一文彻底搞懂windows10和11的沙盒Sandbox功能及自定义配置沙盒

Windows 沙盒提供了轻型桌面环境，可以安全地在隔离状态下运行应用程序。 安装在 Windows 沙盒环境下的软件保持“沙盒”状态，并且与主机分开运行。

沙盒是临时的。 关闭后，系统将删除所有软件和文件以及状态。 每次打开应用程序时，都会获得沙盒的全新实例。

安装在主机上的软件和应用程序不会直接出现在沙盒中。 如果需要在 Windows 沙盒环境中运行特定的应用程序，则相应的应用程序必须就是安装在沙盒环境中才行。

Windows 沙盒具有以下属性：

Windows 自带功能：此功能所需的一切内容都包含在 Windows 10 专业版和企业版中。 无需单独下载 。

原生：每次 Windows 沙盒运行时，都像全新安装的 Windows 一样干净。

无痕：设备上不会保留任何内容。 当用户关闭应用程序时，系统会丢弃所有内容。

安全：使用基于硬件的虚拟化进行内核隔离。 它依赖 Microsoft 虚拟机监控程序运行单独的内核，可将 Windows 沙盒与主机隔离。

高效： 采用集成的内核计划程序、智能内存管理和虚拟 GPU。

Windows 沙盒默认启用 络连接。

开启windows沙盒的必备条件

Windows 10 专业版、企业版或教育版 18305 或 Windows 11（Windows 家庭版当前暂不支持 Windows 沙盒）

AMD64 或（截至Windows 11 内部版本 22483）ARM64 体系结构

BIOS 中启用的虚拟化功能

至少 4GB 内存（建议使用 8GB）

至少 1GB 可用硬盘空间（建议使用固态硬盘）

至少双核 CPU（建议使用超线程四核）

如何查看windows版本

　　按下快捷键，win+R，输入cmd，确定，打开命令窗口，输入msinfo32，注意要在英文状态下输入，回车。然后在弹出的窗口中就可以看到系统的具体版本 了。

　　按下快捷键，win+R，输入cmd，确定，打开命令窗口，输入ver，回车。

　　按下快捷键，win+R，输入winver，确定。　　

开启沙盒：

1，点击开始菜单–输入“控制面板”

2，控制面板中，打开程序

3，在程序中，点击 启用或关闭windows功能，找到windows沙盒，打上√。点击确定

沙盒软件测试：

1，打开windows沙盒

点击开始菜单–输入 windows sandbox，点击打开

2，下载安装软件

比如QQ，独立安装在windows沙盒中。并不会出现在主机上。当然主机上的软件火绒也同样不会出现在windows沙盒中。

3，关闭沙盒

点击关闭windows沙盒程序，会提示，关闭windows沙盒后，其所有内容都将放弃并永久丢失。

windows和沙盒之间的数据传输

windows沙盒和主机系统之间是无法通过拖拽传输数据的

可以通过复制粘贴，直接复制主机上的文件，然后粘贴在windows沙盒中即可

windows沙盒 络如何通信

windows沙盒和主机之间的 络通信，使用的是Hyper-V Network。采用了Hyper-V 络虚拟化技术，通过虚拟 卡和主机进行通信。

windows沙盒 关地址指向主机上的Hyper-V虚拟 卡的地址。

windows沙盒，是否支持多开实例

不支持多开。运行一个windows沙盒后，再次打开Windows Sandbox。会提示如下 错。仅允许一个运行的Windows沙盒

高级技巧：自定义沙盒

Windows 沙盒支持简单的配置文件，这些文件为 Sandbox 提供最少的自定义参数集。 此功能可用于Windows 10版本 18342 或Windows 11。 Windows 沙盒配置文件的格式设置为 XML，并通过.wsb文件扩展名与 Sandbox 关联。

配置文件使用户能够控制Windows 沙盒的以下方面：

**vGPU (虚拟化 GPU) **：启用或禁用虚拟化 GPU。 如果禁用 vGPU，沙盒将使用 Windows 高级光栅化平台 (WARP) 。

络：在沙盒中启用或禁用 络访问。

映射的文件夹：使用读取或写入权限从主机共享文件夹。 公开主机目录可能会允许恶意软件影响系统或窃取数据。

登录命令：启动Windows 沙盒时执行的命令。

音频输入：将主机的麦克风输入共享到沙盒中。

视频输入：将主机的 络摄像头输入共享到沙盒中。

受保护的客户端：将 RDP 会话上增强的安全设置放置到沙盒。

打印机重定向：将打印机从主机共享到沙盒中。

剪贴板重定向：与沙盒共享主机剪贴板，以便可以来回粘贴文本和文件。

内存（以 MB 为单位）：要分配给沙盒的内存量（以兆字节为单位）。

创建配置文件

若要创建配置文件，请执行以下操作：

2. 插入以下行：

3. 在两行之间添加适当的配置文本。 有关详细信息，请参阅正确的语法和下面的示例。

4. 保存具有所需名称的文件，但请确保其文件名扩展名为 .wsb。 在记事本中，应将文件名和扩展插件括在双引 内，例如 “My config file.wsb”。

