Windows Sandbox是Windows 11内置的应用隔离安全沙盒,它依赖专业版/企业版/教育版系统、CPU虚拟化及虚拟机平台支持。用户可通过Windows功能面板、PowerShell命令、家庭版逆向激活或配置文件禁用网络四种方式开启此功能,实现安全的程序测试环境。
想在Windows 11系统中安全地测试未知来源的软件,又担心其篡改注册表、植入启动项或静默安装捆绑程序?系统内置的“应用隔离安全沙盒”正是为此设计的解决方案。它并非独立应用,而是基于Windows Sandbox技术构建的进程与内核双重隔离环境。任何可疑程序在此沙盒内运行,关闭窗口后所有操作痕迹将被彻底清除,实现真正的“用完即焚”。本文将详细指导您如何开启这一强大的系统防护功能。
一、确认系统版本与硬件虚拟化就绪
首先需要明确,Windows Sandbox功能仅支持Windows 11专业版、企业版及教育版。同时必须满足两项硬件条件:CPU需启用硬件虚拟化技术(Intel VT-x或AMD AMD-V),且系统需激活“虚拟机平台”组件。两者缺一不可,否则无法创建隔离环境。
具体确认步骤如下:
1. 按下Win + R组合键,输入winver并回车,在弹出的窗口中确认系统版本包含Professional、Enterprise或Education标识。
2. 按Ctrl + Shift + Esc打开任务管理器,切换到「性能」选项卡。点击左侧「CPU」,在右侧信息栏查看「虚拟化」状态是否为已启用。
3. 在同一界面点击左侧「内存」,确认「已启用虚拟机平台」显示为是。若显示“否”,则需先行启用该平台。
4. 若上一步中“虚拟化”状态为禁用,需重启电脑并在开机时反复按Del、F2或Esc键(具体按键因主板品牌而异)进入BIOS/UEFI设置界面。
5. 在BIOS/UEFI设置中,找到Advanced → CPU Configuration(Intel平台)或Security → SVM Mode(AMD平台)选项,将虚拟化技术设置为Enabled。
6. 保存设置并重启电脑,再次通过任务管理器验证“虚拟化”与“已启用虚拟机平台”两项均显示为就绪状态。
二、通过“启用或关闭 Windows 功能”图形界面启用
这是最直观且兼容性最佳的方法,适合大多数用户。系统将通过可视化管理器自动部署Windows Sandbox及其所有依赖组件(包括虚拟机平台和Windows Hypervisor Platform),操作简便高效。
操作流程如下:
1. 按下Win + R键,输入optionalfeatures.exe并回车,打开「Windows 功能」配置窗口。
2. 在功能列表中向下滚动,找到并勾选Windows 沙盒复选框。
3. 勾选时系统将自动关联选中虚拟机平台与Windows Hypervisor Platform两项必需依赖,请勿手动取消勾选。
4. 点击「确定」,系统将开始下载并安装相关组件,等待进度完成。
5. 最后点击立即重新启动,重启后沙盒功能即正式启用,可随时调用。
三、使用 PowerShell(管理员权限)强制启用全部依赖组件
若图形界面功能列表异常或启用失败,或您正在使用家庭版并计划通过后续方法激活,则推荐使用此命令行方案。它能绕过图形界面限制,直接调用系统底层接口强制安装所有必需的驱动、服务及模块。
具体执行步骤:
1. 右键点击「开始」按钮,选择「终端(管理员)」或「Windows PowerShell(管理员)」。
2. 在用户账户控制(UAC)窗口中点击「是」,授予管理员权限。
3. 在打开的命令行窗口中依次执行以下两条命令。每条命令输入后按回车,待系统返回操作成功完成提示后再执行下一条:
Enable-WindowsOptionalFeature -Online -FeatureName VirtualMachinePlatform -All
Enable-WindowsOptionalFeature -Online -FeatureName WindowsSandbox -All
4. 命令全部执行完毕后,必须重启计算机,否则沙盒相关服务无法正常响应启动请求。
四、针对 Windows 11 家庭版的合规启用路径
微软官方未在家庭版中直接开放沙盒入口,但系统镜像已预置“Containers-DisposableClientVM”与“VirtualMachinePlatform”核心组件。通过命令行激活,可在无需第三方工具或破解补丁的情况下,合规启用隔离能力。
启用方法如下:
1. 首先确认系统为Windows 11 21H2 或更新版本(可通过winver命令验证)。
2. 以管理员身份运行终端或PowerShell。
3. 先执行以下命令启用容器运行时组件(添加-NoRestart参数避免立即重启):
Enable-WindowsOptionalFeature -Online -FeatureName "Containers-DisposableClientVM" -NoRestart
4. 接着执行命令启用虚拟化平台:
Enable-WindowsOptionalFeature -Online -FeatureName "VirtualMachinePlatform" -NoRestart
5. 为确保底层虚拟化初始化到位,建议执行wsl --update命令更新WSL2内核(部分家庭版系统需此步骤触发)。
6. 完成以上操作后重启系统。之后即可在开始菜单搜索Windows Sandbox并运行。首次启动将进行环境初始化,耗时约20秒。
五、启用沙盒配置文件禁用网络以强化防护
Windows Sandbox默认允许联网,虽便于使用,但也存在风险——高风险软件可能外连远程命令控制服务器或下载恶意载荷。通过配置文件强制禁用沙盒网络功能,可实现更彻底的“空气隔离”,特别适用于测试来源不明、风险极高的安装包或脚本。
配置步骤如下:
1. 打开记事本,新建一个纯文本文件。
2. 将文件另存为,文件名可自定义,但扩展名必须为 .wsb,例如保存为nosurf.wsb。
3. 在.wsb文件中输入以下XML格式内容:
4. 保存后直接双击此.wsb文件,系统将启动一个无网络连接的沙盒环境。
5. 将待测软件拖拽进沙盒窗口运行即可。关闭沙盒窗口时,所有生成数据(包括临时网络缓存)将被彻底销毁,不留任何痕迹。
