Песочница — это новый легковесный инструмент в ОС Windows, позволяющий запускать приложения в безопасном изолированном окружении.
Случалось ли Вам оказаться в ситуации, когда необходимо запустить какую-то программу, но Вы не совсем уверены в источнике её происхождения? Или другой пример — необходимость проверить что-то на «чистой» версии Windows. Во всех подобных случаях раньше был только один выход — установить ОС на отдельную физическую или виртуальную машину и провести нужный эксперимент. Но это больше не так.
Microsoft разработал новый механизм под названием Песочница (eng. Windows Sandbox). Это изолированное временное окружение, в котором Вы можете запускать подозрительное программное обеспечение без риска навредить своему ПК. Любое ПО, установленное в Песочнице, остаётся только в Песочнице и не может взаимодействовать с основной ОС. Как только Вы закрываете Песочницу — всё её содержимое безвозвратно уничтожается.
Вот основные особенности Песочницы:
- Это часть ОС Windows. Если у Вас Windows 10 Pro или Enterprise, то Вы уже можете начать ею пользоваться.
- С чистого листа. При каждом запуске Песочницы Вы получаете одно и то же, чистое, неизменное окружение. В точности такое, какой была Ваша ОС сразу после её установки.
- Никаких следов. При закрытии Песочницы уничтожаются все установленные в ней приложения, все созданные там файлы. Закрыли Песочницу — не осталось никаких следов её существования.
- Безопасность. Используется аппаратная виртуализация, которая использует гипервизор для запуска отдельного ядра ОС и изолирует его от Вашей основной ОС
- Эффективность. Используется интегрированный планировщик задач, умное управление памятью, виртуальный GPU.
Системные требования
- Windows 10 Pro или Enterprise, билд 18305 или выше
- Архитектура AMD64
- Включенная в BIOS виртуализация
- Минимум 4 ГБ (рекомендовано 8 ГБ) оперативной памяти
- Минимум 1 ГБ свободного места на диске (рекомендуется SSD)
- Процессор с двумя ядрами (рекомендуется 4 с поддержкой hyper-threading)
Быстрый старт
1. Установите Windows 10 Pro или Enterprise, билд 18305 или выше
2. Включите виртуализацию:
- Если Вы работаете на физической машине — сделайте это в BIOS
- Если Вы работаете на виртуальной машине — используйте следующую PowerShell команду:
Set-VMProcessor -VMName <VMName> -ExposeVirtualizationExtensions $true
3. Откройте (через Панель Управления) список установленных компонентов Windows и включите в нём Песочницу. Нажмите ОК. Если увидите запрос на перезагрузку компьютера — подтвердите его.
4. Запустите Песочницу из меню Пуск. Разрешите повышение прав для её процесса.
5. Скопируйте (через буфер обмена) в Песочницу бинарник, который хотите запустить.
6. Запустите бинарник в Песочнице. Если это инсталлятор — пройдите процедуру установки и запустите установленное приложение.
7. Используйте приложение по назначению.
8. Когда закончите — просто закройте Песочницу. Всё её содержимой будет удалено.
9. Опционально — можете убедиться, что в Вашей основной ОС ничего не изменилось.
Что под капотом у Песочницы
Песочница Windows построена на технологии, которая называется Windows Containers. Контейнеры разрабатывались (и давно используются) для работы в облаке. Microsoft взял уже достаточно зрелую и протестированную технологию и доработал её для пользователей десктопной Windows.
Среди ключевых адаптаций можно отметить:
Динамически генерируемый образ
Песочница является хотя и легковесной, но всё же виртуальной машиной. И, как любой виртуальной машине, ей требуется образ, с которого она может загрузится. Важнейшей особенностью Песочницы является то, что Вам не нужно откуда-то качать или создавать этот образ. Он создастся на лету, из файлов вашей текущей ОС Windows.
Мы хотим всегда получить одно и то же «чистое» окружение для Песочницы. Но есть проблема: некоторые системные файлы могут меняться. Решением было создание «динамически генерируемого образа»: для изменённых файлов в него будут включаться их оригинальные версии, но вот неизменные файлы физически в этот образ входить не будут. Вместо них будут использоваться ссылки на реальные файлы на диске. Как показала практика — такими ссылками будут большинство файлов в образе. Лишь малая их часть (около 100 МБ) войдут в образ полностью — это и будет его размер. Более того, когда Вы не используете Песочницу, эти файлы хранятся в сжатом виде и занимают около 25 МБ. При запуске Песочницы они разворачиваются в тот самый «динамический образ» размером около 100 МБ.
