Windows 沙箱教學 2026 | 三秒開拋棄式虛擬機測可疑檔案 1

Windows 沙箱教學 2026 | 三秒開拋棄式虛擬機測可疑檔案

約 8 分鐘閱讀
作者:

適用系統:Windows 11 專業版 / 企業版 / 教育版(24H2 以上,含最新 25H2)| 更新日期:2026-04-10

內容目錄 顯示

⚡ 站長快讀:核心重點

  • 文章屬性:教學實戰
  • 難易度 / 耗時:⭐⭐ / 約 15 分鐘(含啟用功能與撰寫設定檔)
  • 核心結論:Windows 11 專業版內建「Windows 沙箱(Sandbox)」是一個基於 Hyper-V 的拋棄式虛擬機,開機三秒、關掉即銷毀,不用下載 ISO、不吃幾十 GB 硬碟,測可疑檔案或裸奔軟體的首選工具
  • 適用對象:Windows 11 專業版以上使用者、要測試未知軟體的人、常收到可疑附件的人、想裸奔跑「不明來源優化工具」又不想弄髒主系統的玩家

🔍 為什麼你需要這個?

你有沒有過這種經驗:朋友丟了一個「超神優化工具.exe」給你,看起來來路不明但又很想試;或是信箱收到一封發票 PDF,副檔名卻是 .pdf.exe,開也不是不開也不是;又或是你想跑一個對岸的破解版,可是怕它在背景亂寫登錄檔、亂裝服務。

站長我以前的做法是開 VMware 或 VirtualBox,但每次光是啟動 Windows 10 虛擬機就要等 30 秒,硬碟先吃掉你 40 GB,記憶體再砍掉 4 GB,為了測一個 5 MB 的小工具搞這麼大一套,完全不科學。

Windows 沙箱教學 2026 | 三秒開拋棄式虛擬機測可疑檔案 3

其實 Windows 11 專業版裡面早就內建了一個神器叫做「Windows 沙箱(Windows Sandbox)」,它是微軟官方做的拋棄式虛擬機,用 Hyper-V 硬體隔離,但啟動只要 三秒——因為它不用裝作業系統,而是直接借用你主系統的檔案生成一個乾淨環境。根據 微軟官方文件,關閉沙箱的瞬間,裡面所有檔案、登錄檔修改、甚至中毒全部銷毀,下次打開又是全新的 Windows,眉角是「用完即丟」。

而且從 Windows 11 24H2 開始,微軟把 Windows 沙箱改成透過 Microsoft Store 獨立更新的應用,修 Bug 跟加功能都變快了,這是個被嚴重低估的內建功能。

🛠️ 實戰步驟

⚠️ 站長提醒:Windows 沙箱有兩個硬體門檻,一定要先確認:

  1. Windows 版本必須是專業版、企業版或教育版(家用版沒有,別浪費時間找)
  2. BIOS / UEFI 必須開啟虛擬化技術(Intel 叫 VT-x,AMD 叫 AMD-V 或 SVM)

要確認 CPU 虛擬化有沒有開,打開工作管理員 → 效能 → CPU,右下角有一行「虛擬化」,如果顯示「已啟用」就 OK,沒啟用就要重開機進 BIOS 打開。

步驟一:啟用 Windows 沙箱功能

最快的方法是開 PowerShell(系統管理員),一行指令搞定:

powershell

# 啟用 Windows 沙箱功能
# 執行完畢後系統會要求重新啟動電腦
Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online

執行完會要你按 Y 重開機。

不想用指令的話,走傳統路徑:控制台 → 程式集 → 開啟或關閉 Windows 功能 → 勾選「Windows 沙箱」→ 確定 → 重開機

重開機之後,開始功能表搜尋「Windows Sandbox」或「Windows 沙箱」就會看到圖示。

步驟二:三秒體驗拋棄式虛擬機

點開 Windows 沙箱,大概等個 3~5 秒,你會看到一個乾淨的 Windows 11 桌面,跟一台剛裝好的新電腦一樣。試試這幾件事感受一下:

