رمل على ويندوز

Sandboxing عبارة عن أداة جديدة خفيفة الوزن على Windows تتيح لك تشغيل التطبيقات في بيئة آمنة ومعزولة.

هل سبق لك أن كنت في موقف تحتاج فيه إلى تشغيل نوع من البرامج ، لكنك لست متأكدًا تمامًا من مصدره الأصلي؟ أو مثال آخر - الحاجة إلى التحقق من شيء ما على إصدار "نظيف" من Windows. في جميع هذه الحالات ، قبل وجود طريقة واحدة فقط - لتثبيت نظام التشغيل على جهاز فعلي أو افتراضي منفصل وإجراء التجربة اللازمة. ولكن هذا لم يعد هو الحال.

قامت Microsoft بتطوير آلية جديدة تسمى Sandbox (eng. Windows Sandbox). هذه بيئة مؤقتة معزولة يمكنك من خلالها تشغيل برامج مشبوهة دون المخاطرة بإلحاق الضرر بجهاز الكمبيوتر. يبقى أي برنامج مثبت في Sandbox في Sandbox فقط ولا يمكنه التفاعل مع نظام التشغيل الرئيسي. بمجرد إغلاق Sandbox ، يتم تدمير جميع محتوياته بشكل لا رجعة فيه.

فيما يلي الملامح الرئيسية لـ Sandbox:

• هذا جزء من نظام التشغيل ويندوز. إذا كان لديك Windows 10 Pro أو Enterprise ، فيمكنك البدء في استخدامه بالفعل.
• من لائحة نظيفة. في كل مرة تبدأ فيها تشغيل Sandbox ، تحصل على نفس البيئة النظيفة التي لا تتغير. بالضبط ما كان نظام التشغيل الخاص بك الصحيح بعد تثبيته.
• لا أثر. عندما تغلق Sandbox ، كل التطبيقات المثبتة فيه ، يتم إتلاف جميع الملفات التي تم إنشاؤها هناك. أغلقوا Sandbox - لم تكن هناك آثار لوجودها.
• السلامة يستخدم المحاكاة الافتراضية للأجهزة ، والذي يستخدم برنامج Hypervisor لتشغيل نواة OS منفصلة ويعزلها عن نظام التشغيل الرئيسي
• الكفاءة ويستخدم جدولة مهمة متكاملة ، وإدارة الذاكرة الذكية ، GPU الظاهري.

متطلبات النظام

• نظام التشغيل Windows 10 Pro أو Enterprise ، أنشئ 18305 أو أعلى
• AMD64 العمارة
• BIOS تمكين الافتراضية
• الحد الأدنى 4 جيجابايت (8 جيجابايت مستحسن) ذاكرة الوصول العشوائي
• الحد الأدنى 1 غيغابايت من مساحة القرص الحرة (SSD مستحسن)
• معالج ثنائي النواة (4 يوصى به مع دعم خيوط المعالجة المتعددة)

بداية سريعة

1. قم بتثبيت Windows 10 Pro أو Enterprise build 18305 أو أحدث

2. قم بتشغيل المحاكاة الافتراضية:

• إذا كنت تعمل على جهاز مادي - تفعل ذلك في BIOS
• إذا كنت تعمل في جهاز افتراضي ، فاستخدم الأمر PowerShell التالي:
  
  

  Set-VMProcessor -VMName <VMName> -ExposeVirtualizationExtensions $true 

3. افتح (من خلال لوحة التحكم) قائمة بمكونات Windows المثبتة ، وقم بتمكين Sandbox بداخلها. انقر فوق موافق. إذا رأيت طلبًا لإعادة تشغيل جهاز الكمبيوتر - فقم بتأكيده.



4. قم بتشغيل Sandbox من قائمة Start. السماح برفع الحقوق لعملية لها.

5. انسخ (عبر الحافظة) إلى Sandbox الثنائي الذي تريد تشغيله.

6. قم بتشغيل الثنائي في Sandbox. إذا كان هذا مثبّتًا ، فانتقل إلى إجراء التثبيت وقم بتشغيل التطبيق المثبت.

7. استخدام التطبيق على النحو المنشود.

8. عند الانتهاء - فقط أغلق صندوق الحماية. سيتم حذف جميع محتوياته.

