Se scarichi frequentemente programmi, apri allegati di posta elettronica o provi strumenti da fonti dubbie, avere un ambiente sicuro e monouso all'interno di Windows È quasi obbligatorio. Ed è qui che entra in gioco Windows Sandbox, una funzionalità integrata nelle edizioni professionali di Windows che consente di eseguire test senza compromettere il sistema principale.
Con Windows Sandbox puoi avviare un Windows pulito, virtuale e temporaneo WindowsUsalo come se fosse il tuo desktop e, quando lo chiudi, perderai assolutamente tutto ciò che è successo al suo interno. Nessun residuo di software, nessuna impostazione, nessun malware persistente: è come partire da un sistema nuovo di zecca, vergine, ogni volta che lo apri.
Che cos'è Windows Sandbox e come funziona il suo isolamento?
Windows Sandbox, chiamato in spagnolo Sandbox di Windows (WSB)Si tratta di un ambiente desktop leggero che viene eseguito all'interno del sistema operativo dell'utente utilizzando la virtualizzazione hardware. In termini pratici, è simile ad avere una macchina virtuale, ma senza dover installare un sistema operativo aggiuntivo o gestire configurazioni complesse.
Questo spazio isolato si basa sull'hypervisor Microsoft e sul virtualizzazione basata su hardware per isolare il kernelIn altre parole, il sistema operativo in esecuzione all'interno della Sandbox ha un proprio kernel separato dal sistema Windows principale, il che riduce drasticamente la possibilità che un programma dannoso riesca a raggiungere l'host.
Uno dei suoi grandi vantaggi è che è un ambiente usa e getta ed effimeroOgni volta che lo apri, viene creata una nuova istanza pulita, come se avessi installato Windows da zero in quel preciso momento. Non appena chiudi la finestra, tutte le modifiche, i file e le impostazioni applicati vengono eliminati.
Il software che hai installato sul tuo sistema principale Non viene copiato automaticamente all'interno della SandboxTutto ciò che si desidera utilizzare nello spazio isolato dovrà essere installato esplicitamente lì, o copiato dall'host tramite gli appunti o le cartelle assegnate. Questo fa parte dell'isolamento: nulla viene condiviso a meno che non si scelga di consentirlo.
Per ottenere tempi di avvio molto rapidi e ridurre il consumo di risorse, Windows Sandbox utilizza tecniche di ottimizzazione della memoria e un ambiente minimoNon si tratta di una macchina virtuale pesante con decine di gigabyte di spazio su disco riservato, ma di un'istanza leggera creata al volo con un massimo di circa 4 GB di memoria predefinita e uno storage virtuale che non viene mantenuto.
Caratteristiche principali di Windows Sandbox
Una delle cose più interessanti di questa funzionalità è che Fa parte di Windows stesso. Nelle edizioni professionali, non è necessario scaricare immagini ISO o gestori di macchine virtuali di terze parti. Se si dispone di un'edizione compatibile, è sufficiente attivare la funzionalità e il gioco è fatto.
L'ambiente è completamente pulito in ogni esecuzioneOgni volta che si avvia Windows Sandbox, viene creata una nuova installazione senza software aggiuntivo, senza residui di configurazioni precedenti e senza modifiche precedenti. È perfetto se si desidera testare un programma "come se fosse la prima volta", senza librerie o dati che potrebbero influenzare il risultato.
Un altro elemento chiave è la sicurezza. L'isolamento si ottiene combinando virtualizzazione, AppContainer (in modalità client protetta) e una rigorosa separazione tra processi, reti, dispositivi e credenziali. In questo modo, anche se si esegue un malware nella sandbox, le sue possibilità di danneggiare l'host sono minime.
Le prestazioni sono piuttosto buone. Windows Sandbox di solito richiede un po' di tempo. L'avvio richiede solo pochi secondi.Sfrutta una GPU virtuale (vGPU) sui sistemi x64 quando abilitata e gestisce la memoria in modo efficiente per evitare un consumo eccessivo di risorse. Pur non essendo leggera come un'app nativa, offre prestazioni significativamente migliori di una tradizionale macchina virtuale ad alto consumo di risorse.
Infine, è stato progettato in modo che qualsiasi utente possa utilizzarlo senza essere un esperto. Con un semplice clic puoi aprire un ambiente completamente nuovo per testare programmi di installazione, visitare siti web sospetti o eseguire script. E se hai maggiori competenze tecniche, puoi perfezionarlo utilizzando i file di configurazione .wsb.