  1. 在桌面上隨便建個資料夾叫「test」
  2. 打開 Edge 隨便逛個網站
  3. 關掉沙箱視窗(右上角 X),它會問你「確定要關閉嗎?所有內容都會被刪除」——按「確定」
  4. 再打開一次沙箱,你會發現剛剛那個資料夾、瀏覽紀錄、Cookie 完全不存在

這就是拋棄式的意思。所有操作都在一個與主系統完全隔離的環境裡,關掉就消失得一乾二淨。

步驟三:進階玩法——用 .wsb 設定檔打造客製化實驗室

預設的沙箱功能很陽春,真正強大的地方在於它支援 .wsb 設定檔(XML 格式),你可以控制以下行為:

  • 是否啟用網路(測病毒時建議關掉)
  • 是否啟用 vGPU(影響顯示效能)
  • 自動掛載主機資料夾(只讀或可寫)
  • 登入後自動執行指令或腳本
  • 分配多少記憶體給沙箱
  • 是否啟用音訊、攝影機、印表機分享

來一個站長我常用的實戰組態檔範例——「測試可疑 exe 專用」沙箱:

xml

<Configuration>
  <VGpu>Enable</VGpu>
  <Networking>Disable</Networking>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Sandbox-Share</HostFolder>
      <SandboxFolder>C:\Users\WDAGUtilityAccount\Desktop\Share</SandboxFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <MemoryInMB>4096</MemoryInMB>
</Configuration>

這個設定在幹嘛:

  • <VGpu>Enable</VGpu>:啟用虛擬 GPU,跑 UI 流暢一點
  • <Networking>Disable</Networking>:關閉網路,這個很重要,可疑程式拿不到網路就沒辦法回連 C2 伺服器偷資料或下載後門
  • <MappedFolders>:把主機的 C:\Sandbox-Share 資料夾以唯讀模式掛進沙箱桌面的 Share 資料夾——你要測的 exe 就放這裡,唯讀代表沙箱內的病毒改不動你的主機檔案
  • <MemoryInMB>4096</MemoryInMB>:分 4 GB 記憶體,一般測試夠用,跑重量級軟體可以開到 8192

怎麼用這個設定檔:

  1. 打開記事本,把上面的 XML 內容貼進去
  2. 在主機建立 C:\Sandbox-Share 資料夾(對應 <HostFolder> 的路徑)
  3. 另存新檔時檔名輸入 test-malware.wsb,存檔類型選「所有檔案」,存在桌面
  4. 以後要測東西,把 exe 丟進 C:\Sandbox-Share,然後 點兩下 test-malware.wsb 就會自動開一個斷網的沙箱,桌面已經掛好你要測的檔案

💡 為什麼資料夾要設為唯讀? 沙箱內的惡意程式如果掛載資料夾是可寫的,它可以把勒索病毒寫回你的主機,隔離就破功了。唯讀掛載是資安界俗稱的「單向閘」,保證主機的檔案只能被沙箱讀不能被改。這是 微軟官方設定檔文件 特別強調的安全實踐。

步驟四:驗證沙箱與主機的隔離

測一個讓你安心的小實驗:

  1. 用上面的 .wsb 開沙箱
  2. 在沙箱裡試著開啟網頁、安裝個小軟體、亂改登錄檔
  3. 關掉沙箱,再開主機的檔案總管去看 C:\Sandbox-Share——主機的檔案毫髮無傷
  4. 重開沙箱,剛剛安裝的軟體和修改全部消失

如果你是 IT 或資安從業者,可以用沙箱加上 Process Monitor、Wireshark 這類工具觀察可疑程式的行為,完全不用怕汙染主機。

💡 站長老實說:進階玩法與底層邏輯

站長我自己維護了三個不同用途的 .wsb 設定檔放在桌面,分門別類:

