强烈推荐开启 Windows 沙盒模式：一个安全实用又流畅的虚拟系统！微软 Windows 10 /11 都支持

时间：2024-2-13 10:09 作者：7米网-域名管理专家 分类： 杂文分享

开启windows沙盒的必备条件

Windows 10 专业版、企业版或教育版 18305 或 Windows 11（Windows 家庭版当前暂不支持 Windows 沙盒）
AMD64 或（截至Windows 11 内部版本 22483）ARM64 体系结构
BIOS 中启用的虚拟化功能
至少 4GB 内存（建议使用 8GB）
至少 1GB 可用硬盘空间（建议使用固态硬盘）
至少双核 CPU（建议使用超线程四核）

如何查看windows版本

　　按下快捷键，win+R，输入cmd，确定，打开命令窗口，输入msinfo32，注意要在英文状态下输入，回车。然后在弹出的窗口中就可以看到系统的具体版本号了。

　　按下快捷键，win+R，输入cmd，确定，打开命令窗口，输入ver，回车。

　　按下快捷键，win+R，输入winver，确定。　

开启沙盒：

1，点击开始菜单--输入“控制面板”

2，控制面板中，打开程序

3，在程序中，点击启用或关闭windows功能，找到Windows SandBox(或Windows沙箱)ps:根据系统语言设置决定，打上√。点击确定

沙盒软件测试：

1，打开windows沙盒

点击开始菜单--输入 windows sandbox，点击打开

2，下载安装软件

比如QQ，独立安装在windows沙盒中。并不会出现在主机上。当然主机上的软件火绒也同样不会出现在windows沙盒中。

3，关闭沙盒

点击关闭windows沙盒程序，会提示，关闭windows沙盒后，其所有内容都将放弃并永久丢失。

windows和沙盒之间的数据传输

windows沙盒和主机系统之间是无法通过拖拽传输数据的

可以通过复制粘贴，直接复制主机上的文件，然后粘贴在windows沙盒中即可

windows沙盒网络如何通信

windows沙盒和主机之间的网络通信，使用的是Hyper-V Network。采用了Hyper-V网络虚拟化技术，通过虚拟网卡和主机进行通信。

windows沙盒网关地址指向主机上的Hyper-V虚拟网卡的地址。

windows沙盒，是否支持多开实例

不支持多开。运行一个windows沙盒后，再次打开Windows Sandbox。会提示如下报错。仅允许一个运行的Windows沙盒

高级技巧：自定义沙盒

Windows 沙盒支持简单的配置文件，这些文件为 Sandbox 提供最少的自定义参数集。此功能可用于Windows 10版本 18342 或Windows 11。 Windows 沙盒配置文件的格式设置为 XML，并通过

.wsb

文件扩展名与 Sandbox 关联。

配置文件使用户能够控制Windows 沙盒的以下方面：

**vGPU (虚拟化 GPU) **：启用或禁用虚拟化 GPU。如果禁用 vGPU，沙盒将使用 Windows 高级光栅化平台 (WARP) 。
网络：在沙盒中启用或禁用网络访问。
映射的文件夹：使用读取或写入权限从主机共享文件夹。公开主机目录可能会允许恶意软件影响系统或窃取数据。
登录命令：启动Windows 沙盒时执行的命令。
音频输入：将主机的麦克风输入共享到沙盒中。
视频输入：将主机的网络摄像头输入共享到沙盒中。
受保护的客户端：将 RDP 会话上增强的安全设置放置到沙盒。
打印机重定向：将打印机从主机共享到沙盒中。
剪贴板重定向：与沙盒共享主机剪贴板，以便可以来回粘贴文本和文件。
内存（以 MB 为单位）：要分配给沙盒的内存量（以兆字节为单位）。

创建配置文件

若要创建配置文件，请执行以下操作：

打开纯文本编辑器或源代码编辑器 (，例如记事本、Visual Studio Code等)
插入以下行：

<Configuration></Configuration>

在两行之间添加适当的配置文本。有关详细信息，请参阅正确的语法和下面的示例。
保存具有所需名称的文件，但请确保其文件名扩展名为 .wsb。在记事本中，应将文件名和扩展插件括在双引号内，例如 "My config file.wsb"。

