Windows 沙盒提供了輕型桌面環(huán)境，可以安全地在隔離狀態(tài)下運行應用程序。 安裝在 Windows 沙盒環(huán)境下的軟件保持“沙盒”狀態(tài)，并且與主機分開運行。

沙盒是臨時的。 關閉后，系統(tǒng)將刪除所有軟件和文件以及狀態(tài)。 每次打開應用程序時，都會獲得沙盒的全新實例。

安裝在主機上的軟件和應用程序不會直接出現(xiàn)在沙盒中。 如果需要在 Windows 沙盒環(huán)境中運行特定的應用程序，則相應的應用程序必須就是安裝在沙盒環(huán)境中才行。

Windows 沙盒具有以下屬性：

• Windows 自帶功能：此功能所需的一切內容都包含在 Windows 10 專業(yè)版和企業(yè)版中。 無需單獨下載 。

• 原生：每次 Windows 沙盒運行時，都像全新安裝的 Windows 一樣干凈。

• 無痕：設備上不會保留任何內容。 當用戶關閉應用程序時，系統(tǒng)會丟棄所有內容。

• 安全：使用基于硬件的虛擬化進行內核隔離。 它依賴 Microsoft 虛擬機監(jiān)控程序運行單獨的內核，可將 Windows 沙盒與主機隔離。

• 高效： 采用集成的內核計劃程序、智能內存管理和虛擬 GPU。

• Windows 沙盒默認啟用網絡連接。

開啟windows沙盒的必備條件

• Windows 10 專業(yè)版、企業(yè)版或教育版 18305 或 Windows 11（Windows 家庭版當前暫不支持 Windows 沙盒）

• AMD64 或（截至Windows 11 內部版本 22483）ARM64 體系結構

• BIOS 中啟用的虛擬化功能

• 至少 4GB 內存（建議使用 8GB）

• 至少 1GB 可用硬盤空間（建議使用固態(tài)硬盤）

• 至少雙核 CPU（建議使用超線程四核）

如何查看windows版本

　　按下快捷鍵，win+R，輸入cmd，確定，打開命令窗口，輸入msinfo32，注意要在英文狀態(tài)下輸入，回車。然后在彈出的窗口中就可以看到系統(tǒng)的具體版本號了。

　　按下快捷鍵，win+R，輸入cmd，確定，打開命令窗口，輸入ver，回車。

　　按下快捷鍵，win+R，輸入winver，確定?！　?/p>

開啟沙盒：

1，點擊開始菜單--輸入“控制面板”

2，控制面板中，打開程序

3，在程序中，點擊 啟用或關閉windows功能，找到windows沙盒，打上√。點擊確定

沙盒軟件測試：

1，打開windows沙盒

點擊開始菜單--輸入 windows sandbox，點擊打開

2，下載安裝軟件

比如QQ，獨立安裝在windows沙盒中。并不會出現(xiàn)在主機上。當然主機上的軟件火絨也同樣不會出現(xiàn)在windows沙盒中。

3，關閉沙盒

點擊關閉windows沙盒程序，會提示，關閉windows沙盒后，其所有內容都將放棄并永久丟失。

windows和沙盒之間的數(shù)據傳輸

windows沙盒和主機系統(tǒng)之間是無法通過拖拽傳輸數(shù)據的

可以通過復制粘貼，直接復制主機上的文件，然后粘貼在windows沙盒中即可

windows沙盒網絡如何通信

windows沙盒和主機之間的網絡通信，使用的是Hyper-V Network。采用了Hyper-V網絡虛擬化技術，通過虛擬網卡和主機進行通信。

windows沙盒網關地址指向主機上的Hyper-V虛擬網卡的地址。

windows沙盒，是否支持多開實例

不支持多開。運行一個windows沙盒后，再次打開Windows Sandbox。會提示如下報錯。僅允許一個運行的Windows沙盒

高級技巧：自定義沙盒

Windows 沙盒支持簡單的配置文件，這些文件為 Sandbox 提供最少的自定義參數(shù)集。 此功能可用于Windows 10版本 18342 或Windows 11。 Windows 沙盒配置文件的格式設置為 XML，并通過.wsb文件擴展名與 Sandbox 關聯(lián)。