1. sandbox-browse.wsb:給高風險瀏覽用。網路開、vGPU 開、記憶體 4 GB、沒掛載任何主機資料夾。專門拿來逛那些你不想讓你的主系統留下任何 cookie 跟指紋的網站——例如查對手產品、開發測試、研究釣魚網站長什麼樣。

2. sandbox-testexe.wsb:就是上面那個,網路斷光、掛載唯讀 Share 資料夾。用來跑所有不明來源的 exe、bat、PowerShell 腳本。

3. sandbox-dev.wsb:開發測試用。網路開、掛載一個可讀寫的 dev 資料夾、還加一個 <LogonCommand> 開機後自動執行腳本去安裝 VS Code、Git、Node.js。完整範例:

xml

<Configuration>
  <Networking>Enable</Networking>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\SandboxDev</HostFolder>
      <SandboxFolder>C:\Users\WDAGUtilityAccount\Desktop\Dev</SandboxFolder>
      <ReadOnly>false</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>C:\Users\WDAGUtilityAccount\Desktop\Dev\bootstrap.ps1</Command>
  </LogonCommand>
  <MemoryInMB>8192</MemoryInMB>
</Configuration>

然後在主機的 C:\SandboxDev\bootstrap.ps1 寫一個 PowerShell 腳本去下載 winget 或直接拉你要的工具。每次開沙箱都是全新環境、自動裝好工具,測完關掉,比 Docker 還簡單。

一個常見的坑:Windows 沙箱不能同時跑多個實例,一次只能開一個。如果你需要平行測試,就得轉 Hyper-V 或 VirtualBox。

另外要提醒,雖然 Windows 沙箱用 Hyper-V 隔離非常安全,但它不是絕對的萬靈丹。高階的零日漏洞理論上還是有可能逃出沙箱,所以測試真正高風險的樣本(例如野生勒索病毒)建議還是搭配斷網設定,並且不要在平時都拿來當主力機的電腦上測——多一層實體隔離永遠比較保險。

❓ 常見問題

Q:我的 Windows 11 家用版沒有這個功能,有救嗎?

**A:**官方的答案是「升級到專業版」。網路上有一些用 DISM 硬灌功能的教學,站長我試過可以跑起來,但不穩定而且違反授權條款,不建議正式使用。要用沙箱就乖乖升級專業版(NT$4,880 左右的零售升級授權),或是裝 Sandboxie-Plus 這個開源替代品,功能類似但不是硬體隔離。

Q:沙箱跑起來很卡,畫面延遲嚴重怎麼辦?

**A:**先檢查三件事:第一,<VGpu> 有沒有設 Enable;第二,主機是不是傳統 HDD(Windows 沙箱在機械硬碟上會慢到哭,建議裝在 NVMe SSD);第三,記憶體有沒有分夠,至少給 4096 MB。如果都 OK 還是卡,可能是主機 RAM 不夠(沙箱會吃走主機的記憶體),把主機開的東西先關掉試試。

Q:我在沙箱裡上網被說「網路無法連線」,可是 .wsb 裡面我有設 Enable?

**A:**檢查兩個地方。第一,你的主機 Hyper-V 虛擬交換器是不是正常(有時候被 VPN 軟體搞壞);第二,你的公司網路環境是不是有 802.1x 認證或防火牆政策擋了 Hyper-V 的虛擬網卡。遇到後者通常是 IT 政策問題,無解。

Q:沙箱關掉之後真的什麼都不會留下?那為什麼我在裡面存的檔案,下次開還在?

**A:**你遇到的八成是 Windows 11 22H2 之後的新行為——在沙箱視窗內自己按「重新啟動」(例如裝完軟體被要求重開機),資料會保留到下次開機完成後。但只要你點右上角的 X 關掉沙箱視窗,就會真正銷毀。這是 微軟官方文件 有明確說明的新行為,別擔心。

📎 參考資料來源