Windows Sandbox в Windows 10: как включить и безопасно использовать

Windows Sandbox — лёгкая виртуальная среда в Windows 10 Pro/Enterprise/Education, предназначенная для быстрого безопасного тестирования программ и файлов. В этой статье подробно описано, как включить Sandbox, настроить вложенную виртуализацию, использовать его и какие есть альтернативы и ограничения.

Important: Windows Sandbox недоступен в Windows 10 Home. Для работы требуется включённая аппаратная виртуализация.

Быстрые ссылки

• Что такое Sandbox?
• Как получить Sandbox?
• Шаг 1: Убедиться, что включена виртуализация
• Шаг 2: Включить вложенную виртуализацию (при необходимости)
• Шаг 3: Включить компонент Windows Sandbox
• Как запускать и работать в Sandbox
• Когда Sandbox не подходит и альтернативы
• Чеклисты, тесты и рекомендации

Что такое Sandbox?

Windows Sandbox — это лёгкая изолированная среда, сочетающая черты приложения и виртуальной машины. Она динамически создаёт чистую копию вашей текущей версии Windows, позволяя запускать неизвестные или подозрительные программы в изолированном контейнере. При закрытии Sandbox всю её среду автоматически уничтожают — ни один файл или изменение не попадают в основную систему.

Короткое определение: Sandbox — это времённая чистая копия вашей Windows для безопасного тестирования программ.

Как получить Sandbox?

Sandbox доступен только для выпусков Windows 10 Professional, Enterprise и Education. Он появился как стабильная функция в обновлении May 2019 (19H1). Если у вас Windows 10 Home — переход на Pro или использование альтернатив (ниже) будет необходим.

Шаг 1: Убедиться, что включена виртуализация

Аппаратная виртуализация должна быть включена в прошивке (BIOS/UEFI). Обычно она включена по умолчанию, но проверить просто:

1. Нажмите Ctrl+Shift+Esc для запуска Диспетчера задач.
2. Перейдите на вкладку «Производительность».
3. Выберите «ЦП» слева и посмотрите строку «Виртуализация». Там должно быть «Включено».

Если виртуализация отключена, включите её в настройках BIOS/UEFI вашей платы или ноутбука и перезагрузите компьютер.

Шаг 2: Включить вложенную виртуализацию при запуске внутри VM (опционально)

Если основная система уже работает внутри виртуальной машины и вы хотите запускать Sandbox внутри неё, потребуется включить вложенную виртуализацию (nested virtualization).

Запустите PowerShell в гостевой Windows и выполните команду:

Set-VMProcessor -VMName  -ExposeVirtualizationExtensions $true

Эта команда позволяет гостевой ОС использовать аппаратные виртуализационные расширения хоста, чтобы Sandbox мог корректно работать.

Шаг 3: Включить компонент Windows Sandbox

1. Откройте Панель управления → Программы → Включение или отключение компонентов Windows.
2. В списке найдите «Windows Sandbox» и поставьте галочку.
3. Нажмите OK и перезагрузите систему, когда потребуется.

Запуск Sandbox

После перезагрузки откройте меню Пуск и найдите «Windows Sandbox» или начните ввод названия в поиске. Запустите приложение, подтвердите запрос прав администратора, если появится.

При запуске вы увидите почти полную копию вашей текущей ОС, но в чистом состоянии: стандартный рабочий стол, фон по умолчанию и только стандартные приложения.

Особенность: Sandbox динамически создаётся из вашей текущей версии Windows и всегда совпадает с версией и обновлениями основной системы — вам не придётся отдельно патчить гостевую ОС.

Как использовать Sandbox

Использование похоже на обычную виртуальную машину, с несколькими важными отличиями и ограничениями:

• Копирование файлов работает через буфер обмена: скопируйте файл в основной системе и вставьте в Sandbox. Перетаскивание (drag & drop) не поддерживается.
• Установленные в Sandbox программы остаются только до закрытия; после закрытия все изменения стираются.
• Удаление файлов в Sandbox происходит без перемещения в корзину — файлы удаляются окончательно и предупредят вас об этом.

После окончания тестирования просто закройте окно Sandbox — система спросит подтверждение и затем уничтожит состояние виртуальной среды. При следующем запуске вы получите чистую среду снова.

Практические советы при работе

• Перед запуском подозрительных программ создайте список действий и ключевых файлов, за которыми будете наблюдать.
• Для тестирования сетевых взаимодействий учитывайте: Sandbox имеет изоляцию, но использует сетевой стек хоста — при необходимости проверяйте сетевые правила и ограничения.
• Не рассчитывайте на постоянное хранение данных в Sandbox: копируйте нужные логи или результаты в основную систему до закрытия.

Ограничения и когда Sandbox не подходит

• Отсутствует поддержка Windows 10 Home.
• Sandbox не заменяет полноценный гипервизор для многоинстансных сценариев: нельзя быстро запускать несколько изолированных ОС с разными конфигурациями одновременно.
• Для сложных тестов с несколькими виртуальными машинами, сетевыми песочницами, постоянным хранением образов и снимков лучше использовать полноценные гипервизоры (Hyper-V, VMware, VirtualBox).
• Некоторые драйверы и аппаратные ускорители (например, специфические GPU) могут быть недоступны или ограничены в Sandbox.