Utilizzi pratici dell'isolamento Sandbox in Windows
Uno dei casi d'uso più comuni è avere un ambiente pulito per testare nuovi softwareSviluppatori, tecnici di supporto o utenti avanzati possono installare versioni beta, build di prova o programmi poco noti senza "ingombrare" il loro sistema reale.
È anche molto comodo per eseguire un navigazione web più sicura Quando devi accedere a siti Web sospetti, download potenzialmente pericolosi o portali di cui non ti fidi, apri Sandbox, navighi con il browser integrato e, se qualcosa va storto, chiudi semplicemente la finestra e tutto scompare.
L'isolamento è particolarmente utile durante l'apertura allegati ed eseguibili non attendibiliAd esempio, documenti ricevuti via e-mail da mittenti sconosciuti o utility portatili scaricate dai forum. È possibile copiare il file nella Sandbox, aprirlo lì e, se si rivela dannoso, rimarrà intrappolato in quell'ambiente.
Un altro scenario molto pratico è il primo contatto con nuovi programmi, componenti aggiuntivi o estensioniPrima di installare qualcosa sul tuo sistema Windows principale, puoi testarlo nella Sandbox, controllarne il comportamento e decidere se vale la pena integrarlo nel tuo sistema di lavoro quotidiano.
Infine, molti sviluppatori sfruttano gli ambienti sandbox per mantenere più ambienti di test ben separatiAd esempio, è possibile utilizzarlo per testare diverse versioni di Python con dipendenze diverse o diverse combinazioni di librerie e configurazioni, senza dover configurare più macchine virtuali permanenti.
Edizioni e licenze Windows compatibili
Per utilizzare questa funzione è indispensabile avere un Edizione professionale o educativa di WindowsWindows Sandbox è disponibile in Windows Pro, Windows Enterprise, Windows Pro Education/SE e Windows Education, comprese le varianti equivalenti in Windows 11.
Le licenze che concedono il diritto di utilizzare Windows Sandbox includono Windows Pro e Pro Education/SEcosì come gli abbonamenti a Windows Enterprise E3 ed E5 e le edizioni didattiche di Windows Education A3 e A5. In termini pratici, se il tuo computer è dotato di una versione Pro o se lavori in un ambiente aziendale con Enterprise, dovresti essere in grado di attivarla.
Se utilizzi Windows Home, non potrai attivare Windows Sandbox in modo nativo. In questi casi, l'alternativa sarebbe usare... soluzioni di virtualizzazione classiche (Hyper-V, VirtualBox, VMware, ecc.), ma si perderebbero la facilità di integrazione e la natura usa e getta con un clic che questa funzionalità offre.
Requisiti hardware e di virtualizzazione
Oltre ad avere la versione corretta di Windows, il computer deve soddisfare una serie di requisiti. requisiti minimi di hardware e virtualizzazione affinché l'isolamento Sandbox funzioni correttamente e in modo sicuro.
Da un lato, un Processore a 64 bit con supporto alla virtualizzazione e almeno due core fisici; Microsoft consiglia quattro core con hyperthreading per prestazioni migliori. In pratica, la maggior parte dei processori rilasciati negli ultimi anni soddisfa questi requisiti senza problemi.
Per quanto riguarda la memoria, il sistema ha bisogno un minimo di 4 GB di RAM Per poter avviare Windows Sandbox, per un'esperienza fluida si consiglia di avere almeno 8 GB, soprattutto se si lavora con applicazioni pesanti contemporaneamente sull'host e nell'ambiente isolato.
Per quanto riguarda lo stoccaggio, almeno 1 GB di spazio libero su discoIdealmente, un SSD dovrebbe essere utilizzato per una creazione e distruzione dell'ambiente più rapide e per operazioni interne più fluide. Il sandboxing non crea un disco rigido persistente tradizionale, ma richiede spazio temporaneo.
Infine, è obbligatorio che il le opzioni di virtualizzazione devono essere abilitate nel BIOS o UEFI del computer (Intel VT-x/VT-d, AMD-V, ecc.). Questa è la base utilizzata da Hyper-V per creare l'ambiente hardware separato. Se la virtualizzazione è disabilitata, Sandbox non si avvierà.
Come abilitare la virtualizzazione nel BIOS
Affinché l'isolamento Sandbox sia efficace, Windows si basa su Virtualizzazione hardware Hyper-V e CPUSebbene molti processori abbiano questa funzionalità abilitata di default, in altri casi è necessario abilitarla manualmente dal BIOS o dall'UEFI.
