Ако често изтегляте програми, отваряте прикачени файлове към имейли или изпробвате инструменти от съмнителни източници, имайки... безопасна и еднократна среда в Windows Това е почти задължително. Тук се намесва Windows Sandbox, функция, вградена в професионалните издания на Windows, която ви позволява да изпълнявате тестове, без да компрометирате основната си система.
С Windows Sandbox можете да стартирате Чист, виртуален и временен WindowsИзползвайте го сякаш е ваш собствен десктоп и когато го затворите, ще загубите абсолютно всичко, което се е случило вътре. Без остатъци от софтуер, без настройки, без упорит зловреден софтуер: все едно започвате с чисто нова, девствена система всеки път, когато я отваряте.
Какво е Windows Sandbox и как работи неговата изолация?
Windows Sandbox, наречен на испански Пясъчник на Windows (WSB)Това е лека десктоп среда, която работи във вашата собствена система, използвайки хардуерна виртуализация. На практика е подобно на това да имате виртуална машина, но без да е необходимо да инсталирате допълнителна операционна система или да се справяте със сложни конфигурации.
Това изолирано пространство разчита на хипервизора на Microsoft и хардуерно-базирана виртуализация за изолиране на ядротоС други думи, операционната система, работеща в пясъчникa (Sandbox), има собствено ядро, отделно от основната ви Windows система, което драстично намалява възможността злонамерена програма да избяга към хоста.
Едно от големите му предимства е, че е среда еднократни и ефимерниВсеки път, когато го отворите, се създава нов, чист екземпляр, сякаш сте инсталирали Windows от нулата веднага. Веднага щом затворите прозореца, всички промени, файлове и настройки, които сте приложили, се отхвърлят.
Софтуерът, който сте инсталирали на основната си система Не се копира автоматично в пясъчника.Всичко, което искате да използвате в изолираното пространство, ще трябва да бъде изрично инсталирано там или копирано от хоста, използвайки клипборда или присвоените папки. Това е част от изолацията: нищо не се споделя, освен ако не изберете да го разрешите.
За да постигне много бързо време за зареждане и да намали потреблението на ресурси, Windows Sandbox използва техники на оптимизация на паметта и минимална средаТова не е тежка виртуална машина с десетки гигабайта резервирано дисково пространство, а лека инстанция, която се създава в движение с максимум около 4 GB памет по подразбиране и виртуално хранилище, което не се запазва.
Основни характеристики на Windows Sandbox
Едно от най-интересните неща за тази функция е, че Това е част от самия Windows. В професионалните издания не е необходимо да изтегляте ISO изображения или мениджъри на виртуални машини от трети страни. Ако имате съвместимо издание, всичко, което трябва да направите, е да активирате функцията и сте готови.
Околната среда е напълно чист при всяко изпълнениеВсеки път, когато стартирате Windows Sandbox, се създава нова инсталация без допълнителен софтуер, без остатъци от предишни конфигурации и без предишни модификации. Това е идеално, ако искате да тествате програма „сякаш за първи път“, без библиотеки или данни, които биха могли да повлияят на резултата.
Друг ключов елемент е сигурността. Изолацията се постига чрез комбиниране виртуализация, AppContainer (в режим на защитен клиент) и стриктно разделение между процеси, мрежи, устройства и идентификационни данни. По този начин, дори ако стартирате зловреден софтуер в пясъчната кутия, шансовете му да засегне хоста са минимални.
Производителността е доста добра. Windows Sandbox обикновено отнема известно време. Стартирането отнема само няколко секунди.Когато е активиран, той използва виртуален графичен процесор (vGPU) на x64 системи и управлява паметта ефективно, за да избегне прекомерна консумация на ресурси. Макар и да не е толкова лек, колкото оригиналното приложение, той се представя значително по-добре от традиционна, ресурсоемка виртуална машина.
И накрая, той е проектиран така, че всеки потребител да може да го използва, без да е експерт. С едно просто кликване можете отварят напълно нова среда за тестване на инсталатори, посещение на подозрителни уебсайтове или изпълнение на скриптове. А ако имате повече технически познания, можете да го настроите фино, като използвате .wsb конфигурационни файлове.
