Die neue Windows Sandbox

Der Windows "Sandkasten"

Windows Sandbox ist eine neue, leichte Desktop-Umgebung, die speziell für sicher laufende Anwendungen entwickelt wurde.

Wie oft haben Sie eine ausführbare Datei heruntergeladen, hatten aber Angst, sie auszuführen? Waren Sie jemals in einer Situation, in der eine saubere Installation von Windows erforderlich war, wollten aber keine virtuelle Maschine einrichten?

Bei Microsoft begegnen wir diesen Situationen regelmäßig, deshalb haben wir Windows Sandbox entwickelt: eine isolierte, temporäre Desktop-Umgebung, in der Sie nicht vertrauenswürdige Software ausführen können, ohne Angst vor dauerhaften Auswirkungen auf Ihren PC. Jede in Windows Sandbox installierte Software bleibt nur in der Sandbox und kann Ihren Host nicht beeinträchtigen. Sobald Windows Sandbox geschlossen wird, wird die gesamte Software mit all ihren Dateien und Status dauerhaft gelöscht.

Windows Sandbox hat die folgenden Eigenschaften:

• Teil von Windows - alles, was für diese Funktion erforderlich ist, wird mit Windows 10 Pro und Enterprise ausgeliefert. Sie müssen keine VHDs herunterladen!
• Makellos - jedes Mal, wenn Windows Sandbox läuft, ist es so sauber wie eine brandneue Installation von Windows.
• Einweg - nichts bleibt auf dem Gerät erhalten; alles wird nach dem Schließen der Anwendung verworfen.
• Sicher - verwendet hardwarebasierte Virtualisierung zur Kernelisolierung, die sich auf den Hypervisor von Microsoft stützt, um einen separaten Kernel auszuführen, der Windows Sandbox vom Host isoliert.
• Effizient - verwendet integrierten Kernel-Scheduler, intelligente Speicherverwaltung und virtuellen Grafikprozessor.

Voraussetzungen für die Nutzung des Merkmals

• Windows 10 Pro oder Enterprise Insider Build 18305 oder höher
• AMD64-Architektur
• Virtualisierungsfunktionen im BIOS aktiviert
• Mindestens 4 GB RAM (8 GB empfohlen)
• Mindestens 1 GB freier Festplattenspeicher (SSD empfohlen)
• Mindestens 2 CPU-Kerne (4 Kerne mit Hyperthreading empfohlen)

Schnellstart

1. Installieren Sie Windows 10 Pro oder Enterprise, Insider Build 18305 oder neuer.
2. Virtualisierung aktivieren:
   • Wenn Sie eine physische Maschine verwenden, stellen Sie sicher, dass die Virtualisierungsfunktionen im BIOS aktiviert sind.
   • Wenn Sie eine virtuelle Maschine verwenden, aktivieren Sie die verschachtelte Virtualisierung mit diesem PowerShell-Cmdlet:
   • Set-VMProzessor -VMName <VMName> -ExposeVirtualizationExtensions $true
3. Öffnen Sie Windows-Features, und wählen Sie dann Windows Sandbox. Wählen Sie OK, um die Windows-Sandbox zu installieren. Möglicherweise werden Sie aufgefordert, den Computer neu zu starten.
4. 
5. Suchen Sie über das Startmenü die Windows-Sandkasten, führen Sie sie aus und lassen Sie die Elevation zu.
6. Kopieren einer ausführbaren Datei vom Host aus
7. Fügen Sie die ausführbare Datei in das Fenster der Windows Sandbox (auf dem Windows-Desktop) ein.
8. Führen Sie die ausführbare Datei in der Windows-Sandbox aus; wenn es sich um einen Installer handelt, gehen Sie vor und installieren Sie sie.
9. Starten Sie die Anwendung und verwenden Sie sie wie gewohnt.
10. Wenn Sie mit dem Experimentieren fertig sind, können Sie die Windows Sandbox-Anwendung einfach schließen. Alle Sandbox-Inhalte werden verworfen und dauerhaft gelöscht.
11. Vergewissern Sie sich, dass der Host keine der Änderungen aufweist, die Sie in der Windows-Sandbox vorgenommen haben.

Windows Sandbox respektiert die Einstellungen der Host-Diagnosedaten. Alle anderen Datenschutzeinstellungen werden auf die Standardwerte gesetzt.

Windows Sandbox Einbauten
Da dies der Windows Kernel Internals Blog ist, lassen Sie uns unter die Haube gehen. Windows Sandbox baut auf den Technologien von Windows Containern auf. Windows-Container wurden für den Einsatz in der Cloud entwickelt. Wir haben diese Technologie übernommen, die Integration mit Windows 10 hinzugefügt und Funktionen entwickelt, die es besser geeignet machen, auf Geräten und Laptops zu laufen, ohne die volle Leistung von Windows Server zu benötigen.

Einige der wichtigsten Verbesserungen, die wir vorgenommen haben, sind:

Dynamisch erzeugtes Bild
In seinem Kern ist Windows Sandbox eine leichtgewichtige virtuelle Maschine, so dass es ein Betriebssystem-Image benötigt, um zu booten. Eine der wichtigsten Verbesserungen, die wir für Windows Sandbox vorgenommen haben, ist die Möglichkeit, eine Kopie des auf Ihrem Computer installierten Windows 10 zu verwenden, anstatt ein neues VHD-Image herunterzuladen, wie es bei einer normalen virtuellen Maschine der Fall wäre.

Wir wollen immer eine saubere Umgebung bieten, aber die Herausforderung besteht darin, dass sich einige Betriebssystemdateien ändern können. Unsere Lösung besteht darin, das zu konstruieren, was wir als "dynamisches Basis-Image" bezeichnen: ein Betriebssystem-Image, das saubere Kopien von Dateien enthält, die sich ändern können, aber Links zu Dateien, die sich nicht ändern können, die sich im Windows-Image befinden, das bereits auf dem Host existiert. Die Mehrheit der Dateien sind Links (unveränderliche Dateien) und deshalb die geringe Größe (~100MB) für ein vollständiges Betriebssystem. Wir nennen diese Instanz das "Basisbild" für Windows Sandbox, in der Windows Container-Sprache.

Wenn Windows Sandbox nicht installiert ist, behalten wir das dynamische Basis-Image in einem komprimierten Paket, das nur 25 MB groß ist. Bei der Installation des dynamischen Basispakets belegt es etwa 100 MB Festplattenspeicher.



Intelligente Speicherverwaltung
Die Speicherverwaltung ist ein weiterer Bereich, in den wir mit dem Windows-Kernel integriert haben. Der Hypervisor von Microsoft ermöglicht es, eine einzelne physische Maschine in mehrere virtuelle Maschinen aufzuteilen, die sich die gleiche physische Hardware teilen, was zwar für traditionelle Server-Workloads gut funktioniert, aber nicht so gut geeignet ist, um Geräte mit begrenzteren Ressourcen auszuführen. Wir haben die Windows Sandbox so konzipiert, dass der Host bei Bedarf Speicher aus der Sandbox zurückfordern kann.

Da Windows Sandbox im Grunde genommen das gleiche Betriebssystem-Image wie der Host verwendet, erlauben wir Windows Sandbox auch, die gleichen physischen Speicherseiten wie der Host für Betriebssystem-Binärdateien über eine Technologie zu verwenden, die wir als "Direct Map" bezeichnen. Mit anderen Worten, die gleichen ausführbaren Seiten von ntdll werden in die Sandbox gemappt wie die auf dem Host. Wir achten darauf, dass dies auf sichere Weise geschieht und keine Geheimnisse weitergegeben werden.



Integrierter Kernel-Scheduler
Bei gewöhnlichen virtuellen Maschinen steuert der Hypervisor von Microsoft die Planung der in den VMs laufenden virtuellen Prozessoren. Für Windows Sandbox verwenden wir jedoch eine neue Technologie namens "Integrated Scheduler", die es dem Host ermöglicht, zu entscheiden, wann die Sandbox läuft.

Für Windows Sandbox verwenden wir eine eindeutige Planungsrichtlinie, die es ermöglicht, die virtuellen Prozessoren der Sandbox so zu planen, wie Threads für einen Prozess geplant würden. Aufgaben mit hoher Priorität auf dem Host können weniger wichtige Arbeiten im Sandkasten verhindern. Der Vorteil der Verwendung des integrierten Schedulers besteht darin, dass der Host Windows Sandbox als Prozess und nicht als virtuelle Maschine verwaltet, was zu einem viel reaktionsschnelleren Host führt, ähnlich wie bei Linux KVM.

Das ganze Ziel ist es, die Sandbox wie eine App zu behandeln, aber mit den Sicherheitsgarantien einer Virtual Machine.

Snapshot und Klonen
Wie bereits erwähnt, verwendet Windows Sandbox den Hypervisor von Microsoft. Wir führen im Wesentlichen eine weitere Kopie von Windows aus, die gebootet werden muss, und das kann einige Zeit dauern. Anstatt also bei jedem Start von Windows Sandbox die vollen Kosten für das Booten des Sandbox-Betriebssystems zu übernehmen, verwenden wir zwei weitere Technologien: "Snapshot" und "Clone".

