如何快速配置MXC主机准备工具Windows系统沙箱部署完整指南【免费下载链接】mxcPolicy-driven, layered isolation and containment项目地址: https://gitcode.com/GitHub_Trending/mx/mxcMXCMicrosoft eXecution Container是一个强大的跨平台沙箱化代码执行系统而wxc-host-prep.exe是Windows平台上确保MXC容器可靠运行的关键主机准备工具。这个特权二进制文件负责一次性主机设置步骤为AppContainer和其他沙箱化工作负载提供稳定的运行环境。在本文中我们将详细介绍如何正确配置和使用这个重要的MXC主机准备工具。 MXC主机准备工具的核心功能wxc-host-prep.exe是Windows专用的特权二进制文件它包含了MXC在AppContainer和其他沙箱化工作负载可靠运行之前所需的所有一次性主机设置步骤。该工具随wxc-exec.exe一起打包在SDK的bin目录中。为什么需要主机准备当MXC选择**AppContainer DACL隔离层第3层**时系统需要特定的权限配置才能正常工作。具体来说需要两个关键准备系统驱动器根目录的元数据访问控制条目ACEsNUL设备的安全描述符配置如果没有这些配置常见的工具如cmd.exe、powershell.exe、pwsh.exe、node.exe等会在启动时遇到ERROR_ACCESS_DENIED错误。 主机准备子命令详解1. prepare-system-drive配置系统驱动器这个命令为系统驱动器根目录通常是C:\添加两个持久化、非继承的允许ACE用于众所周知的AppContainer SIDwxc-host-prep prepare-system-drive [--target path]关键参数--target覆盖系统驱动器查找提供的路径必须是字面驱动器根目录如X:\如果不指定目标工具会使用%SystemDrive%环境变量权限配置表| 受托人 | SID | 访问掩码 | 继承 | |--------|-----|----------|------| | ALL APPLICATION PACKAGES | S-1-15-2-1 | 0x00120088 | 无 | | ALL RESTRICTED APPLICATION PACKAGES | S-1-15-2-2 | 0x00120088 | 无 |2. unprepare-system-drive撤销系统驱动器配置wxc-host-prep unprepare-system-drive [--target path]这个命令使用精确元组匹配只移除与prepare-system-drive创建的完全相同的ACE。其他工具为相同SID创建的显式ACE会被保留。3. prepare-null-device配置NUL设备wxc-host-prep prepare-null-device [--no-sacl] [--quiet] [--json] [--log path]Windows内核在每次启动时都会将\Device\Null的安全描述符重置为默认值。对于基于AppContainer的后端默认值不包含众所周知的AppContainer SID导致进程在启动过程中尝试打开NUL进行stdin/stdout/stderr重定向时失败。选项说明--no-sacl跳过SACL组件当调用令牌中没有SeSecurityPrivilege时使用--quiet抑制人类可读的状态行输出--json输出单行JSON记录--log覆盖默认日志路径4. verify-null-device验证NUL设备配置wxc-host-prep verify-null-device [--json]这个命令读取当前的\Device\Null安全描述符并与目标进行比较不进行任何修改。退出代码0表示匹配1表示存在差异。5. dump-null-device转储NUL设备配置wxc-host-prep dump-null-device [--json]以SDDL格式打印当前的\Device\Null安全描述符。这是一个只读操作不会修改安全描述符。 MXC主机准备的最佳实践自动化部署策略对于生产环境建议通过以下方式自动化主机准备计划任务在系统启动时自动运行prepare-null-deviceMDM管理脚本在企业环境中集中部署安装程序集成在MXC安装过程中自动执行prepare-system-drive监控与验证使用verify-null-device --json定期检查配置状态确保安全描述符没有意外更改。计划任务或监控代理可以调用此命令并在非零退出代码时发出警报。⚠️ 重要注意事项权限要求所有wxc-host-prep子命令都需要管理员权限。该工具在发布版本中嵌入了requireAdministrator应用程序清单Windows加载器会在进程启动时提示UAC。错误处理工具提供了明确的退出代码便于脚本化部署退出代码含义0操作成功完成无变化或已应用1检测到差异仅verify-null-device或一般非致命错误2无法打开\Device\Null3无法为调用令牌启用SeSecurityPrivilege65当前令牌未提升权限兼容性考虑主机准备状态是机器相关的因此wxc-exec --probeSDK的getPlatformSupport()使用的检测路径会在选择第3层且相应的准备尚未生效时发出操作员可见的警告。 