Windows 10의 새로운 샌드박스 기능을 사용하면 인터넷에서 다운로드한 프로그램과 파일을 보안 컨테이너에서 실행하여 안전하게 테스트할 수 있습니다. 사용하기 쉽지만 설정은 텍스트 기반 구성 파일에 묻혀 있습니다.
목차
Windows 샌드박스가 있으면 사용하기 쉽습니다.
이 기능은 Windows 10의 2019년 5월 업데이트의 일부입니다. 업데이트를 설치한 후에는 Windows 10의 Professional, Enterprise 또는 Education 버전도 사용해야 합니다. Windows 10 Home에서는 사용할 수 없습니다. 그러나 시스템에서 사용할 수 있는 경우 Sandbox 기능을 쉽게 활성화한 다음 시작 메뉴에서 실행할 수 있습니다.
Sandbox가 실행되고 현재 Windows 운영 체제의 복사본을 만들고 개인 폴더에 대한 액세스를 제거하고 인터넷에 액세스할 수 있는 깨끗한 Windows 바탕 화면을 제공합니다. Microsoft에서 이 구성 파일을 추가하기 전에는 Sandbox를 전혀 사용자 지정할 수 없었습니다. 인터넷 액세스를 원하지 않는 경우 일반적으로 실행 직후에 비활성화해야 했습니다. 호스트 시스템의 파일에 액세스해야 하는 경우 해당 파일을 복사하여 Sandbox에 붙여넣어야 했습니다. 그리고 특정 타사 프로그램을 설치하려면 Sandbox를 실행한 후 설치해야 했습니다.
Windows Sandbox는 인스턴스를 닫을 때 인스턴스를 완전히 삭제하기 때문에 시작할 때마다 해당 사용자 지정 프로세스를 거쳐야 했습니다. 한편으로는 더 안전한 시스템을 만듭니다. 문제가 발생하면 샌드박스를 닫으면 모든 것이 삭제됩니다. 반면에 정기적으로 변경해야 하는 경우 매번 실행할 때마다 변경해야 하는 것이 금방 답답해집니다.
이 문제를 완화하기 위해 Microsoft는 Windows Sandbox용 구성 기능을 도입했습니다. XML 파일을 사용하여 설정된 매개변수로 Windows 샌드박스를 시작할 수 있습니다. 샌드박스의 제한을 조이거나 느슨하게 할 수 있습니다. 예를 들어 인터넷 연결을 비활성화하거나 Windows 10의 호스트 복사본으로 공유 폴더를 구성하거나 스크립트를 실행하여 응용 프로그램을 설치할 수 있습니다. 옵션은 Sandbox 기능의 첫 번째 릴리스에서 약간 제한되지만 Microsoft는 향후 Windows 10 업데이트에서 더 많은 기능을 추가할 것입니다.
Windows 샌드박스를 구성하는 방법
Windows 10의 샌드박스 복사본은 호스트 운영 체제의 공유 폴더에 액세스할 수 있습니다.
이 가이드에서는 일반 사용을 위해 Sandbox를 이미 설정했다고 가정합니다. 아직 수행하지 않은 경우 먼저 Windows 기능 대화 상자에서 활성화해야 합니다.
시작하려면 메모장이나 좋아하는 텍스트 편집기가 필요합니다. 메모장++—그리고 빈 새 파일. 구성을 위한 XML 파일을 생성합니다. 친숙하면서도 XML 코딩 언어 도움이 됩니다. 필요하지 않습니다. 파일이 준비되면 .wsb 확장자로 파일을 저장합니다(Windows Sand Box 생각). 파일을 두 번 클릭하면 지정된 구성으로 Sandbox가 시작됩니다.
처럼 마이크로소프트에서 설명, 샌드박스를 구성할 때 선택할 수 있는 몇 가지 옵션이 있습니다. vGPU(가상 GPU)를 활성화 또는 비활성화하고, 네트워크를 켜거나 끄고, 공유 호스트 폴더를 지정하고, 해당 폴더에 대한 읽기/쓰기 권한을 설정하거나, 시작 시 스크립트를 실행할 수 있습니다.
