Vollständige Anleitung · Sicherheit & Virtualisierung

Windows Sandbox unter Windows 10 und 11
Aktivieren · Konfigurieren · Verwenden

Eine Schritt-für-Schritt-Anleitung zum sicheren Ausführen nicht vertrauenswürdiger Anwendungen, zum Testen von Software und zum Besuchen verdächtiger Websites — alles innerhalb der integrierten, isolierten Desktop-Umgebung von Microsoft.

⏱ 12 Min. Lesezeit 🪟 Windows 10 Pro & Enterprise 🪟 Windows 11 Pro & Enterprise 🔒 Sicherheit & Datenschutz 🖥️ Virtualisierung
Abschnitt 01

Was ist Windows Sandbox? Der integrierte, wegwerfbare Desktop von Windows

Windows Sandbox ist eine leichte, temporäre virtuelle Maschine, die direkt in Windows 10 und Windows 11 integriert ist. Sie stellt eine isolierte Desktop-Umgebung bereit, in der Sie Anwendungen ausführen, Websites besuchen oder Dateien öffnen können, denen Sie nicht vollständig vertrauen — ohne jedes Risiko für Ihr Hauptbetriebssystem.

Mit Windows 10 Version 1903 (Update vom Mai 2019) eingeführt, ist die Sandbox im Wesentlichen eine saubere, frische Windows-Kopie, die in Sekunden startet. Sobald Sie das Sandbox-Fenster schließen, wird alles darin — heruntergeladene Dateien, Registrierungsänderungen, installierte Programme — unwiderruflich und dauerhaft gelöscht. Ihr Hostsystem bleibt dabei vollständig unberührt.

💡
Wichtiger Hinweis Im Gegensatz zu herkömmlichen virtuellen Maschinen benötigt Windows Sandbox keine separate Windows-Lizenz, kein ISO-Image und keine langwierige Einrichtung. Sie verwendet die bereits auf Ihrem Computer installierte Windows-Kopie.

Was unterscheidet sie von einer klassischen virtuellen Maschine?

Traditionelle Virtualisierungslösungen wie VMware oder Hyper-V erfordern, dass Sie ein vollständiges Betriebssystem-Image beschaffen, dedizierten Speicherplatz zuweisen und persistente Snapshots verwalten. Windows Sandbox ist grundlegend anders: Sie nutzt die Technologie des dynamischen Basisabbilds und teilt unveränderliche Betriebssystemdateien direkt mit dem Host über Copy-on-Write-Semantik. Das bedeutet, dass die Sandbox für die Betriebssystemschicht selbst kaum zusätzlichen Speicherplatz belegt.

Das Ergebnis ist eine Startzeit, die in Sekunden gemessen wird (typischerweise 2 bis 5 Sekunden), ein minimaler Speicher-Overhead (rund 100 MB dedizierter RAM-Mehraufwand) und kein persistenter Speicher für die Betriebssystemschicht. Für schnelle, wegwerfbare Testsitzungen kommt im Windows-Ökosystem nichts auch nur annähernd heran.

Abschnitt 02

Wie Windows Sandbox unter der Haube funktioniert: Die Architektur erklärt

Das interne Funktionsprinzip von Windows Sandbox zu verstehen, hilft dabei, ihr Sicherheitsmodell und ihre Leistungsmerkmale besser einzuschätzen. Microsoft hat sie mit drei grundlegenden Kerntechnologien entwickelt, die Hand in Hand arbeiten.

Dynamisches Basisabbild

Die Sandbox bewahrt keine vollständige Kopie des Betriebssystems auf der Festplatte. Stattdessen nutzt sie ein dynamisch generiertes Basisabbild, das direkt auf die sauberen Systemdateien Ihres Host-Laufwerks gemappt wird. Nur Dateien, die sich zwischen Host und Sandbox unterscheiden (benutzererstellte Inhalte, heruntergeladene Dateien, installierte Anwendungen), werden separat in einem Sparse-Disk-Format gespeichert. Der typische Speicherabdruck der Betriebssystemschicht beträgt rund 100 MB — verglichen mit mehreren Gigabyte bei herkömmlichen VMs.