故障排除指南常见问题解决权限错误确保以管理员身份运行所有wxc-host-prep命令配置冲突如果系统驱动器根目录已存在显式Allow ACE工具会拒绝操作并提供清理建议启动失败检查事件日志和工具输出确认是否缺少必要的权限配置诊断工具使用dump-null-device查看当前的安全描述符状态检查%ProgramData%\mxc\null-device-acl.log获取详细的日志信息通过wxc-exec --probe获取主机准备建议 实际应用场景开发环境配置在开发机器上可以手动运行主机准备命令# 以管理员身份运行PowerShell wxc-host-prep prepare-system-drive wxc-host-prep prepare-null-deviceCI/CD流水线集成在持续集成环境中可以在构建代理上自动执行主机准备steps: - script: | wxc-host-prep prepare-system-drive wxc-host-prep prepare-null-device displayName: 准备MXC主机环境 condition: eq(variables[Agent.OS], Windows_NT)企业级部署对于大规模部署可以通过组策略或配置管理工具分发主机准备脚本确保所有运行MXC的Windows主机都具有正确的配置。 总结MXC主机准备工具是确保Windows平台上沙箱化工作负载可靠运行的关键组件。通过正确配置系统驱动器和NUL设备的访问权限MXC可以在AppContainer DACL隔离层中稳定运行为不受信任的代码执行提供安全的环境。记住这些关键点一次性配置prepare-system-drive只需运行一次每次启动都需要prepare-null-device需要在每次系统启动后运行自动化是关键通过计划任务或启动脚本确保配置持久性监控很重要定期验证配置状态确保安全性不被破坏通过遵循本指南您可以确保MXC在Windows环境中的最佳性能和安全性为您的应用程序提供可靠的沙箱化执行环境。【免费下载链接】mxcPolicy-driven, layered isolation and containment项目地址: https://gitcode.com/GitHub_Trending/mx/mxc创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
如何快速配置MXC主机准备工具:Windows系统沙箱部署完整指南
如何快速配置MXC主机准备工具Windows系统沙箱部署完整指南【免费下载链接】mxcPolicy-driven, layered isolation and containment项目地址: https://gitcode.com/GitHub_Trending/mx/mxcMXCMicrosoft eXecution Container是一个强大的跨平台沙箱化代码执行系统而wxc-host-prep.exe是Windows平台上确保MXC容器可靠运行的关键主机准备工具。这个特权二进制文件负责一次性主机设置步骤为AppContainer和其他沙箱化工作负载提供稳定的运行环境。在本文中我们将详细介绍如何正确配置和使用这个重要的MXC主机准备工具。 MXC主机准备工具的核心功能wxc-host-prep.exe是Windows专用的特权二进制文件它包含了MXC在AppContainer和其他沙箱化工作负载可靠运行之前所需的所有一次性主机设置步骤。该工具随wxc-exec.exe一起打包在SDK的bin目录中。为什么需要主机准备当MXC选择**AppContainer DACL隔离层第3层**时系统需要特定的权限配置才能正常工作。具体来说需要两个关键准备系统驱动器根目录的元数据访问控制条目ACEsNUL设备的安全描述符配置如果没有这些配置常见的工具如cmd.exe、powershell.exe、pwsh.exe、node.exe等会在启动时遇到ERROR_ACCESS_DENIED错误。 主机准备子命令详解1. prepare-system-drive配置系统驱动器这个命令为系统驱动器根目录通常是C:\添加两个持久化、非继承的允许ACE用于众所周知的AppContainer SIDwxc-host-prep prepare-system-drive [--target path]关键参数--target覆盖系统驱动器查找提供的路径必须是字面驱动器根目录如X:\如果不指定目标工具会使用%SystemDrive%环境变量权限配置表| 受托人 | SID | 访问掩码 | 继承 | |--------|-----|----------|------| | ALL APPLICATION PACKAGES | S-1-15-2-1 | 0x00120088 | 无 | | ALL RESTRICTED APPLICATION PACKAGES | S-1-15-2-2 | 0x00120088 | 无 |2. unprepare-system-drive撤销系统驱动器配置wxc-host-prep unprepare-system-drive [--target path]这个命令使用精确元组匹配只移除与prepare-system-drive创建的完全相同的ACE。