Si te preocupa la seguridad de tu PC y quieres probar programas raros, scripts o configuraciones sin jugarte la estabilidad del sistema, Windows Sandbox es una de las herramientas más potentes y a la vez más infravaloradas que incluye Windows 10 y Windows 11. Bien configurada, te permite aislar procesos, controlar recursos y definir políticas muy finas para trabajar con tranquilidad.
En esta guía vas a ver, paso a paso, cómo funciona el aislamiento de procesos en Windows Sandbox, qué requisitos tiene, cómo se activa y, sobre todo, cómo configurar sus políticas mediante archivos .wsb para ajustar red, GPU, portapapeles, carpetas, memoria, audio, vídeo, cliente protegido y mucho más. La idea es que al terminar la lectura puedas montar tus propias sandboxes a medida sin miedo y con bastante soltura.
Qué es Windows Sandbox y por qué sirve para aislar procesos
Windows Sandbox (Espacio aislado de Windows en castellano) es, en esencia, un entorno de escritorio ligero que se ejecuta como una pequeña máquina virtual integrada en el propio sistema operativo. Cada vez que lo abres arranca una instancia limpia de Windows, totalmente separada del equipo anfitrión, donde puedes instalar aplicaciones, abrir documentos o navegar por la web sin que nada de eso toque tu instalación principal.
En términos técnicos, Windows Sandbox se apoya en Hyper-V y en la virtualización de hardware para levantar un sistema Windows aislado que comparte parte de la base del sistema host para arrancar más rápido y consumir menos recursos que una máquina virtual tradicional. A efectos prácticos, para ti es una ventana de escritorio más en la que tienes otro Windows «nuevo de fábrica» listo para hacer pruebas.
Desde el punto de vista de seguridad, este enfoque ofrece un aislamiento de procesos y de memoria muy parecido al que se conoce como sandbox o caja de arena: el software se ejecuta dentro de un contenedor con recursos controlados (CPU, RAM, disco, red, dispositivos) y con reglas estrictas sobre qué puede o no puede ver del host. Si el programa resulta ser malicioso, sus efectos se quedan encerrados dentro de esa caja.
Una diferencia clave respecto a una máquina virtual que crees tú con VirtualBox u otras soluciones es que Windows Sandbox está pensada para ser sencilla, rápida de lanzar y desechable. No tienes que instalar un sistema operativo manualmente ni andar configurando discos virtuales: se arranca en pocos segundos y al cerrarlo se borra todo, sin dejar rastros.
Características principales del aislamiento en Windows Sandbox
Una de las primeras cosas que hay que entender es cómo se comporta el entorno por defecto. Cuando abres Windows Sandbox sin configuración personalizada, se crea automáticamente una máquina virtual ligera con unas políticas estándar, pensadas para ser útiles nada más salir de la caja.
En este modo básico, el espacio aislado arranca con un máximo de 4 GB de memoria asignada, aunque la gestión real es dinámica y se adapta a los recursos del sistema host. Es suficiente para navegar, instalar aplicaciones de prueba o ejecutar herramientas de diagnóstico sin saturar el equipo principal.
Por defecto, la opción de vGPU (GPU virtualizada) está activada en dispositivos x64 (no ARM64), lo que permite aprovechar la aceleración gráfica del host dentro de la sandbox. Si esta característica no está disponible o se desactiva, el sistema recurre a WARP (Windows Advanced Rasterization Platform), que es una renderización por software más lenta pero segura.
En cuanto a conectividad, la red viene habilitada de serie mediante un conmutador virtual de Hyper-V. El host actúa como puerta de enlace y servidor DHCP, y la sandbox recibe una IP privada (por ejemplo, en una configuración típica se usa algo similar a 172.27.86.15 con máscara 255.255.240.0 y gateway en 172.27.80.1). Esto permite navegar por Internet y acceder a recursos de la red local, incluyendo el propio equipo anfitrión.
