本文于2019年02月24日首发于IT之家。

地址：点击这里

2018年12月19日，据IT之家报道，微软为Windows 10 19H1带来了沙盒（Sandbox）功能，这项功能能够基于硬件虚拟化技术将沙盒与Windows主机隔离开来，我们可以在里面安装和运行任何可疑软件而不必担心宿主机受到影响，当Windows沙盒关闭之后，其中的文件和软件状态会被永久删除。

要使用Windows沙盒功能，我们的电脑需要运行Windows 10专业版或者企业版，系统版本需高于Build 18301，同时，运行Windows沙盒的电脑的硬件配置应该至少满足以下条件：

• AMD64架构；

• 虚拟化功能已在BIOS中启用；

• 4GB以上的内存（建议8GB）；

• 1GB以上的可用磁盘空间（建议使用SSD）；

• CPU至少有两个核心（建议使用4个超线程核心）。

一、启用Windows沙盒

IT之家小编使用的电脑满足运行Windows沙盒的所有软硬件条件，现在，我们来启用Windows沙盒。

在开始按钮右侧的搜索框中搜索并打开“控制面板”；

点击“程序”；

点击“启用或关闭Windows功能”；

勾选“Windows沙盒”，然后点击“确定”按钮；

等待Windows应用更改，更改应用完成后重新启动系统；

Windows沙盒功能启用后，我们可以在“开始”菜单的所有程序列表中看到它的图标。

二、随便回答几个问题

1、沙盒中的Windows 10是什么版本？

小编的电脑所安装的Windows 10的SKU是专业工作站版，但是沙盒中的Windows 10的SKU是专业版，Build版本方面，沙盒中的系统和宿主机的系统保持一致。

2、沙盒中的Windows 10激活了吗？

并没有，而且不建议激活。沙盒中的Windows 10每次运行结束之后都会被永久“销毁”，在它身上浪费序列号不值得。

3、我可以在沙盒里面安装微软商店中的应用吗？

并不能。因为沙盒中的Windows 10并不带有微软商店。除了必要的功能和组件之外，这个系统什么也不会给你。

4、我可以用我的微软账户登录沙盒中的Windows 10吗？

也许能，但是IT之家小编没有登陆成功，因为卡在了这一步：

5、在沙盒里运行Windows 10流畅吗？

小编的电脑是Intel Core i5-3470的处理器，8GB的内存，SSD的硬盘。Windows 10通过虚拟化技术运行在沙盒里肯定不如直接运行在宿主机里流畅，总之，最好不要有在里面打LOL的想法。

三、简单作两个死

对曰：拳打南山猛虎，怀揣Win10沙盒

横批：放心作死

1、删除/Windows/system32

听说删除/Windows/system32之后电脑的运行速度会更快，我们来试一下。

不行，删不掉，卡在这里了：

当前的账户没有权限，我们需要在Administrator账户下操作。

这个问题不算大，启用然后登录到Administrator账户即可。启用的过程一切顺利，非常好。

下面我们来注销当前账户然后尝试用Administrator登录。

……

噗……

有办法在沙盒里登录Administrator账户的同学欢迎在评论区留言……

2、运行WannaCry勒索病毒样本

开始运行WannaCry勒索病毒之前，我们先在沙盒里存一个非常重要的文件：

这个是IT之家小编存在网盘里用来压箱底的WannaCry病毒样本。它正呆在沙盒系统的某个文件夹里，Windows Defender看它就像看空气一样。

我们来双击这个病毒样本，看看它如何作妖。

开始运行之后，与病毒文件同级的文件夹下多了很多其他的文件。

就在刚刚的一瞬间，小编突然感觉到任务栏变黑了，回到桌面一看，果然，病毒无视了未激活的系统无法进行个性化设置的规矩，把壁纸给改了……

现在我们试着打开那个非常重要的文件。

文件已经被病毒感染了，内容变成了一堆乱码。同时，WannaCry病毒弹出了一个索要比特币的窗口。

看到这个窗口，小编的内心毫无波动，对准沙盒的窗口反手就是一个关闭。

四、Windows沙盒配置文件的使用

Windows沙盒的配置文件的文件格式是XML，其通过.wsb文件扩展名与Windows沙盒相关联。

在微软技术社区的这篇文章中，我们能够了解到Windows沙盒配置文件的使用方法。例如：

VGpu是用来禁用或启用GPU共享的，它支持Disable和Default两个参数，当VGpu的参数被设置成Disable时，沙盒中的GPU支持将会被禁用，而当VGpu的参数被设置成Default时，沙盒将会启用GPU支持。

