什么是 Windows 沙盒？它如何帮助您解决安全问题？

未知或可疑程序可能会对主系统造成一系列问题，从恶意软件到不必要的系统设置更改。一种有效的保护措施是所谓的 沙盒 （“沙盒”），允许程序在与系统其余部分隔离且受保护的虚拟环境中运行。

多年来，Windows 用户一直使用 Sandboxie 之类的工具，它可以跟踪程序所做的所有更改，并在退出时撤消这些更改，从而将系统恢复到原始状态。为了实现更高级别的隔离，我们使用虚拟机（使用 VirtualBox 或 Microsoft 内置的 Hyper-V 技术），在虚拟机中单独安装操作系统，并可以在其中运行危险程序，并能够随时将虚拟系统状态恢复到原始状态。这种方法非常可靠，但设置和维护额外的系统需要更多的知识和时间。

什么是 Windows Sandbox？

Windows 沙盒是 Windows 操作系统中一个独立的桌面环境，旨在安全地测试程序和文件。它作为系统内部的一个临时轻量级虚拟机运行。它使用硬件加速虚拟化 (Hyper-V) 将系统与主机操作系统完全隔离。每次启动它，我们都会得到一个完全干净、空的系统，其行为就像全新安装的 Windows 一样；关闭沙盒时，沙盒中所有已安装的程序和文件都将永久丢失。沙盒是 Windows 10/11 的一部分（专业版、企业版和教育版提供，家庭版不提供），无需任何额外的许可证或安装其他操作系统。

如果您安装了 Windows 10/11 家庭版，您可以稍后使用在线找到的脚本（massgrave）或购买新许可证将其更改为受支持的版本。

如何启用和使用 Windows Sandbox？

要使用沙盒，您需要一个兼容的系统。例如，Windows 10（1903 或更高版本）或 Windows 11，并拥有专业版、企业版或教育版许可证，且支持硬件虚拟化。现代 Intel/AMD 处理器大多支持虚拟化技术（Intel VT-x、AMD-V 等），但通常需要在 BIOS/UEFI 设置中启用此选项。

1. 在 Windows 10/11 中，打开“控制面板”或“开始”搜索框并搜索 “打开或关闭 Windows 功能” （打开或关闭 Windows 功能）。在功能列表中，找到“Windows 沙盒”并选中复选框。点击 好的 并在提示安装该功能时重新启动计算机。
2. 登录 Windows 后，打开“开始”菜单并输入 Windows 沙盒点击 Windows 沙盒图标。系统将加载几秒钟，然后会打开一个包含虚拟 Windows 桌面的窗口。您将看到一个与您的桌面类似的桌面，但它是一个独立的临时系统，并采用默认设置（例如，您可能会注意到只安装了默认程序和 Edge 浏览器）。
3. 在沙盒中，您现在可以像在常规系统上一样安装程序或打开文件。您可以安装可疑应用程序并进行测试。即使它包含病毒，它仍会保留在沙盒中。默认情况下，沙盒系统可以访问互联网（通过虚拟网络），这使得传输文件或更新更加容易，但请小心，因为恶意代码也可能访问网络。您可以使用剪贴板在主机和沙盒之间交换文件。例如，在主系统上复制文件（Ctrl+C），然后将其粘贴到沙盒中（Ctrl+V）。更高级的用户还可以通过准备一个配置 .wsb 文件来启用将单个主机文件夹自动映射到沙盒的功能。
4. 测试完成后，只需关闭 Windows 沙盒窗口（照常点击 X）。此时将出现一条警告，提示沙盒中的所有内容将被删除。点击确认。 好的虚拟系统将关闭，其中的所有内容将被永久删除。您的主 Windows 将保持启动沙盒之前的状态，如同一切正常。如果您稍后再次启动沙盒，您将获得一个全新的 Windows 实例，并且不会留下任何先前会话的痕迹。

如果您想在沙盒中保留任何输出（下载的文件），则必须确保在关闭沙盒之前将其从沙盒复制到主机（例如，通过剪贴板或共享文件夹）。否则，关闭沙盒窗口时数据将会丢失。

Windows Sandbox、Sandboxie、VirtualBox 还是……？

Windows Sandbox 并不是隔离恶意软件或不需要的软件的唯一解决方案。

工具 沙盘 它工作在操作系统层面。它通过拦截应用程序对系统的访问，使其在沙盒内运行。程序所做的所有更改（例如注册表项、文件）都会被 Sandboxie 重定向到一个隔离区域，并在关闭时撤消，从而将系统恢复到原始状态。Sandboxie 的优势在于它要求不高，并且适用于 Windows 家庭版（以及更早版本的 Windows），并且允许隔离单个程序而无需运行整个系统。此外，多个程序或多个独立的沙盒可以在 Sandboxie 环境中并行运行。