Практическо приложение на изолацията на пясъчник в Windows
Един от най-често срещаните случаи на употреба е наличието на чиста среда за тестване на нов софтуерРазработчици, техници по поддръжка или напреднали потребители могат да инсталират бета версии, тестови компилации или малко известни програми, без да „затрупват“ реалната си система.
Също така е много удобно за извършване на по-безопасно сърфиране в интернет Когато имате нужда от достъп до съмнителни уебсайтове, потенциално опасни файлове за изтегляне или портали, на които не се доверявате, отваряте Sandbox, разглеждате с вградения браузър и ако нещо се обърка, просто затваряте прозореца и всичко изчезва.
Изолацията е особено полезна при отваряне ненадеждни прикачени файлове и изпълними файловеКато например документи, които получавате по имейл от неизвестни податели, или преносими помощни програми, изтеглени от форуми. Можете да копирате файла в пясъчника, да го отворите там и ако се окаже злонамерен, той ще бъде блокиран в тази среда.
Друг много практичен сценарий е първият контакт с нови програми, добавки или разширенияПреди да инсталирате нещо на основната си Windows система, можете да го тествате в пясъчник (Sandbox), да проверите как се държи и да решите дали си струва да го интегрирате в ежедневната си работна система.
И накрая, много разработчици се възползват от пясъчник, за да поддържат множество добре разделени тестови средиНапример, можете да го използвате, за да тествате различни версии на Python с различни зависимости или различни комбинации от библиотеки и конфигурации, без да е необходимо да настройвате множество постоянни виртуални машини.
Съвместими издания и лицензиране на Windows
За да използвате тази функция, е необходимо да имате Професионално или образователно издание на WindowsWindows Sandbox е наличен в Windows Pro, Windows Enterprise, Windows Pro Education/SE и Windows Education, включително еквивалентните им варианти в Windows 11.
Лицензите, които предоставят правото за използване на Windows Sandbox, включват Windows Pro и Pro Education/SEкакто и абонаменти за Windows Enterprise E3 и E5 и образователни издания за Windows Education A3 и A5. На практика, ако компютърът ви е доставен с Pro версия или сте в корпоративна среда с Enterprise, би трябвало да можете да я активирате.
Ако използвате Windows Home, няма да можете да активирате Windows Sandbox директно. В тези случаи алтернативата би била да използвате... класически решения за виртуализация (Hyper-V, VirtualBox, VMware и др.), но ще загубите лесната интеграция и възможността за еднократна употреба с едно щракване, които тази функция предлага.
Изисквания за хардуер и виртуализация
Освен че трябва да имате правилната версия на Windows, вашият компютър трябва да отговаря на редица изисквания. минимални изисквания за хардуер и виртуализация за да работи изолацията на пясъчникa правилно и сигурно.
От една страна, 64-битов процесор с поддръжка на виртуализация и поне две физически ядра; Microsoft препоръчва четири ядра с hyperthreading за по-добра производителност. На практика повечето процесори, пуснати през последните години, отговарят на тези изисквания без проблем.
Що се отнася до паметта, системата се нуждае минимум 4 GB RAM За да може да се стартира Windows Sandbox, въпреки че за безпроблемно преживяване се препоръчва да имате 8 GB или повече, особено ако работите с тежки приложения едновременно на хоста и в изолирана среда.
Поне що се отнася до съхранението 1 GB свободно дисково пространствоВ идеалния случай SSD трябва да се използва за по-бързо създаване и унищожаване на среда и за по-плавни вътрешни операции. „Sandboxing“ не създава традиционен постоянен твърд диск, но изисква временно пространство.
Накрая, задължително е Опциите за виртуализация трябва да бъдат активирани в BIOS или UEFI на вашия компютър (Intel VT-x/VT-d, AMD-V и др.). Това е основата, която Hyper-V използва за създаване на отделна хардуерна среда. Ако виртуализацията е деактивирана, пясъчникът няма да се стартира.
Как да активирате виртуализацията в BIOS
За да бъде ефективна изолацията на пясъчната кутия, Windows разчита на Hyper-V и виртуализация на хардуера на процесораВъпреки че много процесори имат тази функция активирана по подразбиране, в други случаи е необходимо да я активирате ръчно от BIOS или UEFI.
