Windows 10 Sandbox installieren, isolierte Umgebung ausführen

    , 11.01.2019, zuletzt aktualisiert am 29.02.2020
    Tags: , ,

    Windows 10 Sandbox in StartmenüMit dem Build 18305 von Windows 10 erwei­terte Micro­soft seine Virtualization based Security um ein neues Feature. Auf Application-, Credential- und Device-Guard folgt nun die Windows Sandbox. Dabei han­delt es sich um eine leicht­gewichtige und für Benutzer trans­parente VM, die beim Beenden alle Änderungen ver­wirft.

    Das Konzept einer abge­schotteten Umgebung für eine Anwendung setzte Microsoft bereits mit dem Application Guard um, allerdings nur für den Web-Browser (siehe dazu: Windows 10 Application Guard: Sicherer Web-Browser in virtueller Maschine). Die Sandbox ist quasi eine generische Form des Application Guard, ohne dessen spezifische Funktionen wie etwa das dauerhafte Speichern von Bookmarks und Downloads.

    Keine Installation von Hyper-V erforderlich

    Unter der Haube läuft bei der Sandbox eine virtuelle Maschine. Wie bei den anderen Features der Virtualization based Security muss der Anwender aber nicht Hyper-V installieren oder ein eigenes Image für das Gast­betriebs­system bereit­stellen. All dies erfolgt automatisch im Hintergrund und damit transparent für den User.

    Die Sandbox startet jedes Mal mit einem jungfräulichen Windows 10

    Für diesen Zweck bringt die Sandbox kein virtuelles Laufwerk mit einem vollständigen Windows 10 mit, sondern nutzt die Binaries des Host-OS einfach mit (indem ihre VM über­wiegend Links auf die benötigten Dateien des Hosts enthält).

    Sie teilt sich mit diesem die DLLs nicht nur auf der Platte, sondern auch im Arbeits­speicher. In dieser Hinsicht ähnelt die Sandbox mehr einem Container und weist im Vergleich zu einer konven­tionellen VM eine geringere Isolierung gegenüber den Host-OS auf.

    Kein Zugriff auf das lokale Netzwerk

    Während normale VMs unter Client Hyper-V eine relativ enge Integration gegenüber dem Host aufweisen, so dass Anwender Dateien dorthin kopieren oder Netz­laufwerke ansprechen können, schottet die Sandbox ihren Inhalt von der Umgebung weit­gehend ab. Außerdem enthält sie bei jedem Start ein frisches OS und verwirft beim Beenden sämtliche Änderungen.

    Das virtuelle Netzwerk auf Basis des Hyper-V-Adapters lässt keine Zugriff auf Ressourcen im LAN zu.

    So unterbindet sie den Zugriff auf File-Shares und umgekehrt auch die Freigabe von Verzeichnissen in der Sandbox. Der Daten­austausch zwischen Gast und Host ist einzig über Copy & Paste möglich. Wie bei Remotedesktop-Verbindungen üblich, kann man auf diese Weise auch Dateien über RDP kopieren.

    Dateien lassen sich über Copy & Paste zwischen Host und Gast kopieren.

    Update: Seit dem Build 18342 lässt sich die Sandbox mit XML-Konfigu­rations­dateien des Typs .wsb anpassen. Damit kann man nicht nur die vGPU (de)aktivieren, sondern auch Host-Verzeichnisse für den Datenaustausch freigeben (siehe dazu meine Anleitung zur Konfiguration der Sandbox).

    Power-User als Zielgruppe

    Aufgrund ihrer Charakteristik stellt sich die Frage, für welche Szenarien und Anwender sich die Sandbox eignet. Während die Preview noch admini­strative Rechte für die Sandbox erforderte, läuft sie nun auch im Kontext von Standardbenutzern.

    Daher können auch Endanwender, die Programme auf regulärem Weg nicht installieren dürfen, diese statt­dessen in der abgeschotteten Umgebung ausführen. Als Dauerzustand dürfte es allerdings ermüdend sein, bestimmte Anwendungen bei jedem Start der Sandbox neu zu installieren. Aber zum Experimentieren oder gelegentlichen Ausführen einer sonst nicht verfügbaren Software eigenet sich die Sandbox allemal.

    Unter Usabilty-Gesichtspunkten kommt hinzu, dass für technisch weniger versierte Benutzer das Arbeiten in einem Desktop auf einem Desktop verwirrend sein dürfte.

    Nachdem für nicht-technische User die wichtigste Anwendung für eine abgeschottete Umgebung der Web-Browser ist, emphiehlt sich stattdessen Application Guard. Damit läuft Edge nahtlos im Windows-Desktop.

    Im Unterschied zur Sandbox fügt Application Guard den Browser nahtlos in den Desktop ein

    Als naheliegendes Einsatz­gebiet käme jedoch eine Admin-Workstation in Frage. Microsoft empfiehlt beim Konzept der Privileged Admini­strative Workstation (PAW) eine strikte Trennung zwischen den Umgebungen, in der Management-Tools mit erhöhten Rechten laufen und jener, die für alltägliche Arbeiten dient (wie das Browsen im Web).

    Mit der Sandbox ließe sich diese Best Practice einfach umsetzen, indem der System­verwalter die admini­strativen Aufgaben im Host-System erledigt und andere Tätigkeiten in die abgeschottete Umgebung verlagert.

    Vorteile der Sandbox

    Gegenüber einer normalen VM hat die Sandbox auf einer PAW gleich mehrere Vorteile:

    • Es muss weder eine VM eingerichtet noch darin ein OS installiert werden
    • Durch das Code-Sharing mit dem Host ist ihr Ressourcen­verbrauch moderat
    • Kein Patch-Management ist erforderlich, da die Binaries des Host-OS mitgenutzt werden.
    • Alle Benutzerdaten werden nach dem Beenden verworfen, und damit auch Malware. In einer normalen VM mit einer längeren Lebensdauer könnte sie sich einnisten.
    • Die Sandbox gewährt keinen Zugriff auf Ressourcen im lokalen Netz und unterbindet so eine Ausbreitung von Schadprogrammen.

    Es liegt auf der Hand, dass sich die Sandbox primär für Tätigkeiten eignet, für die Bordmittel wie der Edge-Browser zur Verfügung stehen. Portable Anwendungen lassen sich dort ebenfalls schnell bereitstellen, indem man sie über Copy & Paste in die Sandbox überträgt.

    Installiert man Programme, dann gehen diese beim Beenden des Containers genauso verloren wie Benutzer­daten. Aus diesem Grund könnte sich die Sandbox auch für das Testen von unbekannter Software eignen.

    Beim Schließen der Sandbox warnt diese vor dem Verlust von Daten.

    Diese läuft im Kontext eines lokalen Sandbox-Users (WDAGUtilityAccount). Installationen, die einen Neustart des Systems verlangen, werden aber nicht unterstützt, ebensowenig Store Apps.

    Installation und Systemvoraussetzungen

    Windows Sandbox ist als optionales Feature an Bord und kann in die System­steuerung hinzugefügt werden. In der App Einstellungen, über die sich solche Zusatz­module ebenfalls verwalten lassen, fehlt aktuell die Sandbox.

    Die Sandbox wird als optionales Windows-Feature über die Systemsteuerung hinzugefügt.

    Nachdem das Feature auf Hyper-V beruht, stellt es in puncto Hardware ähnliche Anfor­derungen wie der Hypervisor. Dazu gehören die Virtuali­sierungs­erweiterungen des Prozessors (mit mindestens zwei Cores) sowie realistisch 8GB RAM.

    Wenn man die Sandbox in einer VM ausführen möchte, muss man diese für Nested Virtualization konfigurieren.

    Wer die Windows Sandbox in einer VM ausprobieren möchte, muss für diese die verschachtelte Virtualisierung aktivieren (in der VMware Workstation virtualisiert man dafür Intel-VT bzw. AMD-V sowie die Performance Counter).

    Als Editionen werden die Pro und Enterprise von Windows 10 ab Build 18305 benötigt.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links