其他工具为相同SID创建的显式ACE会被保留。3. prepare-null-device配置NUL设备wxc-host-prep prepare-null-device [--no-sacl] [--quiet] [--json] [--log path]Windows内核在每次启动时都会将\Device\Null的安全描述符重置为默认值。对于基于AppContainer的后端默认值不包含众所周知的AppContainer SID导致进程在启动过程中尝试打开NUL进行stdin/stdout/stderr重定向时失败。选项说明--no-sacl跳过SACL组件当调用令牌中没有SeSecurityPrivilege时使用--quiet抑制人类可读的状态行输出--json输出单行JSON记录--log覆盖默认日志路径4. verify-null-device验证NUL设备配置wxc-host-prep verify-null-device [--json]这个命令读取当前的\Device\Null安全描述符并与目标进行比较不进行任何修改。退出代码0表示匹配1表示存在差异。5. dump-null-device转储NUL设备配置wxc-host-prep dump-null-device [--json]以SDDL格式打印当前的\Device\Null安全描述符。这是一个只读操作不会修改安全描述符。 MXC主机准备的最佳实践自动化部署策略对于生产环境建议通过以下方式自动化主机准备计划任务在系统启动时自动运行prepare-null-deviceMDM管理脚本在企业环境中集中部署安装程序集成在MXC安装过程中自动执行prepare-system-drive监控与验证使用verify-null-device --json定期检查配置状态确保安全描述符没有意外更改。计划任务或监控代理可以调用此命令并在非零退出代码时发出警报。⚠️ 重要注意事项权限要求所有wxc-host-prep子命令都需要管理员权限。该工具在发布版本中嵌入了requireAdministrator应用程序清单Windows加载器会在进程启动时提示UAC。错误处理工具提供了明确的退出代码便于脚本化部署退出代码含义0操作成功完成无变化或已应用1检测到差异仅verify-null-device或一般非致命错误2无法打开\Device\Null3无法为调用令牌启用SeSecurityPrivilege65当前令牌未提升权限兼容性考虑主机准备状态是机器相关的因此wxc-exec --probeSDK的getPlatformSupport()使用的检测路径会在选择第3层且相应的准备尚未生效时发出操作员可见的警告。 故障排除指南常见问题解决权限错误确保以管理员身份运行所有wxc-host-prep命令配置冲突如果系统驱动器根目录已存在显式Allow ACE工具会拒绝操作并提供清理建议启动失败检查事件日志和工具输出确认是否缺少必要的权限配置诊断工具使用dump-null-device查看当前的安全描述符状态检查%ProgramData%\mxc\null-device-acl.log获取详细的日志信息通过wxc-exec --probe获取主机准备建议 实际应用场景开发环境配置在开发机器上可以手动运行主机准备命令# 以管理员身份运行PowerShell wxc-host-prep prepare-system-drive wxc-host-prep prepare-null-deviceCI/CD流水线集成在持续集成环境中可以在构建代理上自动执行主机准备steps: - script: | wxc-host-prep prepare-system-drive wxc-host-prep prepare-null-device displayName: 准备MXC主机环境 condition: eq(variables[Agent.OS], Windows_NT)企业级部署对于大规模部署可以通过组策略或配置管理工具分发主机准备脚本确保所有运行MXC的Windows主机都具有正确的配置。 总结MXC主机准备工具是确保Windows平台上沙箱化工作负载可靠运行的关键组件。通过正确配置系统驱动器和NUL设备的访问权限MXC可以在AppContainer DACL隔离层中稳定运行为不受信任的代码执行提供安全的环境。记住这些关键点一次性配置prepare-system-drive只需运行一次每次启动都需要prepare-null-device需要在每次系统启动后运行自动化是关键通过计划任务或启动脚本确保配置持久性监控很重要定期验证配置状态确保安全性不被破坏通过遵循本指南您可以确保MXC在Windows环境中的最佳性能和安全性为您的应用程序提供可靠的沙箱化执行环境。【免费下载链接】mxcPolicy-driven, layered isolation and containment项目地址: https://gitcode.com/GitHub_Trending/mx/mxc创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
