Windows Sandbox: использование встроенной песочницы Windows 10

В последнем релизе Windows 10 1903 появился новый функционал “песочницы”- Windows Sandbox. Встроенная песочница Windows основана на возможностях компонента Hyper-V и концепции контейнеров, и позволяет создать временную изолированную среду для запуска недоверенных приложений или потенциально-опасного ПО или даже вирусов. При этом все ПО, которое вы запускаете внутри этой песочницы не может затронуть хостовую операционную систему. При закрытии Sandbox все внесенные изменения не сохраняются и при следующем запуске песочница снова запускается в чистом виде. В этой статье мы рассмотрим, как установить, настроить и использовать Sandbox в Windows 10.

Windows Sandbox представляет собой небольшую виртуальную машину (размер образа около 100 Мб). Полноценный функционал Windows 10 в этой песочнице достигается благодаря использованию существующих файлов ядра ОС с хостовой Windows 10 (изнутри sandbox нельзя изменить или удалить эти файлы). Благодаря этому виртуальная машина с песочницей потребляет гораздо меньше системных ресурсов, загружается и работает быстро

В отличии от классической виртуальной машины при использовании Sandbox вам не нужно держать отдельную ВМ, устанавливать на нее ОС и обновления. За счет того, что в контейнере используются бинарные и DLL файлы вашей копии Windows (как с диска, так и загруженные в памяти), размер такой ВМ минимальный (вам не нужно хранить виртуальный диск с ВМ целиком)

Для использования Windows Sandbox ваш компьютер должен удовлетворять следующим требованиям:

• 64-битная архитектура процессора (минимум двухъядерный процессор);
• Windows 10 1903 (build 18362 или более новый) в редакции Pro или Enterprise;
• Включена поддержка виртуализации в BIOS / UEFI (поддерживается практически всеми современными устройствами, в том числе ноутбуками и планшетами);
• Не менее 4 Гб памяти и 1 Гб свободного места на диске (желательно SSD).

Как включить Sandbox в Windows 10?

По умолчанию функция Sandbox в Windows 10 отключена. Чтобы включить ее, отройте Панель Управления -> Programs and Features -> Turn Windows features on or off (или выполните команду optionalfeatures.exe ) и в списке возможностей Windows 10 выберите Windows Sandbox.

Set-VMProcessor -VMName win10vm_name -ExposeVirtualizationExtensions $true

В VMWare vSphere для ВМ нужно включить опцию Expose hardware assisted virtualization to the guest OS (см. статью).

Вы также можете включить Sandbox из PowerShell:

Enable-WindowsOptionalFeature -FeatureName «Containers-DisposableClientVM» –Online

После установки компонента нужно перезагрузить компьютер.

Использование песочницы Windows

После перезагрузки в стартовом меню найдите и запустите Windows Sandbox или запустите его командой WindowsSandbox.exe .
В результате откроется окно песочницы и вы увидите рабочий стол вашего чистого образом Windows 10 с настройками по-умолчанию. При этом в “песочной” ОС уже интегрированы последние обновления безопасности и драйвера, и вам не нужно обновлять гостевую систему отдельно, как в случае с традиционной виртуальной машиной.

Теперь вы можете cкопировать любой исполняемый файл с вашего компьютера в песочницу с помощью операций copy&paste или drag&drop, установить приложение, запустить и исследовать его в безопасном окружении. После окончания экспериментов просто закройте приложение Windows Sandbox и все содержимое песочницы будет удалено.

При закрытии окна Sandbox появляется предупреждение:

Are you sure you want to close Windows Sandbox? Once Windows Sandbox is closed all of its content will be discarded and permanently lost.

Конфигурационные файлы Windows Sandbox

По умолчанию Windows Sandbox использует для чистый образ Windows 10. Однако вы можете самостоятельно настроить среду Windows Sandbox с помощью конфигурационных файлов. Например, для песочницы вы можете включить или отключить виртуальный графический адаптер, разрешить (отключить) доступ к сети, подмонтировать каталог с хостовой ОС или выполнить скрипт при загрузке. Данные конфигурационные файлы применяются при загрузке ОС в песочнице.

Конфигурационный файл Windows Sandbox представляет собой XML документ с расширением .wsb. На данный момент в конфигурационном файле Sandbox можно настроить следующие параметры:

• Виртуальную видеокарты (vGPU)
• Доступ к сети (Networking)
• Общие папки (Shared folders)
• Скрипты (Startup script)

Рассмотрим небольшой пример конфигурационного файла Windows Sandbox (комментарии даны прямо по тексту XML файла):

Песочница Windows 10 (Windows Sandbox): безопасная изолированная среда

Песочница Windows — безопасная виртуальная среда операционной системы, работающая в основной системе, для запуска и тестирования программ, приложений и файлов неизвестного или потенциально опасного происхождения. Начиная с версии Windows 10 1903, Песочница Windows (Windows Sandbox) стала доступной для пользователей, работающих на компьютерах под управлением старших версий ОС в Профессиональной (Windows 10 Pro), Корпоративной (Windows 10 Enterprise) и Образовательной (Windows 10 Education) редакциях системы.