Умное управление памятью
Управление памятью для Песочницы — ещё одно важное усовершенствование. Гипервизор позволяет запускать на одной физической машине несколько виртуальных и это, в общем, неплохо работает на серверах. Но, в отличии от серверов, ресурсы обычных пользовательских машин значительно более ограничены. Для достижения приемлемого уровня производительности Microsoft разработал специальный режим работы памяти, при котором основная ОС и Песочница могут с некоторых случаях использовать одни и те же страницы памяти.
В самом деле: поскольку основная ОС и Песочница запускают один и тот же образ ОС, то большинство системных файлах в них будут одни и те же, а значит нет смысла дважды загружать в память одинаковые библиотеки. Можно сделать это один раз в основной ОС, а когда тот же файл понадобится в памяти Песочнице — ей можно дать ссылку на ту же страницу. Конечно, требуются некоторые дополнительные меры для обеспечения безопасности подобного подхода, но Microsoft позаботилась об этом.
Интегрированный планировщик
В случае использования обычных виртуальных машин гипервизор контролирует работу виртуальных процессоров, работающих в них. Для Песочницы была разработана новая технология, которая называется «интегрированный планировщик», которая позволяет основной ОС решать когда и сколько ресурсов выделить Песочнице. Работает это так: виртуальный процессоры Песочницы работают как потоки внутри процесса Песочницы. В итоге они имеют те же «права», что и остальные потоки в вашей основной ОС. Если, к примеру, у вас работают какие-то высокоприоритетные потоки, то Песочница не будет отнимать у них много времени для выполнения своих задач, которые имеют нормальный приоритет. Это позволит пользоваться Песочницей, не замедляя работу критически важных приложений и сохраняя достаточную отзывчивость UI основной ОС, аналогично тому, как работает Linux KVM.
Главной задачей было сделать Песочницу с одной стороны просто обычным приложением, а с другой — дать гарантию её изоляции на уровне классических виртуальных машин.
Использование «снимков»
Как уже говорилось выше, Песочница использует гипервизор. Мы по сути запускаем одну копию Windows внутри другой. А это означает, что для её загрузки понадобится какое-то время. Мы можем тратить его при каждом запуске Песочницы, либо сделать это лишь раз, сохранив после загрузки всё состояние виртуальной ОС (изменившиеся файлы, память, регистры процессора) на диске. После этого мы сможем запускать Песочницу из данного снимка, экономя при этом время её старта.
Виртуализация графики
Аппаратная виртуализация графики — это ключ к плавному и быстрому пользовательскому интерфейсу, особенно для «тяжелых» в плане графики приложений. Однако, классические виртуальные машины изначально ограничены в возможностях напрямую использовать все ресурсы GPU. И здесь важную роль выполняют средства виртуализации графики, которые позволяют преодолеть данную проблему и в какой-то форме использовать аппаратную акселерацию в виртуальном окружении. Примером такой технологии может быть, например, Microsoft RemoteFX.
Кроме того, Microsoft активно работала с производителями графических систем и драйверов для того, чтобы интегрировать возможности виртуализации графики непосредственно в DirectX и WDDM (модель драйверов в ОС Windows).
В результате графика в Песочнице работает следующим образом:
- Приложение в Песочнице использует графические функции обычным образом, не зная кто и как будет их выполнять
- Графическая подсистема Песочницы, получив команды отрисовки графики, передаёт их основной ОС
- Основная ОС, получив команды отрисовки графики, воспринимает их так, как будто они пришли от локально запущенного приложения и соответствующим образом выполняет их, выделяя и управляя необходимыми ресурсами.
Это процесс можно изобразить так:
Это позволяет виртуальному окружению получать полноценный доступ к аппаратно акселерируемой графике, что даёт как прирост производительности, так и экономию некоторых ресурсов (например, заряда батареи для ноутбуков) в следствие того, что для отрисовки графики больше не используются тяжелые расчёты на CPU.
Использование батареи
Песочница имеет доступ к информации о заряде батареи и может оптимизировать свою работу для его экономии.
Отзывы и сообщения о проблемах
В любой новой технологии могут быть баги. Microsoft просит присылать сообщения о них и предложения новых фич через Feedback Hub.