Il processo specifico dipende dal produttore della scheda madre, ma in genere sarà necessario accedere al BIOS all'accensione del computerDi solito, questo si ottiene premendo tasti come Canc, F2, F10 o F12 all'avvio. Alcuni laptop visualizzano un messaggio sullo schermo che indica quale tasto usare.
Una volta dentro, dovresti cercare la sezione relativa a CPU, sicurezza avanzata o configurazione del sistemadove solitamente si trova l'opzione di virtualizzazione. Il nome esatto varia: Virtualizzazione, Intel Virtualization Technology, VT-x, VT-d, SVM, VM Monitor Mode Extensions, Hyper-V, RVI, ecc.
Una volta individuata l'opzione, assicurati che sia abilitata. Salva le modifiche dal menu corrispondente (Salva ed esci o simile) e riavvia il computer affinché la virtualizzazione diventi attiva a livello hardware.
Tieni presente che alcune CPU integrano la virtualizzazione senza consentire modifiche dal BIOS, quindi Non vedrai alcuna opzione, ma la funzionalità sarà già abilitata.In questi casi, se si soddisfano gli altri requisiti, Windows Sandbox dovrebbe comunque funzionare.
Come attivare Windows Sandbox in Windows
Una volta confermato che l'edizione di Windows è compatibile e che la virtualizzazione è pronta, il passaggio successivo è Attiva la funzionalità Sandbox di Windows, poiché è disabilitato per impostazione predefinita nel sistema.
Per farlo, apri la barra di ricerca di Windows e inizia a digitare "Attiva o disattiva le funzionalità di Windows". Quando appare il risultato, cliccaci sopra e si aprirà una finestra con un elenco di funzionalità di sistema opzionali che puoi abilitare o disabilitare.
All'interno di tale elenco, individuare la voce “Sandbox di Windows”Seleziona la casella a sinistra e conferma le modifiche. Windows scaricherà e configurerà i componenti necessari; questo processo potrebbe richiedere alcuni minuti, a seconda della velocità del computer.
Al termine dell'installazione il sistema ti chiederà Riavvia il tuo computer Per applicare la nuova funzionalità, accetta il riavvio e, al successivo avvio del computer, Windows Sandbox sarà disponibile tra le tue applicazioni.
Da quel momento in poi, cerca semplicemente "Windows Sandbox" nel menu Start o nella casella di ricerca per avviare la sandbox. Vedrai una finestra aperta con un desktop Windows pulito, separato dal tuo.
Impostazioni predefinite di isolamento sandbox
Se si avvia Windows Sandbox senza alcun file di configurazione personalizzato, l'ambiente viene creato con parametri predefiniti progettati per bilanciare sicurezza e comfortIl limite di memoria è impostato a 4 GB e sono abilitate alcune integrazioni di base con l'host.
Nei sistemi x64 non basati su ARM, la GPU virtuale (vGPU) è solitamente inclusa. abilitato di defaultCiò consente di sfruttare l'accelerazione grafica del sistema host all'interno della sandbox. Ciò migliora le prestazioni dell'interfaccia e di alcune applicazioni, sebbene aumenti leggermente la superficie di attacco.
A livello di rete, il Sandbox inizia con connettività abilitata Ciò è possibile tramite uno switch Hyper-V virtuale e una scheda di interfaccia di rete virtuale (NIC) associata. Ciò consente di navigare in Internet, scaricare programmi di installazione o accedere alle risorse online direttamente dall'ambiente isolato.
L'ingresso audio (microfono) è solitamente abilitato, consentendo alle applicazioni interne di catturare l'audio dall'host, se necessario. Tuttavia, ingresso video (telecamera) È disabilitato per impedire alle applicazioni all'interno della Sandbox di accedere alla webcam del computer senza controllo.
Per motivi di sicurezza, il reindirizzamento della stampante rimane disabilitato, mentre Gli appunti condivisi sono abilitatiQuest'ultima funzionalità consente di copiare e incollare testo e file tra la normale finestra di Windows e la sandbox in modo molto pratico.
File .wsb: impostazioni di isolamento avanzate
Se vuoi fare un ulteriore passo avanti, Windows Sandbox supporta file di configurazione con estensione .wsbQuesti file, scritti in un semplice formato XML, consentono di personalizzare il comportamento dell'ambiente isolato senza dover intervenire sulle opzioni avanzate del sistema interno.