Довольно часто пользователям приходится устанавливать или запускать на компьютере различные, в том числе и ранее неизвестные программы. В некоторых случаях, нельзя заранее предугадать последствия из-за того, что может сделать запускаемое приложение: изменить настройки системы, заразить вирусом и т. п.

Необходимо защитить свой ПК от возникновения подобных проблем: поставить преграду для вредоносного и потенциально опасного программного обеспечения. Пользователь может воспользоваться несколькими способами, которые помогут изолировать программы или восстановить состояния системы:

• виртуальная машина;
• программа для изолированного запуска других приложений;
• программа для «заморозки» системы.

С помощью специальной программы создается виртуальная машина, на которую устанавливается гостевая ОС, изолированная от хостовой (основной) системы. Внутри виртуальной машины можно безопасно запускать различные файлы и программы.

Программа Sandboxie создает «песочницу» (изолированную среду) на компьютере, внутри которой можно устанавливать или тестировать программы, не затрагивая Windows.

Программа для «заморозки» Windows, например Toolwiz Time Freeze, сохраняет состояние системы на момент запуска ОС. После завершения работы на ПК, система возвращается к первоначальному состоянию, все изменения отменяются.

В Windows 10, Windows 8.1, Windows 8 имеется встроенная виртуальная машина Hyper-V — гипервизор для установки гостевых операционных систем, в которых можно тестировать незнакомое программное обеспечение.

В Windows 10 появился новый компонент системы — Песочница (Sandbox), о котором я расскажу в инструкциях этой статьи.

Песочница для Windows 10

Sandbox Windows 10 позволяет запускать приложения во временном безопасном окружении, изолировано от основной операционной системы. На компьютере, в отдельном окне запускается «чистая» версия Windows 10. После запуска в «песочнице» подозрительных файлов или незнакомых программ, вашему компьютеру не будут опасны вирусы, не произойдут изменения в настройках системы.

По существу, Windows Sandbox является облегченной виртуальной машиной, изолирующей рабочую среду от «песочницы», обеспечивающей полную безопасность для основной системы.

Основные возможности встроенной Песочницы Windows:

• Запуск системы с чистого лиса — внутри Песочницы запускается «чистая» ОС Windows, в состоянии системы, которая бывает сразу после установки.
• Уничтожение следов — после закрытия Песочницы, удаляются все файлы и установленные приложения, находящиеся внутри Windows Sandbox.
• Безопасность — для запуска Windows внутри Песочницы используется отдельное ядро ОС, изолированное от основной системы.

Виртуальная ОС динамически генерируется на основе реальной Windows, занимает мало места на диске компьютера.

Мы разобрались, что такое Windows Sandbox, теперь возникает вопрос, как запустить этот компонент системы на компьютере.

Системные требования к Песочнице Windows

Для комфортного использования Windows Sandbox в Windows 10, необходимо чтобы компьютер соответствовал определенным системным требованиям:

• ОС Windows 10 Pro, Windows 10 Enterprise, Windows 10 Education, начиная с версии 1903 и позднее.
• Поддержка процессором 64-битной разрядности.
• В BIOS или UEFI должна быть включена виртуализация.
• Не менее 4 ГБ оперативной памяти (рекомендуется — 8 ГБ).
• Не менее 1 ГБ свободного места на диске (рекомендуется использовать SSD диск).
• Двухъядерный процессор (рекомендуется четырехъядерный с поддержкой Hyper-threading).

Имеется возможность для запуска Песочницы Windows из виртуальной машины. Включите виртуализацию процессора в настройках виртуальной машины, созданной в VMware или в VirtualBox. Для включения виртуализации в Hyper-V, выполните команду в Windows PowerShell из виртуальной машины:

На физическом ПК проверьте включена ли виртуализация на данном устройстве:

1. Щелкните правой кнопкой мыши по Панели задач, в контекстном меню выберите «Диспетчер задач».
2. В окне «Диспетчер задач» откройте вкладку «Производительность».
3. В параметрах центрального процессора (ЦП) посмотрите на опцию «Виртуализация».

Если виртуализация отключена, зайдите в настройки BIOS или UEFI для включения этого параметра. Если при включении Windows Sandbox возникает ошибка 0x80070002, установите обновление KB4512941.

Как включить Песочницу в Windows 10 — 1 способ

Теперь нам нужно разобраться с тем, как включить Windows Sandbox в Windows 10. Бесплатная Песочница Windows 10 включается в компонентах операционной системы.

Потребуется войти в Компоненты Windows, для этого выполните следующие действия:

1. Нажмите на клавиши «Win» + «R».
2. В диалоговом окне «Выполнить» введите команду «optionalfeatures» (без кавычек), нажмите на «Enter».

1. В окне «Включение или отключение компонентов Windows» установите флажок напротив пункта «Песочница Windows».
2. Нажмите на кнопку «ОК».

1. Начинатся поиск требуемых файлов, а затем применения изменений.
2. Перезагрузите компьютер для завершения установки компонента.