Альтернативы и когда их выбирать

• Hyper-V (Windows Pro/Enterprise): если нужны множественные гостевые системы, снимки и более тонкая настройка виртуальных сетей.
• VMware Workstation / Player: кросс-платформенная альтернатива с богатой функциональностью для разработчиков и тестировщиков.
• VirtualBox: бесплатная альтернатива с широким набором настроек и поддержкой многих гостевых ОС.
• Sandboxie / контейнеры приложений: когда требуется только изоляция одного приложения без полноценной VM.

Выбор основывается на том, нужна ли вам временная среда для быстрого теста (Sandbox) или полноценная инфраструктура виртуальных машин (гипервизор).

Проверочный список перед запуском Sandbox

Для конечного пользователя:

• Убедиться, что версия Windows — Pro/Enterprise/Education.
• Проверить, что виртуализация включена в BIOS/UEFI.
• Скопировать нужные файлы в буфер обмена заранее.

Для системного администратора:

• Проверить соответствие политики безопасности и групповых политик.
• При необходимости включить вложенную виртуализацию на хостах VM.
• Обеспечить резервные копии критичных логов перед тестированием в Sandbox.

Для разработчика/тестировщика:

• Подготовить сценарии тестирования и критерии приёмки.
• Настроить сбор логов и механизм сохранения результатов в основную систему.

Критерии приёмки (тесты и сценарии)

1. Запуск Sandbox без ошибок и получение рабочего стола.
2. Успешное копирование и запуск тестового исполняемого файла из основной системы.
3. Проверка, что после закрытия Sandbox все изменения исчезают и при повторном запуске среда чистая.
4. Вложенная виртуализация: при запуске внутри гостевой VM убедиться, что Sandbox запускается и операционная система внутри показывает поддержку виртуализации.

Безопасность и приватность

Sandbox обеспечивает изоляцию приложений и файлов от основной системы, но не делает вашу сеть или данные автоматически невидимыми:

• Sandbox защищает файловую систему и реестр основной ОС от изменений из гостя.
• Логи сетевого трафика могут оставаться на хосте, поэтому при тестировании вредоносного ПО учитывайте возможные утечки через сеть.
• Для соответствия требованиям по обработке персональных данных (например, GDPR) избегайте приёма реальных пользовательских данных в Sandbox — используйте тестовые анонимизированные данные.

Рекомендации по производительности

Sandbox создан как более лёгкая альтернатива полноценной VM, поэтому он работает на относительно скромном железе. Тем не менее:

• Чем больше оперативной памяти и резерв CPU выделено хосту, тем быстрее будет Sandbox.
• На старых устройствах начальный запуск может быть медленным, но после прогрева производительность обычно улучшается.
• Sandbox не предназначен для графически интенсивных задач: 3D-ускорение ограничено.

Чеклист администрирования и внедрения

• Политики безопасности: убедиться, что включение Sandbox не нарушает локальные политики.
• Обучение пользователей: разослать короткую инструкцию о том, как копировать файлы и что происходит при закрытии Sandbox.
• Логи и мониторинг: организовать сбор логов активности при тестировании опасных программ.

Краткий глоссарий

• Гипервизор — программная платформа для запуска виртуальных машин.
• Вложенная виртуализация — возможность гостевой ОС использовать аппаратную виртуализацию хоста.
• Снимок — сохранённое состояние виртуальной машины (Sandbox таких снимков не хранит).

Типовые ошибки и способы их устранения

• Sandbox не запускается: проверьте, включена ли виртуализация в BIOS/UEFI и активирован ли компонент Windows Sandbox.
• Ошибка при включении компонента Windows: убедитесь, что у вас корректный выпуск Windows (Pro/Enterprise/Education) и установлены все критические обновления.
• Sandbox запускается медленно внутри VM: включите вложенную виртуализацию и проверьте настройки процессора гостевой VM.

Заключение

Windows Sandbox — удобный инструмент для быстрого и безопасного тестирования программ без долгой подготовки виртуальной машины. Он идеально подходит для одноразовых тестов, проверки скачанных исполняемых файлов и безопасного изучения поведения приложений. Для сложных многокомпонентных тестов или длительного сохранения состояния лучше использовать полнофункциональные гипервизоры.

Источник изображения: D-Krab / Shutterstock.com

Notes

• Прежде чем использовать Sandbox в корпоративной среде, согласуйте включение компонента с IT-отделом.
• Всегда используйте тестовые данные при проверке подозрительных файлов.

Summary

Windows Sandbox — это быстрый путь создать чистую копию вашей Windows для однократного тестирования. Он прост в настройке, но имеет ограничения по сравнению с полноценными VM. При корректной конфигурации и соблюдении мер предосторожности Sandbox надёжен и удобен для большинства сценариев одноразового тестирования.