http://wiki.schmalzl.biz

Ab der Windows 10 1903 ist eine neue Funktion integriert - die Windows Sandbox.
Dabei handelt es sich um eine leicht gewichtige virtuelle Maschine, die im Gegensatz zu einer wirklichen VM immer exakt die gleiche Funktionsvielfalt einer installierten Windows Enterprise Version bereitstellt (ohne installierte Programme). 


Für diesen Zweck bringt die Sandbox kein virtuelles Laufwerk mit einem vollständigen Windows mit, sondern nutzt die Binaries des Host-OS einfach mit (indem sie überwiegend Links auf die benötigten Dateien des Hosts enthält).

Wird die Windows Sandbox beendet oder geschlossen, werden sämtliche Daten aus der VM verworfen und es bleiben keinerlei Hinweise auf die Ausführung der Anwendungen auf der Festplatte des Host gespeichert.

Aktuell unterstützt die Windows Sandbox keine Installationen, die einen Neustart verlangen.
Ebenso wenig gibt es derzeit Unterstützung für Store Apps.


Microsoft wird die Windows Sandbox in Windows 10/11 Pro und Windows 10/11 Enterprise Versionen bereitstellen.

Mit einem Trick lässt sich die Windows Sandbox auch unter Windows 10 Home installieren/nutzen:
https://www.deskmodder.de/blog/2019/04/20/windows-10-home-windows-sandbox-installieren-und-nutzen/






Voraussetzungen für die Windows Sandbox

  • ab Windows 10 1903 (19H1) Build 18362.325 oder Windows 11
  • Die Virtualisation muss im Bios aktiviert sein (VT-x/AMD-V)
  • Mindestens 4 GB RAM (8 GB empfohlen)
  • CPU mit mind. 2 Core (4 Core + Hyperthreading empfohlen)
  • Keine Installation von Hyper-V erforderlich

Windows Sandbox aktivieren

  • 'Windows-Features' in die Suche der Taskleiste eingeben
  • Hier nun nach unten scrollen und die Windows Sandbox aktivieren

Nach einem Neustart befindet sich im Startmenü der Eintrag "Windows Sandbox"


Quelle: https://techcommunity.microsoft.com/t5/Windows-Kernel-Internals/Windows-Sandbox/ba-p/301849




Windows Sandbox mit einer Konfigurationsdatei starten

Während normale VMs unter Client Hyper-V eine relativ enge Integration gegenüber dem Host aufweisen, schottet die Sandbox eigentlich ihren Inhalt von der Umgebung weitgehend ab. Dabei wird der Zugriff auf File-Shares und umgekehrt auch auf Freigaben von Verzeichnissen unterbunden. Der Datenaustausch zwischen Gast und Host ist einzig über Copy & Paste möglich.

Mit einer XML-Konfigurationsdatei als *.wsb bietet Microsoft einige Vorgaben an, die beim Start der Sandbox geändert werden können.
Wie etwa die vGPU (virtualisierter Grafikprozessor) zu aktivieren oder deaktivieren.
Außerdem lässt sich der Netzwerkzugriff ein oder ausschalten und man kann einen gemeinsamen Ordner definieren mit Lese- oder Schreibrechten.

Um die Sandbox mit den definierten Einstellungen zu starten, muss die Konfigurationsdatei *.wsb einfach mit einem Doppelklick ausgeführt werden!

Microsoft-Windows-Sandbox-Konfiguration

Microsft passt von Windows zu Windows auch die Sandbox ein klein wenig an. Daher kamen in den letzten Versionen kleine Verbesserungen hinzu. Eine Konfigurationsanleitung bietet MS unter
https://docs.microsoft.com/de-de/windows/security/threat-protection/windows-sandbox/windows-sandbox-configure-using-wsb-file



Überblick

vGPU (virtualisierte GPU)

Code:
<VGpu>Default</VGpu>

Aktivieren "Default" [Standardwert] oder deaktivieren "Disable" Sie die virtualisierte GPU.
Wenn vGPU deaktiviert ist, verwendet Sandbox WARP* (Software-Rasterizer), welches langsamer als die vGPU sein kann.

*WARP ist eine Komponente der DirectX-Grafiktechnologie, die mit der Direct3D 11-Laufzeitumgebung eingeführt wurde.


Netzwerk (Internet)

Code:
<Networking>Default</Networking>

Aktivieren "Default" [Standardwert] oder Deaktivieren "Disable" Sie den Netzwerkzugriff für die Sandbox.


