Exécuter des applications isolées avec Windows Sandbox

Il sera bientôt possible d’exécuter une application en toute isolation grâce à Windows Sandbox.

Sandbox est un environnement isolé et temporaire de bureau dans lequel on peut faire tourner un logiciel dans lequel on n’a pas confiance, sans craindre un impact durable sur l’ordinateur. Tout logiciel installé dans le sandbox (littéralement, le bac à sable) reste dans le sandbox et n’affecte pas l’hôte. Une fois que le sandbox est fermé, tous les logiciels et les fichiers qui ont été installés sont effacés définitivement.

Sandbox exploite l’hyperviseur Hyper-V de Microsoft, ainsi que les conteneurs Windows. Il s’agit d’une machine virtuelle légère, qui ne nécessite pas d’image du système d’exploitation, grâce à la possibilité d’utiliser une copie du Windows 10 hôte installé sur l’ordinateur – ce qui élimine en même temps les soucis de licences.

L’image du système d’exploitation du sandbox, nommée image de base, est constituée pour l’essentiel de liens vers les fichiers réels de Windows qui ne peuvent changer, plus une minorité de fichiers qui peuvent changer.

L’image de base dynamique est un paquet compressé de 25 Mo. Quand elle est installée elle occupe environ 100 Mo sur le disque.

La gestion de la mémoire est améliorée pour que les pages de mémoire occupées par les mêmes exécutables, comme ntdll, soient utilisables par l’hôte comme par le sandbox par désignation directe, mais d’une façon sûre, et sans que des secrets ne soient partagés.

Comme cette virtualisation légère s’appuie sur Hyper-V, on peut profiter de ses caractéristiques, telles que la prise d’instantanés et le démarrage instantané au lieu de devoir relancer à chaque fois, l’accélération matérielle dans un environnement virtuel avec Microsoft RemoteFX.

Finalement, Windows Sandbox est une alternative plus légère à la création, l’installation et le lancement d’une machine virtuelle dont le seul but serait d’exécuter un code dans lequel on n’a pas confiance. Notons qu’il est également possible de faire tourner Windows Sandbox dans une machine virtuelle.

Depuis la dernière mise à jour majeure de Windows 10, Windows 10 October 2018 Update, il est déjà possible d’exécuter le navigateur Microsoft Edge en toute isolation, avec Windows Defender Application Guard.

Cette isolation est toutefois moins légère que Windows Sandbox, et l’on peut penser qu’à terme, il sera préférable d’utiliser Windows Sandbox.

Les prérequis pour Windows Sandbox sont :

  • Windows 10 Pro ou Entreprise, build 18305 ou postérieure (la version actuelle est 1809) ;
  • Architecture AMD64. En d’autres termes, version 64-bit de Windows, et pas ARM pour l’instant ;
  • Virtualisation configurée dans le BIOS ;
  • Au moins 4 Go de mémoire vive (8 recommandés) ;
  • Au moins 1 Go de stockage libre (stockage SSD recommandé) ;
  • Processeur avec au moins deux cœurs (4 avec fils d’exécution simultanée recommandés).