Полное Руководство · Безопасность & Виртуализация

Windows Sandbox в Windows 10 и 11
Включить · Настроить · Использовать

Пошаговое руководство по безопасному запуску ненадёжных приложений, тестированию программ и посещению подозрительных сайтов — всё это внутри встроенной изолированной среды рабочего стола от Microsoft.

⏱ 12 мин чтения 🪟 Windows 10 Pro & Enterprise 🪟 Windows 11 Pro & Enterprise 🔒 Безопасность & Приватность 🖥️ Виртуализация
Раздел 01

Что такое Windows Sandbox? Встроенный одноразовый рабочий стол Windows

Windows Sandbox — это лёгкая временная виртуальная машина, встроенная непосредственно в Windows 10 и Windows 11. Она предоставляет изолированную среду рабочего стола, в которой можно запускать приложения, посещать веб-сайты или открывать файлы, которым вы не полностью доверяете, — без какого-либо риска для основной операционной системы.

Функция появилась в Windows 10 версии 1903 (обновление от мая 2019 года). Sandbox — это, по сути, чистая свежая копия Windows, которая запускается за считанные секунды. Как только вы закрываете окно Sandbox, всё, что в нём находилось — загруженные файлы, изменения реестра, установленные программы — безвозвратно и навсегда удаляется. Основная система остаётся полностью нетронутой.

💡
Ключевой факт В отличие от традиционных виртуальных машин, Windows Sandbox не требует отдельной лицензии Windows, ISO-образа или долгой настройки. Она использует уже установленную на вашем компьютере копию Windows.

Чем Sandbox отличается от обычной виртуальной машины?

Традиционные решения для виртуализации, такие как VMware или Hyper-V, требуют получения полного образа ОС, выделения дискового пространства и управления постоянными снапшотами. Windows Sandbox принципиально отличается: она использует технологию динамического базового образа, совместно используя неизменяемые файлы ОС с хостом через семантику копирования при записи (copy-on-write). Это означает, что Sandbox практически не занимает дополнительного дискового пространства для слоя операционной системы.

В результате время запуска исчисляется секундами (обычно 2–5 секунд), потребление памяти минимально (около 100 МБ выделенных накладных расходов ОЗУ), а постоянного хранилища для слоя ОС и вовсе нет. Для быстрых одноразовых тестовых сессий в экосистеме Windows ничто не приближается к этому уровню эффективности.

Раздел 02

Как работает Windows Sandbox изнутри: архитектура простым языком

Понимание внутреннего устройства Windows Sandbox помогает по-настоящему оценить её модель безопасности и характеристики производительности. Microsoft разработала её на основе трёх ключевых технологий, работающих в связке.

Динамический базовый образ

Sandbox не хранит на диске полную копию операционной системы. Вместо этого она использует динамически генерируемый базовый образ, который напрямую отображается на чистые системные файлы вашего хостового диска. Отдельно в формате разреженного диска сохраняются лишь файлы, отличающиеся от хоста (контент, созданный пользователем, загруженные файлы, установленные приложения). Типичный объём слоя ОС составляет около 100 МБ — в сравнении с гигабайтами у традиционных ВМ.

Изоляция ядра через аппаратную виртуализацию

Windows Sandbox работает под капотом как контейнер Hyper-V, что обеспечивает изоляцию на аппаратном уровне. Ядро Sandbox полностью отделено от ядра хоста: уязвимость, эксплуатируемая внутри Sandbox, не может напрямую затронуть хостовую ОС. Архитектура VM Bus и VSP/VSC управляет всем обменом данными между хостом и гостем с жёсткими границами.

Встроенный планировщик ядра

Чтобы предотвратить снижение производительности хоста, Microsoft разработала специальный планировщик, который гарантирует обработку виртуальных процессоров Sandbox с низким приоритетом с точки зрения CPU хоста. Когда основная рабочая нагрузка нуждается в ресурсах, Sandbox автоматически освобождает их. Это означает, что вы можете работать в Sandbox параллельно с обычным рабочим процессом без ощутимого замедления.