使用配置文件

若要使用配置文件，请双击它，根据其设置开始Windows 沙盒。 也可以通过命令行调用它，如下所示：

关键字、值和限制

vGPU

启用或禁用 GPU 共享。

<vGPU>value</vGPU>

支持的值：

启用：在沙盒中启用 vGPU 支持。

禁用：在沙盒中禁用 vGPU 支持。 如果设置此值，沙盒将使用软件呈现，这可能比虚拟化 GPU 慢。

默认 此值是 vGPU 支持的默认值。 目前，此默认值表示已禁用 vGPU。

备注：启用虚拟化 GPU 可能会增加沙盒的攻击面。

络

启用或禁用沙盒中的 络。 可以禁用 络访问，以减少沙盒暴露的攻击面。

<Networking>value</Networking>

支持的值：

禁用：在沙盒中禁用 络。

默认值：此值是 络支持的默认值。 此值通过在主机上创建虚拟交换机来启用 络，并通过虚拟 NIC 将沙盒连接到它。

备注：启用 络可以向内部 络公开不受信任的应用程序。

映射的文件夹

一个文件夹数组，每个文件夹表示主机上将共享到指定路径的沙盒中的位置。 目前不支持相对路径。 如果未指定路径，文件夹将映射到容器用户的桌面。

HostFolder：指定要共享到沙盒中的主机上的文件夹。 该文件夹必须已存在于主机上，否则容器将无法启动。

沙盒文件夹：指定要将文件夹映射到的沙盒中的目标。 如果文件夹不存在，则会创建该文件夹。 如果未指定沙盒文件夹，文件夹将映射到容器桌面。

ReadOnly：如果 为 true，则强制从容器内对共享文件夹进行只读访问。 支持的值： true/false。 默认值为 false。

备注：从主机映射的文件和文件夹可能会被沙盒中的应用入侵，或者可能会影响主机。

登录命令

指定在沙盒登录后自动调用的单个命令。 沙盒中的应用在容器用户帐户下运行。 容器用户帐户应为管理员帐户。

命令：容器中要在登录后执行的可执行文件或脚本的路径。

音频输入

启用或禁用沙盒的音频输入。

<AudioInput>value</AudioInput>

支持的值：

启用：在沙盒中启用音频输入。 如果设置了此值，沙盒将能够接收用户的音频输入。 使用麦克风的应用程序可能需要此功能。

禁用：禁用沙盒中的音频输入。 如果设置了此值，沙盒将无法接收用户的音频输入。 使用麦克风的应用程序可能无法在此设置中正常运行。

默认值：此值是音频输入支持的默认值。 目前，此默认值表示已启用音频输入。

备注：向容器公开主机音频输入可能会有安全影响。

视频输入

启用或禁用沙盒的视频输入。

<VideoInput>value</VideoInput>

支持的值：

启用：在沙盒中启用视频输入。

禁用：在沙盒中禁用视频输入。 使用视频输入的应用程序可能无法在沙盒中正常工作。

默认值：此值是视频输入支持的默认值。 目前，此默认值表示已禁用视频输入。 使用视频输入的应用程序可能无法在沙盒中正常工作。

备注：向容器公开主机视频输入可能会产生安全影响。

受保护的客户端

将更多安全设置应用到沙盒远程桌面客户端，减少其攻击面。

<ProtectedClient>value</ProtectedClient>

支持的值：

启用：在受保护的客户端模式下运行 Windows 沙盒。 如果设置了此值，沙盒将运行并启用额外的安全缓解措施。

禁用：在标准模式下运行沙盒，而无需额外的安全缓解措施。

默认值：此值是受保护客户端模式的默认值。 目前，此默认值表示沙盒未在受保护的客户端模式下运行。

备注：此设置可能会限制用户在沙盒中复制/粘贴文件的能力。

打印机重定向

启用或禁用从主机到沙盒的打印机共享。

<PrinterRedirection>value</PrinterRedirection>

支持的值：

启用：启用将主机打印机共享到沙盒。

禁用：在沙盒中禁用打印机重定向。 如果设置了此值，沙盒将无法从主机查看打印机。

默认值：此值是打印机重定向支持的默认值。 目前，此默认值表示已禁用打印机重定向。

剪贴板重定向

启用或禁用与沙盒共享主机剪贴板。

<ClipboardRedirection>value</ClipboardRedirection>

支持的值：

禁用：在沙盒中禁用剪贴板重定向。 如果设置了此值，则会限制在沙盒中复制/粘贴。

默认值：此值是剪贴板重定向的默认值。 目前， 默认情况下允许在主机和沙盒之间复制/粘贴。

内存（以 MB 为单位）

指定沙盒可以使用 MB (MB) 的内存量。

<MemoryInMB>value</MemoryInMB>

如果指定的内存值不足以启动沙盒，则会自动将其增加到所需的最小量。

Sandbox配置实例1

以下配置文件可用于轻松测试沙盒内下载的文件。 若要实现此测试，将禁用 络和 vGPU，并允许沙盒对共享下载文件夹进行只读访问。 为方便起见，登录命令会在沙盒中打开下载文件夹。

注意事项：

对应的文件夹目录一定要正确，否则无法打开windows sandbox，会有 错提示。

<HostFolder>C:UsersPublicDownloads</HostFolder>，对应你本机的文件夹目录。

Sandbox配置实例2

以下配置文件在沙盒中安装Visual Studio Code，这需要稍微复杂的 LogonCommand 安装。

两个文件夹映射到沙盒中;第一个 (SandboxScripts) 包含 VSCodeInstall.cmd，它将安装并运行Visual Studio Code。 (CodingProjects) 的第二个文件夹假定包含开发人员想要使用Visual Studio Code修改的项目文件。

这2个文件夹需要在主机目录下创建。

C:SandboxScripts

C:CodingProjects

由于Visual Studio Code安装程序脚本已映射到沙盒中，LogonCommand 可以引用它。

VSCodeInstall.cmd

VSCode.wsb

运行后VSCode.wsb，沙盒中自动下载并运行vscode

如何使用你的配置启动沙盒文件