Вам следует тестировать новые приложения и файлы в песочнице Windows

Перестаньте открывать новые файлы или устанавливать приложения на вашем ПК с Windows, не попробовав их сначала в Windows Sandbox. Эта встроенная мини-Windows полностью изолирована от вашей основной установки, поэтому, если вы еще не используете ее для тестирования, вам следует начать сегодня.

Что такое «песочница» Windows?

Песочница Windows — это функция, которая предоставляет пользователям полностью изолированную среду Windows для тестирования. Она доступна с Windows 10 19H1 для пользователей с лицензией Windows 10 или 11 Pro, Enterprise или Education. К сожалению, пользователи Windows 10 и 11 Home не могут использовать эту функцию.

Выглядит как виртуальная машина, но немного отличается. Для начала, это не типичная виртуальная машина. Она самоуничтожается, то есть, когда вы выходите из песочницы, она полностью сбрасывается. Все файлы, которые вы открывали, все изменения, которые вы вносили, и все приложения, которые вы устанавливали, удаляются, что делает ее идеальной тестовой средой.

Windows Sandbox предупредит пользователей, что все данные в ней будут удалены при закрытии приложения.

Если вы используете Windows 11 22H2 (или более позднюю версию), вы можете перезапустить среду без ее самоуничтожения. Это функция, добавленная Microsoft, чтобы позволить вам использовать приложения в песочнице, которым требуется перезапуск для завершения установки. Среда по-прежнему является временной, и если вы выйдете из приложения-песочницы, она сбросится до конфигурации по умолчанию.

Он изолирован от вашей основной системы, поэтому даже если вы заразитесь вредоносным ПО в песочнице, это не повлияет на вашу основную установку Windows. По умолчанию доступ к Интернету включен через сетевой адаптер, но это можно остановить с помощью файла конфигурации песочницы.

Для чего следует использовать песочницу Windows?

Windows Sandbox — это не та функция, которую Microsoft навязывает пользователям, но, насколько я понимаю, это важное оружие в наборе инструментов безопасности и конфиденциальности.

Давайте рассмотрим основы. Во-первых, большинство пользователей получают вредоносное ПО из-за того, что они сами делают. Они могут открыть вирус, замаскированный в подозрительном PDF-файле, или установить взломанную версию приложения, которое пронизано вредоносным ПО.

Вам может повезти. Вы можете обнаружить, что эти инфекции подхватываются Microsoft Defender (или вашим собственным сторонним антивирусом). Однако в режиме песочницы это не имеет значения. Инфекция не может повредить ничему. Если вы видите проблему, вы можете просто закрыть приложение песочницы. Инфекция стирается, не влияя ни на что в вашей основной установке Windows.

Я использую режим песочницы для любого нового приложения, которое я устанавливаю, где я могу усомниться в его происхождении или безопасности. Я также использовал его в прошлом, чтобы открывать вложения файлов, особенно с более проблемными расширениями файлов.

Вам понадобится правильная система (и лицензия Windows)

Хотя Windows Sandbox задуман как более легкая версия Windows, он все равно будет влиять на производительность вашей системы, а это значит, что вам понадобится достаточно хороший ПК для его использования. Минимальные требования Microsoft к ПК, на котором можно запустить Windows Sandbox, включают:

• 4 ГБ ОЗУ, хотя рекомендуется 8 ГБ или больше. Я бы тоже рекомендовал больше, особенно если вы ищете плавный опыт.
• 1 ГБ свободного места на диске для запуска, желательно на твердотельном диске (SSD).
• 64-разрядный ЦП с минимум двумя ядрами и поддержкой виртуализации, но рекомендуется 4-ядерный ЦП с поддержкой гиперпоточности (или лучше). Если вы используете Windows 11 22H2 или более позднюю версию, вы также можете запустить Windows Sandbox на ЦП ARM64.

Также следует рассмотреть вопрос лицензирования. Как я уже упоминал, вы не можете использовать режим песочницы в Windows 10 или Windows 11 Home. Вам нужно будет обновить свою лицензию до Pro, Enterprise или Education editions Windows 10 или 11 или рассмотреть более традиционную среду виртуальной машины в качестве альтернативы.

