Запуск подозрительных программ в изолированной среде Windows 10

Иван Корнев·08.05.2026·5 мин

Windows Sandbox — это встроенная функция Windows 10 Pro и Enterprise, создающая временную изолированную среду для безопасного запуска непроверенных приложений. Чтобы включить её, активируйте компонент «Песочница Windows» в панели управления или через PowerShell, убедитесь, что виртуализация включена в BIOS/UEFI, и перезагрузите ПК. Все данные в песочнице удаляются автоматически после закрытия окна, что гарантирует чистоту основной системы.

Что такое Windows Sandbox и зачем она нужна

Windows Sandbox использует технологию контейнеризации на базе гипервизора Hyper-V. При запуске создается облегченная копия операционной системы, полностью изолированная от вашего основного рабочего стола, файлов и реестра.

Основные сценарии использования:

  • Тестирование сомнительного ПО: Запуск установщиков (.exe, .msi), скачанных из ненадежных источников.
  • Проверка скриптов: Безопасное выполнение PowerShell или Batch-скриптов, поведение которых неизвестно.
  • Временная работа с файлами: Открытие документов, которые могут содержать макровирусы.
  • Разработка и отладка: Тестирование приложений в чистой среде без влияния установленного стороннего софта.

Главное преимущество: Среда эфемерна. Как только вы закрываете окно Windows Sandbox, все установленные программы, созданные файлы и изменения настроек безвозвратно удаляются. При следующем запуске вы снова получаете «девственную» систему.

Системные требования

Перед активацией убедитесь, что ваше оборудование и версия ОС соответствуют требованиям. Без выполнения этих условий компонент не запустится.

ТребованиеОписание
Версия WindowsWindows 10 Pro или Enterprise (версия 1903 и выше). В домашней версии (Home) функция официально не поддерживается.
Архитектура64-битная система (AMD64 или ARM64).
ВиртуализацияДолжна быть включена в BIOS/UEFI (Intel VT-x или AMD-V).
ОЗУМинимум 4 ГБ (рекомендуется 8 ГБ и более для комфортной работы).
ПроцессорМинимум 2 ядра (рекомендуется 4 ядра с поддержкой гиперпоточности).
НакопительSSD рекомендуется для быстрой загрузки среды. Требуется около 10 ГБ свободного места.

Как включить Windows Sandbox в Windows 10

Существует два основных способа активации компонента: через графический интерфейс и через командную строку.

Способ 1: Через панель управления (Компоненты Windows)

  1. Нажмите Win + R, введите appwiz.cpl и нажмите Enter.
  2. В левой колонке выберите «Включение или отключение компонентов Windows».
  3. В открывшемся списке найдите пункт «Песочница Windows» (Windows Sandbox).
  4. Поставьте галочку напротив этого пункта и нажмите ОК.
  5. Система выполнит поиск необходимых файлов и применит изменения.
  6. Обязательно перезагрузите компьютер.

Способ 2: Через PowerShell (для администраторов)

Запустите PowerShell от имени администратора и выполните следующую команду:

Enable-WindowsOptionalFeature -Online -FeatureName "Containers-DisposableClientVM" -All

После завершения операции также потребуется перезагрузка системы.

Если пункт «Песочница Windows» отсутствует в списке:

  1. Убедитесь, что у вас установлена редакция Pro или Enterprise.
  2. Проверьте, включена ли виртуализация в BIOS/UEFI.
  3. Убедитесь, что обновлена версия Windows 10 (не ниже 1903).

Настройка среды через файлы конфигурации (.wsb)

По умолчанию Sandbox запускается с стандартными настройками: сеть включена, общие папки отключены. Для гибкой настройки используются XML-файлы с расширением .wsb.

Создайте текстовый файл, измените его расширение на .wsb и откройте для редактирования.

Пример базовой конфигурации

Этот код отключает сеть (для максимальной безопасности) и монтирует папку с хоста в режиме «только чтение».