9. اختياري - يمكنك التأكد من عدم تغير أي شيء في نظام التشغيل الرئيسي.

ما تحت غطاء صندوق الحماية

يستند Windows Sandbox إلى تقنية تسمى Windows Containers. تم تطوير الحاويات (وقد استخدمت منذ فترة طويلة) للعمل في السحابة. لقد اتخذت Microsoft بالفعل تقنية ناضجة إلى حد كبير واختبرت ووضعتها في صيغتها النهائية لمستخدمي Windows Desktop.

من بين التعديلات الرئيسية يمكن ملاحظة:

ولدت بشكل حيوي الصورة

رمل هو ، على الرغم من خفيفة الوزن ، ولكن لا يزال الجهاز الظاهري. ومثل أي جهاز افتراضي ، فإنه يحتاج إلى صورة يمكن من خلالها التمهيد. أهم ميزة في Sandbox هي أنك لست بحاجة إلى تنزيل أو إنشاء هذه الصورة من مكان ما. سيتم إنشاؤه على الفور ، من ملفات نظام التشغيل ويندوز الحالي.

نريد دائمًا الحصول على نفس البيئة "النظيفة" لـ Sandbox. ولكن هناك مشكلة: قد تتغير بعض ملفات النظام. كان الحل هو إنشاء "صورة تم إنشاؤها ديناميكيًا": بالنسبة للملفات المعدلة ، سيتم تضمين إصداراتها الأصلية فيها ، ولكن لن يتم تضمين الملفات الثابتة في هذه الصورة فعليًا. بدلاً من ذلك ، سوف يستخدمون روابط لملفات حقيقية على القرص. كما أظهرت الممارسة ، فإن معظم الملفات الموجودة في الصورة ستكون مثل هذه الروابط. سيتم تضمين جزء صغير منها فقط (حوالي 100 ميغابايت) في الصورة تمامًا - سيكون حجمها. علاوة على ذلك ، عندما لا تستخدم Sandbox ، يتم تخزين هذه الملفات في شكل مضغوط وتشغل حوالي 25 ميغابايت. عند بدء تشغيل Sandbox ، يتم نشرها في "الصورة الديناميكية" البالغة حوالي 100 ميغابايت.

إدارة الذاكرة الذكية

إدارة الذاكرة Sandbox هو تحسن كبير آخر. يتيح لك برنامج Hypervisor تشغيل العديد من الأجهزة الافتراضية على نفس الجهاز الفعلي ، وهذا بشكل عام يعمل بشكل جيد على الخوادم. ولكن على عكس الخوادم ، فإن موارد أجهزة المستخدم العادية محدودة للغاية. لتحقيق مستوى مقبول من الأداء ، قامت Microsoft بتطوير وضع ذاكرة خاص يمكن فيه لنظام التشغيل الرئيسي و Sandbox استخدام نفس صفحات الذاكرة في بعض الحالات.

في الواقع: نظرًا لأن نظام التشغيل الرئيسي و Sandbox يقومان بتشغيل نفس صورة نظام التشغيل ، فإن معظم ملفات النظام الموجودة بها ستكون هي نفسها ، مما يعني أنه لا معنى لتحميل نفس المكتبات في الذاكرة مرتين. يمكنك القيام بذلك مرة واحدة في نظام التشغيل الرئيسي ، وعندما تكون هناك حاجة إلى نفس الملف في ذاكرة Sandbox ، يمكنك إعطاؤه رابطًا إلى نفس الصفحة. بالطبع ، هناك حاجة إلى بعض التدابير الإضافية لضمان أمان هذا النهج ، لكن Microsoft اعتنت بهذا.

مخطط متكامل

في حالة استخدام الأجهزة الافتراضية التقليدية ، يتحكم برنامج hypervisor في تشغيل المعالجات الافتراضية التي تعمل فيها. تم تطوير تقنية جديدة لـ Sandbox ، تسمى "المجدول المتكامل" ، والذي يسمح لنظام التشغيل الرئيسي بتحديد متى وعدد الموارد التي سيتم تخصيصها لـ Sandbox. يعمل مثل هذا: تعمل معالجات Sandbox الافتراضية مثل الخيوط داخل عملية Sandbox. نتيجة لذلك ، لديهم نفس "الحقوق" مثل المواضيع الأخرى في نظام التشغيل الرئيسي. على سبيل المثال ، إذا كانت بعض مؤشرات الترابط ذات الأولوية العالية تعمل من أجلك ، فلن يأخذها Sandbox كثيرًا من الوقت لإكمال مهامها ، التي لها أولوية عادية. سيتيح لك ذلك استخدام Sandbox دون إبطاء عمل التطبيقات الهامة والحفاظ على استجابة كافية لواجهة المستخدم الخاصة بنظام التشغيل الرئيسي ، على غرار طريقة عمل Linux KVM .

