Ve Windows existuje virtualizované prostředí, kde si bezpečně otestujete (potenciálně) nedůvěryhodné programy a weby. Používání je přitom tak snadné, jak jen může být – prostředí spustíte jako jakýkoli jiný program a pak zase okno zavřete a všechno zmizí. Nemusíte přitom ho složitě zdaleka tak složitě konfigurovat jako klasické virtuální počítače.
V jádru ovšem virtuálním počítačem je. Jen do něj neinstalujete operační systém a neurčujete jeho další hardwarové parametry. Nemusíte pro něj ani pořizovat zvláštní licenci, protože není určený na perzistentní dlouhodobý provoz – Sandbox po ukončení všechno zapomene.
Proto je vhodný k jednorázovému použití, jako jsem nastínil výše. Řekněme, že obdržíte podezřelý e-mail. Působí legitimně, ale něco vám na něm nesedí, možná je to phishing. Možná se vám pokusí vnutit malware. Možná je to zkouška IT oddělení ve vaší firmě, které chce prověřit vaše reflexy a uvažování.
Přišla vám zpráva, kterou vypadá, že by nemusela být legitimní? Otevírání odkazů bez bezpečnostních opatření by se nemuselo vyplatit
Otevírat odkazy v podezřelém e-mailu je rizikové a zprovoznění klasického virtuálního počítače zase zbytečně složité. Sandbox vás v takové situaci zachrání, protože za pár vteřin nastartujte virtualizované prostředí, které je odstíněné od zbytku vašeho operačního systému.
Můžete v něm tedy relativně bezpečně např. otevřít hypertextový odkaz z podezřelého e-mailu. I kdyby na vás třeba zaútočil malware, nic by se nestalo. Klidně zkuste otevřít podezřelý soubor v příloze, nic špatného se nestane. Jen předtím doporučujeme vypnout síťový přístup, viz níže.
Kdo může Windows Sandbox použít
Sandbox patří k nejpřínosnějším zlepšovákům ve Windows za poslední roky. Integrovaly ho Windows 10 na konci roku 2018 (tehdy v testovacím sestavení 18305) a nabízí ho také Windows 11. Jak už to bývá, prostředí nemají k dispozici všichni. Základním filtrem je edice, protože funkci poskytují jen edice Pro, Enterprise a Education.
Tudíž si na Windows Sandbox oficiálně nesáhnete v rozšířené spotřebitelské edici Home. Mohou se objevit neoficiální postupy, jak jej zprovoznit, ale funkčnost vám v takovém případě nikdo garantovat nemůže.
Je to virtuální počítač, ale bez složitého nastavování. Prostě ho zapněte a funguje
Ke zprovoznění počítač musí splňovat několik dalších požadavků:
- 64bitový procesor se dvěma jádry, doporučena jsou čtyři jádra s hyperthreadingem,
- min. 4 GB operační paměti, lépe 8 GB a více,
- min. 1 GB místa na disku, doporučeno je SSD,
- zapnutá virtualizace v BIOSu/UEFI.
Obecně vzato nejde o nic exotického, virtualizované prostředí spustíte skoro na každém stroji. Windows 11 pak už ani ve 32bitové edici vůbec nevyšly a Sandbox do značné míry kopíruje jejich minimální požadavky. Ani starší počítače s Desítkami běžně méně než čtyři gigabajty operační paměti nemají a na SSD jsme už snad všichni dávno přešli. Pokud vy ještě ne, Sandbox vám poběží, ale líně.
Jak Windows Sandbox zapnout
V první řadě se ujistěte, že máte v BIOSu nebo UEFI zapnutou podporu virtualizace. S každým konkrétním modelem vám poradit nemůžeme. Pokud si nejste jistí, jak to provést, podívejte se do manuálu své základní desky nebo počítače.
Nastavení bývá i různě pojmenované. Nenajdete-li přímo VT-X nebo AMD-V, možná si všimnete položky Intel Virtualization Technology nebo třeba Hyper-V. Pokud uvidíte předvolby Intel VT-d nebo AMD IOMMU, aktivujte je také.
