Sandbox Windows: come funziona

Se volete controllare e testare un programma o una funzionalità di Windows ma non volete rischiare che questi danneggino il vostro ambiente attuale, Microsoft ha pensato a voi con la Sandbox.

Questa funzione, presente in Windows 10 e 11, crea infatti un ambiente sicuro che consente di isolare tali programmi o modifiche in modo che non possano interferire con il resto del sistema operativo. Ma cos'è esattamente e come funziona Sandbox Windows nel 2022? In questo articolo lo scopriremo, vedendo come si attiva, come si apre e come si installano i programmi.

Prima di capire cos'è Sandbox Windows (qui trovate le migliori app gratuite per Windows), dobbiamo comprendere cosa sia una Sandbox.

La parola Sandbox in inglese si riferisce a delle aree chiuse (anche se le strutture sono state inventate in Germania) con il fondo ricoperto di sabbia, in cui i bambini possono giocare liberamente e in sicurezza.

In informatica si è preso a prestito il termine, a indicare un ambiente di test in grado di isolare modifiche al codice non testate o programmi qualunque dall'ambiente di produzione. Praticamente, però, la parola Sandbox ha connotazioni piuttosto diverse a seconda che dei contesti in cui viene usata, come sicurezza, motori di ricerca, sviluppo software, sviluppo Web, l'automazione o il controllo delle revisioni.

A noi però interessa solo quello che rappresenta in Windows: ovvero un ambiente virtuale, isolato e temporaneo, attraverso il quale è possibile

• scaricare, installare ed eseguire app sconosciute e non testate
• controllare siti Web che sembrano sospetti
• installare estensioni e componenti aggiuntivi del browser sconosciuti
• modificare alcune impostazioni chiave 
• armeggiare con altri elementi che potreste non voler eseguire nel vostro normale ambiente Windows 
• installare semplicemente programmi di prova

La cosa importante è da osservare è che la Sandbox è temporanea, quindi quando la chiudete, tutto il software, i file e le impostazioni vengono eliminati, compresi eventuali malware o contenuti pericolosi abbiate installato.

Ogni volta che aprite l'app, otterrete una nuova istanza della Sandbox, ma a partire dalla build di Windows 11 numero 22509, se effettuate un riavvio all'interno dell'ambiente virtualizzato, i dati persisteranno. Questo è utile per l'installazione di applicazioni che richiedono il riavvio del sistema operativo.

Ecco alcune caratteristiche della Sandbox:

• Il software e le applicazioni installate nel sistema host non sono direttamente disponibili nella Sandbox. Se avete bisogno di applicazioni specifiche, dovete installarle all'interno dell'ambiente.
• È parte di Windows: tutto ciò di cui avete bisogno è incluso in Windows 10 Pro ed Enterprise. Non è necessario scaricare niente
• È pulita, nel senso che ogni volta che aviate Sandbox Windows, è come una nuova installazione di Windows.
• Usa e getta, cioè non persiste nulla sul dispositivo
• È sicura, perché utilizza la virtualizzazione basata su hardware per l'isolamento del kernel
• È efficiente, perché utilizza lo scheduler del kernel integrato, la gestione intelligente della memoria e la GPU virtuale.
• È di dimensioni ridotte, solo 100 MB di spazio di archiviazione

Detto questo, ci sono due considerazioni da fare.

Prima di tutto la versione di Windows accessibile nella Sandbox è la stessa versione nell'ambiente originale, quindi Windows 10 o 11 (come installare apk in Windows 11), a seconda di cosa sia installato sul vostro computer. Inoltre la Sandbox è supportata solo da Windows Pro, Enterprise o Education, quindi non Home.

Vediamo i prerequisiti completi per usarla.

Qui di seguito sono indicati i requisiti per poter usare Sandbox di Windows.

