Windows Sandbox: использование встроенной песочницы Windows 10

В последнем релизе Windows 10 1903 появился новый функционал “песочницы”- Windows Sandbox. Встроенная песочница Windows основана на возможностях компонента Hyper-V и концепции контейнеров, и позволяет создать временную изолированную среду для запуска недоверенных приложений или потенциально-опасного ПО или даже вирусов. При этом все ПО, которое вы запускаете внутри этой песочницы не может затронуть хостовую операционную систему. При закрытии Sandbox все внесенные изменения не сохраняются и при следующем запуске песочница снова запускается в чистом виде. В этой статье мы рассмотрим, как установить, настроить и использовать Sandbox в Windows 10.

Windows Sandbox представляет собой небольшую виртуальную машину (размер образа около 100 Мб). Полноценный функционал Windows 10 в этой песочнице достигается благодаря использованию существующих файлов ядра ОС с хостовой Windows 10 (изнутри sandbox нельзя изменить или удалить эти файлы). Благодаря этому виртуальная машина с песочницей потребляет гораздо меньше системных ресурсов, загружается и работает быстро

В отличии от классической виртуальной машины при использовании Sandbox вам не нужно держать отдельную ВМ, устанавливать на нее ОС и обновления. За счет того, что в контейнере используются бинарные и DLL файлы вашей копии Windows (как с диска, так и загруженные в памяти), размер такой ВМ минимальный (вам не нужно хранить виртуальный диск с ВМ целиком)

Для использования Windows Sandbox ваш компьютер должен удовлетворять следующим требованиям:

• 64-битная архитектура процессора (минимум двухъядерный процессор);
• Windows 10 1903 (build 18362 или более новый) в редакции Pro или Enterprise;
• Включена поддержка виртуализации в BIOS / UEFI (поддерживается практически всеми современными устройствами, в том числе ноутбуками и планшетами);
• Не менее 4 Гб памяти и 1 Гб свободного места на диске (желательно SSD).

Как включить Sandbox в Windows 10?

По умолчанию функция Sandbox в Windows 10 отключена. Чтобы включить ее, отройте Панель Управления -> Programs and Features -> Turn Windows features on or off (или выполните команду optionalfeatures.exe ) и в списке возможностей Windows 10 выберите Windows Sandbox.

Set-VMProcessor -VMName win10vm_name -ExposeVirtualizationExtensions $true

В VMWare vSphere для ВМ нужно включить опцию Expose hardware assisted virtualization to the guest OS (см. статью).

Вы также можете включить Sandbox из PowerShell:

Enable-WindowsOptionalFeature -FeatureName «Containers-DisposableClientVM» –Online

После установки компонента нужно перезагрузить компьютер.

Использование песочницы Windows

После перезагрузки в стартовом меню найдите и запустите Windows Sandbox или запустите его командой WindowsSandbox.exe .
В результате откроется окно песочницы и вы увидите рабочий стол вашего чистого образом Windows 10 с настройками по-умолчанию. При этом в “песочной” ОС уже интегрированы последние обновления безопасности и драйвера, и вам не нужно обновлять гостевую систему отдельно, как в случае с традиционной виртуальной машиной.

Теперь вы можете cкопировать любой исполняемый файл с вашего компьютера в песочницу с помощью операций copy&paste или drag&drop, установить приложение, запустить и исследовать его в безопасном окружении. После окончания экспериментов просто закройте приложение Windows Sandbox и все содержимое песочницы будет удалено.

При закрытии окна Sandbox появляется предупреждение:

Are you sure you want to close Windows Sandbox? Once Windows Sandbox is closed all of its content will be discarded and permanently lost.

Конфигурационные файлы Windows Sandbox

По умолчанию Windows Sandbox использует для чистый образ Windows 10. Однако вы можете самостоятельно настроить среду Windows Sandbox с помощью конфигурационных файлов. Например, для песочницы вы можете включить или отключить виртуальный графический адаптер, разрешить (отключить) доступ к сети, подмонтировать каталог с хостовой ОС или выполнить скрипт при загрузке. Данные конфигурационные файлы применяются при загрузке ОС в песочнице.