Конкретният процес зависи от производителя на вашата дънна платка, но като цяло ще трябва достъп до BIOS при включване на компютъраТова обикновено се прави чрез натискане на клавиши като Delete, F2, F10 или F12 веднага при стартиране. Някои лаптопи показват съобщение на екрана, указващо кой клавиш да се използва.
След като влезете вътре, трябва да потърсите секцията, свързана с Процесор, разширена сигурност или системна конфигурациякъдето обикновено се намира опцията за виртуализация. Точното наименование варира: Виртуализация, Intel Virtualization Technology, VT-x, VT-d, SVM, VM Monitor Mode Extensions, Hyper-V, RVI и др.
След като намерите тази опция, уверете се, че е активирана. Запазете промените от съответното меню („Запазване и изход“ или подобно) и оставете компютъра да се рестартира, за да се активира виртуализацията на хардуерно ниво.
Имайте предвид, че някои процесори интегрират виртуализация, без да позволяват модификация от BIOS, така че Няма да видите никакви опции, но функционалността вече ще бъде активирана.В тези случаи, ако отговаряте на другите изисквания, Windows Sandbox би трябвало да работи.
Как да активирате Windows Sandbox в Windows
След като потвърдите, че вашата версия на Windows е съвместима и че виртуализацията е готова, следващата стъпка е Активирайте функцията Windows Sandbox, тъй като е деактивирано по подразбиране в системата.
За да направите това, отворете лентата за търсене на Windows и започнете да пишете „Включване или изключване на функциите на Windows“. Когато се появи резултатът, щракнете върху него и ще се отвори прозорец със списък с допълнителни системни функции, които можете да активирате или деактивирате.
В този списък намерете записа „Windows Sandbox“Поставете отметка в квадратчето отляво и потвърдете промените. Windows ще изтегли и конфигурира необходимите компоненти; този процес може да отнеме няколко минути, в зависимост от скоростта на компютъра ви.
В края на инсталацията системата ще ви попита Рестартирайте компютъра си За да приложите новата функция, приемете рестартирането и когато компютърът ви се стартира отново, Windows Sandbox ще бъде наличен сред вашите приложения.
От този момент нататък просто потърсете „Windows Sandbox“ в менюто „Старт“ или полето за търсене, за да стартирате пясъчника. Ще видите отворен прозорец с чист работен плот на Windows, отделен от вашия собствен.
Настройки по подразбиране за изолация на пясъчник
Ако стартирате Windows Sandbox без персонализирани конфигурационни файлове, средата се създава с параметри по подразбиране, предназначени да балансират безопасността и комфортаОграничението на паметта е зададено на 4 GB и са активирани някои основни интеграции с хоста.
В x64 системи, които не са базирани на ARM, виртуалният графичен процесор (vGPU) обикновено е включен. активирано по подразбиранеТова ви позволява да се възползвате от графичното ускорение на хост системата в рамките на пясъчната кутия. Това подобрява производителността на интерфейса и някои приложения, въпреки че леко увеличава повърхността за атака.
На мрежово ниво, пясъчникът започва с свързаността е активирана Това се постига чрез виртуален Hyper-V комутатор и свързана виртуална мрежова карта (NIC). Това ви позволява да сърфирате в интернет, да изтегляте инсталатори или да осъществявате достъп до онлайн ресурси директно от изолираната среда.
Аудио входът (микрофон) обикновено е активиран, което позволява на вътрешните приложения да записват звук от хоста, ако е необходимо. Въпреки това, видео вход (камера) Той е деактивиран, за да се предотврати неконтролируем достъп на приложения в пясъчника до уеб камерата на компютъра.
От съображения за сигурност пренасочването на принтера остава деактивирано, докато Споделеният буфер е активиранТази последна функция ви позволява да копирате и поставяте текст и файлове между нормалния си Windows и пясъчника доста удобно.
.wsb файлове: разширени настройки за изолация
Ако искате да направите още една крачка напред, Windows Sandbox поддържа конфигурационни файлове с разширение .wsbТези файлове, написани в опростен XML формат, ви позволяват да персонализирате поведението на изолираната среда, без да е необходимо да докосвате разширени вътрешни системни опции.
Един основен .wsb файл се състои от коренен таг и неговото закриване Тези настройки включват различни конфигурационни блокове. Освен всичко друго, можете да контролирате използването на vGPU, мрежата, споделените папки, командите за стартиране, аудиото, видеото, подобрената сигурност, принтерите, клипборда и разпределената памет.