Kernisolierung durch Hardware-Virtualisierung

Windows Sandbox läuft intern als Hyper-V-Container, was ihr eine Isolation auf Hardwareebene verleiht. Der Kernel der Sandbox ist vollständig vom Kernel des Hosts getrennt: Eine innerhalb der Sandbox ausgenutzte Schwachstelle kann das Host-Betriebssystem nicht direkt beeinflussen. Die VM-Bus- und VSP/VSC-Architektur regelt die gesamte Kommunikation zwischen Host und Gast mit strikten Grenzen.

Integrierter Kernel-Scheduler

Um Leistungseinbußen auf dem Host zu verhindern, hat Microsoft einen benutzerdefinierten Scheduler entwickelt, der sicherstellt, dass virtuelle Prozessoren der Sandbox aus Sicht der Host-CPU als Aufgaben mit niedriger Priorität behandelt werden. Wenn Ihre Hauptarbeitslast Ressourcen benötigt, gibt die Sandbox diese automatisch frei. Das bedeutet, dass Sie die Sandbox parallel zu Ihrem normalen Arbeitsfluss betreiben können, ohne spürbare Verlangsamung.

Sicherheitsgarantie Jede Sandbox-Sitzung beginnt mit einem sauberen Windows-Snapshot. Ganz gleich, welche Malware oder unerwünschte Software darin ausgeführt wird — beim Schließen des Fensters verschwinden alle Spuren. Die Isolation wird durch Hardware via Hyper-V garantiert.
Abschnitt 03

Systemanforderungen für Windows Sandbox: Ist Ihr PC kompatibel?

Bevor Sie versuchen, Windows Sandbox zu aktivieren, überprüfen Sie, ob Ihr System alle folgenden Anforderungen erfüllt. Fehlt auch nur eine davon, wird die Funktion nicht korrekt funktionieren.

Anforderung Mindestspezifikation Hinweise
Windows-Edition Windows 10/11 Pro, Enterprise oder Education Die Home-Edition wird nicht unterstützt
Windows-Version Windows 10 Version 1903 (Build 18305) oder höher Alle Windows-11-Versionen werden unterstützt
Architektur Nur AMD64 (x86-64) ARM64 wird nur unter Windows 11 unterstützt
CPU-Virtualisierung Intel VT-x oder AMD-V im BIOS/UEFI aktiviert Muss auf vielen Systemen manuell aktiviert werden
CPU-Kerne Mindestens 2 Kerne (4 empfohlen) Hyper-Threading zählt zur Kernanzahl
Arbeitsspeicher Mindestens 4 GB (8 GB dringend empfohlen) Die Sandbox selbst benötigt ~100–500 MB Overhead
Freier Speicherplatz Mindestens 1 GB frei auf dem Systemlaufwerk Dynamisches Abbild; belegt nicht die volle OS-Größe
Hyper-V Im BIOS aktiviert (SLAT erforderlich) Second Level Address Translation ist Pflichtvoraussetzung
⚠️
Wichtig Windows Home wird nicht unterstützt. Wenn Sie Windows 10 oder 11 Home verwenden, müssen Sie auf Pro oder Enterprise upgraden, um Windows Sandbox nutzen zu können. Für diese Einschränkung gibt es keine offizielle Umgehungslösung.

So überprüfen Sie Ihre Windows-Edition und -Version

Drücken Sie Win + R, geben Sie winver ein und drücken Sie Enter. Das Dialogfeld zeigt Ihre aktuelle Windows-Edition und Build-Nummer an. Alternativ navigieren Sie zu Einstellungen → System → Info und suchen nach „Edition" und „Betriebssystem-Build".