配置文件使用戶能夠控制Windows 沙盒的以下方面：

• **vGPU (虛擬化 GPU) **：啟用或禁用虛擬化 GPU。 如果禁用 vGPU，沙盒將使用 Windows 高級光柵化平臺 (WARP) 。

• 網絡：在沙盒中啟用或禁用網絡訪問。

• 映射的文件夾：使用讀取或寫入權限從主機共享文件夾。 公開主機目錄可能會允許惡意軟件影響系統(tǒng)或竊取數(shù)據。

• 登錄命令：啟動Windows 沙盒時執(zhí)行的命令。

• 音頻輸入：將主機的麥克風輸入共享到沙盒中。

• 視頻輸入：將主機的網絡攝像頭輸入共享到沙盒中。

• 受保護的客戶端：將 RDP 會話上增強的安全設置放置到沙盒。

• 打印機重定向：將打印機從主機共享到沙盒中。

• 剪貼板重定向：與沙盒共享主機剪貼板，以便可以來回粘貼文本和文件。

• 內存（以 MB 為單位）：要分配給沙盒的內存量（以兆字節(jié)為單位）。

創(chuàng)建配置文件

若要創(chuàng)建配置文件，請執(zhí)行以下操作：

1. 打開純文本編輯器或源代碼編輯器 (，例如記事本、Visual Studio Code等)

1. 插入以下行：

<Configuration> </Configuration>

1. 在兩行之間添加適當?shù)呐渲梦谋尽?有關詳細信息，請參閱正確的語法和下面的示例。

1. 保存具有所需名稱的文件，但請確保其文件名擴展名為 .wsb。 在記事本中，應將文件名和擴展插件括在雙引號內，例如 "My config file.wsb"。

使用配置文件

若要使用配置文件，請雙擊它，根據其設置開始Windows 沙盒。 也可以通過命令行調用它，如下所示：

C:\Temp> MyConfigFile.wsb

關鍵字、值和限制

vGPU

啟用或禁用 GPU 共享。

<vGPU>value</vGPU>

支持的值：

• 啟用：在沙盒中啟用 vGPU 支持。

• 禁用：在沙盒中禁用 vGPU 支持。 如果設置此值，沙盒將使用軟件呈現(xiàn)，這可能比虛擬化 GPU 慢。

• 默認 此值是 vGPU 支持的默認值。 目前，此默認值表示已禁用 vGPU。

備注：啟用虛擬化 GPU 可能會增加沙盒的攻擊面。

網絡

啟用或禁用沙盒中的網絡。 可以禁用網絡訪問，以減少沙盒暴露的攻擊面。

<Networking>value</Networking>

支持的值：

• 禁用：在沙盒中禁用網絡。

• 默認值：此值是網絡支持的默認值。 此值通過在主機上創(chuàng)建虛擬交換機來啟用網絡，并通過虛擬 NIC 將沙盒連接到它。

備注：啟用網絡可以向內部網絡公開不受信任的應用程序。

映射的文件夾

一個文件夾數(shù)組，每個文件夾表示主機上將共享到指定路徑的沙盒中的位置。 目前不支持相對路徑。 如果未指定路徑，文件夾將映射到容器用戶的桌面。

HostFolder：指定要共享到沙盒中的主機上的文件夾。 該文件夾必須已存在于主機上，否則容器將無法啟動。

沙盒文件夾：指定要將文件夾映射到的沙盒中的目標。 如果文件夾不存在，則會創(chuàng)建該文件夾。 如果未指定沙盒文件夾，文件夾將映射到容器桌面。

ReadOnly：如果 為 true，則強制從容器內對共享文件夾進行只讀訪問。 支持的值： true/false。 默認值為 false。

備注：從主機映射的文件和文件夾可能會被沙盒中的應用入侵，或者可能會影響主機。

登錄命令

指定在沙盒登錄后自動調用的單個命令。 沙盒中的應用在容器用戶帳戶下運行。 容器用戶帳戶應為管理員帳戶。

<LogonCommand><Command>command to be invoked</Command></LogonCommand>

命令：容器中要在登錄后執(zhí)行的可執(zhí)行文件或腳本的路徑。

備注：盡管非常簡單的命令 (（例如啟動可執(zhí)行文件或腳本) ）有效，但應將涉及多個步驟的更復雜的方案放入腳本文件中。 此腳本文件可通過共享文件夾映射到容器，然后通過 LogonCommand 指令執(zhí)行。