Информационной безопасности много не бывает, особенно в нынешних реалиях, когда киберпреступники стремятся быть на шаг впереди новейших средств обнаружения зловредного ПО и используют всё более изощрённые методы хакерских атак. В таких условиях одного лишь установленного на ПК антивируса явно недостаточно. Необходим комплексный подход к обеспечению противодействия современным цифровым угрозам, реализовать который можно с помощью так называемых программ-песочниц (от англ. Sandbox).
Ключевое преимущество Sandbox-приложений — высокий уровень надёжности и безопасности, а также простота использования. Они позволяют буквально в два-три клика разворачивать изолированные среды, в которых можно без опаски запускать любые программы без риска навредить установленной на компьютере операционной системе или повлиять на стабильность её работы. Благодаря этому песочницы можно использовать для запуска недоверенного или потенциально опасного софта, просмотра документов и файлов сомнительного происхождения, а также безопасного веб-сёрфинга в интернете, в том числе для проверки подозрительных электронных писем, ссылок и сетевых ресурсов.
Способов применения технологиям Sandbox можно найти множество. Самое главное — подобрать подходящий инструментарий, определиться с выбором которого поможет наша подборка песочниц для широко востребованной во всём мире платформы Windows.
Источник изображения: Sentavio / freepik.com
⇡# Windows Sandbox
Разработчик: Microsoft.
Сайт продукта: microsoft.com/windows.
Стоимость: бесплатно (включена в состав ОС).
Начнём обзор с самого простого и доступного варианта — встроенной песочницы Windows 10/11, поставляемой в комплекте с операционной системой редакций Pro и Enterprise.
В основу Windows Sandbox положены гипервизор Hyper-V и технологии контейнеризации. Как следствие, для запуска песочницы необходим ПК на базе процессора с поддержкой аппаратной виртуализации и объёмом оперативной памяти не менее 4 Гбайт. По умолчанию функция Sandbox отключена в системе. Для её активации необходимо через панель управления открыть меню «Компоненты Windows», выставить галочку напротив пункта «Песочница Windows», дождаться установки необходимых системных файлов и перезагрузить ОС.
Windows Sandbox представляет собой виртуальную машину с облегчённой копией ОС, все вносимые изменения в которую автоматически откатываются при закрытии изолированной среды, и при каждом запуске песочница запускается «с нуля» в чистом виде. Такой подход освобождает от необходимости удалять установленные в виртуальном окружении программы и здорово экономит время.
В отличие от классической виртуальной машины при использовании песочницы нет необходимости заморачиваться самостоятельной установкой, настройкой и лицензированием отдельной копии Windows. Второй важный момент — в Sandbox используется динамически создаваемый образ ОС, который формируется на основе файлов и DLL-библиотек установленной на компьютере системы. Благодаря этому виртуальная машина с песочницей занимает меньше места на диске и потребляет гораздо меньше ресурсов.
Запускать Windows Sandbox можно только в одном экземпляре. Для управления настройками песочницы и защищённой среды (включение/выключение виртуализации графического процессора, поддержки сети, общих папок с хост-системой и буфера обмена данными, запуска скриптов) допускается использование конфигурационных файлов с расширением .wsb. Об особенностях работы с ними можно узнать на этой странице сайта Microsoft.
⇡#Microsoft Defender Application Guard
Разработчик: Microsoft.
Сайт продукта: microsoft.com/windows.
Стоимость: бесплатно (включена в состав ОС).
Если песочницу планируется использовать только для защищённого веб-сёрфинга, то вместо установки Windows Sandbox можно ограничиться модулем Application Guard, функционирующим в связке с антивирусом Microsoft Defender.
Чтобы воспользоваться Application Guard, необходимо в окне «Компоненты Windows» активировать соответствующий пункт меню, дождаться установки системных файлов и перезапустить ОС.
После перезагрузки компьютера в поставляемом с Windows браузере Edge появится возможность запускать интернет-обозреватель в изолированной среде, использующей технологии виртуализации Hyper-V. При включённом режиме Application Guard можно смело открывать любые сайты и не опасаться, что размещённый на них вредоносный код сможет выйти за пределы песочницы и нанести вред системе.
О том, что браузер действительно запущен в изолированном окружении, свидетельствует значок Application Guard на панели инструментов Microsoft Edge.
Помимо Edge песочницу можно использовать в Google Chrome и Mozilla Firefox — для этого необходимо установить в браузер расширение Application Guard, доступное для скачивания в магазине Chrome Web Store и на сайте Firefox Browser Add-ons.
