官方逼死第三方,微软在 Windows 10 中提供了一次性沙盒
在最近 Insider 通道的 Windows 10 18305 版本中,微软加入了一个全新的功能 —— Windows Sandbox。这一功能预计会在下一次的重大更新 19H1 中面向所有 Windows 10 专业版、企业版的用户推出。
之前如果我们想要在 Windows 10 中实现沙盒这么一个功能,我们往往都需要依赖类似 Sandboxie、360 隔离沙箱之类的第三方软件来实现,或者直接通过 VMware 或 VirtualBox 安装一个 Windows 虚拟机。
而现在,只要你使用的是 Windows 10 专业版或是企业版,你可以直接通过系统自带的 Windows Sandbox 来运行一些你认为可能存在一些潜在危险的软件。
Windows Sandbox 是一个基于硬件及虚拟化技术创建的沙盒,相较于虚拟机,这样的沙盒可以不需要你下载任何的系统镜像,它可以依赖现有的系统文件直接启动。
每一次新启动的沙盒都是一个纯净的 Windows 环境,相较于虚拟机,它「使用完后立刻丢弃」的特性使得其环境永远是干净的,不会像虚拟机一样因为文件会有留存而对整个系统的环境产生污染。
而相较于传统的沙盒,它的用途又不只在于测试一些可能存在风险的软件,因为 Windows Sandbox 本质上是基于硬件虚拟化的,因而使用它和使用一台 Windows 的虚拟机没有什么差别,在上面我们可以做更多的事情,包括软件测试等等。
可以说这完全是一个「官方逼死第三方」的东西,Windows Sandbox 更多是一个综合了虚拟机和传统沙盒优点的功能,受限它采用了硬件级的虚拟化技术在沙盒内运行一个独立的、受控制的 Windows 内核,将沙盒内软件的所有操作和主机隔离,具有比传统沙盒更高的安全性,避免了一些可能存在的「漏沙」现象。
而相较于虚拟机,Windows Sandbox 可以无需下载任何的镜像,做任何的配置,它可以直接利用现有的 Windows 文件启动一个全新的 Windows 环境,效率上相较于虚拟机要高一些。
虽然总体的操作体验 Windows Sandbox 还是更贴近虚拟机的,但是得益于微软集成的内核调度、智能内存管理、虚拟 GPU 等服务,其流畅性会比一般的虚拟机要好一些,而且用户还可以不用操心 Windows 的安装、配置等一系列的复杂问题。
我们可以简单地理解为 Windows Sandbox 就是一个轻量级的虚拟机,并且在纯净状态的位置建立了一个快照,每一次我们使用这个功能的时候实际上就是从这个快照的位置启动了这个轻量级的虚拟机,在关闭它的时候这个虚拟机则自动归位到了这个快照所保存的纯净状态。
值得一提的是 Windows Sandbox 还支持全屏模式运行,全屏模式下和远程桌面的感觉是一样的,Windows Sandbox 完全可以当一个纯净的 Windows 虚拟机来使用。
不出意外的话 Windows Sandbox 应该是用了 Hyper-V 上面的技术,Windows 10 现有的专业版和企业版都实际上都搭载了 Hyper-V,Windows Sandbox 应该是一个从 Hyper-V 衍生出来的扩展功能。
不出意外的话,Windows Sandbox 应该也会支持嵌套虚拟化,至少目前 Windows Sandbox 是可以从一台虚拟机中安装的 Windows 10 中运行的。
这个功能的存在不单单是可以方面很多从事安全相关工作的 Windows 用户,同时他也可以给众多开发者提供便利,因为开发者可以非常轻松地通过 Windows Sandbox 构建一个测试环境。不过,在笔者看来如果微软能给这个沙盒提供一个保存数据的开关,那么这个功能就真正「完美」了,毕竟对于很多开发者来说,他们可能会对保存数据或是沙盒的环境有需求。
毕竟相较于虚拟机来说,Windows Sandbox 是一个更加轻量、方便的解决方案,因而如果它支持保存数据、保存环境的话,它肯定能受到众多开发者的青睐。
不过这个功能本身是针对安全人员推出的,因而其功能简单也可以理解。
需要注意的是这个功能目前还只在 Insider 通道的版本中存在,正式版用户想要体验到这个功能需要等待微软推送一下个重大更新 —— 19H1。
这个功能仅 Windows 10 Pro 和 Windows 10 企业版的用户才能使用,国内大部分用户的正版 Windows 10 都是家庭版,特别是 OEM 附赠的 Windows 10,如果你想在今后的版本中使用 Windows Sandbox 这个功能,你需要将你的 WIndows 升级至 Pro 版。