So überprüfen Sie, ob die Virtualisierung aktiviert ist

Öffnen Sie den Task-Manager (Strg + Umschalt + Esc), klicken Sie auf die Registerkarte Leistung, wählen Sie CPU aus und suchen Sie unten nach der Beschriftung „Virtualisierung". Sie sollte Aktiviert anzeigen. Wenn sie „Deaktiviert" anzeigt, müssen Sie Ihre BIOS/UEFI-Einstellungen aufrufen und Intel VT-x (Intel-Systeme) oder AMD-V / SVM Mode (AMD-Systeme) aktivieren.

Abschnitt 04

Windows Sandbox unter Windows 10 aktivieren: Schritt-für-Schritt-Anleitung

Es gibt drei Methoden, um Windows Sandbox unter Windows 10 zu aktivieren. Alle drei führen zum selben Ergebnis — wählen Sie die Methode, mit der Sie sich am wohlsten fühlen. Nach dem Aktivieren der Funktion ist ein Neustart erforderlich.

Methode 1: Windows-Features (grafische Oberfläche) — Empfohlen

  1. Drücken Sie Win + S und suchen Sie nach „Windows-Features aktivieren oder deaktivieren", dann öffnen Sie den Eintrag.
  2. Scrollen Sie durch die Liste und suchen Sie nach Windows Sandbox.
  3. Aktivieren Sie das Kontrollkästchen neben Windows Sandbox und klicken Sie auf OK.
  4. Windows lädt die erforderlichen Komponenten herunter und installiert sie. Je nach Ihrer Internetgeschwindigkeit kann dies einige Minuten dauern.
  5. Klicken Sie bei Aufforderung auf Jetzt neu starten, um Ihren Computer neu zu starten.
  6. Suchen Sie nach dem Neustart im Startmenü nach „Windows Sandbox" — es erscheint als normale Anwendung.
ℹ️
Hinweis Wenn Windows Sandbox nicht in der Feature-Liste erscheint, unterstützt Ihre Edition die Funktion nicht (wahrscheinlich Windows Home), oder Ihre CPU bzw. Ihr BIOS erfüllt die Virtualisierungsanforderungen nicht.

Methode 2: PowerShell (für Administratoren empfohlen)

Öffnen Sie PowerShell als Administrator und führen Sie folgenden Befehl aus:

PowerShell — Als Administrator ausführen
Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -Online -All

PowerShell fordert Sie zum Neustart auf. Geben Sie Y ein und drücken Sie Enter, um sofort neu zu starten, oder N, um dies später manuell zu tun.

Methode 3: DISM über die Eingabeaufforderung

Öffnen Sie die Eingabeaufforderung als Administrator und führen Sie aus:

Eingabeaufforderung — Als Administrator ausführen
dism /online /Enable-Feature /FeatureName:"Containers-DisposableClientVM" /All /NoRestart

Der Parameter /NoRestart unterdrückt den automatischen Neustart. Starten Sie den Rechner manuell neu, wenn Sie bereit sind.

Abschnitt 05

Windows Sandbox unter Windows 11 aktivieren: Schritt-für-Schritt-Anleitung

Der Vorgang unter Windows 11 ist nahezu identisch mit dem unter Windows 10, jedoch wurde die Benutzeroberfläche aktualisiert. Hier sind die drei Methoden für Windows 11.

Methode 1: Optionale Features in den Einstellungen (Windows-11-nativ)

  1. Öffnen Sie die Einstellungen mit Win + I und navigieren Sie zu System → Optionale Features.
  2. Scrollen Sie nach unten und klicken Sie auf „Weitere Windows-Features" am Ende der Seite.
  3. Der klassische Windows-Features-Dialog öffnet sich. Suchen Sie Windows Sandbox und aktivieren Sie es.
  4. Klicken Sie auf OK und warten Sie, bis die Installation abgeschlossen ist.
  5. Starten Sie bei Aufforderung neu.

