Как настроить Windows Sandbox в Windows 10

Windows постоянно получает новые функции, но не все из них одинаково полезны или стабильны. Появление встроенного Windows Sandbox вызвало большой интерес, потому что раньше для изолированной проверки программ приходилось пользоваться сторонними инструментами. Встроенная песочница может быть проще и безопаснее для большинства задач.

В этом руководстве подробно разъяснено, что такое Windows Sandbox, как он работает, какие требования и ограничения есть, а также даны практические шаги по включению и использованию — в том числе внутри виртуальной машины и на Windows 10 Home через неофициальные патчи.

Что такое Windows Sandbox?

Windows Sandbox — это временная изолированная виртуальная среда (песочница). Пока она запущена, вы получаете чистую копию Windows, и любые изменения внутри песочницы не влияют на основную систему. При закрытии все сделанные изменения удаляются.

Определение в одну строку: Windows Sandbox — безопасная временная машина для тестирования приложений без риска повредить основной Windows.

Как это работает

Windows Sandbox основан на нескольких технологиях виртуализации и оптимизации:

• Динамическая генерация образа. Песочница использует служебный образ созданный на основе хоста, но при этом каждый запуск получает «чистую» установку с актуальными обновлениями без хранения отдельного полного образа на диске.

• Умное управление памятью. Песочница динамически перераспределяет память между хостом и гостевой средой, чтобы минимизировать влияние на производительность основной системы.

• Снапшот и клоны. Технологии snapshot и clone позволяют сохранить состояние среды и быстро разворачивать его повторно, снижая нагрузку на дисковую подсистему и ускоряя запуск.

• Улучшённая виртуализация графики. Для пользователей важна плавность UI: Windows Sandbox использует ускорение графики хоста, чтобы интерфейс был отзывчивым и знакомым.

Требования к системе

Windows Sandbox доступен не на всех версиях Windows 10. Формальные требования:

• Windows 10 Pro, Enterprise или Education с обновлением May 2019 (версия 1903) или выше. Для инсайдерских сборок — 18305 и выше.
• 64-битный процессор.
• Включённая аппаратная виртуализация в BIOS/UEFI.
• Минимум 4 ГБ оперативной памяти (Microsoft рекомендует 8 ГБ).
• Не менее 1 ГБ свободного места на диске (Microsoft рекомендует SSD).
• Минимум 2 физических ядра CPU (рекомендуются 4 с гиперпоточностью).

Важно: по умолчанию Windows 10 Home не поддерживает Windows Sandbox.

Как проверить, включена ли виртуализация

Есть быстрый способ убедиться, что виртуализация включена:

1. Нажмите Пуск и введите task, затем откройте Диспетчер задач.
2. Перейдите на вкладку Производительность и найдите строку Virtualization. Там будет указано Enabled или Disabled.

Если значится Disabled, войдите в BIOS/UEFI и включите аппаратную виртуализацию (имена опций: Intel VT-x, AMD-V, SVM или Virtualization Technology). Инструкции по входу в BIOS обычно находятся в документации к материнской плате или ноутбуку.

Примечание: после включения виртуализации требуется перезагрузка.

Включение Hyper-V и функции Windows Sandbox

Hyper-V — встроенная виртуализация в Windows. Она используется для создания среды Sandbox и должна быть включена.

1. Нажмите Пуск и введите windows features, затем откройте «Включение или отключение компонентов Windows».
2. Найдите и отметьте пункт Hyper-V (включит вложенные опции автоматически).
3. Ниже отметьте Windows Sandbox.
4. Нажмите OK и перезагрузите систему.

После перезагрузки Windows Sandbox появится в поиске меню Пуск.

Как получить доступ и запустить Windows Sandbox

1. Нажмите Пуск и введите windows sandbox.
2. Откройте найденное приложение Windows Sandbox.

Каждый запуск создаёт чистую среду с теми же обновлениями, что и у хоста. По завершении работы закройте окно песочницы — все изменения будут удалены.

Важно: песочница предназначена для кратковременного тестирования. Для долгосрочных экспериментов используйте полноценные виртуальные машины с сохранением состояния.

Использование Windows Sandbox внутри виртуальной машины (nested virtualization)

Чтобы запустить Windows Sandbox внутри гипервизора (например, если основной хост сам является виртуальной машиной), нужно включить nested virtualization для гостевой машины.

В гостевой виртуальной машине запустите PowerShell от имени администратора и выполните команду, заменив на имя виртуальной машины хоста:

Set-VMProcessor -VMName  -ExposeVirtualizationExtensions $true

После перезагрузки гостевой машины опция Windows Sandbox станет доступной для запуска.

Критерий успеха: после настройки в гостевой системе в меню Пуск появится Windows Sandbox и он запустится без аварий.

Как попробовать Windows Sandbox на Windows 10 Home

По умолчанию Windows Sandbox недоступен для Home. Существуют неофициальные патчи, которые модифицируют системные файлы, чтобы добавить поддержку Sandbox в Home-издания.