Un file .wsb di base è costituito da un tag radice e la sua chiusura Queste impostazioni includono vari blocchi di configurazione. Tra le altre cose, è possibile controllare l'utilizzo della vGPU, la rete, le cartelle condivise, i comandi di avvio, l'audio, il video, la sicurezza avanzata, le stampanti, gli appunti e la memoria allocata.
Per crearne uno, basta aprire un editor di testo normale come Blocco note o Visual Studio CodeScrivi la struttura di configurazione di cui hai bisogno e salva il documento con l'estensione .wsb (ad esempio, "MySandbox.wsb"). È importante che quando salvi in Blocco note includa il nome tra virgolette in modo che rispetti l'estensione.
Quando vuoi avviare una Sandbox con quella configurazione specifica, devi solo fare doppio clic sul file .wsbWindows aprirà una sandbox, applicando tutti i parametri definiti nel file. È possibile eseguirlo anche dalla riga di comando inserendo il percorso del file.
Questo sistema semplifica la creazione di diversi "modelli" di spazi isolati, ad esempio uno con una rete disattivata e una cartella di download di sola lettura, un altro con più memoria per test pesanti o un terzo con uno script di avvio che automatizza ogni volta l'installazione del software.
Le opzioni di configurazione più importanti
Una delle chiavi del file .wsb è la direttiva che consente abilitare o disabilitare la GPU virtualizzataUtilizzando "Abilita" si consente al Sandbox di accedere all'accelerazione grafica dell'host, mentre "Disabilita" si forza l'uso del rendering software (WARP), che è più sicuro ma generalmente più lento.
L'etichetta Controlla il comportamento della rete. Con "Abilita" si assegna la connettività completa; con "Disabilita" si crea una sandbox completa. Quando è disconnesso, è ideale per eseguire malware. che tentano di comunicare con l'esterno; e con "Default" viene applicata la configurazione standard, che consente il networking tramite uno switch virtuale Hyper-V.
Attraverso È possibile specificare una raccolta di cartelle host da condividere con la sandbox. Ciascuna include il percorso sull'host ( ), la cartella di destinazione all'interno della Sandbox ( ) e, facoltativamente, un'etichetta per stabilire l'accesso in sola lettura o in lettura/scrittura.
Con E puoi definire un comando o script che viene eseguito automaticamente quando la sessione si avvia nella Sandbox. Questo è molto utile per avviare programmi di installazione, script di configurazione o strumenti di test senza doverlo fare manualmente a ogni avvio.
Inoltre, hai la possibilità di gestire l'input audio ( ), video ( ), modalità client protetta ( ), reindirizzamento della stampante ( ) e gli appunti ( ), regolando così l'equilibrio tra comfort e isolamento in base alle esigenze di ogni scenario.
Regola la memoria e le risorse della Sandbox
L'etichetta consente di specificare il quantità di RAM che la sandbox può utilizzare, espresso in megabyte. Ad esempio, 4096 per 4 GB, 8192 per 8 GB, 12288 per 12 GB o 16384 per 16 GB, a condizione che l'hardware disponga di memoria sufficiente.
Se si imposta un valore troppo basso per l'avvio della Sandbox, Windows aumenterà automaticamente il numero fino a raggiungere il requisito tecnico minimo, che di solito è di 2048 MBTuttavia, è consigliabile non sottovalutare i requisiti per evitare ritardi nell'avvio di applicazioni impegnative.
Tieni presente che la memoria allocata alla Sandbox viene temporaneamente sottratta dalla memoria disponibile dell'host, quindi è consigliabile... Regola il valore in base alla RAM effettivamente installataSu un computer con 8 GB, ad esempio, potrebbe essere sensato allocare 4096 MB per non limitare troppo il sistema principale.
Combinando Grazie alla configurazione vGPU e di rete, è possibile creare diversi profili di utilizzo: da un ambiente leggero e ultra sicuro, con rete e GPU disabilitate, a un potente Sandbox con molte risorse riservate ai test più impegnativi.
Questo livello di controllo rende Windows Sandbox uno strumento abbastanza flessibile, in grado di adattarsi sia a utenti che vogliono solo una "sandbox" veloce nonché professionisti che hanno bisogno di riprodurre ambienti di test molto specifici.
Grazie a questo approccio, Windows Sandbox è diventato uno dei modi più semplici per Configurare l'isolamento reale per i test in Windows, combinando la praticità dell'integrazione nel sistema con la robustezza dell'isolamento hardware e la flessibilità dei file di configurazione .wsb.