Gemeinsamer Ordner (File-Share)

Code:
<MappedFolder>
  <HostFolder>path to the host folder</HostFolder>
  <ReadOnly>true</ReadOnly>
</MappedFolder>

HostFolder: Gibt den Ordner auf dem Hostcomputer an, der für die Sandbox freigegeben werden soll.
Beachten Sie, dass der Ordner bereits vorhanden sein muss. Andernfalls wird der Container nicht gestartet, wenn der Ordner nicht gefunden wird.

ReadOnly: Mit "true", wird der schreibgeschützte Zugriff auf den freigegebenen Ordner aus dem Container erzwungen (nur Leserechte). 
Der Wert "false" erlaubt auch Schreibrechte in dem freigegebenen Ordner.

Beachten Sie: Vom Host zugeordnete Dateien und Ordner können durch Apps in der Sandbox gefährdet werden oder sich möglicherweise auf den Host auswirken.

<MappedFolder> gibt einen einzelnen Ordner auf dem Hostcomputer an, der auf dem Container-Desktop freigegeben wird.
Apps in der Sandbox werden unter dem Benutzerkonto "WDAGUtilityAccount" ausgeführt.
Daher werden alle Ordner unter dem folgenden Pfad zugeordnet: C:\Users\WDAGUtilityAccount\Desktop
z.B. "C:\Test" auf dem Host, wird als "C:\users\WDAGUtilityAccount\Desktop\Test" in der Sandbox zugeordnet


StartScript (commands)

Code:
<LogonCommand>
  <Command>command to be invoked</Command>
</LogonCommand>

Gibt ein Pfad zu einer ausführbaren Datei oder einem Skript im Container an, der nach der Anmeldung ausgeführt wird.
z.B. explorer.exe C:\users\WDAGUtilityAccount\Desktop  öffnet nach dem Start, den Windows Explorer mit dem Verzeichnis 'Desktop'


Audioeingang (Mikrofon)

Code:
<AudioInput>value</AudioInput>

Aktivieren "Default" [Standardwert] (bzw. "Enable") oder Deaktivieren "Disable" Sie den Audioeingang für die Sandbox.
Wenn dieser Wert festgelegt ist, kann der Sandkasten Audioeingaben vom Benutzer empfangen. 
Für Anwendungen, die ein Mikrofon verwenden, ist diese Funktion möglicherweise erforderlich.


Videoeingang (Bildübertragung)

Code:
<VideoInput>Default</VideoInput>

Deaktivieren "Default" [Standardwert] (bzw. "Disable") oder aktivieren "Enable" Sie den Videoeingang für die Sandbox.


Geschützter Client (Internet)

Code:
<ProtectedClient>Disable</ProtectedClient>

Eine Aktivierung "Enable" wendet zusätzliche Sicherheitseinstellungen auf die Sandbox an, um dessen Angriffsfläche zu verringern.
Diese Einstellung kann die Möglichkeit des Benutzers zum Kopieren/Einfügen von Dateien in und aus dem Sandbox einschränken!


Druckerumleitung

Code:
<PrinterRedirection>Default</PrinterRedirection>

Dektivieren "Default" [Standardwert] (bzw. "Disable") oder aktivieren "Enable" Sie den die Freigabe von Hostdruckern in der Sandbox.


Zwischenablageumleitung (Copy & Paste)

Code:
<ClipboardRedirection>Default</ClipboardRedirection>

Aktivieren "Default" [Standardwert] oder Deaktivieren "Disable" Sie die Zwischenablageumleitung für die Sandbox.
Wenn der Wert deaktiviert ist, wird das Kopieren/Einfügen in und aus der Sandbox eingeschränkt.


Arbeitsspeicher (Internet)

Code:
<MemoryInMB>Default</MemoryInMB>

Gibt den Arbeitsspeicher an, den die Sandbox in Megabyte (MB) verwenden darf.
Wenn der angegebene Speicherwert nicht ausreicht, um einen Sandkasten zu starten, wird er automatisch auf den erforderlichen Mindestbetrag erhöht.


Quelle: https://techcommunity.microsoft.com/t5/Windows-Kernel-Internals/Windows-Sandbox-Config-Files/ba-p/354902





Beispielkonfiguration:

Den Textausschnitt kopieren, in Notepad (Texteditor) einfügen, abspeichern und die Datei umbenenne in *.wsb

Configurationsdatei
<Configuration>
  <VGpu>Default</VGpu>
  <Networking>Disable</Networking>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Users\Public\Downloads</HostFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>explorer.exe C:\users\WDAGUtilityAccount\Desktop\Downloads</Command>
  </LogonCommand>
</Configuration>

In diesem Beispiel ist vGpu aktiviert und das Netzwerk (Internet) ist gesperrt´.
Ein öffentlicher Ordner 'Downloads' wird angelegt (nur mit Leserechten) und der Windows Explorer startet sofort mit dem Pfad in den öffentlichen Ordner.