Windows 샌드박스 격리된 환경에서 일부 응용 프로그램과 유틸리티를 테스트하기 위한 훌륭한 도구입니다. 그러나 여러 번 사용자는 다양한 소프트웨어와 서비스를 테스트하기 위해 사용자 지정 환경을 만들려고 합니다. 이것은 Windows Sandbox 환경에 비해 Virtual Machines의 장점 중 하나였습니다. 그러나 Microsoft는 사용자 피드백에 적극적으로 귀를 기울이고 Windows Sandbox용 사용자 지정 구성 환경을 만들기 위한 지원을 추가했습니다.
Windows 샌드박스 구성 및 사용
Windows Sandbox용 사용자 지정 구성 환경 만들기
Windows Sandbox 환경의 구성 파일은 XML 형식입니다. Windows 샌드박스 환경에서는 이를 .WSB 파일로 읽습니다. 현재 Windows Sandbox는 다음 네 가지 구성만 지원합니다.
- vGPU(가상 GPU).
- 네트워킹.
- 공유 폴더.
- 시작 스크립트.
이러한 WSB 파일의 기능 메커니즘은 다음과 같습니다.
이렇게 하면 사용자가 Windows Sandbox의 격리된 환경을 더 잘 제어할 수 있습니다.
메모장이나 Visual Studio Code를 사용하여 이러한 WSB 파일을 만들거나 열어야 합니다.
이것이 언급된 측면에 대한 구성이 수행되는 방식입니다.
1] vGPU
Windows Sandbox의 vGPU 측면에 대한 구문은 다음과 같습니다.
<vGpu>VALUE</VGpu>
그리고 이 측면에 대해 지원되는 값은 다음과 같습니다.
- 비활성화: 이 값은 샌드박스에서 vGPU 지원을 비활성화하는 데 사용할 수 있습니다.
- 기본값: 이 값은 vGPU 지원의 기본값 및 현재 값을 유지하는 데 사용할 수 있습니다.
마이크로소프트 노트,
<블록 인용>가상화된 GPU를 활성화하면 잠재적으로 샌드박스의 공격 표면이 증가할 수 있습니다.
2] 네트워킹
Windows Sandbox의 네트워킹 측면에 대한 구문은 다음과 같습니다.
<Networking>VALUE</Networking>
그리고 이 측면에 대해 지원되는 값은 다음과 같습니다.
- 비활성화: 이 값은 샌드박스에서 네트워킹 지원을 비활성화하는 데 사용할 수 있습니다.
- 기본값: 이 값은 네트워킹 지원의 기본값과 현재 값을 유지하는 데 사용할 수 있습니다.
마이크로소프트 노트,
<블록 인용>네트워킹을 활성화하면 신뢰할 수 없는 애플리케이션이 내부 네트워크에 노출될 수 있습니다.
3] 공유 폴더
Windows Sandbox의 공유 폴더 측면에 대한 구문은 다음과 같습니다.
<MappedFolder>
<HostFolder>PATH OF THE HOST FOLDER</HostFolder>
<ReadOnly>VALUE</ReadOnly>
</MappedFolder> 그리고 이 측면에 대해 지원되는 하위 측면은 다음과 같습니다.
- 호스트 폴더: 샌드박스에 공유할 호스트 시스템의 폴더를 지정합니다. 폴더가 호스트에 이미 존재해야 하며 그렇지 않으면 폴더를 찾을 수 없는 경우 컨테이너가 시작되지 않습니다.
- 읽기 전용: true인 경우 컨테이너 내에서 공유 폴더에 대한 읽기 전용 액세스 권한을 적용합니다. 지원되는 값:true/false.
마이크로소프트 노트,
<블록 인용>호스트에서 매핑된 파일 및 폴더는 샌드박스의 앱에 의해 손상되거나 호스트에 잠재적으로 영향을 미칠 수 있습니다.
4] 로그온 명령
Windows Sandbox의 LogonCommand 측면에 대한 구문은 다음과 같습니다.
<LogonCommand>
<Command>COMMAND TO BE INVOKED ON STARTUP</Command>
</LogonCommand> 그리고 이 측면에 대해 지원되는 하위 측면은 다음과 같습니다.
- 명령: 시작 시 실행될 실행 가능한 스크립트가 됩니다.
마이크로소프트 노트,
<블록 인용>매우 간단한 명령(실행 파일 또는 스크립트 시작)이 작동하지만 여러 단계를 포함하는 더 복잡한 시나리오는 스크립트 파일에 넣어야 합니다. 이 스크립트 파일은 공유 폴더를 통해 컨테이너에 매핑된 다음 LogonCommand 지시문을 통해 실행될 수 있습니다.
예시
Microsoft는 vGPU 및 네트워킹이 비활성화되고 공유 다운로드 폴더에 대한 읽기 전용 액세스 권한이 있으며 시작 시 다운로드 폴더가 실행되는 사용자 지정 Windows 샌드박스 환경의 적절한 예를 제공했습니다.
코드는 다음과 같습니다.
<Configuration>
<VGpu>Disable</VGpu>
<Networking>Disable</Networking>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\Users\Public\Downloads</HostFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>explorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads</Command>
</LogonCommand>
</Configuration> 또는 이 파일을 당사 서버에서 직접 다운로드하여 직접 사용해 볼 수 있습니다.
이 기능의 가장 좋은 점은 Windows 10 1903 2019년 5월 업데이트 이상에서 사용할 수 있다는 것입니다. 즉, Windows 10 빌드 18342 이상을 실행하는 경우 문제 없이 이 기능을 사용할 수 있습니다.
Microsoft에서 이 기능에 대해 자세히 알아볼 수 있습니다.