Com provar programes sospitosos sense infectar-te usant Windows Sandbox

Informatec Digital » Recursos » Com provar programes sospitosos sense infectar-te usant Windows Sandbox

Executar programes desconeguts a Windows és una de les formes més habituals de posar malware, adware o de trencar la teva instal·lació sense voler. Descàrregues una mica “ràpid” d'internet, ho obris sense pensar-ho gaire i, quan te'n vols adonar, el sistema va lent, el navegador s'omple d'extensions rares o apareixen finestres emergents per tot arreu.

Per evitar aquestes situacions, Microsoft inclou a Windows 10 i Windows 11 Pro, Enterprise i Education (si necessites migrar de Windows 10 a Windows 11) una funció molt potent anomenada Windows Sandbox. Bàsicament és com tenir un Windows net, temporal i un sol ús dins del teu propi PC, ideal per provar programes sospitosos sense arriscar el sistema principal. Anem a veure amb calma què és exactament un sandbox, com funciona Windows Sandbox, quins requisits té, com s'activa i en què es diferencia d'altres solucions com Sandboxie, VirtualBox o Hyper-V.

Què és un programari Sandbox i per a què serveix

Un programari de tipus Sandbox crea un entorn aïllat dins del sistema operatiu principal, usant tècniques de virtualització o d'aïllament a nivell de sistema. Aquest entorn, conegut precisament com a “sandbox”, actua com una mena de bombolla: tot el que s'executa aquí dins queda separat de la resta del sistema, de manera que qualsevol canvi, arxiu o configuració que es modifiqui no afecta Windows “de veritat”.

A la pràctica, això significa que podem executar aplicacions potencialment perilloses, arxius adjunts de correus sospitosos o eines en fase beta sense por de carregar-nos res. Si el programa resulta ser maliciós, es queda confinat al sandbox i, en tancar-lo o reiniciar-lo, tot el que hagi passat dins es descarta del tot.

Per aconseguir-ho, les solucions de tipus sandbox solen recolzar-se en una capa d'abstracció que funciona com una màquina virtual o com un filtre que intercepta trucades al sistema. Això implica un consum extra de recursos (CPU, RAM, emmagatzematge) perquè el sistema ha de “simular” o aïllar aquest entorn addicional, però a canvi evitem modificar el sistema operatiu amfitrió, ni per bé ni per mal.

Aquest enfocament no només és útil per als que volen provar programes sospitosos sense virus, sinó també per a qualsevol usuari que vulgui testejar aplicacions, configuracions o scripts sense deixar rastre de canvis, o per a desenvolupadors que necessiten reproduir escenaris nets constantment sense reinstal·lar Windows cada vegada.

A més, els sandbox moderns són una eina clau de seguretat tant en entorns domèstics com a professionals. Permeten contenir amenaces, estudiar el comportament de codi maliciós, validar instal·ladors descarregats de fonts poc clares i, en general, reduir moltíssim el risc que una prova ràpida acabi en format obligat o pèrdua de dades.

Windows Sandbox: l'entorn d'un sol ús integrat a Windows

Windows Sandbox és la implementació de Microsoft d'aquest concepte dins de Windows 10 i Windows 11. Es tracta d'un entorn d'escriptori aïllat que s'executa utilitzant la tecnologia de virtualització Hyper-V, però totalment integrada i simplificada: no cal crear discos virtuals ni instal·lar un sistema operatiu a part, tot ve “de fàbrica”.

En obrir Windows Sandbox, es llança una instància neta de Windows que es comporta com si acabés de ser instal·lada: només hi són presents les aplicacions predeterminades (com Microsoft Edge) i una configuració per defecte. No hi ha programes de tercers, ni restes de programari, ni personalitzacions. Perfecte per provar des de zero si alguna cosa es porta bé.

El punt clau és que cada vegada que tanquis la finestra de Windows Sandbox, tot el que hagi passat a l'interior s'esborra sense possibilitat de recuperació: programes instal·lats, canvis al registre, arxius descarregats, configuracions, etc. A la següent execució tornes a tenir un Windows totalment nou, sense heretar res de sessions anteriors.