Конфигурационный файл Windows Sandbox представляет собой XML документ с расширением .wsb. На данный момент в конфигурационном файле Sandbox можно настроить следующие параметры:

• Виртуальную видеокарты (vGPU)
• Доступ к сети (Networking)
• Общие папки (Shared folders)
• Скрипты (Startup script)

Рассмотрим небольшой пример конфигурационного файла Windows Sandbox (комментарии даны прямо по тексту XML файла):

Как включить Windows Sandbox в Windows 10

В данной статье показаны действия, с помощью которых можно включить компонент Песочница Windows (Windows Sandbox) в операционной системе Windows 10.

Песочница Windows (Windows Sandbox) доступна в качестве дополнительного компонента в Windows 10 редакции Pro и Enterprise начиная со сборки 18305.

Песочница Windows (Windows Sandbox) — это новая облегченная временная безопасная среда Windows 10, которая работает поверх основной среды в изолированном окружении и предназначена для безопасного запуска и тестирования неизвестных программ и приложений, которые потенциально могут быть вредоносными.

Песочница Windows (Windows Sandbox) использует аппаратную виртуализацию для изолирования ядра и полностью изолирует «песочницу» от вашей рабочей среды, тем самым обеспечивая полную безопасность вашего компьютера.

Необходимые условия для использования Windows Sandbox:

• Windows 10 Pro или Enterprise, сборка 18305 или более поздние
• Архитектура AMD64
• Виртуализация должна быть включена в BIOS UEFI
• Минимум 4 ГБ оперативной памяти (рекомендуется 8 ГБ)
• Не менее 1 ГБ свободного места на диске (рекомендуется SSD)
• Не менее 2 ядер ЦП (рекомендуется 4 ядра с гиперпоточностью)

Как включить песочницу Windows в окне «Компоненты Windows»

Чтобы включить компонент Песочница Windows (Windows Sandbox), нажмите сочетание клавиш + R, в открывшемся окне Выполнить введите OptionalFeatures и нажмите клавишу Enter ↵.

В окне «Компоненты Windows» включите параметр Песочница Windows и нажмите кнопку OK.

Чтобы Windows применила требуемые изменения, перезагрузите компьютер.

После перезагрузки компьютера компонент Песочница Windows (Windows Sandbox) будет включен.

Как включить песочницу Windows в Windows PowerShell

Также включить песочницу Windows можно в консоли PowerShell.

Чтобы включить песочницу Windows, откройте консоль Windows PowerShell от имени администратора и выполните следующую команду:

Enable-WindowsOptionalFeature –FeatureName «Containers-DisposableClientVM» -All -Online

Чтобы отключить песочницу Windows, откройте консоль Windows PowerShell от имени администратора и выполните следующую команду:

Disable-WindowsOptionalFeature –FeatureName «Containers-DisposableClientVM» -Online

При появлении запроса на перезагрузку компьютера, введите Y и нажмите клавишу Enter ↵.

Как включить песочницу Windows в командной строке

Вы можете включить песочницу Windows в командной строке.

Чтобы включить песочницу Windows, запустите командную строку от имени администратора и выполните следующую команду:

Dism /online /Enable-Feature /FeatureName:»Containers-DisposableClientVM» -All

Чтобы отключить песочницу Windows, запустите командную строку от имени администратора и выполните следующую команду:

Dism /online /Disable-Feature /FeatureName:»Containers-DisposableClientVM»

При появлении запроса на перезагрузку компьютера, введите Y и нажмите клавишу Enter ↵.