За да създадете такъв, просто отворете текстов редактор, например Notepad или Visual Studio CodeНапишете необходимата ви конфигурационна структура и запазете документа с разширението .wsb (например „MySandbox.wsb“). Важно е при запазване в Notepad да включите името в кавички, за да се съобрази разширението.
Когато искате да стартирате пясъчник с тази специфична конфигурация, просто трябва да щракнете двукратно върху .wsb файлаWindows ще отвори пясъчник, прилагайки всички параметри, които сте дефинирали във файла. Можете също да го стартирате от командния ред, като въведете пътя до файла.
Тази система улеснява създаването на няколко „шаблона“ от изолирани пространства, например един с деактивирана мрежа и папка за изтегляния само за четене, друг с повече памет за интензивно тестване или трети със стартов скрипт, който автоматизира инсталирането на софтуер всеки път.
Най-важните опции за конфигурация
Един от ключовете към .wsb файла е директивата което позволява активиране или деактивиране на виртуализирания графичен процесорИзползването на „Enable“ дава на Sandbox достъп до графичното ускорение на хоста, докато „Disable“ налага използването на софтуерно рендериране (WARP), което е по-сигурно, но като цяло по-бавно.
Етикетът Контролира поведението на мрежата. С „Enable“ задавате пълна свързаност; с „Disable“ създавате пълна пясъчник Когато е изключен, е идеално място за стартиране на зловреден софтуер. които се опитват да комуникират с външния свят; а с „По подразбиране“ се прилага стандартната конфигурация, която позволява работа в мрежа чрез виртуален комутатор Hyper-V.
Чрез Можете да укажете колекция от папки на хостове, които да бъдат споделени с пясъчната кутия. Всяка включва пътя на хоста ( ), целевата папка в пясъчника ( ) и, по избор, етикет за да се установи достъп само за четене или за четене/писане.
С и можете да дефинирате команда или скрипт, който се изпълнява автоматично когато сесията стартира в пясъчник. Това е много полезно за стартиране на инсталатори, конфигурационни скриптове или инструменти за тестване, без да се налага да го правите ръчно при всяко стартиране.
Освен това имате опции за управление на аудио входа ( ), видео ( ), защитен клиентски режим ( ), пренасочване на принтера ( ) и клипборда ( ), като по този начин регулирате баланса между комфорт и изолация според това, от което се нуждаете във всеки сценарий.
Настройка на паметта и ресурсите на пясъчникa
Етикетът ви позволява да посочите количество RAM, което пясъчникът може да използва, изразено в мегабайти. Например, 4096 за 4 GB, 8192 за 8 GB, 12288 за 12 GB или 16384 за 16 GB, при условие че вашият хардуер разполага с достатъчно памет.
Ако зададете стойност, която е твърде ниска за стартиране на пясъчник, Windows автоматично ще увеличи числото, докато достигне минималното техническо изискване, което обикновено е 2048 MBВъпреки това е препоръчително да не се подценяват изискванията, за да се избегне забавяне при стартиране на взискателни приложения.
Имайте предвид, че паметта, разпределена за пясъчника, временно се изважда от наличната памет на хоста, така че е препоръчително да... Регулирайте стойността въз основа на действително инсталираната RAM паметНапример, на компютър с 8 GB може да е разумно да се разпределят 4096 MB, за да не се ограничи твърде много основната система.
Комбиниране С vGPU и мрежова конфигурация можете да изградите различни профили на употреба: от лека и ултрасигурна среда, с деактивирана мрежа и графичен процесор, до мощна пясъчник (Sandbox) с много ресурси, запазени за взискателни тестове.
Това ниво на контрол прави Windows Sandbox доста гъвкав инструмент, способен да се адаптира и към двете потребители, които просто искат бърз „пясъчник“ както и професионалисти, които трябва да възпроизведат много специфични тестови среди.
Благодарение на този подход, Windows Sandbox се превърна в един от най-лесните начини за Конфигурирайте реална изолация за тестване в Windows, съчетавайки удобството на интегриране в системата с надеждността на хардуерната изолация и гъвкавостта на .wsb конфигурационните файлове.
