Windows 10 沙箱新功能“基镜像”：可安全执行任意软件

微软发布 Windows Sandbox 新功能，专用于执行潜在危险应用，令其无法触及主机操作系统或内核。该功能随刚刚发布的 Windows 10 Insider 预览版19H1释出，该版 Windows 10 的前一个版本就是今年10月刚更新过的 Windows 10 1809。

Fast Ring 通道的 Windows Insider 用户安装 19H1 build 18305 后可在特定硬件上试用 Windows Sandbox。

Windows Sandbox 有个简单却有用的主张：执行任意软件而不用担心设备上会驻留潜在恶意软件。该功能可能为用户省下设置虚拟机来评估非受信软件的时间。

Windows Sandbox 中安装的任何软件都只存在于沙箱中，影响不到实体主机。一旦 Windows Sandbox 关闭，所有软件连同其文件和状态统统永久删除。

微软和谷歌早就在其Edge和Chrome浏览器中启用了沙箱限制，用上沙箱技术后攻击者便无法利用其它软件(如 Adobe Flash )中的漏洞往主机操作系统中安装恶意软件了。

该新功能降低了使用硬件虚拟化技术测试潜在恶意软件的门槛，利用微软Hyper-V虚拟机管理程序运行一个独立的内核将 Windows Sandbox 与主机隔开。

但该新功能要求主机基于AMD64架构，且BIOS启用虚拟化功能。操作系统版本也得是 Windows 10 Pro 或 Windows 10 企业版。

微软将 Windows Sandbox 描述为需要操作系统镜像来引导启动的“轻量级虚拟机”。使用该功能的一个主要好处在于，用户无需下载虚拟机通常要求的虚拟硬盘，有已安装 Windows 10 的一个副本即可。

物理主机BIOS中启用虚拟化后，用户需要PowerShell命令暴露出 Windows Sandbox 并勾选之。然后用户就能在开始菜单中看到 Windows Sandbox 了。执行 Windows Sandbox 并将可疑软件从主机复制过去，便可在沙箱中运行该软件并观察会发生什么情况。关掉 Windows Sandbox 限制的应用，该沙箱中的内容也就消失了。

微软指出，当前实现中还有一些缺陷，比如安装后和每个服务事件之后都会有1分钟左右的CPU和磁盘高占用，拖慢开始菜单响应时间，不支持需要重启的安装程序，对高分辨率屏幕和多屏设置支持不够等等。

为实现能处理一些文件修改的干净Windows环境，微软打造了“动态基镜像”，该Windows镜像有可修改文件的新鲜副本，但链向无法修改的操作系统镜像中的文件。

微软工程师解释称：

我们希望总能呈现一个干净的环境，但问题是某些操作系统文件会变。我们的解决方案是构建所谓的‘动态基镜像’：具备可变文件的干净副本，但链向主机上该Windows镜像中不可修改的文件。大部分的文件都是链接(不可变文件)，这就是为什么不到100MB就能承载完整操作系统的原因。我们用 Windows Container 术语称此实例为 Windows Sandbox ‘基镜像’。