Настройка Windows Sandbox в Windows 10

setup-windows-sandbox

Изображение: экран с настройками Windows и значком песочницы, иллюстрация шага настройки

Что такое Windows Sandbox?

Windows Sandbox — это временная изолированная виртуальная среда на основе Hyper‑V. Это чистая копия вашей текущей версии Windows, которая создаётся при запуске и уничтожается при закрытии. Вы можете запускать в ней сомнительные программы, проверять инсталляторы и экспериментировать с настройками, не затрагивая основную систему.

Определение в одну строку: Windows Sandbox — изолированная среда для одноразового безопасного тестирования приложений.

Как работает Windows Sandbox?

Windows Sandbox объединяет несколько технологий виртуализации и оптимизаций для лёгкого и быстрого запуска:

Динамическое создание образа. Sandbox не хранит отдельный полноценный образ ОС на диске. Он генерирует лёгкий динамический образ на основе текущей установки и последних обновлений.
Умное распределение памяти. Память выделяется динамически между хостом и песочницей, чтобы минимизировать влияние на основную систему.
Снимки и клонирование. Используются технологии снимков (snapshot) и клонирования для быстрого восстановления состояния без полной загрузки образа.
Аппаратная виртуализация графики. Виртуализация GPU делает интерфейс в песочнице отзывчивым и ближе к поведению хоста.

Эти приёмы позволяют запускать чистую копию Windows быстро и без лишних затрат пространства на диске.

Требования к системе

Факты и рекомендации:

Минимум: 64‑бит процессор, 4 ГБ ОЗУ, 1 ГБ свободного места на диске, 2 ядра CPU.
Рекомендации Microsoft: 8 ГБ RAM, SSD, 4 ядра с поддержкой гиперпоточности.
Доступность: Windows 10 Pro или Enterprise с обновлением May 2019 (версия 1903) или сборкой Insider 18305 и выше. Windows 10 Home не поддерживается по умолчанию.
Необходимая опция: аппаратная виртуализация включена в BIOS/UEFI (Intel VT‑x или AMD‑V).

Важно: прежде чем менять настройки BIOS, сохраните рабочие данные и следуйте официальной документации производителя материнской платы.

Как проверить, включена ли виртуализация

Нажмите Пуск и введите “task” или “диспетчер задач”. Откройте Диспетчер задач.
Перейдите на вкладку “Производительность”.
В правой части окна найдите строку “Виртуализация” — там будет указано “Включено” или “Отключено”.

task manager virtualization on

Изображение: окно Диспетчера задач на вкладке Производительность с отмеченной строкой Виртуализация

Если она отключена, перезагрузите компьютер и включите виртуализацию в BIOS/UEFI.

Примечание: в BIOS/UEFI это может называться Intel Virtualization Technology, VT‑x, Vanderpool, AMD‑V или SVM. Инструкции зависят от производителя.

Как включить Hyper‑V и компонент Windows Sandbox

Нажмите Пуск и введите “включение или отключение компонентов Windows” (Windows Features).
В списке компонентов поставьте галочку на “Hyper‑V” — вложенные опции отметятся автоматически.
Ниже найдите и отметьте “Windows Sandbox”.
Подтвердите и перезагрузите систему.

turn on windows sandbox windows features

Изображение: окно компонентов Windows со включёнными Hyper‑V и Windows Sandbox

После перезагрузки откройте меню Пуск и введите “Windows Sandbox”. Приложение появится в результатах поиска.

Запуск и поведение песочницы

При первом запуске Windows Sandbox создаёт чистую временную копию вашей версии Windows. Она использует те же обновления, что и хост. Любые изменения, установленные приложения или файлы, исчезают после закрытия окна.

Порядок безопасного тестирования ПО:

Скопируйте установочный файл в окно песочницы (через копировать/вставить или общий буфер).
Запустите установщик и проверьте поведение.
Используйте Диспетчер задач и сетевые инструменты для мониторинга подозрительной активности.
Закройте песочницу — все изменения будут удалены.

Запуск Windows Sandbox внутри виртуальной машины (nested virtualization)

Если вы хотите использовать Windows Sandbox внутри виртуальной машины (VM), нужно включить вложенную виртуализацию.

В гостевой виртуальной машине (VM) выполните PowerShell от имени администратора и запустите:

Set-VMProcessor -VMName  -ExposeVirtualizationExtensions $true

Замените на имя вашей виртуальной машины. После перезагрузки гостевой ОС пункт Windows Sandbox должен стать доступен.

Важно: не все гипервизоры корректно поддерживают nested virtualization. Проверьте документацию платформы (Hyper‑V, VMware, Hypervisor host).

Windows 10 Home: вариант с патчем (рискованно)

Windows Sandbox официально недоступен в Home‑редакции. Существуют неофициальные патчи и моды (например, сообщества вроде Deskmodder), которые пытаются включить компонент в Home. Это нестандартный путь — результаты непредсказуемы.

Важно: если решите экспериментировать, обязательно сделайте полную резервную копию системы и точку восстановления. Явного обновления безопасности от Microsoft для таких патчей нет.

