microsoft の説明によると、サンドボックスを構成する際には、vGPU (仮想 GPU) の有効化または無効化、ネットワークの有効化または無効化、共有ホストフォルダーの定義、フォルダーの読み取り/書き込み権限の設定など、いくつかのオプションを選択する必要があります。打ち上げで。

この構成ファイルを使用すると、仮想 GPU の無効化 (デフォルトで有効になっています)、ネットワークの無効化 (デフォルトで有効になっています)、共有ホストフォルダーの指定 (デフォルトではサンドボックスアプリケーションはフォルダーにアクセスできません)、読み取り/設定を行うことができます。そのフォルダーに対する書き込み権限を付与し、起動時にスクリプトを実行します。

まず、メモ帳またはお気に入りのテキスト編集アプリケーションを開き、次の行を新しいテキストファイルに追加します。

追加するすべてのオプションは、これら 2 つのパラメータの間にある必要があります。 1 つ以上のオプションを追加できます。何も追加しない場合は、デフォルトの構成が使用されます。

Windows 10 で Windows サンドボックスを構成する方法

仮想 GPU またはネットワーク GPU を無効にする方法

Microsoft によると、ネットワークまたは仮想 GPU を有効にすると、サンドボックス環境からマルウェアが逃げ出す可能性が高まるため、マルウェアが含まれている疑いのあるものをテストする必要がある場合は、それを無効にする必要があります。

仮想 GPU (デフォルトで有効) を無効にするには、次のテキスト行を構成ファイルに追加します。

無効にする

Windows 10 で Windows サンドボックスを構成する方法

ネットワークアクセスを無効にするには (デフォルトで有効)、次のテキスト行を追加します。

無効にする

Windows 10 で Windows サンドボックスを構成する方法

フォルダーをマップする方法

フォルダーをマップするには、共有するフォルダーを指定してから、どのフォルダーが読み取り専用であるかを指定する必要があります。

次のようなテキスト行を使用してディレクトリマッピングを実行します。

C:\Users\Public\Downloads true

HostFolder には、共有したい特定のフォルダーをリストします。上の例では、Windows システムのパブリックダウンロードフォルダーが共有されています。 ReadOnly は、ディレクトリに書き込むサンドボックス機能を読み取り専用の場合は true、書き込みの場合は false に設定します。

ただし、Windows サンドボックスとストレージの間でフォルダーをリンクするとシステムが危険にさらされる可能性があり、書き込みアクセス許可を付与するとこの危険がさらに高まることに注意してください。悪意があると疑われるものをテストする場合は、このオプションを使用しないでください。

起動時にスクリプトを実行する方法

最後に、カスタムスクリプトまたは基本コマンドを実行して、起動時にマップされたフォルダーをサンドボックスに強制的に開くことができます。フォルダーのパスを置き換えて、フォルダーに正しいアクセス許可を与えます。

C:\Users\Public\Downloads true Explorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads

WDAGUtilityAccount は Windows サンドボックスのデフォルトユーザーであるため、フォルダーまたはファイルを開くときにコマンドの一部としてこれを表示する必要があります。

ただし、Windows 10 の 2019 年 5 月更新プログラムの最近リリースされたビルドでは、LogonCommand オプションはアクティブではなく、アクションは実行されません。 Microsoftがこのエラーをすぐに修正してくれることを願っています

Windows 10 で Windows サンドボックスを構成する方法

設定でサンドボックスを起動する方法

構成ファイルを編集したら、.wsb として保存します。たとえば、テキスト編集アプリケーションがファイルを Sandbox.txt として保存している場合は、それを Sandbox.wsb に変更します。設定で Windows サンドボックスを起動するには、.wsb ファイルをダブルクリックします。このファイルをデスクトップに残しておくことも、[スタート] メニューにショートカットを作成することもできます。