Windows Sandbox: безпечне тестування програм без ризику
Як увімкнути і використовувати Windows Sandbox для безпечного запуску підозрілих програм: налаштування, обмеження і практичні сценарії використання.
Windows Sandbox — вбудована ізольована середовище для тестування програм. Після закриття все що відбулось всередині зникає безслідно.
Що таке Windows Sandbox
Sandbox — легка віртуальна машина на базі Windows 11 що запускається за секунди. Все що ти встановлюєш або запускаєш всередині повністю ізольовано від основної системи. Після закриття — нічого не залишається.
Для чого:
- Запустити підозрілий .exe перш ніж встановлювати на основну систему
- Протестувати нову програму або оновлення
- Відкрити підозрілий PDF або офісний документ
- Тестування без забруднення системи
Системні вимоги
- Windows 11 Pro, Enterprise або Education (не Home)
- Процесор з підтримкою апаратної віртуалізації
- Мінімум 4 ГБ RAM (рекомендується 8 ГБ)
- 1 ГБ вільного місця на диску
Увімкнути Windows Sandbox
# Увімкнути через PowerShell
Enable-WindowsOptionalFeature -Online -FeatureName "Containers-DisposableClientVM" -All
# Або через GUI:
# Win + R → optionalfeatures.exe → знайди "Пісочниця Windows" → встав галочку → OK → перезавантаж
Запустити
Win + S → Windows Sandbox → Enter.
Запускається за 5–10 секунд. Відкривається чистий робочий стіл Windows.
Передати файл у Sandbox: Просто скопіюй файл з основної системи і вставни всередині Sandbox через буфер обміну. Або перетягни файл у вікно Sandbox.
Налаштування через конфігураційний файл
Sandbox можна налаштувати через .wsb файл:
<Configuration>
<!-- Вимкнути мережу для повної ізоляції -->
<Networking>Disable</Networking>
<!-- Папка з основної системи доступна тільки для читання -->
<MappedFolders>
<MappedFolder>
<HostFolder>C:\TestFiles</HostFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<!-- Скрипт що виконається при старті -->
<LogonCommand>
<Command>explorer.exe C:\Users\WDAGUtilityAccount\Desktop\TestFiles</Command>
</LogonCommand>
<!-- Оперативна пам'ять для Sandbox -->
<MemoryInMB>2048</MemoryInMB>
</Configuration>
Збережи як mysandbox.wsb і двічі клікни — запуститься налаштований Sandbox.
Обмеження
- Зміни не зберігаються після закриття
- Clipboard sharing увімкнений за замовчуванням — будь обережний з чутливими даними
- Не підходить для тестування драйверів (вони встановлюються на рівні ядра)
- На слабких ПК може гальмувати
Порівняння з Hyper-V VM
| Sandbox | Hyper-V VM | |
|---|---|---|
| Швидкість запуску | 5–10 сек | 30–60 сек |
| Збереження стану | Ні | Так |
| Ізоляція | Повна | Повна |
| Налаштування | Мінімальне | Повне |
Підсумок
Enable-WindowsOptionalFeature -FeatureName Containers-DisposableClientVM → перезавантаж → шукай "Windows Sandbox" у пошуку. Підозрілий файл → скинь у Sandbox → перевір → закрий. Нічого не залишається на основній системі.