Zamiřte do dialogu pro správu volitelných funkcí. Tedy do toho starého
Dále v nabídce Start vyhledejte Zapnout nebo vypnout funkce systému Windows. V okně s volitelnými funkcemi najděte Sandbox ve Windows, označte jej a potvrďte klepnutím na OK. Následovat bude restart počítače a po něm by už prostředí mělo být dostupné.
Zapnete ho také následujícím příkazem v PowerShellu se správcovským oprávněním:
Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online
Jak Windows Sandbox funguje
Sandbox je virtuální počítač na jedno použití, který nemusíte manuálně konfigurovat. Nabídne vám stejné prostředí jako váš hostitelský operační systém, tj. pokud používáte Windows 10, dočkáte se virtualizovaných Desítek, v případě Windows 11 vám zase Sandbox nabídne právě Jedenáctky. Podobnost není jen povrchová.
Tím, že používá hardwarovou virtualizaci pro jádro, obě prostředí odstiňuje. Microsoft v praxi uplatnil svou a svého času novou technologii kontejnerů. Pro Sandbox nicméně nevyhradil vlastní kopii operačního systému, virtualizované prostředí si sahá na systémové soubory, které tvoří váš hostitelský systém. Proto Sandbox nabízí stejné funkce a podobu jako váš hostitelský systém.
Windows Sandbox stačí jen zapnout a počítač zrestartovat
Neplatí to pro všechny soubory, ale jen pro ty, které se nedají změnit. Ty, které změnit mohou, si Sandbox zkopíruje, aby s nimi mohl nakládat dle potřeby. Díky tomuto přístupu šetří místo. Když není nainstalovaný, zabírá asi 30 MB, po instalaci kolem půl gigabajtu.
Oproti tradičnímu virtuálnímu počítači je flexibilnější také v přístupu k operační paměti, kterou si kontejnery od systému vyžádají podobně jako běžné procesy. S hostitelským systémem Sandbox dokonce může sdílet soubory patřící operačního systému v operační paměti. Podle Microsoftu je řešení bezpečné, přitom ale virtuální prostředí nespotřebuje tolik paměti jako běžný virtuální počítač.
Jiný je také přístup k procesoru, kde Sandbox o procesorový čas žádá jako běžné procesy, takže se priority odvíjí od dění v obou prostředích. Virtuální prostředí přebírá informace o stavu akumulátoru, takže může optimalizovat podle stavu nabití.
V tomto případě jsme správně odhadli, že e-mail nebyl legitimní a že šlo o test z oddělení IT. Protože jsme jej otevřeli v Sandboxu, nemohli jsme počítač např. infikovat malwarem
Tohle všechno jsou výhody Sandboxu. Jedenáctky se přitom od verze 22H2 naučily jednu důležitou věc, a sice virtuální prostředí se neresetuje při restartu vyvolaném v něm. Tím, že vždycky všechno zapomnělo, se samo vyloučilo z možnosti testovat v něm programy, které ke svému fungování vyžadují právě restart systému.
Jako plnohodnotná náhrada virtuálních počítačů ovšem Sandbox nadále neslouží a sloužit zřejmě nebude – po ukončení relace se veškeré změny a data skartují a vy příště začnete opět s čistým prostředím, kde můžete dělat všechno to, co jste vždycky chtěli, akorát jste se toho báli. Pokud chcete víc, nastavte si běžný virtuální počítač.
Omezení přístupu k síti
Ačkoli se Sandbox tváří jako bezpečné prostředí, riziko se skrývá v síťovém přístupu. Nedůvěryhodná aplikace ve virtualizovaném prostředí pořád může skenovat lokální síť. Microsoft se snaží rizika minimalizovat vytvořením izolované podsítě, ale neprůstřelné řešení to není a určitý přístup do místní sítě je možný.
Proto pokud se rozhodnete v Sandboxu spustit nedůvěryhodný soubor z e-mailu nebo podezřelého webu, omezte nejdřív síťový přístup. V Poznámkovém bloku nebo podobném nástroji vytvořte nový projekt a zadejte do něj následující text:
<Configuration><Networking>Disable</Networking></Configuration>
Soubor uložte s příponou .WBS. Poklepáním na tento spouštěcí soubor nastartuje Sandbox s vypnutým přístupem k síti. Teď do něj zkopírujte podezřelý soubor a analyzujte ho dle potřeby.
Nastavení Sandboxu bez síťového přístupu