Песочница Windows Windows Sandbox

В «песочнице» Windows обеспечивается легкая среда для безопасного запуска приложений в изоляции. Windows Sandbox provides a lightweight desktop environment to safely run applications in isolation. Программное обеспечение, установленное в среде песочницы Windows, остается «песочницой» и выполняется отдельно от хост-машины. Software installed inside the Windows Sandbox environment remains «sandboxed» and runs separately from the host machine.

Песочница временная. A sandbox is temporary. Когда он закрыт, все программное обеспечение и файлы и состояние удаляются. When it’s closed, all the software and files and the state are deleted. Каждый раз при открываемом приложении вы получаете совершенно новый экземпляр песочницы. You get a brand-new instance of the sandbox every time you open the application.

Программное обеспечение и приложения, установленные на хост, не доступны напрямую в песочнице. Software and applications installed on the host aren’t directly available in the sandbox. Если вам нужны конкретные приложения, доступные в среде Песочницы Windows, они должны быть явно установлены в среде. If you need specific applications available inside the Windows Sandbox environment, they must be explicitly installed within the environment.

В песочнице Windows имеются следующие свойства: Windows Sandbox has the following properties:

• Часть Windows. Все необходимое для этой функции включено в Windows 10 Pro и Enterprise. Part of Windows: Everything required for this feature is included in Windows 10 Pro and Enterprise. Нет необходимости скачивать VHD. There’s no need to download a VHD.
• Первозданныйвид. Каждый раз, когда windows Sandbox запускается, это так же чисто, как совершенно новая установка Windows. Pristine: Every time Windows Sandbox runs, it’s as clean as a brand-new installation of Windows.
• Одноразовая. На устройстве ничего не сохраняется. Disposable: Nothing persists on the device. Все отбрасывается, когда пользователь закрывает приложение. Everything is discarded when the user closes the application.
• Secure: Использует аппаратную виртуализацию для изоляции ядра. Secure: Uses hardware-based virtualization for kernel isolation. Он использует гипервизор Microsoft для запуска отдельного ядра, которое изолирует «песочницу» Windows от хоста. It relies on the Microsoft hypervisor to run a separate kernel that isolates Windows Sandbox from the host.
• Эффективно: Использует интегрированный планиратор ядра, интеллектуальное управление памятью и виртуальный GPU. Efficient: Uses the integrated kernel scheduler, smart memory management, and virtual GPU.

В следующем видео представлен обзор «Песочницы» Windows. The following video provides an overview of Windows Sandbox.

Предварительные условия Prerequisites

• Windows 10 Pro, Enterprise или Education build 18305 или более поздней версии (Windows Sandbox в настоящее время не поддерживается вдомашних skUs) Windows 10 Pro, Enterprise or Education build 18305 or later (Windows Sandbox is currently not supported on Home SKUs)
• Архитектура AMD64 AMD64 architecture
• Возможности виртуализации, включенные в BIOS Virtualization capabilities enabled in BIOS
• Не менее 4 ГБ оперативной памяти (рекомендуется 8 ГБ) At least 4 GB of RAM (8 GB recommended)
• Не менее 1 ГБ свободного дискового пространства (рекомендуется SSD) At least 1 GB of free disk space (SSD recommended)
• Не менее двух ядер ЦП (рекомендуется использовать четыре ядра с гипертекторами) At least two CPU cores (four cores with hyperthreading recommended)

Установка Installation

Убедитесь, что ваша машина использует Windows 10 Pro или Enterprise, сборка версии 18305 или более поздней версии. Ensure that your machine is using Windows 10 Pro or Enterprise, build version 18305 or later.

Включить виртуализацию на компьютере. Enable virtualization on the machine.

Если вы используете физический компьютер, убедитесь, что возможности виртуализации включены в BIOS. If you’re using a physical machine, make sure virtualization capabilities are enabled in the BIOS.

Если вы используете виртуальную машину, запустите следующую команду PowerShell, чтобы включить вложенную виртуализацию: If you’re using a virtual machine, run the following PowerShell command to enable nested virtualization:

Используйте планку поиска на панели задач и введите функции Windows включите и отключите, чтобы получить доступ к средству Необязательных функций Windows. Use the search bar on the task bar and type Turn Windows Features on and off to access the Windows Optional Features tool. Выберите «Песочницу Windows», а затем ОК. Select Windows Sandbox and then OK. Перезапустите компьютер, если вам будет предложено. Restart the computer if you’re prompted.