完整的虚拟机 (VM)，无论是通过开源 VirtualBox、VMware 还是内置的 Hyper-V，都意味着我们手动创建一台虚拟计算机，并在其上安装完整的操作系统（Windows 或 Linux）。这种解决方案提供了完全隔离，因为虚拟机独立于主机运行，并拥有自己的虚拟磁盘、硬件等。此外，用户可以完全控制虚拟系统：可以使其长期运行，永久安装软件，更改设置等。

虚拟机的一个关键优势是能够保存状态。在 VirtualBox/VMware/Hyper-V 中，您可以创建系统快照（检查点），并在稍后恢复，这对于测试非常有用。例如，如果您不确定某个未知程序的可靠性，可以在安装前创建快照，然后在安装/测试完成后，将系统恢复到保存的点。

真正的虚拟机的另一个优势是，您可以同时运行多个虚拟机（如果您拥有足够的资源），并在其中运行不同的系统，例如不同版本的 Windows 或 Linux。而 Windows 沙盒始终运行与主机上相同版本的 Windows。

当然，虚拟机也有缺点。它们需要额外的磁盘空间（每个虚拟机需要几 GB）和更多内存（例如，虚拟机会预留 4 GB 以上的 RAM，这些内存会从主机中获取）。设置过程也更长，因为您必须先手动安装操作系统并进行更新和维护，而 Windows Sandbox 只需几秒钟即可自动完成所有这些操作。

对于短期测试或可疑文件分析，Windows 沙盒更为实用，因为您可以随时启用或禁用它，而无需进行太多前期工作。但是，如果您想长时间运行某个程序、进行更持久的更改或单独运行整个服务器，那么完整的虚拟机仍然是更好的解决方案。

Hyper-V 和持久测试系统

Windows Sandbox 旨在使隔离测试尽可能快速简便，这意味着它并非适用于所有情况。已经拥有 Windows 10/11 专业版或企业版的高级用户可以利用内置的 Hyper-V 平台，手动创建自己的虚拟机进行测试。

这本质上是一种类似于沙盒的方法，但具有更多自定义选项，但需要进行一些前期设置。Hyper-V 允许您在计算机上创建一个或多个虚拟机。每个虚拟机都可以与网络和其他计算机完全隔离（如果您指定），这非常适合在没有互联网连接的情况下安全地测试高危程序。在 Hyper-V 管理器控制台中，您可以为每个虚拟机配置虚拟硬件（CPU、RAM、磁盘、网络接口等），例如，您可以选择不将虚拟网络接口连接到外部网络，从而创建一个隔离的封闭环境。

创建新的虚拟机后，即可安装所需的操作系统（Windows 或其他系统）。为此，您需要一个安装 ISO 文件或预先准备好的系统映像。安装完成后，虚拟机将被视为一台独立的计算机。您可以根据需要打开和关闭它，并且其中的所有数据都会保留，直到您自行删除。这意味着您可以在这样的测试虚拟机上安装一系列程序，并在很长一段时间内进行测试，而无需每次启动时都重新安装它们（就像使用 Windows 沙盒一样）。

使用 Hyper-V（或其他虚拟机平台）的一个特殊优势是能够创建系统状态的检查点或快照。例如，当您在虚拟机中安装干净的操作系统和基本更新时，您可以捕获原始状态。然后，在接下来的几天里，您可以安装和测试不同的程序。如果某个程序被证明是有害的或导致问题，您可以轻松地将虚拟机回滚到干净状态，从而“清除”系统中测试的后果。

这类似于使用沙盒，不同之处在于您可以选择还原点，并且可以存储多个不同的状态（一个具有基本配置，另一个是安装某些更新后的状态，等等）。当然，这种灵活性意味着您需要为虚拟机分配足够的磁盘空间（快照会占用额外的空间）并在虚拟机内监控系统更新，因为它不会像 Windows 沙盒那样在每次启动时自动更新系统。

实际上，许多高级用户会搭建完整的虚拟实验室。在性能更强大的计算机或服务器上，可以同时运行多个虚拟机，例如，一个运行 Windows 10 且无需网络的虚拟机用于病毒测试，另一个运行 Windows Server 的虚拟机用于测试服务器设置，第三个运行 Linux 的虚拟机用于开发，等等。

要在 Windows Pro 中设置 Hyper-V 环境，您只需启用 Hyper-V（类似于我们在 Windows Sandbox 中描述的操作）并启动 Hyper-V 管理器工具，即可在其中创建新的虚拟环境。在此环境中安装操作系统的过程与在物理计算机上安装的过程相同。

选择适合您的工具

Windows Sandbox 是一款出色的工具，可在安全环境中快速轻松地测试程序，尤其适用于我们只想进行一次性或偶尔的测试，而又不想浪费时间设置整个虚拟机的情况。对于许多 IT 专业人士而言，它在检查未知附件、可疑软件或访问高风险网站时已变得不可或缺。他们只需启动它，执行所需操作，然后关闭，无需担心任何信息“泄露”到生产系统中。另一方面，经典虚拟机（Hyper-V、VirtualBox 等）对于更深入的测试和开发仍然至关重要，因为我们需要更持久的系统、不同的环境或快照功能。