Aquesta funció està disponible en Windows 10 versió 1903 o posterior i en Windows 11, sempre que tinguis edició Pro, Enterprise o Education. Les versions Home no inclouen oficialment aquesta característica, per això en aquest cas cal recórrer a altres alternatives externes.

Requisits i prerequisits per utilitzar Windows Sandbox

Abans de poder gaudir d´aquest entorn aïllat, és imprescindible comprovar que el teu equip compleix una sèrie de condicions. No n'hi ha prou de tenir un Windows relativament modern, ja que entren en joc tant l'edició del sistema com el maquinari i la configuració de la BIOS/UEFI.

Pel que fa a el sistema operatiu, necessites Windows 10 Pro o Enterprise (1903 o superior) o qualsevol edició Pro, Enterprise o Education de Windows 11 (consulta la configuració inicial de Windows 11 si acabes de migrar). Les variants Home es queden fora oficialment, ja que Microsoft reserva Windows Sandbox per a les versions “professionals” del sistema.

A l'apartat de processador, el requisit mínim és una CPU de 64 bits amb almenys dos nuclis i suport de virtualització (Intel VT-x o AMD-V, entre altres extensions similars). No obstant això, si voleu que l'experiència sigui fluida, el recomanable és comptar amb un processador modern de gamma mitjana o alta, amb diversos nuclis i fils, com ara un Intel Core o un AMD Ryzen recent amb, per exemple, 6 nuclis i 12 fils.

La memòria RAM és un altre punt crític: Microsoft indica 4 GB com a mínim per poder executar Windows Sandbox, però això és només la base. L'entorn aïllat consumeix part de la RAM disponible, ia més has de seguir usant el sistema principal alhora. Per tant, s'aconsella disposar com a mínim de 8 GB per a un ús còmode, i fins i tot 12 GB o més si pretens obrir aplicacions pesades dins del Sandbox o treballar en multitasca intensa.

Pel que fa a l'emmagatzematge, l'espai que ocupa Windows Sandbox és relativament petit, ja que reutilitza components del propi sistema host. Tot i així, necessites tenir marge suficient en disc per als fitxers temporals i qualsevol programa que instal·lis dins de l'entorn. Si vas just d'espai, notaràs una certa penalització en crear i destruir sessions.

Finalment, és obligatori que la virtualització per maquinari estigui activada a la BIOS/UEFI. En molts equips ve habilitada de sèrie, però en altres cal entrar a la configuració del microprogramari i activar les opcions d'Intel VT-x, Intel VT-d, AMD-V o similars. Sense aquest suport, Windows Sandbox no podrà utilitzar Hyper-V i no funcionarà.

Com instal·lar i activar Windows Sandbox a Windows

Quan el teu equip compleix els requisits, habilitar Windows Sandbox és força senzill. Pots fer-ho per línia d'ordres usant PowerShell o mitjançant la interfície gràfica clàssica de “Característiques de Windows”. Les dues rutes arriben al mateix resultat.

Si prefereixes la consola, obre PowerShell amb privilegis d'administrador. Per fer-ho, escriu “PowerShell” al cercador del menú Inici, fes clic dret sobre el resultat i escull “Executar com a administrador”. És important tenir permisos elevats, perquè s'activa una característica del sistema.

Amb la finestra de PowerShell oberta, només hauràs de executar la següent comanda per habilitar el component necessari:

Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online

Després de completar el procés, el sistema us demanarà reiniciar. Fins que no reinicieu l'ordinador, Windows Sandbox no apareixerà disponible, així que guarda el que tinguis obert i accepta el reinici. En equips actuals, aquest procés no sol trigar més d'un parell de minuts.

Si no et portes bé amb la consola o simplement no et ve de gust escriure ordres, pots activar Windows Sandbox des de la interfície gràfica. Al menú Inici, cerca “Activar o desactivar les característiques de Windows” i obre'l. Es mostrarà una finestra amb una llista llarga de components opcionals del sistema.

Dins aquesta llista, desplaça't fins a trobar “Windows Sandbox” o “Espai aïllat de Windows”, segons l'idioma de la vostra instal·lació. Marqueu la casella corresponent, feu clic a D'acord i deixeu que Windows instal·li la característica. De nou, en acabar se us demanarà reiniciar el sistema perquè els canvis entrin en vigor.

