Windows 11安全沙盒开启教程：隔离应用防流氓软件

Windows Sandbox是Windows 11内置的应用隔离安全沙盒，它依赖专业版/企业版/教育版系统、CPU虚拟化及虚拟机平台支持。用户可通过Windows功能面板、PowerShell命令、家庭版逆向激活或配置文件禁用网络四种方式开启此功能，实现安全的程序测试环境。

想在Windows 11系统中安全地测试未知来源的软件，又担心其篡改注册表、植入启动项或静默安装捆绑程序？系统内置的“应用隔离安全沙盒”正是为此设计的解决方案。它并非独立应用，而是基于Windows Sandbox技术构建的进程与内核双重隔离环境。任何可疑程序在此沙盒内运行，关闭窗口后所有操作痕迹将被彻底清除，实现真正的“用完即焚”。本文将详细指导您如何开启这一强大的系统防护功能。

一、确认系统版本与硬件虚拟化就绪

首先需要明确，Windows Sandbox功能仅支持Windows 11专业版、企业版及教育版。同时必须满足两项硬件条件：CPU需启用硬件虚拟化技术（Intel VT-x或AMD AMD-V），且系统需激活“虚拟机平台”组件。两者缺一不可，否则无法创建隔离环境。

具体确认步骤如下：

1. 按下Win + R组合键，输入winver并回车，在弹出的窗口中确认系统版本包含Professional、Enterprise或Education标识。

2. 按Ctrl + Shift + Esc打开任务管理器，切换到「性能」选项卡。点击左侧「CPU」，在右侧信息栏查看「虚拟化」状态是否为已启用。

3. 在同一界面点击左侧「内存」，确认「已启用虚拟机平台」显示为是。若显示“否”，则需先行启用该平台。

4. 若上一步中“虚拟化”状态为禁用，需重启电脑并在开机时反复按Del、F2或Esc键（具体按键因主板品牌而异）进入BIOS/UEFI设置界面。

5. 在BIOS/UEFI设置中，找到Advanced → CPU Configuration（Intel平台）或Security → SVM Mode（AMD平台）选项，将虚拟化技术设置为Enabled。

6. 保存设置并重启电脑，再次通过任务管理器验证“虚拟化”与“已启用虚拟机平台”两项均显示为就绪状态。

二、通过“启用或关闭 Windows 功能”图形界面启用

这是最直观且兼容性最佳的方法，适合大多数用户。系统将通过可视化管理器自动部署Windows Sandbox及其所有依赖组件（包括虚拟机平台和Windows Hypervisor Platform），操作简便高效。

操作流程如下：

1. 按下Win + R键，输入optionalfeatures.exe并回车，打开「Windows 功能」配置窗口。

2. 在功能列表中向下滚动，找到并勾选Windows 沙盒复选框。

3. 勾选时系统将自动关联选中虚拟机平台与Windows Hypervisor Platform两项必需依赖，请勿手动取消勾选。

4. 点击「确定」，系统将开始下载并安装相关组件，等待进度完成。

5. 最后点击立即重新启动，重启后沙盒功能即正式启用，可随时调用。

三、使用 PowerShell（管理员权限）强制启用全部依赖组件

若图形界面功能列表异常或启用失败，或您正在使用家庭版并计划通过后续方法激活，则推荐使用此命令行方案。它能绕过图形界面限制，直接调用系统底层接口强制安装所有必需的驱动、服务及模块。

具体执行步骤：

1. 右键点击「开始」按钮，选择「终端（管理员）」或「Windows PowerShell（管理员）」。

2. 在用户账户控制（UAC）窗口中点击「是」，授予管理员权限。

3. 在打开的命令行窗口中依次执行以下两条命令。每条命令输入后按回车，待系统返回操作成功完成提示后再执行下一条：

Enable-WindowsOptionalFeature -Online -FeatureName VirtualMachinePlatform -All

Enable-WindowsOptionalFeature -Online -FeatureName WindowsSandbox -All

4. 命令全部执行完毕后，必须重启计算机，否则沙盒相关服务无法正常响应启动请求。

四、针对 Windows 11 家庭版的合规启用路径

微软官方未在家庭版中直接开放沙盒入口，但系统镜像已预置“Containers-DisposableClientVM”与“VirtualMachinePlatform”核心组件。通过命令行激活，可在无需第三方工具或破解补丁的情况下，合规启用隔离能力。

启用方法如下：

1. 首先确认系统为Windows 11 21H2 或更新版本（可通过winver命令验证）。

2. 以管理员身份运行终端或PowerShell。

3. 先执行以下命令启用容器运行时组件（添加-NoRestart参数避免立即重启）：

Enable-WindowsOptionalFeature -Online -FeatureName "Containers-DisposableClientVM" -NoRestart

4. 接着执行命令启用虚拟化平台：

Enable-WindowsOptionalFeature -Online -FeatureName "VirtualMachinePlatform" -NoRestart

5. 为确保底层虚拟化初始化到位，建议执行wsl --update命令更新WSL2内核（部分家庭版系统需此步骤触发）。

6. 完成以上操作后重启系统。之后即可在开始菜单搜索Windows Sandbox并运行。首次启动将进行环境初始化，耗时约20秒。

五、启用沙盒配置文件禁用网络以强化防护

Windows Sandbox默认允许联网，虽便于使用，但也存在风险——高风险软件可能外连远程命令控制服务器或下载恶意载荷。通过配置文件强制禁用沙盒网络功能，可实现更彻底的“空气隔离”，特别适用于测试来源不明、风险极高的安装包或脚本。

配置步骤如下：

1. 打开记事本，新建一个纯文本文件。

2. 将文件另存为，文件名可自定义，但扩展名必须为 .wsb，例如保存为nosurf.wsb。

3. 在.wsb文件中输入以下XML格式内容：

Disable

4. 保存后直接双击此.wsb文件，系统将启动一个无网络连接的沙盒环境。

5. 将待测软件拖拽进沙盒窗口运行即可。关闭沙盒窗口时，所有生成数据（包括临时网络缓存）将被彻底销毁，不留任何痕迹。