• Windows 10 o Windows 11 Pro, Enterprise o Education -build 18305 (Windows Sandbox non è attualmente supportato su Windows Home Edition)
• Architettura AMD64 o (a partire da Windows 11 Build 22483) ARM64
• Funzionalità di virtualizzazione abilitate nel BIOS
• Almeno 4 GB di RAM (consigliati 8 GB)
• Almeno 1 GB di spazio libero su disco (consigliato SSD)
• CPU con almeno due core (consigliati quattro core con hyperthreading)

Per controllare che la virtualizzazione sia abilitata, fate come segue.

• In Windows 10
  1. cliccate con il pulsante destro del mouse sulla barra delle applicazioni 
  2. selezionate Gestione attività.
• In Windows 11
  1. premete Ctrl+Maiusc+Esc o cliccate sull'icona Cerca
  2. iniziate a digitare Task Manager
  3. selezionate Task Manager dai risultati.

Nella finestra Task Manager, cliccate sul collegamento per ulteriori dettagli, se necessario.

Selezionate la scheda Prestazioni, poi CPU e assicuratevi che la voce per Virtualizzazione indichi che è abilitata.

Se se trovate la scritta disabilitato, dovete abilitare la virtualizzazione dal BIOS. Ecco come fare.

Come abilitare la virtualizzazione

1. Andate nel BIOS. Per farlo dovete premere nelle primissime fasi di avvio uno dei seguenti tasti (cambia a seconda del produttore, e lo trovate nel manuale del computer):
   • Canc
   • Esc
   • F1
   • F2 
   • F4
2. Riavviate il computer
3. Quando lo schermo diventa nero durante il processo di riavvio, toccate rapidamente il tasto BIOS (vedi sopra) finché non viene visualizzato il menu BIOS. Se la chiave che state utilizzando non funziona, dovete riavviare il computer ed eseguire il processo utilizzando le altre chiavi dalle chiavi sopra menzionate finché non arrivate al BIOS
4. Dopo essere entratinel BIOS, dovete trovare la sezione per la configurazione della CPU. Potete trovarla nella scheda
   • CPU
   • Processore
   • Northbridge
   • Chipset
   • Potreste anche trovare la sezione di configurazione come sezione Modalità avanzata o Avanzata
5. Dopo essere entrati nella sezione di configurazione della CPU, dovete trovare l'opzione in cui potete abilitare la virtualizzazione dell'hardware. Potreste trovare nomi come
   • Hyper-V
   • Vanderpool
   • SVM (di solito le schede madri di Gigabyte lo usano)
   • AMD-V
   • Intel Virtualization Technology 
   • VT-X
6. Abilitate l'opzione che appare nel vostro caso. Se vedete AMD IOMMU o Intel VT-d, abilitate anche loro.
7. Salvate le modifiche. Potete usare i tasti di scelta rapida che vedete nel BIOS in basso. La maggior parte dei produttori utilizza F10 per salvare la configurazione del BIOS
8. Uscite dal BIOS. Il computer si riavvierà e potete controllare lo stato della virtualizzazione dal task manager come sopra

Abilitare la virtualizzazione per macchine virtuali

Se state utilizzando una macchina virtuale, eseguite il seguente comando nella PowerShell per abilitare la virtualizzazione annidata, una funzionalità che consente di eseguire Hyper-V all'interno di una macchina virtuale (VM) Hyper-V:

Set-VMProcessor -VMName \<VMName> -ExposeVirtualizationExtensions $true

Vediamo ora come si installa la Sandbox di Windows, ma non dovete pensare a una macchina virtuale o a processi complicati, perché in realtà non dovete installare nulla.

Basta abilitare un'opzione all'interno delle impostazioni di Windows, che cercherà i file necessari e applicherà le modifiche automaticamente. Ovviamente devono valere i presupposti visti sopra. Ecco come fare:

1. Cliccate sul pulsante Start o sul pulsante di ricerca e inserite Funzionalità di Windows
2. Cliccate sull'icona corrispondente a Attivazione o disattivazione delle funzionalità di Windows
3. Scorrete verso il basso finché non vedete Sandbox Windows
   • Se l'opzione Windows Sandbox non è disponibile, significa che il computer non soddisfa i requisiti per eseguire Windows Sandbox
4. Mettete la spunta di fianco a Sandbox Windows
5. Cliccate OK

• Windows inizierà a cercare i file richiesti, applicherà le modifiche, e potrebbe chiedervi di riavviare il computer
• Se richiesto, cliccate su Riavvia ora in basso a destra
• Al riavvio, il computer è pronto per utilizzare la Sandbox

Abilitare la Sandbox da prompt dei comandi

Un altro modo per abilitare Sandbox è tramite un comando di PowerShell.

• In Windows 10
  1. Cliccate sul menu Start
  2. Scorrete verso il basso l'elenco delle app
  3. Aprite la cartella per Windows PowerShell
  4. Cliccate con il pulsante destro del mouse sul collegamento per Windows PowerShell
  5. Selezionate Esegui come amministratore.
• In Windows 11
  1. Andate su Tutte le app dal menu Start
  2. Scorrete l'elenco
  3. Cliccate con il pulsante destro del mouse su Terminale
  4. Passate all'opzione Altro
  5. Scegliete Esegui come amministratore

Arrivati al prompt, digitate la seguente stringa di comando:

Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online

Se richiesto, premete Y per riavviare il PC.

La Sandbox è ora pronta, vediamo come aprirla e poi come usarla per installare programmi, per esempio.

Come si apre Sandbox Windows

• Per aprire la Sandbox in Windows 10
  1. Cliccate sul pulsante Start
  2. Scorrete verso il basso l'elenco delle app e cliccate sul collegamento per Windows Sandbox
• In Windows 11
  1. Andate all'elenco Tutte le app dal menu Start
  2. Scorrete verso il basso l'elenco e selezionate il collegamento Windows Sandbox
• Oppure potete semplicemente scrivere nel campo di ricerca Sandbox e cliccare sull'icona corrispondente
• Se prevedete di utilizzare regolarmente Sandbox, cliccate con il pulsante destro del mouse sul collegamento dall'elenco Tutte le app in Windows 10 o 11 e selezionate Aggiungi a Start per aggiungerlo al menu Start. Passate all'opzione Altro e selezionate Aggiungi alla barra delle applicazioni per aggiungere l'app alla barra delle applicazioni.

Dopo aver cliccato sul collegamento, verrà aperto Windows Sandbox.

All'inizio potrete vedere una schermata nera. Non temete, è normale al primo utilizzo. Dopo qualche secondo, vi apparirà una nuova istanza della vostra macchina host che, come abbiamo detto nel primo paragrafo, si aprirà in una finestra separata con un ambiente Windows 10 o 11 pulito e incontaminato. Al suo interno troverete installate solo le funzionalità e le app integrate di Windows, come Esplora file, Pannello di controllo, Blocco note e Microsoft Edge.

Se volete, potete ridimensionare la finestra della Sandbox, proprio come fareste come con qualunque app o finestra di Windows.

Ora potete sperimentare nella vostra nuova Sandbox. Vi sembrerà di utilizzare la vostra macchina host principale, ma non lo siete, e potete installare qualunque programma o testare delle impostazioni senza modificare il vostro sistema principale.

Ci sono alcune considerazioni da fare prima di iniziare al lavorarci.

• La prima è che la Sandbox è proprio un'istanza di Windows, quindi potete riavviarla o spegnerla come fareste con Windows, quindi agendo sul pulsante Start all'interno della finestra e selezionando la voce corrispondente. Nel caso del riavvio, come abbiamo detto nel primo paragrafo, a partire da Windows 11 Build 22509, i dati persisteranno attraverso un riavvio dall'interno dell'ambiente virtualizzato, il che è utile per l'installazione di applicazioni che richiedono il riavvio del sistema operativo.
• La seconda considerazione è che è vero che la Sandbox funziona in maniera isolata dalla macchina host, ma potete interagirvi in alcuni modi. Per esempio, potete copiare e incollare i file avanti e indietro tra Sandbox e il normale ambiente Windows. Questo è utile per installare un programma, come vedremo tra un secondo.
• La terza è che la Sandbox di Windows non rispetta le impostazioni del mouse del sistema host, quindi se il sistema host è impostato per l'uso di un mouse destro, è necessario applicare queste impostazioni manualmente nella Sandbox di Windows

Come installare programmi in Sandbox Windows

Se desiderate provare un particolare programma, dovete installarlo nella Sandbox.

Avete due modi per farlo, perché la Sandbox non dispone del Microsoft Store (ci sono dei modi per abilitarlo ma esulano dallo scopo di questa guida).

• Avviate Microsoft Edge nella Sandbox e scaricate il programma dal web
• Se avete già scaricato sulla vostra macchina host il pacchetto di installazione dell'app che desiderate installare, potete copiarla dal sistema Windows host e incollarla nel File Manager nella Sandbox.

A questo punto potete installare l'app come fareste normalmente in Windows, cliccandoci sopra due volte. Una volta installata, avviate l'app e usatela senza timore. 

Come configurare la Sandbox Windows al meglio

Finora abbiamo visto alcune funzioni base della Sandbox di Windows, ma come abbiamo detto potete copiare file da e verso il sistema host, il che potrebbe essere un problema per la sicurezza. Oppure potete aver bisogno di gestire alcune periferiche.

Ecco quindi come usare alcune impostazioni che potete gestire tramite un file di configurazione per aumentare la sicurezza ed eseguire altre attività, come comandi e script e reindirizzare periferiche come microfoni e videocamere per testare funzionalità specifiche di un'applicazione.

Creare un file di configurazione

Ecco come creare un file di configurazione generico per Sandbox su Windows 11:

1. Aprite Blocco note
2. Cliccate sul menu File
3. Selezionate l'opzione Salva con nome
4. Digitate un nome e utilizzate l'estensione .wsb
5. In basso utilizzate il menu a discesa Salva come e selezionate la voce Tutti i file
6. Premete il pulsante Salva

Vediamo ora come creare alcuni comodi comandi.

Eseguire programmi all'avvio della Sandbox

Per eseguire script o comandi durante l'accesso alla Sandbox, create questo file di configurazione:

1. Aprite Esplora file
2. Andate nella posizione dove avete salvato il file di configurazione
3. Cliccate con il pulsante destro del mouse sul file di configurazione.wsb
4. Selezionate l'opzione Apri con
5. Cliccate su Scegli un'altra app
6. Selezionate Blocco note
7. Cliccate su OK
8. Digitate il seguente comando
   • <LogonCommand><Command>cmd.exe</Command></LogonCommand>
   • Al posto di Command, inserite il comando cmd.exe che volete far eseguire. Se è un comando complesso, create uno script
9. Cliccate sul menu File
10. Cliccate su Salva

Aumentare la sicurezza tra host e Sandbox

Per aumentare la sicurezza tra il computer host e la Sandbox tramite la connessione desktop remoto, dovete attivare la modalità Client protetto (ProtectedClient), che include una sicurezza aggiuntiva per ridurre le possibilità di attacchi tramite il protocollo RPD.

Create il seguente file di configurazione.

1. Aprite Esplora file
2. Andate nella posizione dove avete salvato il file di configurazione
3. Cliccate con il pulsante destro del mouse sul file di configurazione.wsb
4. Selezionate l'opzione Apri con
5. Cliccate su Scegli un'altra app
6. Selezionate Blocco note
7. Cliccate su OK
8. Digitate il seguente comando
   • <Configuration><ProtectedClient>Enable</ProtectedClient></Configuration>
9. Cliccate sul menu File
10. Cliccate su Salva

Come mappare la cartella host su Windows Sandbox

Questo file di configurazione consente che la Sandbox monti una cartella dell'host e la renda disponibile sul desktop.