Primers passos: com utilitzar Windows Sandbox en el dia a dia

Amb la funció ja activa, obrir Windows Sandbox és tan senzill com llançar qualsevol altra aplicació. Només heu d'anar al menú Inici i escriure “Windows Sandbox” o “Espai aïllat de Windows” al cercador i executar el resultat que apareix amb la icona de Microsoft.

La primera vegada que ho iniciïs, l'arrencada pot trigar una mica més del normal, ja que el sistema ha dacabar de configurar lentorn virtual. No et preocupis si veus la pantalla en blanc durant uns segons; en execucions posteriors el temps de càrrega es redueix força i en pocs instants tindràs l'escriptori virtual llest.

En entrar, veuràs un escriptori de Windows totalment funcional, que sol estar en anglès i sense activar (és una llicència temporal per a aquest entorn). Veureu que només hi són presents les aplicacions bàsiques del sistema, sense rastres dels vostres programes habituals, dades personals, ni personalitzacions. És com un Windows “acabat de sortir de la caixa”.

Un dels avantatges és que la finestra del Sandbox s'adapta automàticament a la mida que li donis: en canviar la mida de la finestra, s'ajusta la resolució de pantalla interna i es comporta com una màquina virtual molt lleugera. No has de caminar tocant drivers gràfics ni configuracions rares.

Dins aquest escriptori aïllat podràs navegar per internet, descarregar arxius, instal·lar programes i obrir documents sospitosos pràcticament igual que si estiguessis al teu Windows principal. L'entorn té accés a la xarxa a través d'una interfície virtual, cosa que facilita descarregar instal·ladors o fer comprovacions ràpides, encara que també implica que qualsevol malware amb capacitats de xarxa podrà comunicar-se cap a fora, així que convé fer servir el sentit comú i, si et preocupa la privadesa, pots activar DNS sobre HTTPS a Windows 11.

Per moure fitxers des del teu sistema al Sandbox, pots fer servir el porta-retalls de Windows. Només cal copiar un fitxer al host (Ctrl + C) i enganxar-lo a l'escriptori de l'entorn aïllat (Ctrl + V). Amb això ja tens lexecutable o document dins del sandbox llest per ser provat. Els usuaris avançats poden, a més, crear fitxers de configuració .wsb per muntar carpetes del host directament a l'entorn, però això ja és nivell més friqui.

Quan hagis acabat de provar el que necessitaves, només has de tancar la finestra de Windows Sandbox utilitzant la “X” de la cantonada com a qualsevol programa. Apareixerà un avís clar indicant que s'eliminarà tot el que hi hagi dins de l'entorn. En confirmar, la màquina virtual s'apaga i tots els canvis, fitxers i programes instal·lats es destrueixen definitivament.

Si dins del Sandbox has generat algun fitxer que vulguis conservar (per exemple, un document net generat per un programa en què no confiaves), recorda copiar-lo de tornada o consultar guies de seguretat de la informació abans de tancar la finestra, altrament desapareixerà juntament amb l'entorn temporal.

Alternatives i comparació: Windows Sandbox, Sandboxie i màquines virtuals

Tot i que Windows Sandbox és molt pràctic, no és l'única manera d'aïllar programari a Windows. Segons el que necessitis, pot ser que t'interessi fer servir altres eines com Sandboxie o una màquina virtual completa amb VirtualBox, VMware o el mateix Hyper-V.

Sandboxie és una solució veterana que funciona a nivell del sistema operatiu en lloc de llançar un Windows complet dins un altre. Bàsicament, intercepta els accessos de l'aplicació al registre, al sistema de fitxers ia altres recursos, redirigint-los a una àrea aïllada. Així, els canvis que fa aquest programa no s'escriuen realment al sistema, sinó en una “caixa de sorra” que es pot netejar fàcilment.

L'avantatge de Sandboxie és que té un consum de recursos molt baix i es pot utilitzar fins i tot en edicions Home de Windows o en versions més antigues del sistema. A més, permet aïllar programes concrets (per exemple, només el navegador o només un instal·lador) sense necessitat d'aixecar un sistema operatiu complet, i és possible tenir diversos entorns de Sandboxie en paral·lel.