Гарантия безопасности Каждая сессия Sandbox начинается с чистого снапшота Windows. Независимо от того, какое вредоносное или нежелательное ПО запускается внутри — при закрытии окна все следы исчезают. Изоляция гарантирована аппаратно через Hyper-V.
Раздел 03

Системные требования Windows Sandbox: совместим ли ваш ПК?

Прежде чем пытаться включить Windows Sandbox, убедитесь, что ваша система соответствует всем перечисленным ниже требованиям. Несоответствие хотя бы одному из них не позволит функции работать корректно.

Требование Минимальная спецификация Примечания
Редакция Windows Windows 10/11 Pro, Enterprise или Education Редакция Home не поддерживается
Версия Windows Windows 10 версии 1903 (сборка 18305) или выше Все версии Windows 11 поддерживаются
Архитектура Только AMD64 (x86-64) ARM64 поддерживается только в Windows 11
Виртуализация CPU Intel VT-x или AMD-V включены в BIOS/UEFI На многих системах требуется включить вручную
Ядра процессора Минимум 2 ядра (рекомендуется 4) Гиперпоточность учитывается в числе ядер
ОЗУ Минимум 4 ГБ (настоятельно рекомендуется 8 ГБ) Сам Sandbox использует ~100–500 МБ накладных расходов
Свободное место на диске Не менее 1 ГБ на системном диске Динамический образ; не занимает полный объём ОС
Hyper-V Включён в BIOS (требуется SLAT) Преобразование адресов второго уровня обязательно
⚠️
Важно Windows Home не поддерживается. Если вы используете Windows 10 или 11 Home, для работы с Windows Sandbox необходимо обновить редакцию до Pro или Enterprise. Официальных обходных путей для этого ограничения не существует.

Как проверить редакцию и версию Windows

Нажмите Win + R, введите winver и нажмите Enter. В открывшемся диалоговом окне будут указаны текущая редакция Windows и номер сборки. Также можно перейти в Параметры → Система → О системе и найти строки «Выпуск» и «Сборка ОС».

Как проверить, включена ли виртуализация

Откройте Диспетчер задач (Ctrl + Shift + Esc), перейдите на вкладку Производительность, выберите ЦП и найдите внизу строку «Виртуализация». Там должно быть написано Включена. Если указано «Отключена», зайдите в настройки BIOS/UEFI и включите Intel VT-x (Intel-системы) или AMD-V / SVM Mode (AMD-системы).

Раздел 04

Как включить Windows Sandbox в Windows 10: пошаговая инструкция

Существует три способа включить Windows Sandbox в Windows 10. Все три дают одинаковый результат — выберите наиболее удобный. После активации функции требуется перезагрузка.

Способ 1: Компоненты Windows (графический интерфейс) — рекомендуется

  1. Нажмите Win + S и найдите «Включение или отключение компонентов Windows», затем откройте этот пункт.
  2. Прокрутите список вниз и найдите Windows Sandbox.
  3. Установите флажок рядом с Windows Sandbox и нажмите ОК.
  4. Windows загрузит и установит необходимые компоненты. В зависимости от скорости интернета это займёт несколько минут.
  5. При появлении запроса нажмите Перезагрузить сейчас.
  6. После перезагрузки найдите «Windows Sandbox» в меню «Пуск» — она появится как обычное приложение.
ℹ️
Примечание Если Windows Sandbox не отображается в списке компонентов, скорее всего, ваша редакция не поддерживает эту функцию (вероятно, Windows Home), или ваш процессор либо BIOS не соответствует требованиям виртуализации.

Способ 2: PowerShell (рекомендуется для администраторов)

Откройте PowerShell от имени администратора и выполните следующую команду:

PowerShell — Запуск от имени администратора
Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -Online -All

PowerShell предложит выполнить перезагрузку. Введите Y и нажмите Enter для немедленной перезагрузки или N, чтобы перезагрузить позже вручную.