También se configuran opciones de integración con el dispositivo físico: la entrada de audio (micrófono) suele estar activa por defecto, la entrada de vídeo (cámara) desactivada y el portapapeles compartido. Esto quiere decir que puedes copiar y pegar texto y archivos entre el host y la sandbox, pero el entorno no ve directamente tu webcam a menos que la habilites explícitamente mediante políticas.
Por el lado contrario, el cliente protegido, el redireccionamiento de impresoras y la entrada de vídeo vienen desactivados en la configuración predeterminada, reforzando así el aislamiento frente a ciertos vectores de ataque. Si necesitas esas funciones, se pueden activar en un archivo .wsb personalizado.
Qué ocurre al cerrar el Espacio aislado de Windows
Una de las claves de seguridad del sistema es que Windows Sandbox es completamente temporal. Todo lo que hagas dentro (instalar aplicaciones, cambiar el fondo, descargar archivos, modificar el registro, etc.) desaparece en cuanto cierras la ventana de la sandbox.
Al pulsar la X para cerrar, el sistema muestra un cuadro de diálogo pidiendo confirmación para eliminar el contenido del entorno aislado. Si aceptas, la máquina virtual se apaga y todos sus datos se destruyen. Cuando vuelvas a abrir Sandbox, te encontrarás otra vez con una instalación limpia de Windows, como recién estrenada.
A partir de Windows 11 22H2 existe una pequeña excepción: si reinicias el entorno desde dentro de la propia sandbox, algunos archivos necesarios para continuar la ejecución pueden conservarse. Esto está pensado para instalaciones que exigen un reinicio interno. Aun así, en cuanto cierres la ventana de Sandbox desde el host, se pierde todo lo que no hayas sacado explícitamente mediante copia y pega o mapeo de carpetas.
Otra cuestión importante es que las apps instaladas en el host no aparecen mágicamente dentro del espacio aislado. Cada instancia del entorno se comporta como un Windows independiente, así que cualquier programa que quieras probar ahí dentro tendrás que instalarlo explícitamente o automatizar su despliegue con scripts y archivos .wsb.
Requisitos y ediciones de Windows compatibles con Sandbox
Antes de ponerte a jugar con políticas y configuraciones, es fundamental comprobar si tu equipo es compatible. Windows Sandbox solo está disponible en Windows 10 Pro y Enterprise (a partir de la build 18305/18342) y en Windows 11 Pro y Enterprise. Si tienes una edición Home, la característica simplemente no aparecerá.
En cuanto al hardware, tu PC debe cumplir unos mínimos relativamente asumibles hoy en día: arquitectura AMD64 o ARM64 (para Windows 11 en versiones recientes), al menos 4 GB de RAM (8 GB muy recomendables), un procesador de 2 núcleos o más (mejor 4 hilos con hyper-threading) y al menos 1 GB de espacio de disco libre, preferiblemente en SSD para que el arranque sea ágil.
El punto crítico está en la virtualización: tienes que tener activadas en BIOS/UEFI las tecnologías VT-x (Intel) o SVM (AMD). Si esa opción está desactivada o tu procesador no la soporta, Windows mostrará la característica de «Espacio aislado de Windows» gris o inhabilitada y no podrás usarla.
En placas Gigabyte típicas, el proceso sería algo como: entrar en la BIOS con F2, F12 o Supr, pasar al modo avanzado, ir a M.I.T. → Advanced Frequency Settings → Advanced CPU Settings y poner SVM Mode o VT-x en Enabled. Luego guardas cambios con «Save & Exit Setup» y reinicias.
Si instalas Windows 11 Pro con la virtualización activada desde el principio, muchas veces las funciones de seguridad asociadas al aislamiento del núcleo y la integridad de memoria (HVCI) vienen ya habilitadas, lo cual sienta la base para un uso seguro de Hyper-V y de Windows Sandbox.
