想在Windows 10系统中启用Windows Sandbox,创建一个与主机完全隔离的临时测试环境?这是一个非常实用的安全方案。但在开始操作前,必须确保您的系统满足所有先决条件,否则功能可能无法正常启用或运行。具体来说,您的操作系统必须是64位的Windows 10专业版、企业版或教育版,版本号需为1903(内部版本18362)或更高。同时,CPU的虚拟化功能需在BIOS/UEFI中启用,建议内存容量不低于4GB,且系统盘(通常是C盘)至少保留1GB的可用空间。
启用Windows Sandbox需满足以下核心条件:系统版本≥1903(Build 18362)、专业/企业/教育版(64位)、CPU虚拟化已启用、内存≥4GB且C盘空间≥1GB。启用方法包括:通过“启用或关闭Windows功能”图形界面、执行PowerShell命令“Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online”、在控制面板中操作,或创建自定义.wsb配置文件,完成后重启电脑即可生效。
确认条件均已满足后,您可以从以下几种方法中选择最便捷的一种来开启Windows沙盒功能。
一、确认系统与硬件前置条件
这是成功启用的基础,任何一项不满足都可能导致功能选项缺失、安装失败或启动时报错。请务必按顺序仔细核对。
首先,按下 Win + R 组合键,输入 winver 并回车,在弹出的窗口中确认“内部版本号”是否大于等于 18362(对应Windows 10 1903版本)。
其次,右键点击“开始”菜单,选择“系统”。在打开的设置页面中,查看“Windows规格”下的“版本”信息,确认其为 Windows 10 专业版、企业版或教育版(64位)。请注意,家庭版不支持此功能。
接着,再次右键点击“开始”菜单,选择“任务管理器”。切换到“性能”选项卡,点击左侧的“CPU”,在右侧查看“虚拟化”状态是否为 已启用。若显示“已禁用”,则需要重启电脑进入BIOS/UEFI设置,开启Intel VT-x或AMD SVM(虚拟化技术)。
最后,检查硬件资源。在“此电脑”上右键选择“属性”,确认“已安装的内存(RAM)”容量不低于 4 GB,同时确保系统盘(通常是C盘)的剩余空间大于 1 GB。
二、通过图形界面启用 Windows Sandbox
这是最直观、推荐大多数用户使用的方法。通过系统自带的“启用或关闭 Windows 功能”管理器操作,它会自动识别并启用所有必要的依赖组件(如“虚拟机平台”和“Windows Hyper-V”),过程可视化且兼容性好。
操作步骤:点击任务栏的搜索框或Cortana,输入 启用或关闭 Windows 功能,然后从搜索结果中打开它。
在弹出的“Windows功能”窗口中,向下滚动列表,找到并勾选 Windows Sandbox(在某些系统上可能显示为“Windows 沙盒(启用运行 Windows 沙盒方案所需的依赖项)”)。
点击“确定”后,系统将自动下载并安装所需的容器核心组件与虚拟化依赖。此过程通常需要 2到5分钟,请保持网络连接稳定,切勿中断。
安装完成后,系统会提示“需要重新启动计算机”。此时,必须点击 立即重新启动,以完成服务的注册和驱动的加载,确保功能完全生效。
三、使用 PowerShell 命令行启用沙盒
如果您偏好命令行操作,或遇到图形界面异常、需要进行批量部署,此方法非常高效。它直接调用系统底层模块,但需要管理员权限,且执行后同样需要重启。
首先,右键点击“开始”按钮,选择 Windows Terminal(管理员) 或 Windows PowerShell(管理员)。
然后,在打开的管理员终端窗口中,输入或粘贴以下命令并回车执行:
Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online
等待命令执行完毕,当终端返回 操作成功完成 的提示时,即表示Windows Sandbox组件已成功注册。
最后,手动重启计算机,以确保Hyper-V子系统和沙盒驱动能够完整初始化。
四、通过控制面板路径启用沙盒
此方法沿用了传统的Windows控制面板逻辑,对于习惯旧版界面的用户更为熟悉。其底层逻辑与图形界面方法一致,可作为“设置”应用异常时的备用启用方案。
打开“控制面板”,依次点击 程序 → 程序和功能 → 启用或关闭 Windows 功能。
同样,在弹出的“Windows功能”窗口列表中,找到并勾选 Windows Sandbox。
点击“确定”,系统将开始部署所需组件。此过程需要联网,请确保电源稳定。
安装完成后,根据提示点击 立即重新启动 即可。
五、创建自定义 .wsb 配置文件强化隔离
默认配置下,Windows Sandbox会启用网络、共享剪贴板并映射部分主机驱动器,这虽然便利但也存在潜在风险,例如测试软件可能尝试外联或数据意外泄露。
若需实现更极致的隔离环境,可以通过创建自定义的.wsb配置文件来实现。该文件可以强制禁用网络、关闭GPU加速,或精细控制文件夹共享,从而实现物理级别的通信阻断。
操作方法:使用记事本新建一个空白文件,将以下配置代码粘贴进去:
接着,点击“文件”菜单,选择“另存为”。将文件名设置为 no-network.wsb,注意“保存类型”需选择 所有文件(*.*),编码选择 UTF-8。
保存后,双击此.wsb文件。系统将启动一个完全禁用网络连接的沙盒实例,底层虚拟交换机会拦截所有外联请求。
在此沙盒窗口中,您可以安全地拖入并测试来路不明的程序安装包。由于网络被彻底禁用,软件将无法访问互联网、解析DNS或建立任何TCP/UDP连接,非常适合进行高风险的软件行为分析。