Способ 3: DISM через командную строку

Откройте командную строку от имени администратора и выполните:

Командная строка — Запуск от имени администратора
dism /online /Enable-Feature /FeatureName:"Containers-DisposableClientVM" /All /NoRestart

Параметр /NoRestart подавляет автоматическую перезагрузку. Перезагрузите компьютер вручную, когда будете готовы.

Раздел 05

Как включить Windows Sandbox в Windows 11: пошаговая инструкция

Процесс в Windows 11 практически идентичен Windows 10, однако интерфейс был обновлён. Ниже приведены три способа для Windows 11.

Способ 1: Дополнительные компоненты в Параметрах (нативный способ для Windows 11)

  1. Откройте Параметры сочетанием Win + I и перейдите в Система → Дополнительные компоненты.
  2. Прокрутите вниз и нажмите «Другие компоненты Windows» в нижней части страницы.
  3. Откроется классический диалог «Компоненты Windows». Найдите и отметьте Windows Sandbox.
  4. Нажмите ОК и дождитесь завершения установки.
  5. При запросе выполните перезагрузку.

Способ 2: PowerShell в Windows 11

Команда идентична той, что используется в Windows 10:

PowerShell — Запуск от имени администратора
Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -Online -All

Проверка установки

После перезагрузки откройте меню «Пуск» и найдите Windows Sandbox. Значок приложения должен появиться. Щёлкните правой кнопкой мыши, чтобы закрепить его на панели задач или в меню «Пуск» для быстрого доступа.

Быстрая проверка через PowerShell Выполните эту команду, чтобы убедиться, что функция активна: Get-WindowsOptionalFeature -Online -FeatureName "Containers-DisposableClientVM". В поле State должно быть указано Enabled.
Раздел 06

Первый запуск и использование Windows Sandbox

После включения Windows Sandbox очень проста в использовании. Вот как проходит первая сессия.

Запуск Sandbox

Найдите Windows Sandbox в меню «Пуск» и запустите её. Поскольку она работает с повышенными привилегиями Hyper-V, Windows запросит подтверждение через UAC — нажмите Да. Окно Sandbox откроется в течение 2–5 секунд и отобразит чистый рабочий стол Windows внутри изменяемого окна.

Среда рабочего стола Sandbox

Внутри Sandbox вы получаете полнофункциональную, но временную Windows-сессию: меню «Пуск», Проводник, Microsoft Edge и базовый набор приложений Windows. Важно отметить, что Sandbox запускает ту же версию Windows, что и ваш хост — никаких вопросов совместимости. Разрешение рабочего стола динамически подстраивается под размер окна Sandbox.

Передача файлов: копировать-вставить и перетащить

Самый простой способ перенести файлы в Sandbox — скопировать их на хосте (Ctrl+C) и вставить внутри Sandbox (Ctrl+V). Можно вставлять прямо на рабочий стол Sandbox или в открытое окно Проводника внутри неё. Перетаскивание между хостом и окном Sandbox также работает. Текст в буфере обмена по умолчанию передаётся в обоих направлениях.

⚠️
Важно: при закрытии всё удаляется Когда вы закрываете окно Sandbox, все данные внутри безвозвратно уничтожаются — файлы, история браузера, установленные программы, настройки. Если нужно сохранить какие-либо результаты (отчёты анализа, логи, скриншоты), скопируйте их на хост перед закрытием.

Завершение сессии

Достаточно нажать кнопку X в заголовке окна Sandbox или завершить работу изнутри через Пуск → Питание → Завершение работы. Будет запрошено подтверждение, поскольку все данные будут потеряны. Сессия завершается корректно, и все ресурсы виртуализации немедленно освобождаются.

Раздел 07

Расширенная настройка Windows Sandbox с помощью файлов .wsb

Windows Sandbox поддерживает мощный формат конфигурации через файлы .wsb (Windows Sandbox Configuration files). Это простые XML-документы, позволяющие настроить среду Sandbox: монтировать папки хоста, запускать скрипты при старте, управлять сетью и многое другое.

Создание файла конфигурации .wsb

Файл .wsb — это XML-файл в кодировке UTF-8 с расширением .wsb. Двойной щелчок по нему запускает сессию Sandbox с применением заданной конфигурации. Создать его можно в «Блокноте» или любом текстовом редакторе. 