Relación con Aislamiento del núcleo e Integridad de memoria
El aislamiento de procesos en Windows Sandbox no vive solo: forma parte de una estrategia de seguridad que también incluye funciones como Aislamiento del núcleo (Core Isolation) e Integridad de memoria, ambas basadas igualmente en la virtualización de hardware.
Según Microsoft, el aislamiento del núcleo es una característica que separa procesos clave del sistema en un entorno virtualizado, de modo que el malware tenga mucho más difícil manipularlos. Se apoya en un contenedor aislado para esos procesos críticos, reduciendo el impacto de vulnerabilidades en drivers o en el propio kernel principal.
La integridad de memoria, también conocida como HVCI (Hypervisor-protected Code Integrity), evita que controladores de bajo nivel con código malicioso o defectuoso se carguen libremente en el sistema. El hipervisor comprueba la integridad del código antes de permitir su ejecución, creando una barrera adicional frente a rootkits y amenazas similares. Para análisis prácticos conviene aprender a detectar DLLs sospechosas en Windows 11.
Estas dos tecnologías utilizan un enfoque parecido al del sandboxing: crear entornos aislados dentro del propio sistema mediante virtualización para proteger procesos y memoria. Aunque no son lo mismo que Windows Sandbox, complementan su función: mientras el Espacio aislado se centra en ejecutar aplicaciones dudosas en una VM desechable, el aislamiento del núcleo y HVCI blindan el corazón del sistema operativo.
En Windows 11 Pro suele venir ya todo esto activo; en Windows 10, lo normal es que tengas que instalar primero la característica de Espacio aislado de Windows y luego activar manualmente la integridad de memoria desde Configuración > Privacidad y seguridad > Seguridad de dispositivo > Aislamiento del núcleo.
Cómo activar y lanzar Windows Sandbox en Windows 10 y 11
Una vez tienes la edición adecuada y la virtualización activada en BIOS, el siguiente paso es habilitar la propia característica de Espacio aislado de Windows, ya que viene desactivada por defecto incluso en las versiones Pro y Enterprise.
En Windows 10 y Windows 11 tienes dos caminos muy similares. El más directo consiste en buscar en el menú Inicio «Activar o desactivar las características de Windows» y abrir el panel clásico. En la lista que aparece, localiza «Espacio aislado de Windows», márcalo y pulsa Aceptar. El sistema instalará los componentes necesarios y te pedirá un reinicio.
En Windows 11 también puedes ir a Configuración > Sistema > Características opcionales y, al final de la lista, hacer clic en «Más características de Windows» para llegar al mismo cuadro de diálogo clásico. Sin reinicio, la sandbox no estará disponible, así que guarda tu trabajo y deja que el sistema se reinicie.
Tras el reboot, basta con que abras el menú Inicio y busques «Windows Sandbox» (o «Espacio aislado de Windows» según el idioma). La aplicación se lanza como cualquier otro programa y en unos segundos verás una ventana con un escritorio de Windows limpio, que puede maximizarse o ajustarse de tamaño como te convenga.
Dentro de la sandbox tienes Edge listo para navegar, Explorador de archivos para manejar documentos y la posibilidad de copiar y pegar archivos desde el host. Eso sí, el arrastre directo de archivos con el ratón no está soportado; hay que usar copiar/pegar, o mejor aún, mapeo de carpetas mediante políticas, como veremos más adelante.
Escenarios de uso y ventajas del aislamiento de procesos
La utilidad más obvia de Windows Sandbox es probar ejecutables y programas de procedencia dudosa sin arriesgar tu instalación principal. Puedes descargar instaladores desde Edge dentro del entorno aislado, lanzar herramientas, ver cómo se comportan, revisar qué hacen en disco o en el registro y, si algo va mal, con cerrar la ventana lo tienes todo resuelto.
Otra aplicación muy interesante es usarlo para analizar malware, probar exploits o simular ataques de forma controlada. Muchos profesionales de seguridad aprovechan el Sandbox para ejecutar muestras de código malicioso y observar su comportamiento, con la tranquilidad de que la máquina anfitriona está protegida por el aislamiento de la VM y por el resto de capas de seguridad del sistema.