Application Guard также поддерживает интеграцию с пакетом Microsoft 365 и позволяет открывать в безопасной среде офисные документы. Функция крайне полезная, но, увы, доступная только в решениях софтверного гиганта для корпоративного сегмента рынка. По этой причине мы оставляем её за рамками нашего обзора.
⇡#Sandboxie
Разработчик: Дэвид Ксанатос (David Xanatos).
Сайт продукта: sandboxie-plus.com.
Стоимость: бесплатно с лимитированным набором функций (для снятия ограничений предлагается приобрести сертификат стоимостью от $20).
Ещё одно доступное широкой аудитории решение для работы с приложениями в изолированной среде. Отличительными особенностями Sandboxie являются открытый исходный код, поддержка Windows 7/8.1/10/11 и неограниченного количества песочниц, а также огромное множество всевозможных настроек, позволяющих гибко конфигурировать параметры защищённых сред. Наличие на компьютере средств аппаратной виртуализации не требуется, что является несомненным плюсом программы. Кроме того, Sandboxie можно установить как портативное приложение и запускать с флешки на любом компьютере.
С помощью Sandboxie можно создавать списки автоматически запускаемых в песочнице исполняемых файлов, настраивать политики доступа приложений к системным компонентам Windows и ресурсам компьютера, конфигурировать правила встроенного брандмауэра для каждого процесса и осуществлять скрупулёзный мониторинг всех действий программ и вносимых ими изменений. Для каждой из песочниц Sandboxie позволяет закреплять индивидуальный набор настроек. Поддерживается интеграция с рабочим окружением Windows и быстрый запуск приложений в песочнице через контекстное меню проводника. Для наглядности окна «изолированных» программ обводятся жёлтой рамкой.
В отличие от прочих представленных на рынке приложений-песочниц Sandboxie требует грамотного подхода к конфигурированию изолированных сред, и неправильные настройки последних могут серьёзно ослабить защиту от вредоносного софта. По этой причине мы рекомендуем данный инструмент тем, кто хорошо разбирается в IT и досконально знает все тонкости работы операционных систем Windows. Допущенные ошибки могут обойтись очень дорого.
⇡#SHADE Sandbox
Разработчик: SHADE Sandbox LLC.
Сайт продукта: shadesandbox.com.
Стоимость: от $30 (доступна 30-дневная пробная версия продукта).
Песочница, к созданию которой приложил руку наш соотечественник, выпускник государственного университета «Дубна», основатель компании SHADE Sandbox LLC Евгений Балабанов.
SHADE Sandbox имеет аскетичный интерфейс, а само управление программой построено по принципу Drag-and-drop — для включения того или иного приложения в защищённую среду достаточно перенести его ярлык в стартовое окно песочницы. Настроек как таковых практически нет: доступны только средства просмотра виртуальных директорий, выступающих в качестве связующего звена между хостовой ОС и изолированными средами, а также инструменты для быстрой очистки песочниц от файлового мусора. Поддерживается одновременная работа с несколькими защищёнными окружениями и интеграция с проводником Windows. Наличие аппаратной виртуализации для работы с SHADE Sandbox не обязательно, что допускает возможность использования программы на старых ПК.
Comodo Free Antivirus
Разработчик: Comodo Security Solutions.
Сайт продукта: antivirus.comodo.com.
Стоимость: бесплатно.
Антивирусное решение, важная составляющая которого (применительно к нашему обзору) — встроенная песочница. Обычно подобного рода инструменты предлагаются только в коммерческих продуктах, здесь же американская компания-разработчик Comodo Security Solutions сделала приятное исключение.
Comodo Free Antivirus поддерживает одновременную работу со множеством песочниц и позволяет управлять уровнем обеспечиваемой ими защиты. В частности, для изолированных сред можно открывать доступ к определённым файлам и папкам на компьютере, а также к буферу обмена, указанным ключам и значениям реестра Windows. Также допускается настройка автоматического запуска в песочнице приложений, требующих повышенных привилегий в системе либо имеющих низкий рейтинг согласно оценочной шкале антивируса и используемых им облачных аналитических сервисов. Предусмотрена парольная защита песочниц.
Для понимания «внутренней кухни» изолированных сред и просмотра функционирующих в них процессов имеется встроенный диспетчер задач. С его помощью можно анализировать поведение программ, просматривать рейтинг запускаемых ими процессов, блокировать выполнение отдельных исполняемых файлов и решать прочие административные задачи.