Networking是用来控制沙盒联网与否的。禁用沙盒网络连接的好处是能够减少沙盒暴露的攻击面。它同样支持Disable和Default共两个参数，这两个参数的用法和在VGpu上差不多，Disable代表禁用，Default代表启用。

MappedFolder、HostFolder和ReadOnly关键字的用法我们可以用这样一个一看就懂的例子来说明：

<MappedFolder>    <HostFolder> SandboxFolder </HostFolder>    <ReadOnly>true</ReadOnly></MappedFolder>

它的作用是将宿主机C盘中的“SharedFolder”文件夹共享到沙盒中，并将其设置为只读，这个文件夹将被映射到沙盒系统的桌面上。

LogonCommand是用来在容器登录后调用单个命令的。使用方法是：

<LogonCommand>   <Command>要调用的命令</Command></LogonCommand>

下面我们来试试微软技术社区里面给出的几个实战示例管不管用。

首先是这个：

<Configuration><Networking>Disable</Networking><MappedFolders>   <MappedFolder>     <HostFolder>C:\SandboxFolder</HostFolder>     <ReadOnly>true</ReadOnly>   </MappedFolder></MappedFolders><LogonCommand>   <Command>explorer.exe C:\users\WDAGUtilityAccount\Desktop\SandboxFolder</Command></LogonCommand></Configuration>

它的作用是禁用网络，以只读的方式与沙盒共享宿主机C盘根目录下的“SandboxFolder”文件夹，并在沙盒系统登录时自动打开共享文件夹。

我们把这点代码粘贴到记事本里，保存的时候把它的扩展名设置成.wsb，然后双击运行。

运行效果不错，共享文件夹自动打开了，没问题；

里面的共享文件确实是宿主机C盘根目录下SandboxFolder文件夹里面的，没问题；

文件夹是只读的，没问题；

网络是被禁用的，也没问题。

来玩下一个。

这一个稍微有点复杂，它是由两部分组成的。

其中一部分是.cmd文件，内容是这样的：

REM Download PCMastercurl -L "https://sm.myapp.com/original/System/pcmastersetup_u66_full-6.2.1.0-0402.exe" --output C:\users\WDAGUtilityAccount\Desktop\pcmaster.exeREM Install and run PCMasterC:\users\WDAGUtilityAccount\Desktop\pcmaster.exe

这个.cmd文件的作用是下载并运行软媒魔方的安装文件。

另外一部分是Windows沙盒的配置文件，内容是这样的：

<Configuration><MappedFolders>   <MappedFolder>     <HostFolder>C:\SandboxFolder</HostFolder>     <ReadOnly>true</ReadOnly>   </MappedFolder></MappedFolders><LogonCommand>   <Command>C:\users\wdagutilityaccount\desktop\SandboxFolder\InstallPCMaster.cmd</Command></LogonCommand></Configuration>

它的作用是以只读的方式与沙盒共享宿主机C盘根目录下的“SandboxFolder”文件夹，然后运行共享文件夹里的.cmd文件。

双击沙盒配置文件之后，所有的事情正如我们预期的那样进行。沙盒开机后自动下载并运行了软媒魔方的安装向导。

只此时只要我们手动点击“立即安装”，软媒魔方就会被安装在沙盒里。

上文提到的两个.wsb文件和一个.cmd文件请到这里下载。只要熟悉Windows沙盒配置文件的写法，我们可以在Windows沙盒的配置文件上玩出很多花样。

五、总结

在Windows 10中提供第一方的沙盒功能对于进阶用户、IT专业人员和开发者来讲无疑是一个福音，而对于普通用户来讲，Windows沙箱则更是一个功能性和趣味性兼具的存在。相信随着Windows 10 19H1不久后的正式推送，更多人将会喜欢上这个继Linux子系统之后Windows最重要的功能之一。

话说，面对这么好的一个功能，微软“砍刀部”这次好像格外地安静啊……