También es ideal para tareas de demos, formación, pruebas de instalación y resolución de problemas. Si tienes que enseñar a alguien a instalar un programa, probar un script de despliegue o verificar la compatibilidad de una app con una configuración limpia de Windows, el Espacio aislado te da un terreno de pruebas perfecto sin tener que levantar una máquina virtual completa en otra herramienta.
En entornos corporativos se pueden llevar las cosas un paso más allá: usan Windows Sandbox como intermediario seguro para conectarse a escritorios remotos (RDP) o a recursos de red sensibles. De esta forma, las credenciales utilizadas para conectarse a esos servidores quedan dentro de la sandbox y no se almacenan en la memoria del host. Si el equipo principal se viera comprometido, el atacante no podría volcar fácilmente esas credenciales porque nunca estuvieron en su espacio de memoria.
Por último, es muy útil para experimentos rápidos con configuración de Windows, pruebas de scripts, cambios de políticas de grupo o instalaciones silenciosas. En lugar de ensuciar tu instalación principal, haces todas las pruebas en el entorno efímero y, cuando das con la configuración adecuada, la replicas en producción.
Archivos .wsb: la clave para configurar políticas en Windows Sandbox
Todo lo anterior está muy bien, pero el verdadero potencial del aislamiento de procesos en Sandbox se desbloquea cuando empiezas a usar archivos de configuración .wsb. Estos ficheros son documentos XML sencillos que le indican al sistema cómo debe arrancar el entorno aislado: qué recursos asignar, qué carpetas mapear, qué comandos ejecutar al inicio, qué dispositivos permitir, etc.
Los archivos .wsb están soportados desde Windows 10 build 18342 y en todas las versiones modernas de Windows 11. La extensión .wsb se asocia automáticamente con el Espacio aislado de Windows, así que al hacer doble clic en uno de estos archivos, se abre una instancia de Sandbox siguiendo las políticas definidas en ese XML.
Para crear uno, basta con abrir un editor de texto plano (Bloc de notas, Visual Studio Code, Notepad++, lo que prefieras) y escribir una estructura básica con la etiqueta raíz <Configuration>…</Configuration>. Entre esas dos líneas irán los diferentes elementos: vGPU, Networking, MappedFolders, LogonCommand, AudioInput, VideoInput, ProtectedClient, PrinterRedirection, ClipboardRedirection y MemoryInMB.
Cuando tengas el contenido listo, guarda el archivo con extensión .wsb, por ejemplo «MiSandbox.wsb». Si usas el Bloc de notas, acuérdate de poner el nombre entre comillas dobles para que no añada .txt. A partir de ahí puedes lanzar la sandbox personalizada haciendo doble clic sobre el fichero o desde la línea de comandos escribiendo su ruta, por ejemplo: C:\Temp> MiSandbox.wsb.
Cada una de las secciones de configuración controla un aspecto distinto del aislamiento de procesos y de recursos. Vamos a verlas con calma porque ahí es donde se define de verdad el comportamiento de tu entorno.
Control de GPU: etiqueta <vGPU>
La etiqueta <vGPU> te permite decidir si el entorno aislado va a usar una GPU virtualizada conectada a la tarjeta gráfica del host o si, por el contrario, se quedará con representación por software. Esto es clave cuando quieres limitar el acceso a la aceleración gráfica por motivos de seguridad o, al revés, cuando quieres mejorar el rendimiento de aplicaciones 3D dentro de la sandbox.
Los valores posibles son:
- Enable: habilita la GPU virtualizada dentro de la sandbox, permitiendo a las aplicaciones usar la aceleración del host.
- Disable: deshabilita el uso compartido de la GPU; el entorno recurre a WARP (renderizado por software), normalmente más lento.
- Default: deja el comportamiento predeterminado de Windows, que hoy por hoy equivale a tener vGPU activado.