使用配置文件

若要使用配置文件，请双击它，根据其设置开始Windows 沙盒

。也可以通过命令行调用它，如下所示：

C:\Temp> MyConfigFile.wsb

关键字、值和限制

vGPU

启用或禁用 GPU 共享。

<vGPU>value</vGPU>

支持的值：

启用：在沙盒中启用 vGPU 支持。
禁用：在沙盒中禁用 vGPU 支持。如果设置此值，沙盒将使用软件呈现，这可能比虚拟化 GPU 慢。
默认此值是 vGPU 支持的默认值。目前，此默认值表示已禁用 vGPU。
备注：启用虚拟化 GPU 可能会增加沙盒的攻击面。

网络

启用或禁用沙盒中的网络。可以禁用网络访问，以减少沙盒暴露的攻击面。

<Networking>value</Networking>

支持的值：

禁用：在沙盒中禁用网络。
默认值：此值是网络支持的默认值。此值通过在主机上创建虚拟交换机来启用网络，并通过虚拟 NIC 将沙盒连接到它。
备注：启用网络可以向内部网络公开不受信任的应用程序。

映射的文件夹

一个文件夹数组，每个文件夹表示主机上将共享到指定路径的沙盒中的位置。目前不支持相对路径。如果未指定路径，文件夹将映射到容器用户的桌面。

<MappedFolders><MappedFolder>     <HostFolder>absolute path to the host folder</HostFolder>     <SandboxFolder>absolute path to the sandbox folder</SandboxFolder>     <ReadOnly>value</ReadOnly>   </MappedFolder><MappedFolder>      ...  </MappedFolder></MappedFolders>
HostFolder
：指定要共享到沙盒中的主机上的文件夹。 该文件夹必须已存在于主机上，否则容器将无法启动。
沙盒文件夹
：指定要将文件夹映射到的沙盒中的目标。 如果文件夹不存在，则会创建该文件夹。 如果未指定沙盒文件夹，文件夹将映射到容器桌面。
ReadOnly
：如果
为 true
，则强制从容器内对共享文件夹进行只读访问。 支持的值：
true
/
false
。 默认值为
false
。
备注：从主机映射的文件和文件夹可能会被沙盒中的应用入侵，或者可能会影响主机。

登录命令

指定在沙盒登录后自动调用的单个命令。沙盒中的应用在容器用户帐户下运行。容器用户帐户应为管理员帐户。

<LogonCommand><Command>command to be invoked</Command></LogonCommand>
命令
：容器中要在登录后执行的可执行文件或脚本的路径。
备注：尽管非常简单的命令 (（例如启动可执行文件或脚本) ）有效，但应将涉及多个步骤的更复杂的方案放入脚本文件中。 此脚本文件可通过共享文件夹映射到容器，然后通过
LogonCommand
指令执行。

音频输入

启用或禁用沙盒的音频输入。

<AudioInput>value</AudioInput>

支持的值：

启用：在沙盒中启用音频输入。如果设置了此值，沙盒将能够接收用户的音频输入。使用麦克风的应用程序可能需要此功能。
禁用：禁用沙盒中的音频输入。如果设置了此值，沙盒将无法接收用户的音频输入。使用麦克风的应用程序可能无法在此设置中正常运行。
默认值：此值是音频输入支持的默认值。目前，此默认值表示已启用音频输入。
备注：向容器公开主机音频输入可能会有安全影响。

视频输入

启用或禁用沙盒的视频输入。

<VideoInput>value</VideoInput>

支持的值：

启用：在沙盒中启用视频输入。
禁用：在沙盒中禁用视频输入。使用视频输入的应用程序可能无法在沙盒中正常工作。
默认值：此值是视频输入支持的默认值。目前，此默认值表示已禁用视频输入。使用视频输入的应用程序可能无法在沙盒中正常工作。
备注：向容器公开主机视频输入可能会产生安全影响。