Важно: такие модификации несут риск. Возможные проблемы:

• Нарушение работоспособности обновлений Windows.
• Потеря гарантии или снижение стабильности системы.
• Риск безопасности при использовании сторонних патчей.

Если всё же решаете попробовать: сначала сделайте полный образ системы (резервную копию), внимательно читайте инструкции разработчика патча и проверяйте отзывы сообщества. Лучше использовать виртуальную машину с резервной копией, чем патчить рабочую систему.

Альтернативные подходы и инструменты

Если Windows Sandbox недоступен или вы хотите другие возможности, рассмотрите альтернативы:

• Полноценные гипервизоры: VMware Workstation, Oracle VM VirtualBox — подходят для длительных тестов и сложных сетевых сценариев.
• Контейнеры: Docker для Windows — быстрый запуск приложений в изоляции, особенно для серверных или контейнеризованных приложений.
• Сторонние песочницы: Sandboxie Plus — лёгкая изоляция приложений на уровне процессов.

Выбор зависит от задачи: для одноразовой проверки установщика Sandbox удобен; для отладки сложной сетевой среды лучше гипервизор.

Когда Windows Sandbox не подойдёт

• Вам нужно сохранить состояние между сессиями — Sandbox не сохраняет изменения.
• Нужна поддержка старых или специфичных аппаратных устройств, которые не виртуализируются.
• Требуется сложная сеть с несколькими виртуальными машинами и контейнерами.

В этих случаях используйте полноценную виртуальную машину или контейнерную платформу.

Рекомендации по безопасности и жёсткая настройка

• Запускайте подозрительные исполняемые файлы только внутри Sandbox.
• Не подключайте к песочнице внешние съёмные диски, если не уверены в их чистоте.
• Для тестирования сетевых угроз работайте в изолированной сети или используйте виртуальные сетевые адаптеры.
• После работы проводите аудит логов и проверяйте систему на признаки изменений.

Дополнительная жёсткая настройка:

• Ограничьте права учётной записи, запускающей Sandbox.
• Включите автоматическое шифрование диска на хосте (BitLocker).
• Следите за обновлениями Windows и Hyper-V, чтобы иметь актуальные патчи безопасности.

Мини-методология для безопасного тестирования приложений

1. Сделайте снимок (резервную копию) хоста при критичных условиях.
2. Запустите Windows Sandbox и перенесите тестируемый файл внутрь (через перетаскивание или общий диск).
3. Выполните тест: установка, запуск, мониторинг сети и процессов.
4. Зафиксируйте наблюдения: поведение, изменения в реестре, открытые порты.
5. Закройте Sandbox. Все изменения будут уничтожены.
6. При необходимости повторите тест в разных конфигурациях.

Рольные чеклисты

Администратор:

• Убедиться в совместимости оборудования и включённой виртуализации.
• Включить Hyper-V и Windows Sandbox через компоненты Windows.
• Настроить политики безопасности и резервное копирование.

Разработчик:

• Использовать Sandbox для тестирования неподписанных сборок и инсталляторов.
• Проверять сетевое поведение и зависимости.
• Документировать шаги и результаты тестов.

Тестировщик безопасности:

• Запускать вредоносные образцы только в изолированной сети.
• Логировать системные вызовы и сетевую активность.
• Проводить сравнение снапшотов до и после теста.

Критерии приёмки

• Sandbox успешно запускается и показывает чистую среду.
• Тестируемое приложение не повлияло на хост после закрытия песочницы.
• При запуске внутри виртуальной машины включена nested virtualization и Sandbox доступен.
• После выполнения сценария журналы не содержат следов утечек из песочницы на хост.

Краткий словарь терминов

• Песочница: изолированная среда для тестирования программ.
• Hyper-V: встроенный гипервизор Microsoft.
• Nested virtualization: запуск виртуализации внутри виртуальной машины.
• Snapshot: снимок состояния виртуальной среды для быстрого восстановления.

Заключение

Windows Sandbox — удобный встроенный инструмент для быстрого и безопасного тестирования приложений в Windows 10 Pro/Enterprise. Он экономит время по сравнению с созданием полноценных виртуальных машин, но имеет ограничения: не сохраняет состояние и требует поддержки аппаратной виртуализации. Для сложных сценариев остаются гипервизоры и контейнеры.

Если вы не уверены, начните с Sandbox для одноразовых проверок, а для длительной работы используйте полноценные виртуальные машины.

Часто задаваемые вопросы

Поддерживается ли Windows Sandbox на Windows 10 Home?

По умолчанию нет. Существуют неофициальные патчи, но их использование несёт риск. Рекомендуется обновиться до Pro или использовать виртуальную машину.

Нужно ли удалять что-то вручную после закрытия песочницы?

Нет. При закрытии все изменения внутри Windows Sandbox автоматически удаляются.

Можно ли запускать Windows Sandbox внутри виртуальной машины?

Да, при включённой nested virtualization и настройке параметров виртуальной машины.