■ 威海職業(yè)學(xué)院 趙永華

編者按： 沙盒在隔離潛在安全文件時(shí)發(fā)揮著重要作用，Windows 10也提供了類似虛擬機(jī)的沙盒功能，它又有怎樣的特點(diǎn)呢？

為規(guī)避來自網(wǎng)絡(luò)或E-Mail中可執(zhí)行文件可能存在的安全風(fēng)險(xiǎn)，管理員通常會(huì)采用虛擬機(jī)（VM）方式將其進(jìn)行隔離式運(yùn)行。那么，近來微軟在Windows 10提供的“沙盒”功能與VM有何不同呢？

VMs vs沙盒

VM最初的來歷是開發(fā)人員為免除干擾搭建的一種封閉式小系統(tǒng)，但是當(dāng)它用于測(cè)試未名可執(zhí)行文件時(shí)就會(huì)遇到一些問題。雖然我們可以采用免費(fèi)產(chǎn)品如VirtualBox，但是它要求系統(tǒng)的硬件配置較為昂貴，尤其是存儲(chǔ)空間，此時(shí)若采用SSD，空間經(jīng)常會(huì)捉襟見肘；若改用 HDD，則性能常常遲緩，而且VM的配置往往也較為棘手。

為 此，微軟在Windows 10中提供的沙盒（Sandbox）功能，又所謂“私人桌面”（InPrivate Desktop）， 在這個(gè)隔離的臨時(shí)桌面上測(cè)試運(yùn)行一些程序變得更為便利和符合習(xí)慣。與標(biāo)準(zhǔn)的VM相比，安裝在沙盒內(nèi)的軟件不會(huì)影響到主機(jī)。當(dāng)然，沙盒與VM一樣，對(duì)配置的要求似乎也沒有降低，需要是64位架構(gòu)的Windows 10企業(yè)版，BIOS支持虛擬化，至 少 4GB（建 議 8GB）RAM，SSD至少1GB剩余空間，至少雙核（建議4核）CPU等等。

圖1 在控制面板中勾選“沙盒支持”

但不同的是，關(guān)閉沙盒之后，我們之前安裝的程序、添加的文件以及改變的設(shè)置都隨之消失，再次運(yùn)行沙盒，它又是一塊干凈的平臺(tái)，它通過虛擬化硬件所運(yùn)行的hypervisor是與主機(jī)相隔離的內(nèi)核。

而且，沙盒不需要下載生成虛擬硬盤VHD，與此相反，Windows會(huì)根據(jù)主機(jī)情況動(dòng)態(tài)生成抓拍式OS，通常僅需100MB，在沙盒停運(yùn)期間，它會(huì)進(jìn)一步壓縮至25MB。盡管處于隔離狀態(tài)，沙盒與主機(jī)并非徹底斷開，比如在必要時(shí)，主機(jī)系統(tǒng)會(huì)從沙盒中回收部分內(nèi)存以避免系統(tǒng)運(yùn)行過慢，而沙盒也會(huì)反過來優(yōu)化運(yùn)行。

如何獲取沙盒

如果對(duì)沙盒特別感興趣，可以到微軟網(wǎng)站報(bào)名參加測(cè)試團(tuán)隊(duì)，然后安裝必要的支持程序或更高版本，然后就可以進(jìn)行實(shí)驗(yàn)了。試用沙盒功能的步驟主要包括以下內(nèi)容：

1.設(shè)置虛擬化：即需要在BIOS中設(shè)置虛擬化項(xiàng)。我們可以通過當(dāng)前系統(tǒng)的任務(wù)管理器進(jìn)行確認(rèn)，即任務(wù)管理器中的性能欄目中的CPU部分是否支持了虛擬化。

假如我們目前運(yùn)行的主機(jī)系統(tǒng)本身是基于VM的，那么就需要進(jìn)行嵌套式虛擬化設(shè)置。為此，需要執(zhí)行以下PowerShell命令，它可以讓VM為沙盒提供額外的虛擬空間：

S e t-V M P r o c e s s o r-V M N a m e -ExposeVirtualization Extensions $true

2.設(shè)置沙盒的可用性：從控制面板-程序-Windows性能列表 中 勾 選 “Windows Sandbox”（如圖 1）。

之后重啟系統(tǒng)，在開始菜單即可看到有Windows Sandbox，雙擊運(yùn)行即可看到一個(gè)簡(jiǎn)單的新型桌面，貌似純凈版的Windows。

如何使用沙盒

對(duì)于熟悉VM的用戶，對(duì)沙盒的使用可謂一見如故，我們可以將文件直接復(fù)制粘貼到Sandbox，雖然不能采用更為便捷的拖放方式。對(duì)于沙盒內(nèi)的文件，我們就象平時(shí)處理文件那樣；對(duì)于可執(zhí)行文件也可以放心運(yùn)行，因?yàn)椴粫?huì)干擾到主機(jī)系統(tǒng)。

值得說明的是，在Sandbox中刪除的一個(gè)文件，并不會(huì)進(jìn)入回收站，而是會(huì)永久刪除，當(dāng)然執(zhí)行刪除時(shí)會(huì)有警告提示。我們可以象關(guān)閉其他應(yīng)用那樣關(guān)閉Sandbox，它會(huì)將抓拍內(nèi)容徹底消除。沙盒對(duì)于硬件的節(jié)約化特征使它比VM更具吸引力。