音頻輸入

啟用或禁用沙盒的音頻輸入。

<AudioInput>value</AudioInput>

支持的值：

• 啟用：在沙盒中啟用音頻輸入。 如果設置了此值，沙盒將能夠接收用戶的音頻輸入。 使用麥克風的應用程序可能需要此功能。

• 禁用：禁用沙盒中的音頻輸入。 如果設置了此值，沙盒將無法接收用戶的音頻輸入。 使用麥克風的應用程序可能無法在此設置中正常運行。

• 默認值：此值是音頻輸入支持的默認值。 目前，此默認值表示已啟用音頻輸入。

備注：向容器公開主機音頻輸入可能會有安全影響。

視頻輸入

啟用或禁用沙盒的視頻輸入。

<VideoInput>value</VideoInput>

支持的值：

• 啟用：在沙盒中啟用視頻輸入。

• 禁用：在沙盒中禁用視頻輸入。 使用視頻輸入的應用程序可能無法在沙盒中正常工作。

• 默認值：此值是視頻輸入支持的默認值。 目前，此默認值表示已禁用視頻輸入。 使用視頻輸入的應用程序可能無法在沙盒中正常工作。

備注：向容器公開主機視頻輸入可能會產生安全影響。

受保護的客戶端

將更多安全設置應用到沙盒遠程桌面客戶端，減少其攻擊面。

<ProtectedClient>value</ProtectedClient>

支持的值：

• 啟用：在受保護的客戶端模式下運行 Windows 沙盒。 如果設置了此值，沙盒將運行并啟用額外的安全緩解措施。

• 禁用：在標準模式下運行沙盒，而無需額外的安全緩解措施。

• 默認值：此值是受保護客戶端模式的默認值。 目前，此默認值表示沙盒未在受保護的客戶端模式下運行。

備注：此設置可能會限制用戶在沙盒中復制/粘貼文件的能力。

打印機重定向

啟用或禁用從主機到沙盒的打印機共享。

<PrinterRedirection>value</PrinterRedirection>

支持的值：

• 啟用：啟用將主機打印機共享到沙盒。

• 禁用：在沙盒中禁用打印機重定向。 如果設置了此值，沙盒將無法從主機查看打印機。

• 默認值：此值是打印機重定向支持的默認值。 目前，此默認值表示已禁用打印機重定向。

剪貼板重定向

啟用或禁用與沙盒共享主機剪貼板。

<ClipboardRedirection>value</ClipboardRedirection>

支持的值：

• 禁用：在沙盒中禁用剪貼板重定向。 如果設置了此值，則會限制在沙盒中復制/粘貼。

• 默認值：此值是剪貼板重定向的默認值。 目前， 默認情況下允許在主機和沙盒之間復制/粘貼。

內存（以 MB 為單位）

指定沙盒可以使用 MB (MB) 的內存量。

<MemoryInMB>value</MemoryInMB>

如果指定的內存值不足以啟動沙盒，則會自動將其增加到所需的最小量。

Sandbox配置實例1

以下配置文件可用于輕松測試沙盒內下載的文件。 若要實現(xiàn)此測試，將禁用網絡和 vGPU，并允許沙盒對共享下載文件夾進行只讀訪問。 為方便起見，登錄命令會在沙盒中打開下載文件夾。

注意事項：

對應的文件夾目錄一定要正確，否則無法打開windows sandbox，會有報錯提示。

<HostFolder>C:\Users\Public\Downloads</HostFolder>，對應你本機的文件夾目錄。

Sandbox配置實例2

以下配置文件在沙盒中安裝Visual Studio Code，這需要稍微復雜的 LogonCommand 安裝。

兩個文件夾映射到沙盒中;第一個 (SandboxScripts) 包含 VSCodeInstall.cmd，它將安裝并運行Visual Studio Code。 (CodingProjects) 的第二個文件夾假定包含開發(fā)人員想要使用Visual Studio Code修改的項目文件。

這2個文件夾需要在主機目錄下創(chuàng)建。

C:\SandboxScripts

C:\CodingProjects

由于Visual Studio Code安裝程序腳本已映射到沙盒中，LogonCommand 可以引用它。

VSCodeInstall.cmd

VSCode.wsb

運行后VSCode.wsb，沙盒中自動下載并運行vscode

如何使用你的配置啟動沙盒文件

完成后，保存文件并為其提供 .wsb 文件擴展名。例如，如果文本編輯器將其另存為沙盒.txt，請將其另存為 Sandbox.wsb。若要使用你的設置啟動 Windows 沙盒，請雙擊 .wsb 文件。你可以將其放在桌面上，也可以在“開始”菜單中創(chuàng)建它的快捷方式。

碼字不易，覺得有點用就點個贊吧