이 구성 파일을 사용하여 가상화된 GPU를 비활성화(기본적으로 활성화됨), 네트워크 끄기(기본적으로 켜져 있음), 공유 호스트 폴더 지정(샌드박스 앱은 기본적으로 액세스 권한 없음), 읽기 설정 /해당 폴더에 대한 쓰기 권한 및/또는 시작 시 스크립트 실행
먼저 메모장이나 즐겨 사용하는 텍스트 편집기를 열고 새 텍스트 파일로 시작합니다. 다음 텍스트를 추가합니다.
추가할 모든 옵션은 이 두 매개변수 사이에 있어야 합니다. 옵션을 하나만 추가하거나 모두 추가할 수 있습니다. 모든 옵션을 포함할 필요는 없습니다. 옵션을 지정하지 않으면 기본값이 사용됩니다.
가상 GPU 또는 네트워킹을 비활성화하는 방법
Microsoft가 지적했듯이 가상 GPU 또는 네트워킹을 활성화하면 악성 소프트웨어가 샌드박스를 탈출하는 데 사용할 수 있는 방법이 늘어납니다. 따라서 특히 걱정되는 것을 테스트하는 경우 비활성화하는 것이 현명할 수 있습니다.
기본적으로 활성화되어 있는 가상 GPU를 비활성화하려면 구성 파일에 다음 텍스트를 추가합니다.
Disable
기본적으로 활성화되어 있는 네트워크 액세스를 비활성화하려면 다음 텍스트를 추가합니다.
Disable
폴더를 매핑하는 방법
폴더를 매핑하려면 공유하려는 폴더를 정확히 설명한 다음 해당 폴더를 읽기 전용인지 여부를 지정해야 합니다.
폴더 매핑은 다음과 같습니다.
C:UsersPublicDownloads true
HostFolder는 공유하려는 특정 폴더를 나열하는 곳입니다. 위의 예에서는 Windows 시스템에 있는 공용 다운로드 폴더를 공유하고 있습니다. ReadOnly는 Sandbox가 폴더에 쓸 수 있는지 여부를 설정합니다. 폴더를 읽기 전용으로 만들려면 true로 설정하고 쓰기 가능하게 만들려면 false로 설정합니다.
호스트와 Windows 샌드박스 사이에 폴더를 연결함으로써 본질적으로 시스템에 위험을 초래한다는 점에 유의하십시오. Sandbox에 쓰기 액세스 권한을 부여하면 이러한 위험이 증가합니다. 악의적일 수 있다고 생각되는 항목을 테스트하는 경우 이 옵션을 사용하면 안 됩니다.
시작 시 스크립트를 실행하는 방법
마지막으로 사용자 정의 생성 스크립트 또는 기본 명령을 실행할 수 있습니다. 예를 들어, Sandbox가 실행될 때 매핑된 폴더를 열도록 강제할 수 있습니다. 해당 파일을 생성하면 다음과 같습니다.
C:UsersPublicDownloads true explorer.exe C:usersWDAGUtilityAccountDesktopDownloads
WDAGUtilityAccount는 Windows Sandbox의 기본 사용자이므로 명령의 일부로 폴더나 파일을 열 때 항상 이를 참조하게 됩니다.
유감스럽게도 Windows 10의 2019년 5월 업데이트의 가까운 릴리스 빌드에서 LogonCommand 옵션이 의도한 대로 작동하지 않는 것으로 보입니다. Microsoft 설명서의 예제를 사용했을 때에도 아무 작업도 수행하지 않았습니다. Microsoft는 곧 이 버그를 수정할 것입니다.
설정으로 샌드박스를 시작하는 방법
완료되면 파일을 저장하고 파일 확장자를 .wsb로 지정합니다. 예를 들어, 텍스트 편집기에서 Sandbox.txt로 저장하는 경우 Sandbox.wsb로 저장합니다. 설정으로 Windows 샌드박스를 시작하려면 .wsb 파일을 두 번 클릭합니다. 바탕 화면에 배치하거나 시작 메뉴에서 바로 가기를 만들 수 있습니다.
편의를 위해 이 DisabledNetwork 파일을 다운로드하여 몇 단계를 저장할 수 있습니다. 파일의 확장자는 txt이고 .wsb 파일 확장자로 이름을 바꾸면 Windows 샌드박스를 시작할 준비가 된 것입니다.