# Windows Sandbox: Die integrierte Wegwerf-VM für Admins

TL;DR / Management Summary Die Windows Sandbox ist eine isolierte, temporäre Desktop-Umgebung, die auf der Hyper-V Technologie basiert. Jedes Mal, wenn Sie die Sandbox starten, erhalten Sie eine saubere Windows-Installation. Sobald Sie das Fenster schließen, wird die gesamte Umgebung unwiderruflich gelöscht. Für Senior Admins ist sie das perfekte Werkzeug, um “unbekannte” .exe Dateien zu testen, ohne das Produktionssystem zu gefährden oder mühsam eine echte VM in Proxmox aufzusetzen.

# 1. Einführung & Architektur

Virtualisierung ohne Overhead.

Die Windows Sandbox nutzt den gleichen Kernel wie das Host-System, isoliert ihn aber durch Hardware-Virtualisierung.

# Schlüsseltechnologien

Integrated Scheduler: Der Host-Scheduler entscheidet, wann die Sandbox CPU-Zeit bekommt (verhindert Performance-Einbrüche auf dem Host).
Memory Management: Nutzt “Direct Map”, um Speicherseiten des Hosts schreibgeschützt in der Sandbox zu teilen (spart RAM).
Snapshot-Boot: Die Sandbox startet in weniger als 15 Sekunden, da sie aus einem vorkonfigurierten State bootet.

# Architektur-Diagramm (Mermaid)

graph TD
    HOST[Windows Host OS] -->|Hyper-V| HYP[Hypervisor]
    HYP -->|Isolated| SB[Windows Sandbox]
    SB -->|Read Only| KERNEL[Shared Host Kernel]
    SB -->|Writable| RAM[Sandbox RAM / Scratch Disk]
    
    subgraph "Cleanup"
    SB -->|Close Window| WIPE[Delete all data]
    end

# 2. Einrichtung & Aktivierung

Voraussetzungen schaffen.

# Hardware-Anforderungen

CPU: Mindestens 2 Kerne, Virtualisierung (VT-x/AMD-V) im BIOS aktiv.
RAM: Mindestens 4 GB (8 GB empfohlen).
OS: Windows 10/11 Pro oder Enterprise.

# Aktivierung via PowerShell

Enable-WindowsOptionalFeature -Online -FeatureName "Containers-DisposableClientVM" -All

Nach einem Reboot steht die “Windows Sandbox” im Startmenü bereit.

# 3. Deep Dive: Custom Configuration (.wsb)

Die Sandbox steuern.

Wussten Sie, dass Sie die Sandbox vorkonfigurieren können? Erstellen Sie eine .wsb Datei (XML), um Ordner durchzureichen oder Skripte beim Start auszuführen.

# Beispiel: Analyse-Umgebung

<Configuration>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\Tools\MalwareAnalysis</HostFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>C:\Users\WDAGUtilityAccount\Desktop\MalwareAnalysis\setup.cmd</Command>
  </LogonCommand>
</Configuration>

# 4. Day-2 Operations: Malware-Analyse Workflow

Sicherer Umgang mit Viren.

# Der “Sanitized” Workflow

Verdächtige Datei auf den Host laden (nicht ausführen!).
Windows Sandbox starten.
Datei via Copy & Paste in die Sandbox schieben (Netzwerk-Mapping vermeiden!).
Datei ausführen und Verhalten beobachten (Task Manager, Registry-Änderungen).
Sandbox schließen -> Malware ist vernichtet.

Wichtig: Deaktivieren Sie in der .wsb Datei den Netzwerkzugriff (<Networking>Disable</Networking>), wenn Sie Ransomware testen, um “Phone Home” zu verhindern.

# 5. Troubleshooting & “War Stories”

Wenn die Isolation bröckelt.

# Top 3 Fehlerbilder

Symptom: “Windows Sandbox konnte nicht gestartet werden” (Error 0x80070002).
- Ursache: Virtualisierung im BIOS deaktiviert oder Hyper-V wird von Drittanbieter-Tools (VirtualBox/VMware) blockiert.
- Lösung: bcdedit /set hypervisorlaunchtype auto und Reboot.
Symptom: Keine Internetverbindung in der Sandbox.
- Lösung: Prüfen Sie, ob der “Network Virtualization Service” auf dem Host läuft.
Symptom: Die Sandbox ist extrem langsam.
- Ursache: Host hat keine SSD oder zu wenig RAM.
- Lösung: Mindestens 2 GB RAM via .wsb Datei explizit zuweisen.

# “War Story”: Der schlaue Trojaner

Wir testeten einen neuen “PDF-Reader” in der Sandbox. Der Reader startete, zeigte aber nichts an. Analyse: Die Malware erkannte, dass sie in einer virtuellen Umgebung lief (Anti-VM Checks) und verhielt sich völlig ruhig. Erst als wir via .wsb die CPU-Features und den Namen des Grafiktreibers verschleierten, legte der Trojaner los und versuchte, Passwörter aus dem (in der Sandbox leeren) Browser zu stehlen. Lehre: Die Windows Sandbox ist gut, aber professionelle Malware-Autoren kennen sie. Nutzen Sie für tiefe Analysen spezialisierte Tools wie Any.Run oder isolierte Proxmox-Nodes.

# 6. Monitoring & Sicherheit

Escape-Risiken minimieren.

Obwohl die Sandbox sicher ist, gibt es theoretisch “Guest-to-Host Escapes”.

Best Practice: Halten Sie den Host-PC immer gepatcht. Die Sandbox-Sicherheit steht und fällt mit der Integrität des Hypervisors.

# 7. Fazit & Empfehlung

Die Windows Sandbox ist ein unverzichtbares Werkzeug für den modernen Helpdesk und Security-Admins.

Empfehlung: Nutzen Sie sie für jeden “kurzen Test” einer Software, von der Sie nicht 100% sicher sind.
Vorteil gegenüber Proxmox-VMs: Sie müssen keine Lizenzen verwalten und keinen Storage permanent belegen.

# Anhang: Cheatsheet

Aufgabe	Befehl / Datei
Sandbox starten	`WindowsSandbox.exe`
Konfigurations-Datei	`*.wsb` (XML)
Root-User in Sandbox	`WDAGUtilityAccount`
Feature-Name	`Containers-DisposableClientVM`