Methode 2: PowerShell unter Windows 11

Der Befehl ist identisch mit dem unter Windows 10:

PowerShell — Als Administrator ausführen
Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -Online -All

Die Installation überprüfen

Öffnen Sie nach dem Neustart das Startmenü und suchen Sie nach Windows Sandbox. Das Anwendungssymbol sollte erscheinen. Klicken Sie mit der rechten Maustaste, um es an die Taskleiste oder das Startmenü anzuheften, um schnellen Zugriff zu haben.

Schnellprüfung via PowerShell Führen Sie diesen Befehl aus, um zu bestätigen, dass die Funktion aktiv ist: Get-WindowsOptionalFeature -Online -FeatureName "Containers-DisposableClientVM". Das Feld „State" sollte Enabled anzeigen.
Abschnitt 06

Windows Sandbox zum ersten Mal starten und verwenden

Sobald aktiviert, ist Windows Sandbox unkompliziert zu verwenden. Hier ist eine Schritt-für-Schritt-Beschreibung Ihrer ersten Sitzung.

Die Sandbox starten

Suchen Sie im Startmenü nach Windows Sandbox und starten Sie sie. Da sie mit erhöhten Hyper-V-Berechtigungen ausgeführt wird, fordert Windows eine UAC-Bestätigung an — klicken Sie auf Ja. Das Sandbox-Fenster öffnet sich innerhalb von 2 bis 5 Sekunden und zeigt einen sauberen Windows-Desktop in einem skalierbaren Fenster an.

Die Desktop-Umgebung der Sandbox

Innerhalb der Sandbox erhalten Sie eine voll funktionsfähige, aber temporäre Windows-Sitzung: Startmenü, Datei-Explorer, Microsoft Edge und eine grundlegende Auswahl an Windows-Anwendungen. Bemerkenswert ist, dass sie die gleiche Windows-Version wie Ihr Host ausführt, sodass keine Kompatibilitätsunsicherheit besteht. Die Desktop-Auflösung passt sich dynamisch an, während Sie die Größe des Sandbox-Fensters ändern.

Dateien übertragen: Kopieren und Einfügen sowie Drag-and-Drop

Der einfachste Weg, Dateien in die Sandbox zu übertragen, besteht darin, sie vom Host zu kopieren (Strg+C) und sie in der Sandbox einzufügen (Strg+V). Sie können direkt auf dem Sandbox-Desktop oder in einem geöffneten Datei-Explorer-Fenster innerhalb der Sandbox einfügen. Drag-and-Drop zwischen Host und dem Sandbox-Fenster funktioniert ebenfalls. Zwischenablage-Text wird standardmäßig bidirektional geteilt.

⚠️
Wichtig: Alles wird beim Schließen gelöscht Wenn Sie das Sandbox-Fenster schließen, werden alle darin enthaltenen Daten dauerhaft vernichtet — Dateien, Browserverlauf, installierte Programme, Einstellungen. Wenn Sie Ergebnisse aufbewahren möchten (Analyseberichte, Protokolle, Screenshots), kopieren Sie diese vor dem Schließen auf den Host.

Eine Sitzung beenden

Klicken Sie einfach auf die X-Schaltfläche in der Titelleiste des Sandbox-Fensters oder fahren Sie es von innen über Start → Energie → Herunterfahren herunter. Sie werden um Bestätigung gebeten, da alle Daten verloren gehen. Die Sitzung wird sauber beendet und alle Virtualisierungsressourcen werden sofort freigegeben.

Abschnitt 07

Erweiterte Konfiguration von Windows Sandbox mit .wsb-Dateien

Windows Sandbox unterstützt ein leistungsstarkes Konfigurationsformat über .wsb-Dateien (Windows Sandbox Configuration Files). Dies sind einfache XML-Dokumente, mit denen Sie die Sandbox-Umgebung anpassen können: Host-Ordner freigeben, Startskripte ausführen, Netzwerk steuern und vieles mehr.