В целом Comodo Free Antivirus производит впечатление качественно сделанного продукта. Он бесплатен и при этом не раздражает пользователя навязчивыми рекламными баннерами как иные распространяемые на безвозмездной основе антивирусы. Единственное замечание: в процессе инсталляции программа норовит установить фирменный браузер Comodo Dragon Web Browser — тут необходимо быть внимательным.
Avast Premium Security
Разработчик: Avast Software.
Сайт продукта: avast.com/premium-security.
Стоимость: от $40/год (доступна 30-дневная пробная версия продукта).
Коммерческий антивирус со множеством защитных функций, в числе которых также фигурирует возможность создания безопасных сред. При этом устанавливать весь комплект входящих в Avast Premium Security модулей нет необходимости, можно ограничиться только песочницей — инсталлятор программы допускает такую возможность.
Набор предлагаемых песочницей Avast Premium Security функций довольно скромный: можно блокировать доступ «виртуализованных» приложений в интернет, разрешать перенос данных за пределы изолированного окружения и составлять список автоматически запускаемых в защищённой среде программ.
Для мониторинга запущенных в песочнице процессов предусмотрен простейший диспетчер задач.
Avast Software почти четверть века работает в сфере информационной безопасности, имеет хорошую репутацию, а поэтому в надёжности и практичности программных решений чешского разработчика можно не сомневаться. К сожалению, в свете последних геополитических событий компания приостановила продажу своих продуктов в России и Белоруссии, поэтому приобрести антивирус теперь можно только окольными путями. Скачивание дистрибутивов тоже заблокировано.
⇡#360 Total Security
Разработчик: Beijing Qihu Keji.
Сайт продукта: 360totalsecurity.com.
Стоимость: бесплатно.
Ещё один антивирус, поддерживающий работу с Sandbox-окружениями. Разработан в Китае и в бесплатной версии обвешан баннерами как новогодняя ёлка, — типичное явление едва ли не для всех программных продуктов из Поднебесной империи.
В отличие от упомянутых выше Comodo Free Antivirus и Avast Premium Security программный комплекс 360 Total Security требует поддержки виртуализации на аппаратном уровне — без неё песочница работать не будет. Этот важный момент почему-то не отмечен в прилагаемой к программе документации, но на него следует обращать внимание.
По набору функций песочница 360 Total Security во многом повторяет конкурирующие решения. Можно блокировать доступ в Сеть для изолированных приложений и управлять настройками хранения создаваемых в песочнице файлов. Доступен выбор программ для автоматического запуска в защищённой среде и простейший менеджер задач.
Помимо песочницы и собственно антивируса 360 Total Security несёт в себе ворох программных компонентов сомнительной ценности вроде анализатора дискового накопителя и оптимизатора ОС. Отказаться от этого балласта не представляется возможным, а зазря забивать диск компьютера ненужным софтом — довольно сомнительная затея, на наш взгляд. Видимо, китайские разработчики думают иначе.
⇡#Заключение
Ассортимент Sandbox-приложений для платформы Windows и индивидуальных пользователей нельзя назвать обширным — приходится выбирать из того, что есть. Из приведённых в обзоре песочниц смело можем рекомендовать Windows Sandbox, Microsoft Defender Application Guard и Comodo Free Antivirus (если не смущает «довесок» в виде антивируса). Avast Premium Security тоже неплох, но он платный, и есть трудности с его приобретением. Хорош во всех отношениях Sandboxie, но это продукт профессионального уровня, который может быть интересен скорее IT-гикам, нежели обычным пользователям, привыкшим, чтобы всё работало «из коробки».
Если Вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
20 декабря 2024
2 минуты чтения
Загрузка и запуск непроверенных программ небезопасны для ПК, однако риски можно минимизировать посредством песочницы Windows. Расскажем, что она представляет собой и как ею пользоваться.
Что такое песочница
Это функция, позволяющая создать виртуальную машину с обособленным рабочим столом внутри персонального компьютера. В рамках нее можно пользоваться различными функциями и программами без влияния на систему. Соответствующий режим реализован в Windows начиная с десятой версии.
В песочнице допустимо открывать подозрительные файлы и устанавливать программы, в безопасности которых нет уверенности. Если внутри файла будет вирус, он распространится только на виртуальную машину, а не на весь компьютер. После теста сеанс песочницы завершается, и все файлы, открытые внутри нее, удаляются.
Что нужно для применения песочницы Windows
Песочница — ресурсоемкая функция. Для ее запуска необходимо, чтобы компьютер был оснащен процессором с архитектурой х64 или х86. Еще потребуется не менее 4 Гб ОЗУ и 1 Гб места на жестком диске. Функция поддерживается операционными системами Windows 10 Home и Pro версий 1903 и позднее. Также она активируется на Windows 11.
Как включить режим песочницы
Существует несколько способов. Первый подразумевает использование меню «Компоненты Windows».
Откройте панель управления и нажмите на кнопку «Программы». Далее откройте вкладку «Программы и компоненты», после чего перейдите в раздел «Включение и отключение компонентов Windows». Пролистайте вниз до пункта «Песочница Windows» и отметьте его галочкой.
Активируется песочница через Windows PowerShell. Одноименное меню можно вызвать в строке поиска, расположенной на панели приложений, либо через «Пуск» в папке Windows PowerShell.
Активировав его с правами администратора, вставьте команду Enable-WindowsOptionalFeature –FeatureName «Containers-DisposableClientVM» -All -Online.
Еще один способ — использование командной строки. Чтобы вызвать ее, нажмите комбинацию клавиш «Win + R» и в появившемся окне введите команду CMD.
В строку введите команду Dism /online /Enable-Feature /FeatureName:»Containers-DisposableClientVM» -All. Песочница сразу включится.
Для окончания активации перезагрузите ПК или ноутбук. По итогу песочница отобразится в меню «Пуск» как Windows Sandbox в подразделе на букву W.
Как применять песочницу
После запуска дождитесь, пока она загрузится. На это может уйти некоторое время. В результате отобразится виртуальный рабочий стол с минимумом иконок. Между ним и вашей основной системой функционирует буфер обмена.
Чтобы протестировать тот или иной файл, перетащите его на виртуальный рабочий стол с основного и запустите. Если это, например, установщик определенной программы, инсталляция пройдет сугубо внутри виртуальной машины. После закрытия песочницы новая программа пропадет вместе с вирусами, если они в ней содержались. Также внутри виртуального рабочего стола работают браузер и файловый проводник, которые можно использовать для загрузки файлов.
В своем прошлом блоге «Мнение: почему не стоит сидеть на Windows 7 и 8.1 в 2019 году» я поднимал вопросы безопасности в ОС, теперь хочу рассказать еще об одном эффективном способе поднять защищенность вашей системы.
В версии Windows 10 May 2019 Update появилась крайне полезная функция — Windows Sandbox или песочница. Она представляет собой виртуальную машину, копирующую ваше рабочее окружение. По сравнению с полноценными виртуальными машинами, типа VMware или VirtualBox, у Windows Sandbox есть серьезные плюсы.
Некоторые из них — это скромные системные требования, простота запуска и настройки виртуальной машины. Всего несколько кликов мышью, и Windows Sandbox запущена и работает. Не надо инсталлировать операционную систему в виртуальную машину, все уже скопировано и работает из коробки. Вы попадаете, по сути, в копию своей Windows 10.
Сегодня я расскажу вам, как установить, настроить и запускать Windows Sandbox и как с ее помощью осуществлять безопасный и приватный серфинг в интернете даже по вредоносным сайтам, полными вирусов и троянов.
Для чего это может понадобиться? Например, вам надо скачать какую-нибудь древнюю версию редкой программы, которая есть только на подозрительных сайтах. Сама программа может быть безобидной, а вот сайт, с которого она распространяется, может быть забит троянами, вирусами и эксплойтами. Виртуальная машина или песочница Windows позволит вам совершенно спокойно посещать такие сайты, так как она не имеет пересечения с вашей основной ОС. Если и произойдет заражение, то оно будет ограничено виртуальной машиной.
В плане приватности Windows Sandbox может быть в том случае, если вы не хотите, чтобы другой пользователь компьютера видел, по каким сайтам вы лазаете. Например, вы в гостях, или дома компьютером пользуются два-три человека. Серфинг на Windows Sandbox не оставит никаких следов в основной ОС. Как только вы ее выключите — все данные сотрутся. Даже режим «Инкогнито» в браузере не даст такой приватности.
Ну что же, перейдем к практике. Windows Sandbox встроена в Windows 10 May 2019 Update и Windows 10 November 2019 Update редакций Pro или Enterprise.
Для начала в BIOS активируем функцию виртуализации.
Чтобы включить песочницу, вам надо перейти и поставить галочку в «Панель управления» — «Программы и компоненты» — «Включение или отключение компонентов Windows» — «Песочница Windows».
Можно включить ее и командами PowerShell:
Теперь найдите Windows Sandbox в меню «Пуск», запустите ее и разрешите повышение привилегий.
Теперь можно приступать к интернет-серфингу. В песочнице есть браузеры internet explorer и EDGE.
Для примера я включу www.youtube.com. Все прекрасно воспроизводится. Потребляется около 4-5 ГБ памяти. Процессор Intel Core i5 с четырьмя ядрами загружен на 40-60%.
Сама песочница внутри себя потребляет 1.3 ГБ.
При желании можно скопировать в нее любой портабельный браузер и пользоваться им, это занимает несколько десятков секунд. Я копирую Comodo Dragon.
Особых фризов и лагов замечено не было. Иногда были редкие подвисания после закрытия окон, и EDGE не захотел проигрывать видео на www.youtube.com, но выручил internet explorer, в нем все прекрасно воспроизводилось.
Для запуска песочницы и ее настройки удобно использовать программу Windows Sandbox Editor от technet.
Она на английском, но простая и понятная. После ее использования сохранится файл с расширением *.wsb, запуском которого вы будете запускать песочницы с заданными параметрами. Не забывайте включить ускорение посредством GPU в Windows Sandbox, это здорово ускоряет работу с браузером.
Не забывайте, что «Drag and Drop» в окно песочницы не работает, а вот «скопировать» и «вставить» работают. Копирование в случае использования SSD-накопителя происходит довольно быстро. Главное, не забывайте, что все содержимое Windows Sandbox будет уничтожено при закрытии, поэтому надо скопировать информацию в компьютер до выключения.
Итоги
В виде встроенной виртуальной машины Windows Sandbox мы получили не только инструмент проверки подозрительных файлов, но и возможность абсолютного безопасного открытия вредоносных сайтов. Но, не забывайте, что при таком посещении опасных сайтов информация браузера может быть скомпрометирована, поэтому старайтесь не вводить логины и пароли.
Telegram-канал @overclockers_news — теперь в новом формате. Подписывайся, чтобы быть в курсе всех новостей!
Привет, друзья. В недавно опубликованном обзоре майского накопительного обновления Windows 10 при комплексном рассмотрении новшеств обновлённой недавно операционной системы мы вкратце упомянули о песочнице Windows Sandbox, с отсылкой на отдельную публикацию по этой теме. И вот, собственно, эта публикация: ниже будем детально знакомиться с новым штатным компонентом Windows 10 в редакциях, начиная с Pro — Windows Sandbox. Этот компонент несёт чрезвычайную пользу в части защиты компьютера и является одним из немногочисленных годных решений в расчёте на массового пользователя. А таковыми решениями «Десятка» в последние годы пополняется, увы, нечасто.
Песочница Windows Sandbox в Windows 10: тестируем сомнительный софт без риска для системы
Windows Sandbox: что это такое
Windows Sandbox – это виртуальная, изолированная от основной Windows среда запуска сомнительных, непроверенных и заведомо проблемных EXE-файлов и программ Windows. Присутствует в редакциях, начиная с Pro. В песочнице можем устанавливать программы, скачанные с левых сайтов, тестировать их,
кастомизировать интерфейс системы,
внедрять различные надстройки,
экспериментировать с настройками самой Windows, запускать браузер и ходить по сомнительным сайтам.
Песочница Windows являет собой обычное приложение, но внутри него на базе технологии Hyper-V реализована виртуальная Windows 10 1903. Но не полноценная виртуальная операционная система, а урезанная: в ней есть только классическая часть Windows 10 — проводник, панель управления, диспетчер задач, командная строка, PowerShell и прочие административные утилиты. И реализован доступ к Интернету.
В песочнице нет Microsoft Store и его приложений, из штатных UWP-приложений — только браузер Microsoft Edge, «Безопасность Windows», «Параметры».
Песочница не функционирует по принципу программ типа «Неубиваемая Windows». Мы, как упоминалось, не работаем в среде реальной системы, которая потом возвращается к снимку, запечатлёному в момент активации защиты в виде неприменения вносимых изменений. Мы работаем полностью в виртуальной среде с единственным системным разделом С, муляжом реального раздела С.
Муляжа других разделов физического жёсткого диска у нас нет, а всё сообщение с основной операционной системой осуществляется через буфер обмена. Копируем файл в среде реальной системы, вставляем его в среде песочницы.
Мы даже не являемся пользователями виртуальной системы песочницы. Её пользователь – это предустановленная техническая локальная учётная запись с правами администратора.
Для удобства погружения в среду виртуальной Windows с песочницей можно работать в полноэкранном режиме.
Windows Sandbox – это, по сути, чистая Windows 10 1903, и таковой она будет каждый раз после закрытия и открытия приложения вновь. Все проделанные в такой виртуальной системе изменения не сохраняются и действуют только на протяжении одной сессии работы песочницы.
И, увы, такой расклад позволит нам проводить эксперименты только с софтом и настройками, которые не требуют процедуры перезагрузки.
Как активировать Windows Sandbox
Для активации песочницы в Windows 10 1903, как упоминалось, необходима редакция от Pro и выше. А также соответствие компьютера минимальным аппаратным характеристикам работе с гипервизорами, это:
- Поддержка аппаратной виртуализации процессором и включение её в BIOS;
- Сам процессор желательно с двумя ядрами;
- Хотя бы 4 Гб оперативной памяти.
Как видим, друзья, вполне сносные требования. Если с этим всё в порядке, отправляемся в панель управления. Кликаем «Программы».
Далее – «Программы и компоненты». В появившемся окошке ищем пункт «Песочница Windows», ставим галочку, жмём «Ок».
Ждём немного и перезагружаем компьютер. После перезагрузки ищем ярлык приложения Windows Sandbox в меню «Пуск». Вот так вот всё просто, казалось бы, если бы не одно «Но».
Ошибка запуска Windows Sandbox в русскоязычном дистрибутиве
Парадоксально, но именно самой толковой новинки Windows 10 1903 коснулись недоработки майского накопительного обновления. У многих Windows Sandbox в русскоязычном дистрибутиве операционной системы при запуске слетает с ошибкой. Известно, что в процессе инсайдерской обкатки песочница до определённого момента работала нормально, но после внедрения подборки обнов стала выдавать ошибку запуска.
Как быть в этой ситуации? Можно подождать, пока Microsoft решит этот вопрос. А можно всё же попытаться запустить Windows Sandbox. Первый вариант – в «Программах и компонентах» попробовать деактивировать песочницу, активировать компонент «Платформа виртуальной машины». Перезагрузиться и потом снова активировать песочницу.
Примечание: активация платформы виртуальной машины может привести к конфликту запуска в системе сторонних гипервизоров — VMware и VirtualBox. Если вы столкнётесь с этой ситуацией, деактивируйте платформу виртуальной машины, но не перезагружайтесь. Прежде запустите командную строку от администратора, введите:
bcdedit /set hypervisorlaunchtype off
И только теперь делайте перезагрузку.
Второй вариант – установить с нуля англоязычный дистрибутив Windows 10 1903 и русифицировать его, но только в части основного интерфейса, не применяя русский к административным параметрам. Подробнее об этом варианте читаем в статье «Windows Sandbox не запускается: устанавливаем англоязычную Windows 10 1903 и русифицируем её».
Windows Sandbox VS гипервизоры
Что можно в целом сказать о Windows Sandbox? В комментариях к упомянутой статье читатель сайта у меня спросил:
«Действительно ли так необходим и полезен Sandbox, если учитывать существование VirtualBox или VMware? Или это не одно и то же?»
Да, в который раз на страницах сайта утверждаю, Windows Sandbox – реально годный и крайне полезный инструмент для всех ниш пользователей. И для новичков, и для опытных, и для мастеров, и для энтузиастов. Все мы устанавливаем в среду Windows стороннее ПО, и мало кто из нас может похвастаться тем, что ни разу за всю историю работы с компьютером не словил хайджекер или не столкнулся с иными проблемами вследствие установки какой-то программы. Windows Sandbox как инструмент вместе с осознанным нашим поведением поможет упредить массу потенциальных проблем.
Является ли Windows Sandbox одним и тем же, что VirtualBox или VMware? В общем – да, в деталях – нет. Windows Sandbox – это модифицированный, во многом урезанный гипервизор (т.е. программа виртуализации операционных систем) Hyper-V, продукт компании Microsoft, компонент, встроенный в серверные Windows и десктопные Windows 8.1 и 10 (в редакции, начиная с Pro). У Windows Sandbox, по сравнению с Hyper-V, VirtualBox и VMware, сильно урезанные возможности. Но это именно тот формат, который позволит обычным пользователям без погружения в суть работы полноценных гипервизоров использовать возможности виртуализации для теста сомнительного ПО. Если же мы говорим о полноценной работе со средой виртуальной операционной системы, то тут, конечно, без Hyper-V, VirtualBox или VMware не обойтись.