Базовый шаблон .wsb
<Configuration>
  <Networking>Disable</Networking>
  <VGpu>Enable</VGpu>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Users\ВашеИмя\Desktop\ТестовыеФайлы</HostFolder>
      <SandboxFolder>C:\Users\WDAGUtilityAccount\Desktop\ТестовыеФайлы</SandboxFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>C:\Users\WDAGUtilityAccount\Desktop\ТестовыеФайлы\setup.bat</Command>
  </LogonCommand>
</Configuration>

Все доступные параметры конфигурации

Параметр Значения Описание
<Networking> Enable / Disable Включает или отключает доступ в интернет внутри Sandbox. По умолчанию: Enable.
<VGpu> Enable / Disable Включает виртуализированный GPU для аппаратного ускорения рендеринга. По умолчанию: Enable.
<MemoryInMB> Целое число (МБ) Устанавливает максимальный объём ОЗУ для Sandbox (например, 4096). Ограничение применяет хост.
<MappedFolders> XML-блок Предоставляет Sandbox доступ к одной или нескольким папкам хоста. Опционально — только для чтения.
<ReadOnly> true / false Внутри MappedFolder: запрещает запись из Sandbox обратно в папку хоста.
<LogonCommand> XML-блок Автоматически запускает скрипт или исполняемый файл при старте Sandbox.
<AudioInput> Enable / Disable Передаёт микрофон хоста в Sandbox. По умолчанию: Disable.
<VideoInput> Enable / Disable Передаёт веб-камеру хоста в Sandbox. По умолчанию: Disable.
<ClipboardRedirection> Enable / Disable Разрешает общий буфер обмена между хостом и Sandbox. По умолчанию: Enable.
<PrinterRedirection> Enable / Disable Позволяет Sandbox использовать принтеры хоста. По умолчанию: Disable.

Пример: конфигурация для офлайн-анализа безопасности

Реальная конфигурация для безопасного анализа подозрительного установщика — без доступа в интернет и с доступом только для чтения к общей папке с файлом: 

oflayn-analiz-bezopasnosti.wsb
<Configuration>
  <Networking>Disable</Networking>
  <VGpu>Disable</VGpu>
  <MemoryInMB>2048</MemoryInMB>
  <ClipboardRedirection>Disable</ClipboardRedirection>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Карантин\ПодозрительныеФайлы</HostFolder>
      <SandboxFolder>C:\Users\WDAGUtilityAccount\Desktop\Карантин</SandboxFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
</Configuration>
🔒
Лучшая практика безопасности При анализе потенциально вредоносных файлов всегда задавайте <Networking>Disable</Networking> и <ReadOnly>true</ReadOnly> для общих папок. Это предотвращает связь вредоносного ПО с внешними серверами и запись обратно в хостовую систему.
Раздел 08

Практические сценарии использования Windows Sandbox

Windows Sandbox — универсальный инструмент, возможности которого далеко выходят за рамки запуска подозрительных файлов. Вот наиболее ценные реальные сценарии применения.

1. Тестирование подозрительного ПО перед установкой

Это самый популярный сценарий. Прежде чем запускать установщик с незнакомого сайта, поместите его в Sandbox и сначала установите там. Наблюдайте за поведением: запускает ли он дополнительные процессы? Устанавливает ли расширения браузера? Соединяется ли с необычными IP-адресами? Всё это можно безопасно отследить, а после закрытия Sandbox на вашей системе не останется никаких следов.

2. Безопасный просмотр недоверенных сайтов

Нужно посетить подозрительную ссылку или проверить URL из фишингового письма? Откройте Sandbox, запустите Edge и работайте оттуда. Drive-by загрузки, вредоносные скрипты и наборы эксплойтов будут полностью изолированы. История браузера, куки и учётные данные вашей основной системы останутся нетронутыми.

3. Разработка и тестирование ПО

Разработчики могут использовать Sandbox для тестирования установщиков, скриптов развёртывания или поведения приложений в чистой среде. Убедитесь, что ваше приложение корректно работает на чистой установке Windows без дополнительных зависимостей. Это особенно ценно при тестировании мастеров установки и деинсталляторов без необходимости в отдельной тестовой ВМ.