Песочница Windows запускается как отдельное приложение в Windows 10, предоставляя вам доступ к облегчённой безопасной среде. Принцип работы отчасти напоминает виртуальную машину. При каждом запуcке Windows Sandbox, пользователю будет предлагаться чистая копия Windows 10. Чтобы не тратить время на ожидание загрузки операционной системы, в этой виртуальной машине будет использоваться снимок основной системы.

Вы можете устанавливать или перетаскивать файлы и программы в «песочницу» для тестирования.

Когда вы закончите тестирование, можно просто закрыть приложение Песочница Windows (Windows Sandbox). Все содержимое безопасной среды будет удалено безвозвратно.

Как включить Windows Sandbox. Встроенная песочница Windows 10

Песочница Windows (Windows Sandbox) позволяет пользователям редакций Windows 10 Pro и Windows 10 Enterprise запускать подозрительные приложения в изолированном виртуальном пространстве, чтобы они не могли внести изменения в основную хост-систему. После закрытия сеанса песочницы, все файлы и приложения будут удалены навсегда.

Системные требования для Windows Sandbox

Для работы Песочницы Windows необходимо выполнение следующих требований:

• Windows 10 Pro или Enterprise – Windows 10 (версия 1903), KB4512941 (Build 18362.329) или выше.
• Архитектура x86-64 (также AMD64/Intel64/EM64T).
• Включение виртуализации в BIOS.
• Минимум 4 ГБ ОЗУ (рекомендуется 8 ГБ ОЗУ).
• Минимум 1 ГБ свободного дискового пространства (рекомендуется SSD).
• Минимум двухядерный процессор (рекомендуется четырехядерный процессор с поддержкой технологии Hyperthreading).

В статье, опубликованной в официальном блоге Microsoft, сообщается, что новая функция использует технологии на основе контейнеров Windows. Инженеры интегрировали Windows 10 в данные контейнеры и применили новую технологию “Integrated Scheduler”, которая позволяет хост-системе решать, когда нужно запустить изолированную среду.

Основная идея Windows Sandbox заключается в том, чтобы добавить возможность запуска приложений в изолированной среде, обеспечивая при этом все необходимые функции безопасности, требуемые от виртуальной машины.

Как включить и использовать песочницу Windows Sandbox в Windows 10

Необходимые условия

• Установите Windows 10 Pro или Enterprise, KB4512941 (Build 18362.329) или выше.
• Включите виртуализацию:
  • Если вы используете физический компьютер, убедитесь, что в BIOS включена функция виртуализации.
  • Если вы используете виртуальную машину, включите встроенную виртуализацию с помощью этого командлета PowerShell:
  • Set-VMProcessor -VMName -ExposeVirtualizationExtensions $true

Как включить / выключить Песочницу Windows

Как включить / выключить Песочницу Windows в меню Компоненты Windows

• Откройте меню Компоненты Windows (Панель управления > Программы > Программы и компоненты > Включение и отключение компонентов Windows) и выберите Песочница Windows. Нажмите OK, чтобы установить песочницу. Может понадобиться перезагрузка компьютера.

Как включить / выключить Песочницу Windows с помощью PowerShell

• Запустите PowerShell от имени администратора (введите powershell в поиске меню Пуск и выберите «Запуск от имени администратора»).
• Выполните следующую команду, чтобы включить Песочницу Windows:

• Выполните следующую команду, чтобы отключить Песочницу Windows:

Как включить / выключить Песочницу Windows с помощью Командной строки

• Запустите Командную строку от имени администратора (введите cmd в поиске меню Пуск и выберите «Запуск от имени администратора»)
• Выполните следующую команду, чтобы включить Песочницу Windows:

• Выполните следующую команду, чтобы отключить Песочницу Windows:

Запуск и использование Песочницы Windows

• Используя меню «Пуск», найдите Windows Sandbox, запустите ее и разрешите повышение привилегий.
• Скопируйте исполняемый файл с основной хост-системы.
• Вставьте исполняемый файл в окно песочницы Windows Sandbox (на рабочем столе Windows).
• Запустите исполняемый файл в песочнице Windows Sandbox; если это установщик, продолжайте и установите его.
• Запустите приложение и используйте его как обычно.
• Когда вы закончите экспериментировать, вы можете просто закрыть приложение Windows Sandbox. Все содержимое песочницы будет окончательно удалено.
• Убедитесь, что на хост-системе нет изменений, внесенных вами в песочницу Windows Sandbox.

• Вы также можете использовать файлы конфигурации (WSB) или утилиту Windows Sandbox Editor для запуска песочницы с заданными параметрами: использование vGPU, поддержка сети, общие папки, скрипты и программы автозагрузки.

Как установить Песочницу (Sandbox) в Windows 10 Home.

Публикация: 21 Апрель 2019 Обновлено: 17 Июль 2019

Песочница для Windows (Sandbox) — это новая функция Windows 10 версии 1903 обновление за май 2019г. Песочница не доступна по умолчанию в Домашней редакции Windows 10. Но ее можно легко установить и активировать благодаря пакетному файлу.

Чтобы установить функцию «Песочница Windows», ваш ПК должен соответствовать минимальным требованиям, иначе Песочница будет установлена, но не сможет запустится, требования довольно низкие:

• Windows 10, сборка 18301 или более поздняя
• Архитектура x64
• Возможности виртуализации должны быть включены в BIOS
• Не менее 4 ГБ ОЗУ (рекомендуется 8 ГБ)
• Не менее 1 ГБ свободного дискового пространства (рекомендуется SSD)
• Как минимум 2 ядра процессора (рекомендуется 4 ядра с гиперпоточностью)

Тот факт, что вы можете установить эту функцию в Windows 10 Home, заключается в том, что все файлы уже присутствую в системе.

Все, что вам нужно сделать, это загрузить bat-файл, распаковать его и запустить его двойным кликом мыши.

Как это работает

Пакетный файл имеет следующее содержимое:

@echo off
echo Checking for permissions
>nul 2>&1 «%SYSTEMROOT%\system32\cacls.exe» «%SYSTEMROOT%\system32\config\system»
echo Permission check result: %errorlevel%
REM —> If error flag set, we do not have admin.
if ‘%errorlevel%’ NEQ ‘0’ (
echo Requesting administrative privileges.
goto UACPrompt
) else ( goto gotAdmin )
:UACPrompt
echo Set UAC = CreateObject^(«Shell.Application»^) > «%temp%\getadmin.vbs»
echo UAC.ShellExecute «%

s0″, «», «», «runas», 1 >> «%temp%\getadmin.vbs»
echo Running created temporary «%temp%\getadmin.vbs»
timeout /T 2
«%temp%\getadmin.vbs»
exit /B
:gotAdmin
if exist «%temp%\getadmin.vbs» ( del «%temp%\getadmin.vbs» )
pushd «%CD%»
CD /D «%

dp0″
echo Batch was successfully started with admin privileges
echo .
cls
Title Sandbox Installer
pushd «%

dp0″
dir /b %SystemRoot%\servicing\Packages\*Containers*.mum >sandbox.txt
for /f %%i in (‘findstr /i . sandbox.txt 2^>nul’) do dism /online /norestart /add-package:»%SystemRoot%\servicing\Packages\%%i»
del sandbox.txt
Dism /online /enable-feature /featurename:Containers-DisposableClientVM /LimitAccess /ALL
pause

После запуска скрипт Sandbox Installer.bat, сначала проверяет административные права, а затем выполняет его. Как видно на снимке ниже, все пакеты загружаются.

После перезагрузки песочница может быть включена в «Панель управления» → «Программы и компоненты» → «Включение и Отключение компонентовWindows». Подробнее в нашем руководстве: Как включить Песочницу (Windows Sandbox).

После чего функция Песочницы появится в меню «Пуск».

Примечание. Перед запуском проверьте, подходит ли ваш компьютер по требованиям, и сделайте резервную копию для безопасности.