Eine .wsb-Konfigurationsdatei erstellen

Eine .wsb-Datei ist eine UTF-8-kodierte XML-Datei mit der Erweiterung .wsb. Ein Doppelklick darauf startet eine Sandbox-Sitzung mit dieser spezifischen Konfiguration. Erstellen Sie eine solche Datei im Editor oder in einem beliebigen Texteditor. 

Grundlegende .wsb-Vorlage
<Configuration>
  <Networking>Disable</Networking>
  <VGpu>Enable</VGpu>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Users\IhrName\Desktop\TestDateien</HostFolder>
      <SandboxFolder>C:\Users\WDAGUtilityAccount\Desktop\TestDateien</SandboxFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>C:\Users\WDAGUtilityAccount\Desktop\TestDateien\setup.bat</Command>
  </LogonCommand>
</Configuration>

Alle verfügbaren Konfigurationsoptionen

Parameter Werte Beschreibung
<Networking> Enable / Disable Aktiviert oder deaktiviert den Internetzugang innerhalb der Sandbox. Standard: Enable.
<VGpu> Enable / Disable Aktiviert die virtualisierte GPU für hardwarebeschleunigtes Rendering. Standard: Enable.
<MemoryInMB> Ganzzahl (MB) Legt den maximalen RAM für die Sandbox fest (z. B. 4096). Der Host setzt das Limit durch.
<MappedFolders> XML-Block Gibt einen oder mehrere Host-Ordner für die Sandbox frei. Optional schreibgeschützt.
<ReadOnly> true / false Innerhalb von MappedFolder: Verhindert Schreibzugriffe von der Sandbox zurück auf den Host-Ordner.
<LogonCommand> XML-Block Führt beim Start der Sandbox automatisch ein Skript oder eine ausführbare Datei aus.
<AudioInput> Enable / Disable Gibt das Mikrofon des Hosts an die Sandbox weiter. Standard: Disable.
<VideoInput> Enable / Disable Gibt die Webcam des Hosts an die Sandbox weiter. Standard: Disable.
<ClipboardRedirection> Enable / Disable Erlaubt die gemeinsame Nutzung der Zwischenablage zwischen Host und Sandbox. Standard: Enable.
<PrinterRedirection> Enable / Disable Ermöglicht der Sandbox die Nutzung von Host-Druckern. Standard: Disable.

Beispiel: Konfiguration für eine Offline-Sicherheitsanalyse

Eine praxisnahe Konfiguration zur sicheren Analyse eines verdächtigen Installationsprogramms — ohne Internetzugang und mit schreibgeschütztem Zugriff auf einen freigegebenen Ordner, der die zu prüfende Datei enthält: 

offline-sicherheitsanalyse.wsb
<Configuration>
  <Networking>Disable</Networking>
  <VGpu>Disable</VGpu>
  <MemoryInMB>2048</MemoryInMB>
  <ClipboardRedirection>Disable</ClipboardRedirection>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Quarantaene\VerdaechtigeDateien</HostFolder>
      <SandboxFolder>C:\Users\WDAGUtilityAccount\Desktop\Quarantaene</SandboxFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
</Configuration>
🔒
Sicherheits-Best-Practice Setzen Sie bei der Analyse potenziell schädlicher Dateien stets <Networking>Disable</Networking> und <ReadOnly>true</ReadOnly> für freigegebene Ordner. Dies verhindert, dass Malware externe Server kontaktiert oder in den Host zurückschreibt.
Abschnitt 08

Praktische Anwendungsfälle: Was Sie mit Windows Sandbox tun können

Windows Sandbox ist ein vielseitiges Werkzeug, das weit über das bloße Ausführen verdächtiger Programmdateien hinausgeht. Hier sind die wertvollsten realen Einsatzszenarien.

