M-d3bug/windows-sandbox-configs
GitHub: M-d3bug/windows-sandbox-configs
一套预置安全强化的 Windows Sandbox 配置文件,覆盖恶意软件隔离分析、安全浏览测试和自动化开发环境搭建三大场景。
Stars: 0 | Forks: 0
# Windows Sandbox 配置
这是一组 Windows Sandbox (`.wsb`) 配置文件,用于启动一次性的、经过强化的 Windows 环境。每个文件都针对不同的使用场景对 sandbox 进行了调优,涵盖了从恶意软件分析到开箱即用的开发环境。
## 文件
| 文件 | 网络 | 剪贴板 | 用途 |
| --- | --- | --- | --- |
| `Sandbox.wsb` | 启用 | 禁用 | 具有互联网访问权限的通用强化型 sandbox |
| `Sandbox_nointernet.wsb` | 禁用 | 启用 | 用于不受信任/恶意软件样本的隔离 sandbox |
| `Sandbox_opencode.wsb` | 启用 | 禁用 | 自动配置的开发者环境 |
## 通用强化
所有三个配置都减少了攻击面并分配了 8 GB 的 RAM:
- **vGPU** 被禁用,以消除硬件驱动程序的攻击面。
- **音频输入、视频输入和打印机重定向** 被禁用以保护隐私。
- **8192 MB** 的内存 (`MemoryInMB`)。
每个配置还运行一个提权的 `LogonCommand`,用于禁用 WDAC 的 *VerifiedAndReputable* 策略 (Smart App Control):
```
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\CI\Policy `
-Name VerifiedAndReputablePolicyState -Value 0
echo $null | CiTool.exe -r
```
如果不这样做,安装程序写入的每个二进制文件都将经过 WDAC 验证,这可能会导致 sandbox 内的安装时间增加 15 分钟以上。
## Sandbox.wsb
一个具有互联网访问权限的通用强化型 sandbox。
- **网络**:已启用,因此 sandbox 可以连接到互联网。
- **剪贴板重定向**:已禁用,以阻止基于剪贴板的数据窃取和劫持。
当您需要一个仍然具有网络访问权限的一次性环境(例如,浏览可疑站点或测试下载)但又希望保持严密的主机边界时,请使用此配置。
## Sandbox_nointernet.wsb
一个完全隔离的 sandbox,用于处理不受信任的文件或恶意软件样本。
- **网络**:已禁用,以防止恶意软件传播和命令与控制 (C2) 通信。
- **剪贴板重定向**:已启用,以便在断开连接之前可以从主机移入文件和文本。
在分析绝不能连接到网络的不受信任样本时,请使用此配置。
## Sandbox_opencode.wsb
一个连接到互联网的 sandbox,可在首次登录时配置完整的开发者环境。剪贴板重定向已禁用。
启动时,`LogonCommand` 会编写并运行一个 PowerShell 安装脚本,该脚本会:
1. 从官方来源动态解析 Python、Node.js (LTS)、Git 和 Windows Terminal 的 **最新** 版本。
2. 使用异步 `WebClient` 调用并行下载所有安装程序,并提供实时进度报告。
3. 静默安装 Python、Git、Node.js 和 Windows Terminal(包括其 VCLibs 和 UI Xaml 依赖项)。
4. 刷新环境 `PATH` 并通过 npm 全局安装 [`opencode-ai`](https://www.npmjs.com/package/opencode-ai)。
安装工件暂存在 `C:\SandboxSetup` 中。当脚本完成时,sandbox 将拥有可正常工作的 Python/Node/Git 工具链,并准备好使用 opencode。
标签:AI合规, DAST, MITM代理, Windows沙箱, 开发环境, 恶意代码分析, 恶意软件分析, 暗色界面, 系统安全加固, 网络安全研究, 虚拟化环境, 逆向工具, 配置文件