Windows 10“沙盒” 不僅更安全

■ 威海職業學院 趙永華

編者按： 沙盒在隔離潛在安全文件時發揮著重要作用，Windows 10也提供了類似虛擬機的沙盒功能，它又有怎樣的特點呢？

為規避來自網絡或E-Mail中可執行文件可能存在的安全風險，管理員通常會采用虛擬機（VM）方式將其進行隔離式運行。那么，近來微軟在Windows 10提供的“沙盒”功能與VM有何不同呢？

VMs vs沙盒

VM最初的來歷是開發人員為免除干擾搭建的一種封閉式小系統，但是當它用于測試未名可執行文件時就會遇到一些問題。雖然我們可以采用免費產品如VirtualBox，但是它要求系統的硬件配置較為昂貴，尤其是存儲空間，此時若采用SSD，空間經常會捉襟見肘；若改用 HDD，則性能常常遲緩，而且VM的配置往往也較為棘手。

為 此，微軟在Windows 10中提供的沙盒（Sandbox）功能，又所謂“私人桌面”（InPrivate Desktop）， 在這個隔離的臨時桌面上測試運行一些程序變得更為便利和符合習慣。與標準的VM相比，安裝在沙盒內的軟件不會影響到主機。當然，沙盒與VM一樣，對配置的要求似乎也沒有降低，需要是64位架構的Windows 10企業版，BIOS支持虛擬化，至 少 4GB（建 議 8GB）RAM，SSD至少1GB剩余空間，至少雙核（建議4核）CPU等等。

圖1 在控制面板中勾選“沙盒支持”

但不同的是，關閉沙盒之后，我們之前安裝的程序、添加的文件以及改變的設置都隨之消失，再次運行沙盒，它又是一塊干凈的平臺，它通過虛擬化硬件所運行的hypervisor是與主機相隔離的內核。

而且，沙盒不需要下載生成虛擬硬盤VHD，與此相反，Windows會根據主機情況動態生成抓拍式OS，通常僅需100MB，在沙盒停運期間，它會進一步壓縮至25MB。盡管處于隔離狀態，沙盒與主機并非徹底斷開，比如在必要時，主機系統會從沙盒中回收部分內存以避免系統運行過慢，而沙盒也會反過來優化運行。

如何獲取沙盒

如果對沙盒特別感興趣，可以到微軟網站報名參加測試團隊，然后安裝必要的支持程序或更高版本，然后就可以進行實驗了。試用沙盒功能的步驟主要包括以下內容：

1.設置虛擬化：即需要在BIOS中設置虛擬化項。我們可以通過當前系統的任務管理器進行確認，即任務管理器中的性能欄目中的CPU部分是否支持了虛擬化。

假如我們目前運行的主機系統本身是基于VM的，那么就需要進行嵌套式虛擬化設置。為此，需要執行以下PowerShell命令，它可以讓VM為沙盒提供額外的虛擬空間：

S e t-V M P r o c e s s o r-V M N a m e -ExposeVirtualization Extensions $true

2.設置沙盒的可用性：從控制面板-程序-Windows性能列表 中 勾 選 “Windows Sandbox”（如圖 1）。

之后重啟系統，在開始菜單即可看到有Windows Sandbox，雙擊運行即可看到一個簡單的新型桌面，貌似純凈版的Windows。

如何使用沙盒

對于熟悉VM的用戶，對沙盒的使用可謂一見如故，我們可以將文件直接復制粘貼到Sandbox，雖然不能采用更為便捷的拖放方式。對于沙盒內的文件，我們就象平時處理文件那樣；對于可執行文件也可以放心運行，因為不會干擾到主機系統。

值得說明的是，在Sandbox中刪除的一個文件，并不會進入回收站，而是會永久刪除，當然執行刪除時會有警告提示。我們可以象關閉其他應用那樣關閉Sandbox，它會將抓拍內容徹底消除。沙盒對于硬件的節約化特征使它比VM更具吸引力。