Contents

ソフトウェアのテスト用のすべての VM が Windows サンドボックスに置き換わりました

<本文>/images/windows-sandbox-on-computer.jpg

卑劣な暗号通貨マイニング マルウェアが私のマシンに侵入して以来、私はそれが Windows Defender を無効にし、ゲームのフレーム レートを低下させた後に初めて発見されました。しかし、ソフトウェアを試すことが Windows Insight での私の仕事の一部になって以来、私は本格的な仮想マシンではなく Windows サンドボックスを使用して、ほぼすべてのツールをメイン システムに転送する前にテストしています。これを使用すると、ホスト マシンを危険にさらすことなく、ソフトウェアをテストするための安全な環境を即座に起動できます。

Windows サンドボックスとは何か、およびそれを有効にする方法

これはすでに Windows の一部です。あなたはただそれを目覚めさせるだけでいいのです

Windows サンドボックスは、Hyper-V ハイパーバイザーを使用して、独自の仮想ネットワーク スタックを備えた一時的な分離された Windows テスト環境を作成します。一見すると、Windows の新規インストールのように見えますが、Windows Defender などのいくつかのコア機能が欠けていることにすぐに気づくでしょう。その違いはさておき、必要なソフトウェアを自由にインストールでき、サンドボックスが閉じるとその内容はマルウェアも含めて消去されます。

Windows サンドボックスは次の場合に最適です。

  • アプリケーションのテスト

  • Windows の設定をいじる

  • ソフトウェアの互換性のテスト

  • 潜在的に危険なウェブサイトへのアクセス

  • Windows チュートリアルの記録

PC で Windows 11 Pro、Enterprise、または Education エディションを実行している場合は、いくつかの設定をオンにすることで Windows サンドボックスを有効にすることができます。最初のステップは、UEFI で仮想化を有効にすることです。 Intel ボードでは VT-x、AMD ボードでは AMD-V と呼ばれる必要があります。次に、Windows を起動したら、Windows の機能の有効化または無効化 パネルで Windows サンドボックスと Hyper-V を有効にする必要があります (スタート キーを押して名前を入力すると、このパネルを見つけることができます)。

それがすべて完了したら、PC を再起動すると、Windows サンドボックスが使えるようになります。 Windows Search で検索して起動します (スタート をクリックし、「Windows サンドボックス」と入力します)。ホスト OS と同じ Windows ビルドを使用するため、Windows Update も実行することをお勧めします。

/images/parallels-for-macos-1.jpg

関連

すぐにデュアルブートに移行するのではなく、仮想マシンを採用すべき 4 つの理由

VM を試してみる

安全かつ高速です

非常に便利なスクリーニングツール

Windows サンドボックスは本質的には、物理ハードウェア上でネイティブに実行されるタイプ 1 ハイパーバイザーである Hyper-V です。これにより、仮想化環境で最高のパフォーマンスと分離が実現します。タイプ 1 ハイパーバイザーは、ホスト オペレーティング システムに存在する脆弱性も排除します (ただし、この場合、それらは同じです)。

さらに、Windows サンドボックス自体は軽量です。すべてのインスタンスは数秒で起動できます。毎回 Windows のクリーン コピーが起動されるため、実行のたびにテスト環境をセットアップする必要があります。たとえば、MP3 ファイルを再生したい場合は、VLC と Malwarebytes などのウイルス対策ソフトウェアをダウンロードする必要があります。もう 1 つの制限は、一度に 1 つのインスタンスしか実行できないことです。それでも、このような便利なツールに支払う代償はわずかです。

/images/microsoft-windows-sandbox-direct-map.png 従来の VM と Windows サンドボックスがメモリ共有を処理するさまざまな方法を示す簡単な図。出典: マイクロソフト

Windows サンドボックスは、高速かつ効率的にするためにいくつかのトリックを使用します。ダイナミック ベース イメージ機能のおかげで、Windows を毎回最初からインストールするのではなく、ホスト オペレーティング システムの不変ファイルの多くを共有してベース イメージを構築するため、ほぼ即座に展開できます。また、OS バイナリのホストと同じメモリ ページを使用し、セキュリティを犠牲にすることなくメモリ フットプリントを削減します。最後に、ワークロードに応じてリソースを動的に割り当て、ホストの GPU を介してハードウェア アクセラレーションによるレンダリングを使用します。

どうすれば倒すことができるか

無敵ではない

/images/xda-windows-sandbox-edge-download-malware.png

Windows サンドボックスにより、マルウェアがその封じ込めから逃れるのが非常に困難になるからといって、それが密閉性を意味するわけではありません。 2 つの最大の障害点は、クリップボード (コピーと貼り付け) とネットワークです。マルウェアがサンドボックスからホスト マシンにコピーされると、隔離の安全性が無効になります。また、Windows サンドボックスはトラフィックをホストから分離する独自の仮想ネットワーク スイッチを使用しますが、依然として完全なネットワーク ノードであるため、マルウェアがネットワーク内の脆弱性をスキャンして攻撃するためのエントリ ポイントとして使用する可能性があります。

もう 1 つ注意すべきことは、マルウェアがどのように動作するかです。一部のマルウェアは、仮想化環境で実行されていることを検出し、悪意のある活動を一時停止します。さらに、しばらくしてからトリガーされるように設定された時限ペイロードまたは遅延ペイロードを隠している場合、最初の短いテスト期間では必ずしも危険性が明らかになるわけではありません。

Windows サンドボックスの微調整

さらに安全性を高める

/images/xda-windows-sandbox-tweaking.png Windows サンドボックスの構成ファイルの例。

クリップボードとネットワークのリスクを制限するために、Windows サンドボックスでは、custom.wsb XML ファイルを作成して動作を調整できます。必要なのは、テキスト エディター (メモ帳または Visual Studio Code) を使用して、カスタム値のセットを .wsb XML ファイルとして保存することだけです。これにより、クリップボードのリダイレクト、ネットワーク、さらにはプリンターのリダイレクトを無効にすることができます。 GPU 仮想化とオーディオ入力を無効にして、環境をさらに分離することもできます。

これはsample.wsb設定ファイルです。すべてのカスタムパラメータは次のとおりです。カスタム構成を起動するには、XML ファイルをダブルクリックするだけです。

ソフトウェアや Web サイトのテストに使用されるサンドボックス セッションでは、決してアカウントにログインしないでください。

アプリケーションをテストするときに安心感が得られます

Windows サンドボックスがほとんどの脅威から身を守ってくれると信じていますが、それでも、見つけた疑わしいソフトウェアをすべてダウンロードするつもりはありません。確実に分離を保証する唯一の方法は、ネットワーク機能のない物理的に分離されたデバイス上でアプリケーションを実行することです。それでも、これは、私が書く必要があるツールをテストするのに役立つツールでした。 Windows サンドボックスはセキュリティを超えて、互換性をテストしたり、Windows 内のすべての奇妙な設定をいじったりするための簡単な方法でもあります。

*️⃣ 出典リンク:

仮想化、すぐにデュアルブートに移行するのではなく、仮想マシンを採用すべき 4 つの理由 、ハイパーバイザー、Visual Studio Code、 .wsb 構成ファイルカスタム パラメーター