4. Оценка бесплатного и условно-бесплатного ПО

Многие бесплатные программы содержат в установщиках рекламное ПО, угонщики браузера или ПНП (потенциально нежелательные программы). Сначала установите их в Sandbox, чтобы оценить поведение. Если программа окажется легитимной и полезной, смело устанавливайте её на основной системе.

5. Воспроизведение и исследование ошибок

IT-специалисты и техники поддержки могут использовать Sandbox для воспроизведения проблем в чистом состоянии Windows, исключая переменную «у меня работает». Добавьте скрипт LogonCommand в файл .wsb, который автоматически устанавливает нужное ПО, — получите воспроизводимую тестовую среду при каждом запуске.

6. Безопасное открытие файлов и анализ документов

Получили файл Word или Excel от неизвестного отправителя? Откройте его сначала в Sandbox. Даже если он содержит вредоносные макросы или эксплойты, они не смогут преодолеть границу Hyper-V и затронуть вашу основную систему.

Раздел 09

Windows Sandbox: плюсы, минусы и альтернативы

✓ Преимущества

  • Встроена в Windows — не требует дополнительного ПО или лицензий
  • Запускается за 2–5 секунд — намного быстрее любой полноценной ВМ
  • Минимальный дисковый след благодаря технологии динамического базового образа
  • Аппаратная изоляция через Hyper-V обеспечивает настоящую безопасность
  • Полностью одноразовая — гарантированно чистое состояние после каждого закрытия
  • Настраивается через простые XML-файлы (.wsb) без навыков скриптинга
  • Использует ту же версию ОС, что и хост, для точного тестирования совместимости
  • Общий буфер обмена и маппинг папок делают ежедневное использование удобным

✗ Ограничения

  • Доступна только в редакциях Pro, Enterprise и Education
  • Нет постоянного состояния — прогресс между сессиями сохранить нельзя
  • Требует аппаратной виртуализации; несовместима с некоторыми старыми CPU
  • Не работает на ARM-системах (только Windows 10; Windows 11 ARM поддерживается)
  • Ограничена одним экземпляром Sandbox одновременно
  • Нет функционала снапшотов и контрольных точек
  • GPU-проброс виртуализирован — полной производительности GPU нет
  • Не подходит для долгосрочных или сохраняющих состояние тестовых сред

Альтернативы Windows Sandbox

Инструмент Лучше всего подходит для Цена Постоянное состояние
Windows Sandbox Быстрые одноразовые тесты; встроена в Windows Pro Бесплатно (включена) Нет
Hyper-V Полноценные постоянные ВМ; среды разработки Бесплатно (включена) Да
VMware Workstation Pro Расширенные функции ВМ; снапшоты; кросс-платформенность Платная (бесплатна для личного использования с 2024 г.) Да
VirtualBox Открытый исходный код; кросс-платформенность; гибкость Бесплатно Да
Any.run / Joe Sandbox Облачный анализ вредоносного ПО с полными отчётами Freemium / Платно Нет (облако)
Раздел 10

