有关如何使用 .wsb 脚本设置 Windows 沙盒的完整指南

在 Windows 的安全和实验领域，很少有资源比环境更有用 Windows Sandbox此功能适用于 Windows 专业版和企业版，允许您创建一个完全隔离的空间来测试、打开可疑文件或安装软件，而不必担心损害您的主系统。

然而，Windows Sandbox 的真正魔力在于其 通过带有 .wsb 扩展名的脚本实现高级定制功能这些文件允许您定义特定设置、调整资源，最重要的是，将沙盒变成您自己的可定制实验室。通过本文，您将发现掌握此工具并充分利用它的所有关键要素，无论您是好奇的用户，还是只需要保护自己免受潜在危险软件的侵害。

什么是 Windows Sandbox？它有什么用途？

Windows Sandbox 是 Windows 10 专业版、企业版和 Windows 11 专业版 这创造了一个 虚拟和一次性环境 关于操作系统。此空间运行一个干净的临时 Windows 实例，与您的常用文件和程序完全隔离。在这里，您可以测试应用程序、打开可疑附件或访问有风险的网站，沙盒内发生的任何事情都不会影响您的真实计算机。

当您关闭沙盒窗口时， 您所做的一切都会被自动删除任何潜在威胁都会被限制并摧毁在这个虚拟环境中。它就像一个“临时实验室”，专为安全、实验和无风险学习而设计。

支持的 Windows 版本和先决条件

要访问此功能，您肯定需要一个版本 Windows 专业版或企业版家庭版不包含此功能。此外，您的设备必须满足某些要求才能确保 引导 以及沙盒的顺利运行：

• Windows 10 专业版或企业版（1903 或更高版本）或 Windows 11 专业版/企业版
• 64位处理器 具有虚拟化支持（英特尔 VT-x 或 AMD-V）
• 至少4 GB RAM （建议使用 8GB 以获得最佳性能）
• 可用磁盘空间： 最低 1 GB，更多取决于使用情况
• 至少 2 个 CPU 核心 （最好有 4 个或更多核心）
• 启用虚拟化 在 BIOS/UEFI 中

如果您的系统满足这些条件，您可以从 控制面板 > 程序 > 打开或关闭 Windows 功能，选中“Windows Sandbox”框并在出现提示时重新启动计算机。

基本操作：沙盒内部发生了什么

运行 Windows Sandbox 时，你会看到一个干净的迷你 Windows，通常是英文的，并且未经授权。默认情况下，它无法访问你的文件或程序，每次重启后，所有内容都保持原样，就像刚安装一样。 只有你在里面做的事才会留在里面.

这使您可以安全地打开不信任的软件、检查可疑的电子邮件附件，甚至修改系统设置。它非常适合注重安全的用户和需要一次性测试环境的开发人员。

为什么要使用.wsb 文件来自定义 Windows Sandbox？

标准沙盒虽然满足基本的隔离要求，但其默认选项有限。 .wsb 文件允许您做更多的事情： 您可以分配更多 RAM、共享主机特定文件夹、启用或阻止网络或 GPU 访问，以及在启动时自动启动脚本或程序。这样，您就可以将 Windows Sandbox 变成根据您的需求和需求量身定制的自定义环境。

.wsb 文件 这些是 XML 格式的简单文本文档，Windows 会用它们为每个沙盒会话创建自定义设置。运行它们时，会自动打开一个新的沙盒实例，其中包含您定义的所有参数。

如何逐步创建和使用 .wsb 文件

创建 .wsb 文件非常简单，只需按照以下步骤操作：

1. 打开一个简单的文本编辑器，例如记事本或 Visual Studio Code。
2. 写出文件的基本结构：

3. 根据您的需要填写字段（我们稍后会详细介绍每个参数）。
4. 使用扩展名保存文件 .wsb例如： 我的自定义沙盒.wsb从记事本保存时，务必将名称括在双引号中，以防止其默认添加 .txt 扩展名。

要启动自定义沙盒，只需 双击 .wsb 文件如果这是您第一次，您可能会被要求选择“Windows Sandbox”应用程序作为打开这些文件的默认应用程序。

.wsb 文件中的参数和配置选项

每个 .wsb 文件可以包含不同的部分，用于微调沙盒的功能。以下是最重要的部分及其使用示例：

• 虚拟显卡：允许您使用虚拟 GPU 启用或禁用图形加速。
• 网络：控制沙盒是否具有网络访问权限。
• 映射文件夹：在隔离环境中映射主计算机上的文件夹，具有只读或只写选项。
• 登录命令： 执行 comandos、启动 Sandbox 时自动运行脚本或程序。
• 内存（MB）：定义沙盒可使用的 RAM 数量。
• 音频输入、视频输入：启用或阻止音频（麦克风）或视频（网络摄像头）输入。
• 剪贴板重定向：允许或阻止沙盒和主机之间的复制和粘贴。
• 打印机重定向：控制是否可以在沙盒内使用主机打印机。
• 受保护的客户端：通过 AppContainer 保护模式启用额外的安全层。

基本 .wsb 文件示例 在没有网络连接的情况下测试下载的文件，并且对文件夹具有只读访问权限 下载:

禁用禁用C:\用户\公共\下载C:\temp真的explorer.exe C:\temp

使用此文件，您可以启动一个没有网络、没有 GPU 访问权限的沙盒，其中的下载文件夹位于 安全模式 并在启动时自动打开该文件夹。

深入研究.wsb文件的每个关键参数

为了进一步定制您的环境，了解每个选项会很有帮助：

• 虚拟显卡：用途 使能够 启用虚拟 GPU（提高图形性能），或者 关闭 以提高隔离性（尤其适用于可能攻击 GPU 的潜在威胁）。更多详情，请参阅 如何在 Windows 上使用 Winget.
• 网络: 使能够 可以访问互联网和本地网络，同时 关闭 防止任何连接，非常适合避免信息泄露。
• 映射文件夹：您可以根据需要分配任意数量的文件夹。参数 只读 确定共享文件夹的内容是否只能从沙盒中读取或修改。以共享项目文件夹为例：

  C:\MyWork\项目C:\SandboxProjects错误的<;/MappedFolders>
  

• 登录命令：用于自动执行脚本、程序甚至安装。

  C:\SandboxProjects\InstallMySoftware.cmd
  

• 内存（MB）：指定内存量，例如 8192 沙盒中需要 8 GB 的 RAM。如果您将其设置为小于 2048 GB，Windows 会自动将其增加到所需的最低限度。
• AudioInput 和 VideoInput：控制是否共享麦克风或摄像头。默认情况下，麦克风启用，摄像头禁用。
• 剪贴板重定向和打印机重定向：允许或阻止复制粘贴和打印机的使用。
• 受保护的客户端：启用 AppContainer 模式以获得额外的安全性；在高度敏感的情况下很有用。

使用 .wsb 脚本的实用和高级示例

掌握 .wsb 的一个优点是，你可以 使环境适应多样化的任务以下是一些有用的场景：

1. 共享项目并运行复杂脚本

需要安装 Visual Studio Code 并使用从主机映射的项目吗？请使用包含多个映射文件夹的 .wsb 文件，以及 脚本 自动安装：

C:\SandboxScripts C:\temp\sandbox真的C:\CodingProjects C:\temp\项目错误的C:\temp\sandbox\VSCodeInstall.cmd

在这种情况下，VSCodeInstall.cmd 是一个脚本，用于自动在沙盒中下载并安装 VS Code。如需更多帮助，请访问 如何使用 Windows 沙盒.

2. 使用 PowerShell 自动执行管理任务

假设您需要沙盒自动调整系统配置，例如仅在沙盒内切换鼠标按钮。您可以共享文件夹并运行脚本来 PowerShell的 作为启动命令：

C:\沙盒C:\沙盒真的powershell.exe -ExecutionPolicy 绕过 -File C:\sandbox\SwapMouse.ps1

使用提示和警告

以读写模式从沙盒添加到共享文件夹的任何内容都会影响主机。 如果您从沙盒中删除文件并将映射设置为写入模式，则该文件也会从您的真实计算机中删除。如果您想保护数据，请使用只读选项。

关闭沙盒时， 所有内容都消失了无法保存您的状态或拍摄快照：它被设计为安全、短暂的环境，非常适合快速测试。

互联网连接对于安装程序或测试下载内容很有用，但它也存在额外的风险。如果您只想测试特定文件，请尽可能禁用互联网连接。

不要忘记预留足够的 RAM 和 CPU 资源。如果您的环境运行缓慢，请调整 .wsb 脚本中的内存设置。

最后，请记住，有可供下载和调整的示例 .wsb 文件，以及在技术论坛和专业博客上不断壮大的社区共享不同用途的配置。

通过 .wsb 文件管理的 Windows 沙盒远不止是一个简单的测试盒：它是您抵御未知软件攻击的安全保障，也是希望进行无风险实验的用户不可或缺的盟友。如果您将其自定义选项与负责任的做法（例如使用只读映射和限制连接）相结合，就可以将任何兼容的计算机变成一个安全、灵活的空间，随时准备学习或保护自己。