Snapshot ermöglicht es uns, die Sandbox-Umgebung einmalig zu starten und den Speicher-, CPU- und Gerätezustand auf der Festplatte zu erhalten. Dann können wir die Sandbox-Umgebung von der Festplatte wiederherstellen und sie in den Speicher legen, anstatt sie zu starten, wenn wir eine neue Instanz von Windows Sandbox benötigen. Dies verbessert die Startzeit der Windows Sandbox erheblich.

Grafik-Virtualisierung
Hardwarebeschleunigtes Rendering ist der Schlüssel zu einer reibungslosen und reaktionsschnellen Benutzerführung, insbesondere für grafikintensive oder medienintensive Anwendungsfälle. Virtuelle Maschinen sind jedoch von ihren Hosts isoliert und können nicht auf erweiterte Geräte wie GPUs zugreifen. Die Rolle der Grafikvirtualisierungstechnologien besteht daher darin, diese Lücke zu schließen und Hardwarebeschleunigung in virtualisierten Umgebungen, z.B. Microsoft RemoteFX, bereitzustellen.

In jüngster Zeit hat Microsoft mit unseren Partnern im Grafik-Ökosystem zusammengearbeitet, um moderne Grafikvirtualisierungsfunktionen direkt in DirectX und WDDM zu integrieren, dem Treibermodell, das von Anzeigetreibern unter Windows verwendet wird.

Auf hohem Niveau funktioniert diese Form der Grafikvirtualisierung wie folgt:

• Apps, die in einer Hyper-V VM laufen, verwenden wie gewohnt Grafik-APIs.
• Grafikkomponenten in der VM, die zur Unterstützung der Virtualisierung aufgeklärt wurden, koordinieren über die VM-Grenze mit dem Host, um Grafik-Workloads auszuführen.
• Der Host weist Grafikressourcen den Apps in der VM zu und plant sie neben den nativ laufenden Apps. Konzeptionell verhalten sie sich wie ein Pool von Grafikprogrammen.

Dieser Prozess wird im Folgenden veranschaulicht:



Auf diese Weise kann die Windows Sandbox VM von hardwarebeschleunigtem Rendering profitieren, wobei Windows Grafikressourcen dynamisch dort zuweist, wo sie benötigt werden, sowohl auf dem Host als auch auf dem Gast. Das Ergebnis ist eine verbesserte Leistung und Reaktionsfähigkeit für Anwendungen, die in Windows Sandbox ausgeführt werden, sowie eine verbesserte Akkulaufzeit für grafikintensive Anwendungsfälle.

Um diese Vorteile zu nutzen, benötigen Sie ein System mit einem kompatiblen Grafikprozessor und Grafiktreibern (WDDM 2.5 oder neuer). Inkompatible Systeme rendern Anwendungen in Windows Sandbox mit der CPU-basierten Rendering-Technologie von Microsoft.

Batterie-Durchführung
Windows Sandbox kennt auch den Akkuzustand des Hosts, wodurch der Stromverbrauch optimiert werden kann. Dies ist entscheidend für eine Technologie, die auf Laptops eingesetzt wird, bei der es für den Anwender wichtig ist, den Akku nicht zu verschwenden.

Einreichung von Bugs und Vorschlägen
Wie bei jeder neuen Technologie kann es auch hier Fehler geben. Bitte archivieren Sie sie, damit wir diese Funktion kontinuierlich verbessern können.

Dateifehler und Vorschläge bei Windows Sandbox's Feedback-Hub (wählen Sie Neue Rückmeldung hinzufügen), oder führen Sie diese Schritte aus:

1. Öffnen Sie den Feedback Hub
2. Wählen Sie Ein Problem melden oder eine Funktion vorschlagen.
3. Füllen Sie das Feld Zusammenfassung Ihres Feedbacks aus und erklären Sie es in weiteren Details mit einer detaillierten Beschreibung des Problems oder Vorschlags.
4. Wählen Sie eine geeignete Kategorie und Unterkategorie über die Dropdown-Menüs aus. Es gibt eine spezielle Option im Feedback Hub, um "Windows Sandbox"-Fehler und Feedback zu speichern. Sie befindet sich unter der Unterkategorie "Sicherheit und Datenschutz" unter "Windows Sandbox".
5. 
6. Wählen Sie Weiter
7. Bei Bedarf können Sie wie folgt Traces für das Problem sammeln: Wählen Sie die Kachel Mein Problem neu erstellen, dann Capture starten, das Problem reproduzieren und dann Capture stoppen.
8. Fügen Sie alle relevanten Screenshots oder Dateien für das Problem bei.
9. Absenden.

Fazit
Wir freuen uns darauf, dass Sie diese Funktion nutzen und Ihr Feedback erhalten!

Prost,

Hari Pulapaka, Margarit Chenchev, Erick Smith, & Paul Bozzay

(Windows Sandbox-Team)