Как включить песочницу на вашем ПК с Windows

Если вы раньше не использовали песочницу, вам нужно будет настроить несколько вещей. Для начала убедитесь, что вы включили виртуализацию для вашего процессора в меню BIOS или UEFI.

Вам также потребуется установить файлы, необходимые для Windows Sandbox, в меню «Дополнительные компоненты» в Windows 11 или Windows 10. Чтобы сделать это быстро, нажмите сочетание клавиш Windows+R, введите «optionalfeatures» и нажмите «ОК».

В открывшемся окне обязательно выберите «Песочница Windows», прежде чем нажать «ОК» для начала установки.

После установки (и быстрой перезагрузки) вы сможете найти «Windows Sandbox» в меню «Пуск» вручную или с помощью поиска.

После его открытия вам будет предоставлена ​​возможность использовать копию чистой установки Windows 10 или Windows 11 (в зависимости от вашей версии Windows).

Песочница Windows — хорошая защита, но будьте бдительны

Слабым звеном в цепи всегда будет ты (или кто-то еще, кто пользуется вашим ПК). Песочница Windows не защищена от дурака, и есть некоторые атаки, от которых песочница не сможет вас защитить, если вы не будете бдительны с самого начала.

Хорошим примером является перехват сеанса. Довольно известным инцидентом последних лет стала атака на канал Linus Tech Tips на YouTube. Сотрудник загрузил и открыл мошеннический PDF-файл, содержащий мошеннический код. Код захватил cookie сеанса для канала из веб-браузера, предоставив злоумышленнику полный доступ к учетной записи канала, как будто он сам вошел в систему. Пароль не требуется.

Последовал хаос, но так быть не должно. Например, если бы этот сотрудник открыл файл в новой среде песочницы, то атака бы провалилась. Однако, если бы сотрудник вошел в учетную запись в веб-браузере в песочнице, атака бы все еще преуспевать.

Мораль истории? Используйте песочницу как песочницу для чего-то одного за раз. Если вы хотите протестировать файл, вам следует открыть только этот файл. Если вы хотите опробовать приложение, попробуйте только это приложение и не рискуйте при этом своей личной информацией.

Если вам нужно протестировать оба варианта, просто закройте приложение, перезапустите песочницу и попробуйте запустить его в новой среде.

Для дополнительной безопасности «песочницы» заблокируйте доступ к сети

Есть способ усилить безопасность в Sandbox, чтобы сделать его еще более безопасным и предотвратить атаки (вроде перехвата сеанса, который я описал выше). Если вы заблокируете сетевой доступ в Windows Sandbox, ваша sandbox не сможет взаимодействовать ни с каким другим устройством, будь то другой локальный ПК или сервер, размещенный в Интернете.

Для этого откройте Блокнот и введите следующий текст:

<Конфигурация>
<Сеть>Отключить

Сохраните файл под любым именем, используя расширение «.wsb» (например, nonetwork.wsb).

Если вы хотите запустить свою песочницу без доступа к сети, просто дважды щелкните файл. Он будет запущен с этой конфигурацией, при этом доступ к сетевому адаптеру вашего ПК будет полностью заблокирован.

Есть и другие параметры конфигурации Windows Sandbox, которые вы можете добавить, включая возможность сопоставить папку общего доступа или отключить виртуальный GPU. Обычно я запускаю sandbox с отключенными vGPU и сетью, просто чтобы сделать sandbox более безопасным.

Не можете использовать Windows Sandbox? Создайте вместо этого пользовательскую виртуальную машину

Если вы пользователь Windows 10 или 11 Home, вы не можете использовать песочницу, но вы можете использовать виртуальную машину. Она не будет самоуничтожающейся, но те же принципы все еще могут применяться. Нет причин, по которым вы не можете сохранить резервную копию новой виртуальной машины, чтобы вернуться к ней и создать себе среду в стиле песочницы.

Однако если вы решите запустить Windows 11 на виртуальной машине, то процесс будет включать настройку Windows в этой среде. Это не будет так быстро или гладко, и вы можете обнаружить, что влияние на ваши системные ресурсы больше.

Я думаю, что Windows Sandbox — одна из лучших функций в современной Windows, но она совершенно недооценена и определенно недоиспользуется. Если вам когда-нибудь понадобится опробовать рискованное приложение или файл, не подвергайте риску свою основную систему. Просто откройте Windows Sandbox.