En entornos donde la seguridad es prioritaria, puede ser interesante forzar <vGPU>Disable</vGPU> para evitar que procesos dentro de la sandbox puedan interactuar con drivers de GPU que a veces exponen superficies de ataque complejas.
Funciones de red: etiqueta <Networking>
La red es uno de los puntos críticos del aislamiento de procesos. Con la etiqueta <Networking> defines si el entorno tendrá o no conectividad.
Los valores son similares:
- Enable: permite acceso a red mediante un conmutador virtual y una NIC virtual conectada al host.
- Disable: la sandbox queda completamente sin red; no hay acceso ni a Internet ni a la LAN.
- Default: se comporta como en la configuración estándar, es decir, red habilitada mediante el switch virtual de Hyper-V.
Si vas a ejecutar software potencialmente malicioso o que no quieres que escanee tu red interna, lo más prudente es arrancar la sandbox con la red desactivada: <Networking>Disable</Networking>. Así te aseguras de que cualquier intento de propagación o de conexión remota fracase.
Ten en cuenta que, cuando está habilitada, la red de Sandbox suele usar una configuración NAT donde el host actúa como gateway (por ejemplo 172.27.80.1) y DHCP, asignando a la máquina virtual una IP privada. Desde ahí puede acceder a Internet y, en muchos casos, a los dispositivos de tu LAN, incluido el propio equipo anfitrión.
Mapeo de carpetas: etiqueta <MappedFolders>
Si quieres trabajar con archivos del host dentro de la sandbox, en lugar de andar copiando y pegando constantemente, puedes mapear carpetas del equipo anfitrión dentro del entorno aislado usando la sección <MappedFolders>.
La estructura básica de esta parte del XML es algo como:
<MappedFolders>
<MappedFolder>
<HostFolder>RUTA_EN_HOST</HostFolder>
<SandboxFolder>RUTA_EN_SANDBOX</SandboxFolder>
<ReadOnly>true/false</ReadOnly>
</MappedFolder>
</MappedFolders>
Los elementos clave son:
- HostFolder: la ruta de la carpeta en el equipo anfitrión. Debe existir o la sandbox no arrancará.
- SandboxFolder: la ruta destino dentro de la sandbox. Si no existe, se crea automáticamente. Si no la especificas, se mapeará al escritorio del usuario por defecto de Sandbox, que es
WDAGUtilityAccount.
- ReadOnly: si está en true, la carpeta sólo se puede leer desde el entorno aislado; si está en false, se puede leer y escribir. El valor por defecto es false.
Usar ReadOnly en true es muy recomendable cuando mapeas datos delicados, ya que evita que un malware dentro de la sandbox modifique o borre archivos en el host. A partir de Windows 11 23H2 se admite también el uso de variables de entorno en HostFolder, lo que da un poco más de flexibilidad.
En escenarios concretos, como la conexión a servidores RDP, es habitual crear en el host una carpeta con accesos .rdp y scripts y mapearla al escritorio de la sandbox. Desde ahí puedes lanzar conexiones remotas o instaladores sin necesidad de descargar nada dentro del entorno.
Comando de inicio de sesión: etiqueta <LogonCommand>
Otra de las funciones estrella para automatizar políticas es <LogonCommand>. Esta sección permite indicar un comando o script que se ejecutará automáticamente después de que el entorno aislado haya iniciado sesión.
La estructura es:
<LogonCommand>
<Command>RUTA_O_COMANDO</Command>
</LogonCommand>
El comando se ejecuta dentro de la sandbox, bajo la cuenta de usuario del contenedor (normalmente un administrador). Puedes especificar rutas absolutas dentro del entorno, como por ejemplo C:\Users\WDAGUtilityAccount\Desktop\Accesos\instalar_7zip.cmd, o comandos directos como cmd.exe /c script.bat si el script está en una carpeta mapeada.