1. Aprite Esplora file
2. Andate nella posizione dove avete salvato il file di configurazione
3. Cliccate con il pulsante destro del mouse sul file di configurazione.wsb
4. Selezionate l'opzione Apri con
5. Cliccate su Scegli un'altra app
6. Selezionate Blocco note
7. Cliccate su OK
8. Digitate il seguente comando
   • <Configuration><MappedFolders><MappedFolder><HostFolder>C:\myshare</HostFolder><ReadOnly>true</ReadOnly></MappedFolder></MappedFolders></Configuration>
   • Specificate il percorso della cartella host che volete visualizzare all'interno della Sandbox nel blocco HostFolder. È consigliato inoltre usare il valore "true" nel blocco ReadOnly per imporre l'accesso alla cartella in modalità di sola lettura, ma potete usare "false" per consentire l'accesso in lettura e scrittura alla cartella
   • Potete creare più blocchi XML "MappedFolder" all'interno del blocco "MappedFolders" per montare tutte le cartelle di cui avete bisogno.
9. Cliccate sul menu File
10. Cliccate su Salva

Gestire la scheda di rete virtuale su Windows Sandbox

Questo file di configurazione vi consente di attivare o disattivare la scheda di rete virtuale della Sandbox (abilitata per impostazione predefinita):

1. Aprite Esplora file
2. Andate nella posizione dove avete salvato il file di configurazione
3. Cliccate con il pulsante destro del mouse sul file di configurazione.wsb
4. Selezionate l'opzione Apri con
5. Cliccate su Scegli un'altra app
6. Selezionate Blocco note
7. Cliccate su OK
8. Digitate il seguente comando per disabilitare la scheda di rete virtuale nella Sandbox
   
   • <Configuration><Networking>Disable</Networking></Configuration>
9. Digitate il seguente comando per abilitare la scheda di rete virtuale
   
   • <Configuration><Networking>Default</Networking></Configuration>
10. Cliccate sul menu File
11. Cliccate su Salva

Gestire la grafica virtuale su Windows Sandbox

Potete attivare o disattivare (causerà un calo delle prestazioni) la scheda grafica virtuale (abilitata per impostazione predefinita) dal file .wsb:

1. Aprite Esplora file
2. Andate nella posizione dove avete salvato il file di configurazione
3. Cliccate con il pulsante destro del mouse sul file di configurazione.wsb
4. Selezionate l'opzione Apri con
5. Cliccate su Scegli un'altra app
6. Selezionate Blocco note
7. Cliccate su OK
8. Digitate il seguente comando per disabilitare l'adattatore vGPU nella Sandbox
   
   • <Configuration><VGpu>Disable</VGpu></Configuration>
9. Digitate il seguente comando per abilitarlo
   
   • <Configuration><VGpu>Default</VGpu></Configuration> 
10. Cliccate sul menu File
11. Cliccate su Salva

Configurare l'utilizzo della memoria per la Sandbox

Ecco come modificare la quantità di memoria per la macchina virtuale:

1. Aprite Esplora file
2. Andate nella posizione dove avete salvato il file di configurazione
3. Cliccate con il pulsante destro del mouse sul file di configurazione.wsb
4. Selezionate l'opzione Apri con
5. Cliccate su Scegli un'altra app
6. Selezionate Blocco note
7. Cliccate su OK
8. Digita quanto segue per impostare 8 GB di RAM (in megabyte), o quello che volete
   
   • <Configuration><MemoryInMB>8192</MemoryInMB></Configuration>
9. Digitate il seguente comando per abilitarlo
   
   • <Configuration><VGpu>Default</VGpu></Configuration> 
10. Cliccate sul menu File
11. Cliccate su Salva

Come condividere dispositivi audio (microfono) con Sandbox

Per condividere dispositivi audio come un microfono con la Sandbox, utilizzate il seguente file di configurazione:

1. Aprite Esplora file
2. Andate nella posizione dove avete salvato il file di configurazione
3. Cliccate con il pulsante destro del mouse sul file di configurazione.wsb
4. Selezionate l'opzione Apri con
5. Cliccate su Scegli un'altra app
6. Selezionate Blocco note
7. Cliccate su OK
8. Digita quanto segue per abilitare i dispositivi audio
   
   • <Configuration><AudioInput>Default</AudioInput></Configuration>
9. Questo per disabilitarli
   
   • <Configuration><AudioInput>Disable</AudioInput></Configuration>
10. Cliccate sul menu File
11. Cliccate su Salva

Come condividere dispositivi video (webcam) su Windows Sandbox

Per condividere dispositivi video come una webcam con Sandbox, utilizza questi passaggi:

1. Aprite Esplora file
2. Andate nella posizione dove avete salvato il file di configurazione
3. Cliccate con il pulsante destro del mouse sul file di configurazione.wsb
4. Selezionate l'opzione Apri con
5. Cliccate su Scegli un'altra app
6. Selezionate Blocco note
7. Cliccate su OK
8. Digita quanto segue per abilitare i dispositivi di input video
   
   • <Configuration><VideoInput>Default</VideoInput></Configuration>
9. Questo per disabilitarli
   
   • <Configuration><VideoInput>Disable</VideoInput></Configuration>
10. Cliccate sul menu File
11. Cliccate su Salva

Come controllare più opzioni su Windows Sandbox con un unico file

Per utilizzare più funzionalità della Sanbox insieme, per esempio senza una connessione a Internet, con grafica virtuale disabilitata a favore del motore di rendering del software, una cartella dell'host mappata, i dispositivi audio e video abilitati e alcune mitigazioni per aumentare la sicurezza, ecco come fare:

1. Aprite Esplora file
2. Andate nella posizione dove avete salvato il file di configurazione
3. Cliccate con il pulsante destro del mouse sul file di configurazione.wsb
4. Selezionate l'opzione Apri con
5. Cliccate su Scegli un'altra app
6. Selezionate Blocco note
7. Cliccate su OK
8. Digita quanto segue
   
   • <Configuration><Networking>Disable</Networking> <VGpu>Disable</VGpu> <MappedFolders><MappedFolder><HostFolder>C:\myshare</HostFolder> <ReadOnly>True</ReadOnly></MappedFolder></MappedFolders> <ProtectedClient>Enable</ProtectedClient><MemoryInMB>8192</MemoryInMB> <AudioInput>Default</AudioInput><VideoInput>Default</VideoInput></Configuration>
9. Cliccate sul menu File
10. Cliccate su Salva

Oltre a questi ci sono anche altri comandi utili, come rendirizzare la stampante (PrinterRedirection) o gli appunti (ClipboardRedirection).

Quando avete finito di testare o utilizzare un'applicazione o un altro elemento, chiudete la finestra della Sandbox come fareste con qualsiasi altra app e tutto ciò che avete fatto finora verrà eliminato, quindi fate molta attenzione perché non verrà salvato da nessuna parte.

Prima di chiudere la Sandbox, assicuratevi quindi che non ci sia nulla di importante al suo interno. Quando cliccate sul pulsante per chiudere la finestra della Sandobx, apparirà un messaggio che vi avviserà del fatto che tutti i dati all'interno verranno persi. 

Se siete sicuri che non ci sia nessun problema, cliccate su OK e la Sandbox verrà chiusa. Se riavvierete la Sandbox, vi apparirà una nuova istanza, come se non l'aveste mai utilizzata. 

Rimuovere le Sandbox

Se decidete di non voler più utilizzare Sandbox, potete rimuoverla seguendo i passaggi inversi che abbiamo visto per abilitarla.

1. Tornate alla finestra Funzionalità Windows nell'ambiente host
2. Deselezionate la voce di fianco a Windows Sandbox
3. Riavviate il computer

Oppure aprite la PowerShell come amministratore e inserite il seguente comando:

Disable-WindowsOptionalFeature -FeatureName 'Containers-DisposableClientVM' –Online