Если параметр «Песочница Windows» недоступен, компьютер не соответствует требованиям для запуска «Песочницы» Windows. If the Windows Sandbox option is unavailable, your computer doesn’t meet the requirements to run Windows Sandbox. Если вы считаете это неправильным, просмотрите список обязательных условий, а также шаги 1 и 2. If you think this is incorrect, review the prerequisite list as well as steps 1 and 2.

Чтобы включить песочницу с помощью PowerShell, откройте PowerShell в качестве администратора и запустите Enable-WindowsOptionalFeature-FeatureName «Containers-DisposableClientVM» -All-Online. To enable Sandbox using PowerShell, open PowerShell as Administrator and run Enable-WindowsOptionalFeature -FeatureName «Containers-DisposableClientVM» -All -Online.

Найдите и выберите «Песочницу Windows» в меню «Пуск», чтобы запустить ее впервые. Locate and select Windows Sandbox on the Start menu to run it for the first time.

Использование Usage

Скопируйте исполняемый файл (и все другие файлы, необходимые для запуска приложения) из хоста и вклейте их в окно «Песочница Windows». Copy an executable file (and any other files needed to run the application) from the host and paste them into the Windows Sandbox window.

Запустите исполняемый файл или установщик в песочнице. Run the executable file or installer inside the sandbox.

Когда вы закончите экспериментировать, закрой песочницу. When you’re finished experimenting, close the sandbox. В диалоговом окне будет огонек, что все содержимое песочницы будет удалено и удалено навсегда. A dialog box will state that all sandbox content will be discarded and permanently deleted. Выберите Ок. Select Ok.

Подтвердите, что на вашем хост-компьютере не представлены какие-либо изменения, сделанные в «песочнице» Windows. Confirm that your host machine doesn’t exhibit any of the modifications that you made in Windows Sandbox.

Активация песочницы Windows Sandbox в Windows 10 Home

Песочница Windows Sandbox создает изолированную среду, в которой вы можете запускать «.exe» файлы без ущерба для вашего компьютера. Когда вы устанавливаете программное обеспечение в песочнице, оно не будет иметь никакого отношения к хосту. В Windows 10 Pro можно одним кликом включить Windows Sandbox, но что делать, если песочница не поставляется в домашней версии Windows 10 Home? Не волнуйтесь, с помощью CMD возможно активировать Windows Sandbox в домашней версии Windows 10 Home, несмотря на то, что эта функция не предоставляется Microsoft. Windows Sandbox доступна с 1903 версии.

Как активировать Windows Sandbox в домашней версии Windows 10

Шаг 1. Запустите командную строку от имени администратора и введите огромную команду ниже. Команда состоит из двух частей, введите сначала первую часть, потом вторую:

echo Checking for permissions
>nul 2>&1 «%SYSTEMROOT%\system32\cacls.exe» «%SYSTEMROOT%\system32\config\system»

echo Permission check result: %errorlevel%

REM —> If error flag set, we do not have admin.
if ‘%errorlevel%’ NEQ ‘0’ (
echo Requesting administrative privileges.
goto UACPrompt
) else ( goto gotAdmin )

:UACPrompt
echo Set UAC = CreateObject^(«Shell.Application»^) > «%temp%\getadmin.vbs»
echo UAC.ShellExecute «%

s0″, «», «», «runas», 1 >> «%temp%\getadmin.vbs»

echo Running created temporary «%temp%\getadmin.vbs»
timeout /T 2
«%temp%\getadmin.vbs»
exit /B

2 часть

:gotAdmin
if exist «%temp%\getadmin.vbs» ( del «%temp%\getadmin.vbs» )
pushd «%CD%»
CD /D «%

echo Batch was successfully started with admin privileges
echo .
cls
Title Sandbox Installer

dir /b %SystemRoot%\servicing\Packages\*Containers*.mum >sandbox.txt

for /f %%i in (‘findstr /i . sandbox.txt 2^>nul’) do dism /online /norestart /add-package:»%SystemRoot%\servicing\Packages\%%i»

Dism /online /enable-feature /featurename:Containers-DisposableClientVM /LimitAccess /ALL

Если вам лень вводить команду, то я создал «.bat» файл, чтобы эта команда сделала все сама автоматически при одном нажатие. Просто скачайте и запустите .bat файл

Шаг 2. Перезагрузите свой ПК и найдите в «поиске» меню пуск песочницу, набрав sandbox.

Шаг 3. Если не можете найти, то нужно убедиться, что она активирована. Для этого перейдите в «Панель управление» > «Удаление программ» > «Включение и отключение компонентов Windows» > найдите в списке «Песочница Windows» и поставьте галочку для активации, если она не стояла, нажмите «OK» и перезагрузите ПК.

Windows Sandbox: использование встроенной песочницы Windows 10

В последнем релизе Windows 10 1903 появился новый функционал “песочницы”- Windows Sandbox. Встроенная песочница Windows основана на возможностях компонента Hyper-V и концепции контейнеров, и позволяет создать временную изолированную среду для запуска недоверенных приложений или потенциально-опасного ПО или даже вирусов. При этом все ПО, которое вы запускаете внутри этой песочницы не может затронуть хостовую операционную систему. При закрытии Sandbox все внесенные изменения не сохраняются и при следующем запуске песочница снова запускается в чистом виде. В этой статье мы рассмотрим, как установить, настроить и использовать Sandbox в Windows 10.

Windows Sandbox представляет собой небольшую виртуальную машину (размер образа около 100 Мб). Полноценный функционал Windows 10 в этой песочнице достигается благодаря использованию существующих файлов ядра ОС с хостовой Windows 10 (изнутри sandbox нельзя изменить или удалить эти файлы). Благодаря этому виртуальная машина с песочницей потребляет гораздо меньше системных ресурсов, загружается и работает быстро

В отличии от классической виртуальной машины при использовании Sandbox вам не нужно держать отдельную ВМ, устанавливать на нее ОС и обновления. За счет того, что в контейнере используются бинарные и DLL файлы вашей копии Windows (как с диска, так и загруженные в памяти), размер такой ВМ минимальный (вам не нужно хранить виртуальный диск с ВМ целиком)

Для использования Windows Sandbox ваш компьютер должен удовлетворять следующим требованиям:

• 64-битная архитектура процессора (минимум двухъядерный процессор);
• Windows 10 1903 (build 18362 или более новый) в редакции Pro или Enterprise;
• Включена поддержка виртуализации в BIOS / UEFI (поддерживается практически всеми современными устройствами, в том числе ноутбуками и планшетами);
• Не менее 4 Гб памяти и 1 Гб свободного места на диске (желательно SSD).

Как включить Sandbox в Windows 10?

По умолчанию функция Sandbox в Windows 10 отключена. Чтобы включить ее, отройте Панель Управления -> Programs and Features -> Turn Windows features on or off (или выполните команду optionalfeatures.exe ) и в списке возможностей Windows 10 выберите Windows Sandbox.

Set-VMProcessor -VMName win10vm_name -ExposeVirtualizationExtensions $true

В VMWare vSphere для ВМ нужно включить опцию Expose hardware assisted virtualization to the guest OS (см. статью).

Вы также можете включить Sandbox из PowerShell:

Enable-WindowsOptionalFeature -FeatureName «Containers-DisposableClientVM» –Online

После установки компонента нужно перезагрузить компьютер.

Использование песочницы Windows

После перезагрузки в стартовом меню найдите и запустите Windows Sandbox или запустите его командой WindowsSandbox.exe .
В результате откроется окно песочницы и вы увидите рабочий стол вашего чистого образом Windows 10 с настройками по-умолчанию. При этом в “песочной” ОС уже интегрированы последние обновления безопасности и драйвера, и вам не нужно обновлять гостевую систему отдельно, как в случае с традиционной виртуальной машиной.

Теперь вы можете cкопировать любой исполняемый файл с вашего компьютера в песочницу с помощью операций copy&paste или drag&drop, установить приложение, запустить и исследовать его в безопасном окружении. После окончания экспериментов просто закройте приложение Windows Sandbox и все содержимое песочницы будет удалено.

При закрытии окна Sandbox появляется предупреждение:

Are you sure you want to close Windows Sandbox? Once Windows Sandbox is closed all of its content will be discarded and permanently lost.

Конфигурационные файлы Windows Sandbox

По умолчанию Windows Sandbox использует для чистый образ Windows 10. Однако вы можете самостоятельно настроить среду Windows Sandbox с помощью конфигурационных файлов. Например, для песочницы вы можете включить или отключить виртуальный графический адаптер, разрешить (отключить) доступ к сети, подмонтировать каталог с хостовой ОС или выполнить скрипт при загрузке. Данные конфигурационные файлы применяются при загрузке ОС в песочнице.

Конфигурационный файл Windows Sandbox представляет собой XML документ с расширением .wsb. На данный момент в конфигурационном файле Sandbox можно настроить следующие параметры:

• Виртуальную видеокарты (vGPU)
• Доступ к сети (Networking)
• Общие папки (Shared folders)
• Скрипты (Startup script)

Рассмотрим небольшой пример конфигурационного файла Windows Sandbox (комментарии даны прямо по тексту XML файла):