كانت المهمة الرئيسية هي جعل Sandbox ، من ناحية ، مجرد تطبيق عادي ، ومن ناحية أخرى ، لضمان عزلته على مستوى الأجهزة الافتراضية الكلاسيكية.

باستخدام لقطات

كما ذكر أعلاه ، يستخدم Sandbox برنامج مراقبة الأجهزة. نحن ندير بشكل أساسي نسخة واحدة من ويندوز داخل آخر. وهذا يعني أن الأمر سيستغرق بعض الوقت لتحميله. يمكننا أن ننفقه في كل مرة تبدأ فيها تشغيل Sandbox ، أو نفعله مرة واحدة فقط ، بعد الحفظ بعد تحميل جميع حالات نظام التشغيل الظاهري (الملفات التي تم تغييرها ، الذاكرة ، سجلات المعالج) على القرص. بعد ذلك ، سنكون قادرين على إطلاق Sandbox من هذه الصورة ، مع توفير وقت البدء في نفس الوقت.

الرسومات الافتراضية

تعد المحاكاة الافتراضية للرسومات القائمة على الأجهزة هي المفتاح لواجهة مستخدم سلسة وسريعة ، خاصةً بالنسبة إلى "الثقيل" فيما يتعلق بتطبيقات الرسومات. ومع ذلك ، فإن الأجهزة الافتراضية الكلاسيكية محدودة في البداية في قدرتها على الاستخدام المباشر لجميع موارد وحدة معالجة الرسومات. وهنا تلعب دورًا مهمًا من خلال أدوات المحاكاة الافتراضية للرسومات التي تسمح بالتغلب على هذه المشكلة وتستخدم بشكل ما تسريع الأجهزة في بيئة افتراضية. مثال على مثل هذه التقنية ، على سبيل المثال ، Microsoft RemoteFX .

بالإضافة إلى ذلك ، عملت Microsoft بنشاط مع الشركات المصنعة لأنظمة الرسومات وبرامج التشغيل من أجل دمج إمكانات الرسومات الافتراضية مباشرة في DirectX و WDDM (نموذج برنامج التشغيل في Windows).

نتيجة لذلك ، تعمل الرسومات في Sandbox على النحو التالي:

• يستخدم أحد التطبيقات في Sandbox الوظائف الرسومية بالطريقة المعتادة ، دون معرفة من وكيف سيؤديها
• النظام الفرعي للرسومات Sandbox ، بعد تلقي أوامر تقديم الرسومات ، ينقلها إلى نظام التشغيل الرئيسي
• إن نظام التشغيل الرئيسي ، بعد تلقيه أوامر تقديم الرسومات ، ينظر إليهم كما لو أنهم جاءوا من تطبيق تم تشغيله محليًا ووفقًا لذلك ، يقومون بتخصيص وإدارة الموارد اللازمة.

يمكن تمثيل هذه العملية على النحو التالي:



يتيح ذلك للبيئة الافتراضية الوصول الكامل إلى الرسومات التي تسرعها الأجهزة ، مما يوفر زيادة في الأداء وبعض الموارد (على سبيل المثال ، طاقة البطارية لأجهزة الكمبيوتر المحمولة) ، نظرًا لحقيقة أن الحسابات الثقيلة على وحدة المعالجة المركزية لم تعد تستخدم لتقديم الرسومات.

استخدام البطارية

يتمتع صندوق الحماية بوصول إلى معلومات حول شحن البطارية ويمكنه تحسين عمله لحفظه.

ملاحظات وتقارير الشوائب

قد يكون هناك أخطاء في أي تكنولوجيا جديدة. تطلب Microsoft إرسال رسائل حولها واقتراحات الميزات الجديدة من خلال Feedback Hub .