Когда Windows Sandbox не подойдёт — ограничения и контрпримеры

Если у вас Windows 10 Home и вы не хотите применять патчи, Sandbox недоступен.
На слабых машинах с 4 ГБ RAM производительность хоста и песочницы будет низкой.
Если ваше ПО требует специфического оборудования (USB‑dongle, GPU‑ускорение вне виртуализации), оно может не работать.
Некоторые инструменты защиты (например, Device Guard, Credential Guard) могут конфликтовать с Hyper‑V.

Альтернатива в таких случаях: виртуальные машины в VirtualBox/VMware, специальные средства типа Sandboxie или Windows Defender Application Guard (для изоляции браузера).

Риски и меры безопасности

Риск: если вы используете непроверенные патчи или сторонние модификации, возможна потеря данных или нарушение стабильности.

Митигации:

Всегда делайте бэкап перед экспериментами.
Не монтируйте важные сетевые папки и диски в песочнице.
Не вводите в песочницу пароли или учётные данные, к которым привязана основная система.
Используйте сетевой мониторинг при анализе сомнительного ПО.

Важно: Windows Sandbox — средство для анализа, а не полноценный инструмент для долгосрочной изоляции.

Практическое руководство (SOP) для тестирования ПО в Windows Sandbox

Шаг 1 — Подготовка:

Убедитесь, что выполнены требования (виртуализация, Hyper‑V, версия Windows).
Сделайте точку восстановления хоста.

Шаг 2 — Создание окружения:

Запустите Windows Sandbox из меню Пуск.
Настройте ограничения сети при необходимости (отключите сеть для оффлайн тестов).

Шаг 3 — Тестирование:

Перед запуском выполните контрольную сумму установщика на хосте и перенесите файл в песочницу.
Запустите установщик и наблюдайте процесс.
Используйте диспетчер задач/Process Explorer и сетевые инструменты внутри песочницы.

Шаг 4 — Анализ:

Сравните поведение с контрольными ожиданиями (время установки, создаваемые процессы, сетевые подключения).
Зафиксируйте выводы в журнале тестирования.

Шаг 5 — Завершение:

Закройте песочницу, чтобы уничтожить изменённое окружение.
При необходимости повторите эксперимент с другими параметрами.

Критерии приёмки

Песочница запускается без ошибок и открывает чистую рабочую среду.
Тестируемое ПО не изменило ничего на хосте (проверяем по контрольным файлам и реестру хоста).
Нет неожиданных исходящих сетевых подключений от песочницы к внешним ресурсам, если сеть была отключена — тест не пройден.

Чек‑лист по ролям

Администратор:

Проверить совместимость оборудования и централизованную политику безопасности.
Документировать включение Hyper‑V и правила использования Sandbox.

Разработчик/тестер:

Настроить сценарии тестирования, сохранить логи из песочницы.
Использовать изолированные окружения для проверки установщиков.

Обычный пользователь:

Использовать Sandbox для открытия подозрительных файлов и запуска скачанных утилит.
Не пытаться модифицировать системные настройки песочницы.

Сравнение: Windows Sandbox vs VirtualBox/VMware vs Sandboxie

Windows Sandbox: быстрое создание чистой среды, интегрировано в Windows, одноразовое окружение. Хорошо для быстрых проверок.
VirtualBox/VMware: полнофункциональные VM с возможностью постоянных снимков, сложных сетевых конфигураций, больше контроля. Подходит для сложных тестов и воспроизводимых окружений.
Sandboxie (и аналоги): изолирует отдельные приложения в пользовательской сессии, легче по ресурсам, но обеспечивает другой тип изоляции.

Выбор зависит от сценария: кратковременный анализ — Sandbox, долгосрочное тестирование и воспроизводимость — VM.

Подсказки и полезные приёмы (cheat sheet)

Быстрый запуск: Пуск → введите “Windows Sandbox” → Enter.
Отключение сети: перед запуском настраивайте сетевые параметры хоста или используйте брандмауэр.
Логи: собирайте логи и снимки процессов внутри песочницы для последующего анализа.
Nested virtualization: Set-VMProcessor как указано выше.

Совместимость и советы по обновлениям

Обновления Windows влияют на поведение Sandbox: при крупных обновлениях компонент может меняться. Следите за обновлениями Windows и изменениями в документации Microsoft.
Если песочница исчезла после обновления, проверьте компоненты Windows и повторно включите Hyper‑V/Windows Sandbox.

Краткое резюме

Windows Sandbox — быстрый и безопасный способ проверить программы в изолированном окружении в Windows 10 Pro/Enterprise. Он прост в настройке: включите виртуализацию в BIOS, активируйте Hyper‑V и компонент Sandbox, перезагрузите систему. Для пользователей Home доступны неофициальные патчи, но они несут риски и требуют резервного копирования. Для сложных или постоянных тестовых сред лучше использовать полнофункциональные виртуальные машины.

Важно: всегда делайте бэкап перед экспериментами и не используйте песочницу для постоянного хранения данных.

Короткий чек‑лист для старта: