Как использовать Windows Sandbox для проверки сомнительных файлов без риска

Автор На чтение 10 мин Просмотров 1 Опубликовано

Windows Sandbox — это временная чистая Windows, которая запускается внутри вашей основной системы. В ней можно открыть подозрительный файл, запустить установщик, проверить архив или документ с макросами, а потом закрыть песочницу и стереть всё, что там произошло.

Главная идея простая: файл работает не на вашей обычной Windows, а в отдельной среде. Если он окажется вредоносным, он не получит доступ к вашим документам, паролям браузера, рабочим папкам и настройкам основной системы — при условии, что вы правильно настроили проверку.

Содержание
  1. Когда Windows Sandbox действительно полезна
  2. Что нужно перед запуском Windows Sandbox
  3. Как включить Windows Sandbox
  4. Как проверить файл в Windows Sandbox: безопасный порядок действий
  5. Настройка Windows Sandbox через .wsb-файл
  6. Что выбрать для разных ситуаций
  7. Как понять, что файл ведёт себя подозрительно
  8. Частые ошибки при проверке файлов в Sandbox
  9. Практические рекомендации, которые реально снижают риск
  10. Если Windows Sandbox не запускается
  11. Итог: как делать правильно

Когда Windows Sandbox действительно полезна

Я бы использовал её в таких случаях:

  • вам прислали .exe, .msi, .scr, архив или документ из непонятного источника;
  • нужно быстро проверить программу перед установкой на основную систему;
  • файл выглядит подозрительно, но вы не хотите сразу удалять его без проверки;
  • нужно открыть архив, PDF, Office-документ или установщик, который вы не готовы запускать на рабочем компьютере;
  • вы хотите посмотреть, что делает файл: какие процессы запускает, куда лезет в сеть, создаёт ли автозагрузку.

Но есть важная граница: Windows Sandbox — это удобный инструмент для быстрой проверки, а не полноценная лаборатория для анализа вредоносного ПО. Для серьёзной малвари, шифровальщиков и сложных троянов лучше использовать отдельную виртуальную машину без сетевых подключений и без общих папок.

Что нужно перед запуском Windows Sandbox

Windows Sandbox есть не во всех редакциях Windows. Обычно она доступна в Windows 10/11 Pro, Enterprise и Education. В Windows Home официально её нет.

Также нужны:

  • права администратора;
  • включённая виртуализация в BIOS/UEFI;
  • примерно от 4 ГБ оперативной памяти;
  • свободное место на диске;
  • актуальные обновления Windows.

Если песочница не запускается, чаще всего причина одна из трёх: редакция Windows не поддерживает функцию, виртуализация отключена в BIOS/UEFI или система давно не обновлялась.

Как включить Windows Sandbox

  1. Откройте меню «Пуск» и начните вводить Включение или отключение компонентов Windows.
  2. Откройте этот раздел.
  3. Найдите пункт Windows Sandbox.
  4. Поставьте галочку рядом с ним.
  5. Нажмите «ОК» и перезагрузите компьютер.
  6. После перезагрузки запустите Windows Sandbox через меню «Пуск».

Можно включить песочницу и через PowerShell от имени администратора:

Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online

После запуска вы увидите обычное окно Windows, но это не ваша основная система. Всё, что происходит внутри, живёт только до закрытия окна.

Как проверить файл в Windows Sandbox: безопасный порядок действий

Главная ошибка — просто скопировать файл и сразу запустить его, не подумав о настройках. Лучше сделать так:

  1. Создайте отдельную папку на основной системе.
    Например: C:\SandboxTest. Не используйте «Рабочий стол», «Загрузки» или «Документы», особенно если внутри есть реальные файлы.
  2. Положите туда только тот файл, который хотите проверить.
    Если это архив — положите архив. Если установщик — только установщик. Не нужно тащить туда всю папку с проектами.
  3. Запустите Windows Sandbox.
  4. Скопируйте файл внутрь песочницы.
    Самый простой способ — обычное копирование через буфер обмена. Но для более аккуратной проверки лучше использовать настроенную общую папку, о ней ниже.
  5. Запустите файл внутри песочницы.
    Если это документ с макросами, не включайте макросы без необходимости. Если это архив — распаковывайте его внутри Sandbox, а не на основной системе.
  6. Понаблюдайте 2–5 минут.
    Смотрите, не появились ли странные процессы, окна, сетевые подключения, запросы прав администратора или попытки изменить автозагрузку.
  7. Закройте окно Windows Sandbox.
    После закрытия всё внутри будет удалено.

Если после проверки файл оказался нормальным и вы хотите использовать его на основной системе, не переносите его обратно «на автомате». Лучше сначала проверить его антивирусом на основной системе или скачать заново из официального источника.

Настройка Windows Sandbox через .wsb-файл

По умолчанию Windows Sandbox может использовать сеть, буфер обмена и другие возможности интеграции с основной системой. Для проверки сомнительных файлов это не всегда удобно. Лучше создать отдельный файл запуска с более строгими настройками.

Например, создайте файл test-safe.wsb в Блокноте и вставьте туда:

<Configuration>
  <Networking>Disable</Networking>
  <ClipboardRedirection>Disable</ClipboardRedirection>
  <VGpu>Disable</VGpu>
  <PrinterRedirection>Disable</PrinterRedirection>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\SandboxTest</HostFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
</Configuration>

Сохраните файл с расширением .wsb и запускайте песочницу двойным кликом по нему.

Что здесь происходит:

  • Networking Disable — отключает интернет внутри песочницы. Это полезно, если файл не должен ничего скачивать.
  • ClipboardRedirection Disable — отключает общий буфер обмена. Так вы случайно не перетащите пароль или чувствительный текст.
  • VGpu Disable — отключает виртуальный GPU. Для проверки обычных файлов это нормально и уменьшает лишнюю поверхность атаки.
  • PrinterRedirection Disable — запрещает доступ к принтерам основной системы.
  • HostFolder — подключает папку с основной системы внутрь Sandbox.
  • ReadOnly true — папка доступна только для чтения. Файл внутри песочницы не сможет испортить её содержимое.

Если проверяемый установщик должен что-то записывать в общую папку, можно поставить <ReadOnly>false</ReadOnly>, но только для пустой тестовой папки. Никогда не подключайте к Sandbox папки с реальными документами, проектами, бухгалтерией или резервными копиями.

Что выбрать для разных ситуаций

Ситуация Что лучше сделать Почему Чего избегать
Нужно быстро открыть подозрительный PDF, архив или документ Windows Sandbox с отключённой сетью и read-only папкой Файл не сможет отправить данные наружу или испортить реальные документы Не включайте макросы и не открывайте файл на основной системе
Нужно проверить установщик программы Windows Sandbox с отдельной пустой папкой Установщик можно запустить, посмотреть поведение и потом стереть среду Не подключайте папку «Загрузки» или «Документы»
Программа должна скачать компоненты из интернета Sandbox с сетью, но без личных данных и без общих папок Иногда без интернета установщик просто не запустится Не входите в почту, банк, облако или корпоративные сервисы
Файл похож на шифровальщик или известную малварь Отдельная виртуальная машина без сети и без общих папок Для серьёзной малвари Sandbox может быть слишком простой средой Не подключайте read-write папки и не держите сеть включённой
У вас Windows Home Онлайн-сканер, Defender, отдельная VM или обновление до редакции с Sandbox В Home Windows Sandbox официально недоступна Не скачивайте сомнительные «активаторы» и «установщики Sandbox»

Как понять, что файл ведёт себя подозрительно

Windows Sandbox не всегда прямо скажет: «это вирус». Часто решение приходится принимать по поведению файла. Вот признаки, после которых я бы не переносил файл на основную систему:

  • файл запускает PowerShell, cmd, wscript, mshta, rundll32 или другие системные утилиты без понятной причины;
  • появляются процессы с странными именами или без описания;
  • файл пытается добавить себя в автозагрузку;
  • создаются службы, задачи планировщика или записи в реестре;
  • программа пытается отключить защитные механизмы;
  • появляются сетевые подключения к непонятным адресам;
  • окно программы похоже на форму входа, но просит пароль от почты, банка или корпоративного аккаунта;
  • документ настойчиво просит включить макросы;
  • архив содержит исполняемый файл там, где вы ожидали обычный документ;
  • после запуска резко растёт нагрузка на процессор, память или сеть.

Для наблюдения можно открыть внутри Sandbox «Диспетчер задач», а если нужно больше деталей — «Монитор ресурсов». Сетевые подключения удобно смотреть во вкладке сети. Но даже если вы ничего подозрительного не увидели, это не доказывает безопасность файла. Некоторые угрозы ждут времени, проверяют окружение или активируются только при наличии интернета.

Частые ошибки при проверке файлов в Sandbox

  • Запускать файл на основной системе «на всякий случай». Один такой запуск может испортить больше, чем потом получится быстро исправить.
  • Подключать к Sandbox всю папку «Документы». Если включить запись, вредоносный файл сможет повредить реальные файлы.
  • Входить в аккаунты внутри песочницы. Если файл крадёт пароли, он украдёт именно те данные, которые вы ввели.
  • Оставлять буфер обмена включённым. Случайно скопированный пароль, ключ или токен может попасть в Sandbox.
  • Думать, что отсутствие реакции антивируса — это гарантия. Антивирус может не сработать, особенно на новый или замаскированный файл.
  • Проверять ransomware с подключёнными папками. Шифровальщик может зашифровать не только файлы внутри Sandbox, но и доступную общую папку на основной системе.
  • Копировать результат проверки обратно без проверки. Если внутри Sandbox появился какой-то «обновлённый» файл, это не значит, что он безопасный.
  • Держать Sandbox открытой после проверки. Чем дольше она открыта, тем выше шанс случайной ошибки или лишнего действия.

Практические рекомендации, которые реально снижают риск

Если хотите использовать Windows Sandbox не формально, а безопасно, придерживайтесь нескольких правил:

  • Готовьте отдельную папку для тестов. Например, C:\SandboxTest, и не храните там ничего личного.
  • По умолчанию отключайте сеть. Если проверяемый файл не должен ничего скачивать, интернет внутри Sandbox ему не нужен.
  • Отключайте буфер обмена. Это мелочь, но она часто спасает от случайной утечки паролей и токенов.
  • Не используйте Sandbox для входа в аккаунты. Даже временная Windows не должна становиться местом, где вы вводите чувствительные данные.
  • Проверяйте архивы внутри Sandbox. Не распаковывайте сомнительные архивы на основной системе.
  • Не включайте макросы без необходимости. Если документ прислан непонятно кем и просит «включить содержимое», это уже красный флаг.
  • Закрывайте Sandbox сразу после проверки. Всё внутри исчезнет, и это именно то, что вам нужно.
  • Держите Windows обновлённой. Sandbox использует системные механизмы виртуализации, поэтому обновления важны.

Если Windows Sandbox не запускается

Самые частые причины:

  • у вас Windows Home — Sandbox официально в ней нет;
  • виртуализация отключена в BIOS/UEFI;
  • система не обновлена;
  • нет прав администратора;
  • не хватает оперативной памяти;
  • старые версии VirtualBox, VMware или других гипервизоров конфликтуют с Hyper-V-компонентами Windows.

Если вы на рабочем компьютере, лучше не пытаться обходить ограничения корпоративной политики. В таких случаях безопаснее согласовать проверку с ИТ-специалистом или использовать утверждённые在公司 инструменты.

Итог: как делать правильно

Windows Sandbox — отличный способ проверить сомнительный файл без риска для основной системы. Лучший сценарий такой: отдельная пустая папка, запуск файла внутри Sandbox, отключённая сеть, отключённый буфер обмена, никаких личных аккаунтов и закрытие песочницы сразу после проверки.

Если файл простой и не требует интернета — запускайте Sandbox через .wsb с Networking Disable. Если это установщик, которому нужен интернет, оставьте сеть, но не подключайте реальные папки и не вводите пароли. Если файл похож на серьёзную малварь, не экспериментируйте на рабочей машине — используйте отдельную виртуальную машину без сетевых подключений.

Памятка по безопасности. Windows Sandbox снижает риск для основной системы, но не делает сомнительный файл безопасным. Если файл явно вредоносный, особенно шифровальщик или сложный троян, лучше работать в отдельной изолированной среде без интернета, без общих папок и без личных данных.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком