Windows Sandbox có tính năng rất giống với ứng dụng nổi tiếng Sandboxie, giúp bạn có thể cài đặt và sử dụng các ứng dụng trong một môi trường ảo nhằm cách ly với hệ điều hành chính.
Trước đây người dùng máy tính rất chuộng ứng dụng Sandboxie . Đây là công cụ cho phép tạo ra một môi trường ảo trực tiếp trên Windows. Người dùng sẽ thao tác mọi thứ trên môi trường này không khác gì như sử dụng trong môi trường thực. Tuy nhiên khi vấn đề xảy ra như nhiễm malware chẳng hạn, bạn có thể dễ dàng xóa tất cả chúng đi bằng cách xóa hẳn đi “vùng lưu trữ bị nhiễm bệnh” này.
Windows Sandbox có vẻ cũng có tính năng tương tự. Nó tạo ra một môi trường độc lập để các ứng dụng có thể chạy và cài đặt mà không làm ảnh hưởng tới ổ cứng và hệ thống máy tính. Một môi trưởng ảo cho phép kiểm tra, kiểm soát các chương trình không đáng tin cậy và dễ dàng trong việc tăng cường an toàn khi duyệt web, email. Tính năng này chính thức có trong phiên bản build 18305 dành cho người dùng có đăng ký thử nghiệm Windows Insider Program.
Khi bật Windows Sandbox, bạn sẽ có một môi trường Windows 10 tương đối hoàn chỉnh, tuy nhiên môi trường này trắng hoàn toàn. Môi trường này tồn tại dưới hình thức dùng một lần, mọi thứ sẽ bị xóa đi hết khi bạn đóng ứng dụng Windows Sandbox đi. Các phần mềm độc hại nào cũng không thể làm ảnh hưởng tới toàn bộ máy tính của bạn.
Windows Sandbox chỉ tạo ra một bản cài đặt Windows nhẹ hơn (khoảng 100MB) để chạy ứng dụng nên không tiêu tốn thêm nhiều ổ cứng của bạn. Nhưng điều kiện cần là bạn cần phải bật tính năng ảo hóa trên BIOS máy tính.
Windows Sandbox có năm ưu điểm như sau:
- Part of Windows: Có đầy đủ mọi thành phần cần thiết trên Windows, không cần phải tạo một ổ ảo VHD như dùng Hyper-V.
- Pristine: Tính nguyên sơ. Mỗi khi Windows Sandbox chạy thì bạn sẽ có một phiên Windows 10 sạch hoàn toàn.
- Disposable: Dùng một lần. không có gì tồn tại trên máy của bạn. Mọi thứ sẽ bị loại bỏ sau khi bạn đóng ứng dụng Windows Sandbox.
- Secure: sử dụng ảo hóa dựa trên phần cứng để cách ly kernel, dựa trên Microsoft Hypervisor để chạy kernel riêng biệt.
- Efficient: tính hiệu quả. Windows Sandbox có tính năng quản lý bộ nhớ thông minh và GPU ảo.
Trước khi ra mắt Windows Sandbox thì vài tháng trước, Microsoft đã bỏ qua một tính năng Windows 10 có tên là InPrivate Desktop – một máy ảo nhẹ để chạy các ứng dụng không tin cậy trong môi trường bị cô lập. Vậy có vẻ như tính năng đó đã được đổi tên thành Windows Sandbox.
Thực tế thì Microsoft đã bắt đầu ứng dụng công nghệ ảo hóa này từ lâu. Windows 10 đã sử dụng các máy ảo để tăng sự cô lập giữa các thành phần nhất định nhằm bảo vệ hệ điều hành. Những máy ảo này đã được sử dụng theo một vài cách khác nhau. Ví dụ, Windows 10 đã sử dụng một máy ảo nhỏ để lưu trữ các phần của LSASS. LSASS là một hệ thống con quan trọng của Windows, trong số lưu trữ nhiều thông số rất quan trọng như mật khẩu (đã mã hóa), khóa mã hóa và Kerberos ticket. Ở đây, VM được sử dụng để bảo vệ LSASS khỏi các công cụ hack sao cho ngay cả khi hệ điều hành Windows 10 bị xâm phạm, những thông tin quan trọng này có thể được giữ an toàn.
Hoặc với trình duyệt Microsoft Edge, Microsoft đã thêm khả năng chạy các tab Edge trong một máy ảo để giảm nguy cơ can thiệp của các trang web độc hại đến hệ thống. Mục tiêu ở đây là trái ngược với máy ảo LSASS, nó được thiết kế để ngăn chặn mã độc thoát ra khỏi máy ảo và làm “nhiễm bẩn” hệ điều hành chính, thay vì ngăn hệ điều hành chính bị malware xâm nhập vào máy ảo.
Windows Sandbox có vẻ hoạt động giống các tab của Microsoft Edge, nhưng được thiết kế dành cho việc chạy các ứng dụng. Tính năng này không mới, nhưng Windows Sandbox đang sử dụng một số kỹ thuật để việc hao tốn tài nguyên của máy ảo, tối đa hóa hiệu suất của ứng dụng chạy trong môi trường ảo, mà vẫn cô lập được chúng để phòng ngừa khi có sự cố xảy ra.
Các máy ảo thông thường (ví dụ Virtualbox, VMWare hay thậm chí là Hyper-V trên Windows) thường sẽ cài đặt một hệ điều hành riêng được lưu trữ dưới dạng một file ảnh đĩa, tách biệt với hệ điều hành chính. Windows Sandbox ngược lại, nó có thể sử dụng được phần lớn nội dung của hệ điều hành thực, đồng thời chứa một lượng nhỏ dữ liệu có thể thay đổi. Điều này có nghĩa là nó luôn chạy cùng một phiên bản Windows với “máy chủ”, khi “máy chủ” được cập nhật và vá lỗi, Windows Sandbox cũng được cập nhật và vá lỗi.