1. Verdächtige Software vor der Installation testen

Dies ist der häufigste Anwendungsfall. Bevor Sie ein Installationsprogramm von einer unbekannten Website ausführen, verschieben Sie es in die Sandbox und installieren Sie es dort zuerst. Beobachten Sie, was es tut: Erzeugt es zusätzliche Prozesse? Installiert es Browser-Erweiterungen? Verbindet es sich mit ungewöhnlichen IP-Adressen? All das lässt sich sicher beobachten, und wenn Sie die Sandbox schließen, bleibt auf Ihrem System kein Rückstand.

2. Sicheres Surfen auf nicht vertrauenswürdigen Websites

Müssen Sie eine verdächtig aussehende URL besuchen oder auf einen Link aus einer Phishing-E-Mail klicken, um ihn zu analysieren? Öffnen Sie die Sandbox, starten Sie Edge und surfen Sie von dort. Drive-by-Downloads, bösartige Skripte und Exploit-Kits sind allesamt eingesperrt. Der Browserverlauf, die Cookies und die Zugangsdaten Ihres Haupt-Browsers bleiben unberührt.

3. Softwareentwicklung und Tests

Entwickler können die Sandbox nutzen, um Installationsprogramme, Deployment-Skripte oder das Verhalten von Software in einer sauberen Umgebung zu testen. Überprüfen Sie, ob Ihre Anwendung korrekt auf einer frischen Windows-Installation ohne zusätzliche Abhängigkeiten funktioniert. Das ist besonders wertvoll beim Testen von Setup-Assistenten und Deinstallationsprogrammen, ohne eine eigens dafür vorgesehene Test-VM zu benötigen.

4. Freeware und Shareware bewerten

Viele kostenlose Anwendungen bündeln in ihren Installationsprogrammen Adware, Browser-Hijacker oder PUPs (Potenziell Unerwünschte Programme). Installieren Sie diese zuerst in der Sandbox, um ihr Verhalten zu beobachten. Wenn die Software legitim und nützlich ist, können Sie sie anschließend mit gutem Gewissen auf Ihrem Hauptsystem installieren.

5. Fehler reproduzieren und untersuchen

IT-Profis und Support-Techniker können die Sandbox nutzen, um Probleme in einem sauberen Windows-Zustand zu reproduzieren und so die „Funktioniert bei mir"-Variablen auszuschalten. Kombinieren Sie sie mit einem LogonCommand-Skript in einer .wsb-Datei, das automatisch die relevante Software installiert — für eine bei jedem Start reproduzierbare Testumgebung.

6. Dateien sicher öffnen und Dokumente analysieren

Eine Word- oder Excel-Datei von einem unbekannten Absender erhalten? Öffnen Sie sie zuerst in der Sandbox. Selbst wenn sie schädliche Makros oder Exploits enthält, können diese die Hyper-V-Grenze nicht überwinden und Ihr Host-System beeinflussen.

Abschnitt 09

Windows Sandbox: Vor- und Nachteile sowie Alternativen

✓ Vorteile

  • In Windows integriert — keine zusätzliche Software oder Lizenzen erforderlich
  • Startet in 2 bis 5 Sekunden, weit schneller als jede vollständige VM
  • Minimaler Speicherplatzbedarf dank Technologie des dynamischen Basisabbilds
  • Hardwaregestützte Isolation via Hyper-V für echte Sicherheit
  • Vollständig wegwerfbar — nach jedem Schließen garantiert sauberer Zustand
  • Konfigurierbar über einfache XML-Dateien (.wsb) ohne Scripting-Kenntnisse
  • Entspricht der Betriebssystemversion des Hosts für präzise Kompatibilitätstests
  • Gemeinsame Zwischenablage und Ordner-Mapping ermöglichen den täglichen Einsatz