Часто задаваемые вопросы о Windows Sandbox

В Можно ли использовать Windows Sandbox в Windows 10 Home или Windows 11 Home?
Нет. Windows Sandbox доступна исключительно в редакциях Pro, Enterprise и Education Windows 10 и 11. Официальных обходных путей для редакции Home не существует. Для использования Sandbox необходимо обновить редакцию Windows через Параметры → Система → О системе → «Изменить ключ продукта» или выполнить чистую установку поддерживаемой редакции.
В Влияет ли Windows Sandbox на производительность компьютера во время работы?
На современном железе (8 ГБ+ ОЗУ, четырёхъядерный процессор) влияние обычно минимально. Windows Sandbox использует встроенный планировщик ядра Microsoft, чтобы автоматически освобождать ресурсы ЦП для хоста. Вы можете заметить немного повышенное потребление ОЗУ (обычно от 500 МБ до 1,5 ГБ в зависимости от того, что запущено внутри) и умеренно возросшую нагрузку на процессор. На старых или ресурсоограниченных машинах параллельная работа Sandbox с тяжёлыми нагрузками может вызвать ощутимое замедление.
В Действительно ли Windows Sandbox безопасна? Может ли вредоносное ПО выбраться наружу?
Windows Sandbox обеспечивает надёжную изоляцию, гарантированную аппаратно через Hyper-V — ту же технологию, что используется в корпоративной серверной виртуализации. Для выхода за пределы правильно настроенного Hyper-V требуется уязвимость гипервизора — редкий и крайне сложный класс эксплойтов. Для подавляющего большинства вредоносного ПО (включая шифровальщики, шпионское ПО, рекламное ПО и типичные трояны) Sandbox полностью эффективна. Тем не менее ни одна технология безопасности не является стопроцентно надёжной. Для анализа государственного вредоносного ПО или уязвимостей нулевого дня более подходят профессиональные изолированные лаборатории с сетевым мониторингом.
В Почему Windows Sandbox не отображается в списке компонентов Windows?
Причин может быть несколько: (1) Вы используете Windows Home, которая не включает Sandbox. (2) Ваш процессор не поддерживает аппаратную виртуализацию или SLAT (преобразование адресов второго уровня). (3) Виртуализация отключена в BIOS/UEFI — проверьте и включите Intel VT-x или AMD-V. (4) В вашей установке Windows могут отсутствовать необязательные компоненты — запустите Центр обновления Windows и установите все ожидающие обновления. (5) Версия Windows 10 на вашей системе старше 1903 (сборка 18305) — обновитесь до более новой версии.
В Можно ли сохранить файлы из Sandbox на основной компьютер?
Да, двумя способами. Первый — скопировать и вставить файлы из окна Sandbox в окно Проводника на хосте (передача файлов через буфер обмена). Второй — настроить общую папку в файле .wsb. Если общая папка не задана как только для чтения, файлы, записанные в неё из Sandbox, сохранятся на хосте после завершения сессии. Это рекомендуемый подход, когда нужно извлечь результаты (логи, отчёты, скриншоты) из сессии Sandbox.
В Можно ли запустить несколько экземпляров Windows Sandbox одновременно?
Нет. Windows Sandbox поддерживает только один активный экземпляр одновременно. Если попытаться запустить второй Sandbox (или открыть второй файл .wsb) при уже работающем, система выдаст ошибку о том, что одновременно может работать лишь один экземпляр. Если требуются несколько параллельных изолированных сред, понадобится полноценное решение для виртуализации — Hyper-V или VMware Workstation.
В Как отключить или удалить Windows Sandbox после включения?
Чтобы отключить, вернитесь в раздел «Включение или отключение компонентов Windows», снимите флажок с Windows Sandbox, нажмите ОК и перезагрузите компьютер. Через PowerShell: Disable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -Online. Отключение освобождает примерно 100–200 МБ системного дискового пространства, занятого компонентами функции. Сам гипервизор Hyper-V остаётся активным (если был активен ранее).

🧩 Резюме и главные выводы

Windows Sandbox — один из самых недооценённых инструментов безопасности, встроенных в Windows 10 и 11 Pro. Он предоставляет одноразовую среду рабочего стола с аппаратной изоляцией, которая запускается за секунды, не требует дополнительных лицензий и оставляет основной компьютер полностью нетронутым после каждой сессии. Независимо от того, кто вы — исследователь безопасности, разработчик, IT-специалист или осторожный повседневный пользователь — это незаменимое дополнение к вашему рабочему процессу.

Чтобы начать: убедитесь, что у вас редакция Pro или выше, включите виртуализацию в BIOS, активируйте функцию через «Компоненты Windows» или PowerShell, затем запустите из меню «Пуск». Для опытных пользователей файлы конфигурации .wsb открывают возможности совместного использования папок, скриптов запуска, сетевой изоляции и ограничений памяти — превращая Sandbox в полностью настраиваемый испытательный стенд.