受保护的客户端

将更多安全设置应用到沙盒远程桌面客户端，减少其攻击面。

<ProtectedClient>value</ProtectedClient>

支持的值：

启用：在受保护的客户端模式下运行 Windows 沙盒。如果设置了此值，沙盒将运行并启用额外的安全缓解措施。
禁用：在标准模式下运行沙盒，而无需额外的安全缓解措施。
默认值：此值是受保护客户端模式的默认值。目前，此默认值表示沙盒未在受保护的客户端模式下运行。
备注：此设置可能会限制用户在沙盒中复制/粘贴文件的能力。

打印机重定向

启用或禁用从主机到沙盒的打印机共享。

<PrinterRedirection>value</PrinterRedirection>

支持的值：

启用：启用将主机打印机共享到沙盒。
禁用：在沙盒中禁用打印机重定向。如果设置了此值，沙盒将无法从主机查看打印机。
默认值：此值是打印机重定向支持的默认值。目前，此默认值表示已禁用打印机重定向。

剪贴板重定向

启用或禁用与沙盒共享主机剪贴板。

<ClipboardRedirection>value</ClipboardRedirection>

支持的值：

禁用：在沙盒中禁用剪贴板重定向。如果设置了此值，则会限制在沙盒中复制/粘贴。
默认值：此值是剪贴板重定向的默认值。目前，默认情况下允许在主机和沙盒之间复制/粘贴。

内存（以 MB 为单位）

指定沙盒可以使用 MB (MB) 的内存量。

<MemoryInMB>value</MemoryInMB>

如果指定的内存值不足以启动沙盒，则会自动将其增加到所需的最小量。

Sandbox配置实例1

以下配置文件可用于轻松测试沙盒内下载的文件。若要实现此测试，将禁用网络和 vGPU，并允许沙盒对共享下载文件夹进行只读访问。为方便起见，登录命令会在沙盒中打开下载文件夹。

<Configuration>  <VGpu>Disable</VGpu>  <Networking>Disable</Networking>  <MappedFolders>    <MappedFolder>      <HostFolder>C:\Users\Public\Downloads</HostFolder>      <SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads</SandboxFolder>      <ReadOnly>true</ReadOnly>    </MappedFolder>  </MappedFolders>  <LogonCommand>    <Command>explorer.exe C:\users\WDAGUtilityAccount\Downloads</Command>  </LogonCommand></Configuration>

注意事项：

对应的文件夹目录一定要正确，否则无法打开windows sandbox，会有报错提示。

<HostFolder>C:\Users\Public\Downloads</HostFolder>，对应你本机的文件夹目录。

Sandbox配置实例2

以下配置文件在沙盒中安装Visual Studio Code，这需要稍微复杂的 LogonCommand 安装。

两个文件夹映射到沙盒中;第一个 (SandboxScripts) 包含 VSCodeInstall.cmd，它将安装并运行Visual Studio Code。 (CodingProjects) 的第二个文件夹假定包含开发人员想要使用Visual Studio Code修改的项目文件。

这2个文件夹需要在主机目录下创建。

C:\SandboxScripts

C:\CodingProjects

由于Visual Studio Code安装程序脚本已映射到沙盒中，LogonCommand 可以引用它。

VSCodeInstall.cmd

REM Download Visual Studio Codecurl -L "https://update.code.visualstudio.com/latest/win32-x64-user/stable" --output C:\users\WDAGUtilityAccount\Desktop\vscode.exeREM Install and run Visual Studio CodeC:\users\WDAGUtilityAccount\Desktop\vscode.exe /verysilent /suppressmsgboxes

VSCode.wsb

<Configuration>  <MappedFolders>    <MappedFolder>      <HostFolder>C:\SandboxScripts</HostFolder>      <ReadOnly>true</ReadOnly>    </MappedFolder>    <MappedFolder>      <HostFolder>C:\CodingProjects</HostFolder>      <ReadOnly>false</ReadOnly>    </MappedFolder>  </MappedFolders>  <LogonCommand>    <Command>C:\Users\WDAGUtilityAccount\Desktop\SandboxScripts\VSCodeInstall.cmd</Command>  </LogonCommand></Configuration>
运行后VSCode.wsb，沙盒中自动下载并运行vscode