今年早些时候，微软正在开发适用于Windows的“InPrivate桌面”功能。在Windows 10反馈中心，微软将InPrivate Desktop描述为“用于安全，一次性执行不受信任软件的沙箱”，而今天这一概念产品终于有了自己的新名字：“Windows Sandbox”。作为一个新颖的轻量级桌面环境，该沙盒专为“安全地运行应用程序”而量身定制。

沙盒”技术与主动防御技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截并终止运行。“沙盒”技术则是发现可疑行为后让程序继续运行，当发现的确是病毒时才会终止。“沙盒”技术的实践运用流程是：让疑似病毒文件的可疑行为在虚拟的“沙盒”里充分表演，“沙盒”会记下它的每一个动作；当疑似病毒充分暴露了其病毒属性后，“沙盒”就会执行“回滚”机制：将病毒的痕迹和动作抹去，恢复系统到正常状态。

现在，“Windows Sandbox”的用户可以在这个独立的临时桌面环境里，运行不受信任的软件，而不必担心对 PC 主系统造成持久的影响。因为 Windows Sandbox 中安装的任何软件，仅会留在沙箱中。

这就像在一个装满了平整细沙的盒子里，你可以尽情作画，无论画的好坏，都没有关系，因为你可以用手把它瞬间抚平。Windows Sandbox允许你犯错，并且它包裹住你的错误，不让它扩散影响到你的PC。

Windows Sandbox 具有如下特性：

• 原生：作为 Windows 的一部分，此功能所需的一切资源，都随 Windows 10 专业版 / 企业版一起提供，无需专门去下载 VHD 虚拟机；

• 初始：每次运行 Windows Sandbox 时，运行环境都像全新安装的 Windows 系统一样干净；

• 安全：基于硬件虚拟化和内核隔离，后者依靠微软虚拟机管理程序运行单独的内核，将 WindowsSandbox 与主机隔离开来；

• 高效：使用集成的内核调度程序，智能内存管理，以及虚拟GPU；

•  一次性：设备上不会遗留任何东西，关闭应用程序后，一切都将被丢弃。

使用该功能的先决条件：

• 运行 Windows 10 专业 / 企业版（18301+）操作系统；

• 支持 AMD64 架构、在 BIOS 中启用虚拟化功能；

• 至少 4GB 运存（推荐 8GB+）；

• 至少 1GB 可用磁盘空间（推荐使用 SSD 固态硬盘）；

• 至少 2 个 CPU 核心（建议四核 / 超线程）。

要启用这项功能，请先

（1）安装 Windows 10 专业 /企业版（18292+）；

（2.1）如果是物理机，请确保在 BIOS 中启用了虚拟化功能；

（2.2）如果是虚拟机，请参考如下 PowerShell cmdlet 启用嵌套虚拟化；

（2.3）

Set-VMProcessor -VMName <VMName>-ExposeVirtualizationExtensions $true

（3）打开 Windows 功能，选择“Windows Sandbox”，点击确定以安装 Windows Sandbox（可能要求重启计算机）。

（4）在开始菜单中找到 Windows Sandbox，允许其提升权限；

（5）从主机复制可执行文件；

（6）将可持续文件粘贴到 Windows Sandbox 窗口中（位于桌面）；

（7）在 Windows Sandbox 中运行可执行文件，如果是安装程序，请继续执行安装；

（8）像往常那样，在 Windows Sandbox 中使用应用程序；

（9）若结束使用，只需关闭 Windows Sandbox，沙盒内所有东西都将被永久删除；

（10）确认 Windows Sandbox 未对主机系统造成任何影响。

Windows Sandbox需要Windows 10 Pro或Enterprise Build 18305或更高版本才能提供。微软上周为FastRing Insiders发布了19H1版本18298，18305版本预计将于本周发布，就在美国的假日季之前。

参考来源：

• cnbeta

     往期热门资讯：        

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com