✗ Einschränkungen

  • Nur in den Editionen Pro, Enterprise und Education verfügbar
  • Kein persistenter Zustand — kein Speichern des Fortschritts zwischen Sitzungen
  • Erfordert Hardware-Virtualisierung; nicht kompatibel mit einigen älteren CPUs
  • Funktioniert nicht auf ARM-Systemen (nur Windows 10; Windows 11 ARM wird unterstützt)
  • Auf eine einzelne Sandbox-Instanz gleichzeitig beschränkt
  • Keine Snapshot- oder Checkpoint-Funktionalität
  • GPU-Passthrough ist virtualisiert, keine volle GPU-Leistung
  • Nicht geeignet für zustandsbehaftete oder langfristige Testumgebungen

Alternativen zu Windows Sandbox

Tool Am besten geeignet für Kosten Persistenter Zustand
Windows Sandbox Schnelle, wegwerfbare Tests; in Windows Pro integriert Kostenlos (inklusive) Nein
Hyper-V Vollständige persistente VMs; Entwicklungsumgebungen Kostenlos (inklusive) Ja
VMware Workstation Pro Erweiterte VM-Funktionen; Snapshots; plattformübergreifend Kostenpflichtig (seit 2024 für private Nutzung kostenlos) Ja
VirtualBox Open-Source-VM; plattformübergreifend; flexibel Kostenlos Ja
Any.run / Joe Sandbox Cloud-basierte Malware-Analyse mit vollständigen Berichten Freemium / Kostenpflichtig N/A (Cloud)
Abschnitt 10