Esta función se usa muchísimo para automatizar instalaciones silenciosas de software, ejecutar scripts de configuración, abrir herramientas concretas o iniciar conexiones RDP. Por ejemplo, podrías mapear una carpeta del host con un fichero .rdp y luego usar LogonCommand para lanzar mstsc.exe /f C:\Ruta\srvfacturacion.rdp dentro de la sandbox, logrando que esta se conecte automáticamente a un servidor remoto nada más arrancar.
Control de audio, vídeo y cliente protegido
Además de la red y las carpetas, Windows Sandbox permite afinar el acceso a dispositivos de entrada como el micrófono y la cámara, así como activar un modo de mayor endurecimiento de seguridad mediante el Cliente protegido.
Con <AudioInput> decides si el entorno aislado puede recibir audio del micrófono del host. Valores posibles: Enable, Disable y Default (que hoy suele equivaler a activado). Si vas a usar apps que requieran grabación de voz o videollamadas de prueba, tendrás que dejar la entrada de audio habilitada; si tu prioridad es la privacidad, puedes forzar su desactivación.
Para la cámara web tienes la etiqueta <VideoInput>, con los mismos valores. En la configuración por defecto la entrada de vídeo suele estar deshabilitada, precisamente para evitar que aplicaciones dentro de la sandbox puedan acceder a la webcam sin tu control.
El modo <ProtectedClient> es especialmente interesante en términos de aislamiento de procesos. Cuando se pone en Enable, la sesión de la sandbox se ejecuta dentro de un entorno de AppContainer altamente restringido, con aislamiento de credenciales, dispositivos, archivos, redes, procesos y ventanas. Es, por decirlo rápido, un nivel extra de cerrojos sobre una sandbox que ya era de por sí aislada.
Los valores para ProtectedClient son Enable, Disable y Default, siendo este último equivalente actualmente a estar deshabilitado. Si vas a hacer pruebas con malware o accesos remotos a recursos especialmente sensibles, merece la pena considerar la activación de este modo para añadir otra capa de defensa.
Redirección de impresoras y portapapeles
Las opciones de PrinterRedirection y ClipboardRedirection determinan hasta qué punto el entorno aislado puede interactuar con tus impresoras y con el portapapeles del host, algo estrechamente ligado al aislamiento de datos entre procesos.
Con <PrinterRedirection> eliges si las impresoras configuradas en el host estarán visibles dentro de la sandbox. Enable permite esa visibilidad y uso, Disable bloquea cualquier redirección y Default refleja el comportamiento estándar, que hoy suele ser tener esa función deshabilitada.
En la práctica, rara vez necesitas imprimir directamente desde la sandbox, y mantener esta opción en Disable reduce la superficie de ataque y evita fugas de información por canales poco habituales, así que sólo tiene sentido activarla en escenarios concretos.
Más delicado es el <ClipboardRedirection>, ya que el portapapeles es el canal por el que vas a pasar archivos y datos entre el host y la sandbox. Enable permite copiar y pegar libremente, Disable lo bloquea por completo y Default mantiene el comportamiento por defecto, que es tener la compartición activada.
En configuraciones muy paranoicas, por ejemplo para análisis de malware avanzado, puede ser buena idea desactivar temporalmente el portapapeles y recurrir sólo a carpetas mapeadas en modo sólo lectura para intercambiar archivos. De esta manera, evitas que un proceso malicioso pueda exfiltrar datos mediante copiar y pegar.
Un uso muy habitual es combinar ClipboardRedirection en Disable con una carpeta mapeada ReadOnly: así puedes dejar en esa carpeta instaladores o documentos que necesitas dentro de la sandbox, pero disparas al mínimo posible la probabilidad de salida de datos desde el entorno aislado hacia el host.
Gestión de memoria: etiqueta <MemoryInMB>
Por último, la etiqueta <MemoryInMB> te da control sobre cuánta RAM máxima puede usar la sandbox. El valor se especifica en megabytes y sirve para definir un techo de memoria para el entorno aislado.