<Configuration>
  <!-- Отключаем сетевой адаптер -->
  <Networking>Disable</Networking>
  
  <!-- Монтирование папки с хоста -->
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Temp\SandboxFiles</HostFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  
  <!-- Автоматический запуск команды после старта -->
  <LogonCommand>
    <Command>explorer.exe C:\Users\WDAGUtilityAccount\Desktop\SandboxFiles</Command>
  </LogonCommand>
</Configuration>

Ключевые параметры:

  • <Networking>: Default (включено) или Disable (выключено).
  • <MappedFolders>: Позволяет передавать файлы из основной системы. Параметр <ReadOnly> критически важен для безопасности — если установить false, вирус из песочницы сможет изменить или удалить файлы на вашем реальном диске.
  • <LogonCommand>: Команда, которая выполнится сразу после загрузки рабочего стола внутри песочницы.

Для запуска настроенной среды просто дважды кликните по созданному .wsb файлу.

Правила безопасного использования

Хотя среда изолирована, неправильная настройка может создать риски. Следуйте этим рекомендациям:

  1. Режим «Только чтение» для папок: Никогда не подключайте важные системные папки или рабочие директории с правами на запись. Создавайте отдельную папку для обмена файлами и копируйте туда только то, что нужно протестировать.
  2. Отключение сети: Если вам не нужен интернет для проверки программы (например, вы тестируете оффлайн-инсталлятор), всегда отключайте сеть в конфигурации. Это предотвратит утечку данных или загрузку дополнительных вредоносных модулей.
  3. Не вводите личные данные: Не логируйтесь в свои основные аккаунты (почта, банки, соцсети) внутри песочницы. Среда не предназначена для конфиденциальной работы.
  4. Проверка после запуска: Даже если программа ведет себя тихо, считайте, что среда скомпрометирована после запуска подозрительного файла. Не пытайтесь «спасти» установленное ПО — закройте окно и начните с чистого листа.

Частые ошибки и проблемы

ПроблемаВозможная причина и решение
Ошибка 0x80070005 (Access Denied)Запуск выполнен без прав администратора или конфликт с антивирусом. Запустите PowerShell от имени администратора или временно отключите сторонний антивирус.
Среда не запускается / черный экранОтключена виртуализация в BIOS. Перезагрузите ПК, войдите в BIOS и включите Intel Virtualization Technology или SVM Mode (для AMD).
Медленная работаНехватка оперативной памяти или использование HDD. Закройте лишние приложения на хосте или добавьте ОЗУ.
Нет звука или графикиУстаревшие драйверы видеокарты на основной системе. Обновите драйверы GPU.
Ошибка Hyper-VКонфликт с другими гипервизорами (VirtualBox, VMware). Убедитесь, что они закрыты, или используйте совместимые версии.

FAQ

Безопасна ли Windows Sandbox для запуска вирусов? Да, для большинства угроз. Однако теоретически возможны атаки типа «побег из виртуальной машины» (VM escape), хотя они крайне редки и сложны в реализации. Для анализа опасных вирусов лучше использовать специализированные онлайн-сервисы (песочницы) или полностью изолированные VM.

Можно ли сохранить результат работы в Sandbox? Нет, штатными средствами — нельзя. Все данные удаляются. Если нужно сохранить файл, скопируйте его из папки песочницы в общую папку (Mapped Folder) до закрытия окна.

Работает ли Windows Sandbox в Windows 10 Home? Официально — нет. Функция доступна только в Pro и Enterprise. Существуют неофициальные скрипты для установки компонентов Hyper-V в Home-версии, но их использование нестабильно и не рекомендуется Microsoft.

Потребляет ли Sandbox ресурсы, когда она закрыта? Нет. Когда окно закрыто, процессы не активны, и ресурсы не потребляются. Во время работы она занимает от 100 МБ до нескольких ГБ оперативной памяти в зависимости от нагрузки.