Как включить Windows Sandbox в Windows 10 — 2 способ

Включить Песочницу Windows можно при помощи Windows PowerShell:

1. Кликните правой кнопкой мыши по меню «Пуск», нажмите на «Windows PowerShell (администратор)».
2. В окне «Windows PowerShell» ведите команду, а затем нажмите на клавишу «Enter»:

1. После завершения выполнения команды, нажмите на клавишу «Y», затем на «Enter», после этого произойдет перезагрузка системы.

Включение Песочницы Windows 10 в командной строке — 3 способ

Сейчас мы включим компонент Windows Sandbox из командной строки.

1. Запустите командную строку от имени администратора.
2. В окне интерпретатора командной строки введите команду, а потом нажмите на клавишу «Enter»:

1. В завершение, появится сообщение о том, что операция успешно завершена, нажмите на клавишу «Y» для выполнения перезагрузки ПК.

Как отключить Песочницу Windows

В случае необходимости пользователь может отключить Песочницу Windows в компонентах системы.

1. Войдите в Компоненты Windows.
2. Снимите флажок напротив пункта «Песочница Windows».
3. Выполните перезагрузку компьютера.

1. Запустите Windows PowerShell от имени администратора.
2. Выполните команду:

1. Дождитесь завершения отключения функций, в диалоге «Вы хотите перезапустить компьютер сейчас для завершения этой операции?» нажмите поочередно на клавиши «Y» и «Enter», перезагрузите ПК.

1. Запустите командную строку от имени администратора.
2. Выполните команду:

1. После завершения удаления компонента, нажмите на клавишу «Y», для запуска перезагрузки компьютера.

Как установить Песочницу в Windows 10 Home (Windows 10 Домашняя)

Пользователи редакции Windows 10 Домашняя оказались обделенными, так как Microsoft посчитала, что подобная функциональная возможность не нужна обычным пользователям.

Существует возможность установки Песочницы Windows 10 в операционную систему Windows 10 Home (Windows 10 Домашняя) 1903 и выше. Ваш ПК должен соответствовать системным требованиям, которые необходимы для работы приложения.

Выполните следующие шаги:

1. Скачайте архив sandbox-installer.zip на свой компьютер.
2. Распакуйте архив средством системы или при помощи стороннего архиватора.
3. Запустите файл «Sandbox Installer.bat».
4. Откроется окно командной строки для установки функции Песочницы Windows на ПК с версией Windows 10 Домашняя.
5. После окончания процесса установки пакетов, нажмите на клавишу «Y» в ответ на запрос, а потом нажмите на «Enter», чтобы перезагрузить компьютер для применения параметров.

В Компонентах Windows появится Песочница Windows, которую можно будет включить в домашней версии системы. Windows Sandbox будет основана на версии Windows Домашняя.

Если «песочница» станет больше не нужна, отключите компонент в настройках операционной системы. Несмотря на установку, этот компонент может не заработать в домашней версии Виндовс.

Корпорация Майкрософт с периодичностью раз в полгода выпускает «большие», «крупные» обновления Windows 10. Фактически это переустановка системы путем обновления. В результате, на компьютере будут отключены функции Windows Sandbox в ОС Windows 10 Home. Поэтому, придется повторить заново процедуру установки Песочницы.

Как запустить Песочницу Windows

Системный компонент установлен на ПК, сейчас я расскажу о том, как запустить Windows Sandbox в Windows 10.

1. Войдите в меню «Пуск».
2. В списке программ найдите «Windows Sandbox».
3. Щелкните по приложению правой кнопкой мыши, сначала выберите «Дополнительно», а затем «Запуск от имени администратора».

На Рабочем столе компьютера появится логотип приложения, а затем откроется окно «Песочница Windows».

Использование Песочницы Windows

Внутри вашей ОС на Рабочем столе работает «чистая» Windows 10. Версия системы, запускаемая в виртуальной среде, всегда соответствует Windows, установленной на компьютере. По умолчанию, в Песочнице установлены приложения, входящие в поставку операционной системы.

Теперь, для тестирования можно установить нужную программу, скачав приложение из интернета в самой «песочнице», используя виртуальную систему, или скопировать файл с ПК, а затем вставить его в Windows Sandbox из хост-системы (основной ОС). На ПК работает только одна копия Песочницы Windows.

Приложение Песочница Windows можно развернуть на весь экран. В развернутом окне, в верхней части находится панель для управления изолированной средой.

После закрытия Песочницы Windows, все содержимое будет безвозвратно потеряно. На экране откроется окно с предупреждением об удалении всех данных без возможности восстановления.

Для создания конфигурационных файлов (WSB) Песочницы Windows создана бесплатная программа Windows Sandbox Editor, в которой можно настроить работу компонента в безопасной среде.

Выводы статьи

В Windows 10, начиная с версии 1903, встроен системный компонент — Песочница Windows, предназначенная для запуска файлов в безопасном окружении виртуальной среды, изолированной от основной системы, установленной на компьютере. После включения компонента, пользователь сможет безопасно запускать файлы и программы, без риска для своего компьютера. После завершения работы, все данные внутри Песочницы уничтожаются, без возможности восстановления.