Si indicas, por ejemplo, <MemoryInMB>8192</MemoryInMB>, estarás asignando aproximadamente 8 GB de RAM a esa instancia. Esto es útil cuando pretendes ejecutar aplicaciones pesadas o varias herramientas de análisis a la vez dentro del entorno y no quieres que se queden cortas de recursos.
Si pones un valor demasiado bajo, el sistema se encarga de subirlo automáticamente hasta un mínimo de 2048 MB para poder arrancar. No tiene sentido tratar de forzar menos de 2 GB, porque simplemente no funcionará. Lo razonable es ajustar la memoria en función de la RAM total del host, dejando siempre margen para que el sistema principal respire.
En máquinas con 16 GB o más, dedicar 4 u 8 GB a una sandbox específica suele ser una buena relación entre rendimiento y seguridad, sobre todo si vas a automatizar instalaciones o trabajar con varios procesos pesados dentro de la VM.
Ejemplos prácticos de configuración avanzada
Con todas estas piezas, se pueden construir escenarios bastante sofisticados. Un caso muy práctico es el de conectar a un servidor de Escritorio remoto usando siempre Windows Sandbox como intermediario seguro. La idea es triple: proteger el host, evitar que las credenciales queden en su memoria y encapsular la sesión remota en un contenedor temporal.
En un ejemplo típico, en el host se crea una carpeta como D:\Mis documentos\ProyectoA\Sandbox\Accesos_Sandbox donde se guarda un archivo .rdp con la configuración de conexión, por ejemplo srvfacturacion.rdp. Luego se prepara un archivo .wsb que mapea esa carpeta al escritorio de WDAGUtilityAccount dentro de la sandbox, quizá como C:\Users\WDAGUtilityAccount\Desktop\Accesos, y se añade un LogonCommand que lanza mstsc.exe apuntando a ese .rdp.
El resultado es que, al abrir ese .wsb, la sandbox arranca, crea automáticamente la carpeta «Accesos» en el escritorio con el fichero .rdp mapeado y ejecuta la conexión RDP, de modo que el usuario entra directamente al servidor remoto desde un entorno aislado.
Otro ejemplo muy utilizado es el de automatizar la instalación de programas como 7-Zip de manera silenciosa. En el host descargas el instalador (por ejemplo 7z2408-x64.exe) en una carpeta como …\Accesos_Sandbox\Instaladores, creas un script instalar_7zip.cmd que llama a ese instalador con el argumento /S para que no pida intervención del usuario y, de nuevo, lo mapeas a una ruta dentro de la sandbox usando MappedFolders.
En el archivo .wsb defines el mapeo y usas LogonCommand para ejecutar el script cmd al inicio. Cuando lances la sandbox con ese .wsb, 7-Zip se instalará dentro del entorno aislado sin que tengas que tocar nada. Esto es perfecto para preparar entornos de pruebas repetibles o para demos en las que quieres que siempre se instalen y se configuren las mismas herramientas.
A estos ejemplos se les pueden añadir otras políticas, como fijar MemoryInMB a 8192, desactivar ClipboardRedirection para que no haya copia/pega entre host y sandbox, o incluso habilitar ProtectedClient y desactivar la red una vez hechas las instalaciones, dependiendo del nivel de seguridad que busques.
Vista en conjunto, Windows Sandbox combina la potencia de la virtualización con un sistema de políticas relativamente simple basado en archivos XML .wsb. Sacándole partido a opciones como vGPU, Networking, MappedFolders, LogonCommand, ProtectedClient o ClipboardRedirection, puedes montar entornos de pruebas muy ajustados a tus necesidades, con un aislamiento de procesos y de datos más que respetable, manteniendo al mismo tiempo la comodidad de lanzar todo con un simple doble clic y la tranquilidad de saber que, cuando cierres la ventana, todo rastro de tus experimentos desaparecerá sin comprometer tu sistema principal.
from Actualidad Gadget https://ift.tt/LebSgJz
via
IFTTT