Häufig gestellte Fragen zu Windows Sandbox

F Kann ich Windows Sandbox unter Windows 10 Home oder Windows 11 Home verwenden?
Nein. Windows Sandbox ist ausschließlich in den Editionen Pro, Enterprise und Education von Windows 10 und 11 verfügbar. Für die Home-Edition gibt es keine offizielle Umgehungslösung. Um die Sandbox zu nutzen, müssten Sie Ihre Windows-Edition über Einstellungen → System → Info → „Product Key ändern" upgraden oder eine Neuinstallation einer unterstützten Edition durchführen.
F Beeinträchtigt Windows Sandbox die Leistung meines Computers während des Betriebs?
Die Auswirkungen sind auf moderner Hardware (8 GB+ RAM, Quad-Core-CPU) in der Regel minimal. Windows Sandbox nutzt Microsofts integrierten Kernel-Scheduler, um CPU-Ressourcen automatisch an den Host abzugeben. Sie bemerken möglicherweise einen leicht erhöhten RAM-Verbrauch (typischerweise 500 MB bis 1,5 GB, je nach ausgeführten Inhalten) und eine moderat höhere CPU-Auslastung. Auf älteren oder ressourcenbeschränkten Computern kann das gleichzeitige Betreiben der Sandbox neben schweren Arbeitslasten zu spürbaren Verlangsamungen führen.
F Ist Windows Sandbox wirklich sicher? Kann Malware daraus entkommen?
Windows Sandbox bietet eine robuste, hardwaregestützte Isolation via Hyper-V — dieselbe Technologie, die in der Enterprise-Server-Virtualisierung eingesetzt wird. Aus einer gut gepflegten Hyper-V-Grenze auszubrechen erfordert eine Hypervisor-Schwachstelle — eine seltene und hochsophistizierte Exploit-Klasse. Für die große Mehrheit der Malware (einschließlich Ransomware, Spyware, Adware und typischer Trojaner) ist die Sandbox vollständig wirksam. Allerdings ist keine Sicherheitstechnologie zu 100 % unfehlbar. Für die Analyse von staatlich geförderter Malware oder Zero-Day-Exploits sind professionelle isolierte Laborumgebungen mit Netzwerküberwachung besser geeignet.
F Warum erscheint Windows Sandbox nicht in der Liste der Windows-Features?
Dafür kann es mehrere Gründe geben: (1) Sie verwenden Windows Home, das die Sandbox nicht enthält. (2) Ihre CPU unterstützt keine Hardware-Virtualisierung oder SLAT (Second Level Address Translation). (3) Die Virtualisierung ist in Ihrem BIOS/UEFI deaktiviert — prüfen und aktivieren Sie Intel VT-x oder AMD-V. (4) Ihrer Windows-Installation fehlen möglicherweise optionale Komponenten — führen Sie Windows Update aus und installieren Sie alle ausstehenden Updates. (5) Ihr System verwendet eine Windows-10-Version älter als 1903 (Build 18305) — aktualisieren Sie auf eine neuere Version.
F Kann ich Dateien aus der Sandbox auf meinem Host-Computer speichern?
Ja, auf zwei Arten. Erstens können Sie Dateien aus dem Sandbox-Fenster per Kopieren und Einfügen in ein Datei-Explorer-Fenster des Hosts übertragen (Dateiübertragung via Zwischenablage). Zweitens können Sie in einer .wsb-Datei einen zugeordneten Ordner konfigurieren — wenn der zugeordnete Ordner nicht als schreibgeschützt eingestellt ist, bleiben die darin aus der Sandbox geschriebenen Dateien nach dem Ende der Sitzung auf dem Host erhalten. Das ist der empfohlene Ansatz, wenn Sie Ergebnisse (Protokolle, Berichte, Screenshots) aus einer Sandbox-Sitzung extrahieren müssen.
F Kann ich mehrere Windows-Sandbox-Instanzen gleichzeitig betreiben?
Nein. Windows Sandbox unterstützt nur eine aktive Instanz gleichzeitig. Wenn Sie versuchen, eine zweite Sandbox zu starten (oder eine zweite .wsb-Datei zu öffnen), während bereits eine läuft, erhalten Sie eine Fehlermeldung, die angibt, dass nur eine Instanz gleichzeitig ausgeführt werden kann. Wenn Sie mehrere gleichzeitig isolierte Umgebungen benötigen, ist eine vollständige Virtualisierungslösung wie Hyper-V oder VMware Workstation erforderlich.
F Wie deaktiviere oder deinstalliere ich Windows Sandbox nach der Aktivierung?
Um sie zu deaktivieren, kehren Sie zu Windows-Features aktivieren oder deaktivieren zurück, deaktivieren Sie Windows Sandbox, klicken Sie auf OK und starten Sie neu. Via PowerShell: Disable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -Online. Durch die Deaktivierung werden ca. 100 bis 200 MB Systemspeicherplatz freigegeben, den die Feature-Komponenten belegen. Der Hyper-V-Hypervisor selbst bleibt aktiv (sofern er vorher aktiv war).

🧩 Zusammenfassung und wichtigste Erkenntnisse

Windows Sandbox ist eines der am meisten unterschätzten Sicherheitswerkzeuge, die in Windows 10 und 11 Pro integriert sind. Es bietet Ihnen eine wegwerfbare Desktop-Umgebung mit hardwaregestützter Isolation, die in Sekunden startet, keine zusätzlichen Lizenzen erfordert und Ihren Host-Computer nach jeder Sitzung vollständig unberührt lässt. Ob Sie Sicherheitsforscher, Entwickler, IT-Profi oder vorsichtiger Alltagsnutzer sind — es ist eine unschätzbare Ergänzung für Ihren Arbeitsablauf.

Um loszulegen: Überprüfen Sie, ob Ihre Edition Pro oder höher ist, aktivieren Sie die Virtualisierung im BIOS, aktivieren Sie die Funktion über Windows-Features oder PowerShell und starten Sie sie dann über das Startmenü. Für Fortgeschrittene erschließen die .wsb-Konfigurationsdateien Ordnerfreigabe, Startskripte, Netzwerkisolierung und Speicherlimits — und verwandeln die Sandbox in eine vollständig anpassbare Testumgebung.