Premessa
Sandbox di Windows (WSB) offre un ambiente desktop leggero e isolato per l’esecuzione sicura delle applicazioni. È ideale per il test, il debug, l’esplorazione di file sconosciuti e la sperimentazione di strumenti. Le applicazioni installate nella sandbox rimangono isolate dal computer host usando la virtualizzazione basata su hypervisor. Come macchina virtuale (VM) usa e getta, Sandbox di Windows garantisce la persistenza del riavvio, i tempi di avvio rapido e un footprint di memoria inferiore rispetto alle macchine virtuali complete. La configurazione con un clic semplifica l’esperienza utente.
La sandbox è temporanea; la chiusura elimina tutti i software, i file e lo stato. Ogni avvio fornisce un’istanza aggiornata. Il software installato dall’host non è disponibile nella sandbox. Le applicazioni necessarie all’interno della sandbox devono essere installate in modo esplicito.1
La Sandbox di Windows in sostanza permette di avviare rapidamente un sistema operativo virtuale pulito in modo da poter testare programmi o file in un ambiente sicuro, isolato dal sistema principale.
Requisiti
- Windows 11 o Windows 10 versione 1903 o successiva2
- Virtualizzazione abilitata nel BIOS
- Almeno 4 GB di RAM
- Disco con almeno 1 GB di spazio libero
- CPU con almeno due core
Installazione
Da Pannello di controllo apro Programmi e funzionalità e seleziono Attivazione o disattivazione delle funzionalità di Windows, per attivare Sandbox di Windows3
Se necessario, riavvio il sistema
Posso quindi aprire dal menu Start Windows Sandbox
Da notare che eventuali file e documenti creati nella Sandbox permangono al riavvio, ma vengono persi alla chiusura della Sandbox stessa4
File di configurazione
Per impostazione standard la rete è abilitata. Questo può esporre applicazioni non attendibili alla rete interna. Per avviare una sandbox con la rete disabilitata, è necessario usare un file wsb personalizzato5.
I file di configurazione di Windows Sandbox sono formattati come XML e sono associati a Sandbox tramite l’estensione .wsb.
Creare un file di configurazione
Per creare un file di configurazione:
- Aprire un editor di testo normale o un editor di codice sorgente (per esempio, Notepad, Visual Studio Code, ecc.)
- Inserire le seguenti righe:
<Configuration>
</Configuration>- Aggiungere il testo di configurazione appropriato tra le due righe.
- Salvare il file con il nome desiderato, assicurandosi che l’estensione del file sia .wsb.
- Per utilizzare un file di configurazione, fare doppio clic su di esso per avviare Windows Sandbox in base alle impostazioni. Possiamo anche richiamarlo tramite riga di comando, come mostrato di seguito:
C:\Temp\NoRete.wsbEsempio di file .wbs
È possibile disabilitare l’accesso alla rete per ridurre la superficie di attacco esposta dalla sandbox
<Networking>disable</Networking>Valori supportati:
- Enable: abilita la rete nella sandbox
- Disable: disabilita la rete nella sandbox
- Default: questo valore è il valore predefinito per il supporto di rete. Questo valore consente la messa in rete creando uno switch virtuale sull’host e collega la sandbox ad esso tramite una scheda di rete virtuale.
Parliamone
Note
Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online
Vinaypamnani-Msft. (n.d.-b). Usare e configurare Sandbox di Windows. Microsoft Learn. https://learn.microsoft.com/it-it/windows/security/application-security/application-isolation/windows-sandbox/windows-sandbox-configure-using-wsb-file#networking