Les màquines virtuals completes, per altra banda, com les de VirtualBox, VMware o Hyper-V, creen un ordinador virtual independent amb el seu propi disc, maquinari emulat i sistema operatiu instal·lat. Aquí l'aïllament encara és més fort, perquè el sistema convidat es comporta com un equip a part, que pot ser fins i tot un sistema diferent (una altra versió de Windows, una distribució Linux, etc.).

La seva gran carta és la possibilitat de conservar l'estat del sistema virtual entre sessions. Pots instal·lar programes de forma permanent, mantenir configuracions complexes, aixecar servidors, o crear entorns de laboratori amb diverses màquines que interactuïn entre si. A més, disposes de funcions com les instantànies o snapshots, que permeten congelar l'estat de la màquina en un punt concret i tornar-hi quan vulguis.

La cara negativa és que les màquines virtuals consumeixen molta més RAM i emmagatzematge, perquè cada VM necessita diversos gigabytes de disc per al sistema i les dades, a més de reservar memòria en arrencar. També requereixen una mica més de paciència en la configuració inicial: cal crear la màquina, muntar un ISO, instal·lar el sistema, actualitzar-lo i mantenir-lo com si fos un equip real.

Davant de tot això, Windows Sandbox aposta per la immediatesa i la simplicitat: ho obris en segons, proves el que sigui i, en tancar-ho, tot desapareix sense que hagis de gestionar discos virtuals ni estats guardats. És ideal per a proves ràpides i anàlisi d'arxius o programes sospitosos que només obriràs una vegada o de forma molt puntual.

Hyper-V i laboratoris de proves persistents

Si ja disposes de Windows 10 o 11 Pro o Enterprise, tens al teu abast també la plataforma de virtualització Hyper-V, que és la base sobre la qual funciona Windows Sandbox, però amb moltes més opcions de personalització per a escenaris avançats.

Amb Hyper-V pots crear una o diverses màquines virtuals totalment personalitzades, configurant quanta CPU, memòria, disc i targetes de xarxa virtuals vols assignar a cadascuna. És possible fins i tot deixar una màquina completament sense accés a internet, aïllada de la xarxa, ideal per disseccionar codi maliciós molt perillós sense risc que es comuniqui cap a l'exterior.

Després de crear la màquina, hauràs de instal·lar un sistema operatiu dins d'ella (Windows, Linux, etc.), utilitzant una imatge ISO o una plantilla de sistema ja preparada. Un cop instal·lada, la VM es comporta com un PC independent que pots encendre i apagar al teu gust, mantenint intactes les dades i les aplicacions entre sessions.

Un dels grans punts forts de Hyper-V és la possibilitat de crear punts de control o checkpoints. Això permet prendre una “foto” de l'estat de la màquina virtual (sistema, programes, fitxers i configuració) en un moment donat. Després podeu instal·lar programari, provar configuracions o fins i tot infectar la màquina de manera controlada, i si alguna cosa surt malament, simplement restaureu el checkpoint i torneu a l'estat net inicial.

Aquesta filosofia recorda força la d'un sandbox, però amb l'avantatge de poder guardar i gestionar diversos estats diferents: un amb el sistema recent instal·lat, un altre amb certes actualitzacions, un altre amb un conjunt concret d'aplicacions, etc. Això sí, cada punt de control ocupa espai en disc addicional, per tant convé tenir un bon marge d'emmagatzematge.

En entorns professionals o per a usuaris avançats, és molt habitual muntar laboratoris virtuals complets amb Hyper-V: una màquina amb Windows 10 sense connexió a xarxa per a proves de codi maliciós, una altra amb Windows Server per assajar configuracions de serveis, una tercera amb Linux per a desenvolupament, i així successivament, tot executant-se en el mateix equip físic sempre que el maquinari ho permeti.

Per posar-lo en marxa, n'hi ha prou amb habilitar Hyper-V des de “Activar o desactivar les característiques de Windows”, molt similar al fet amb Windows Sandbox, i després obrir la consola “Administrador de Hyper-V”, des de la qual podràs crear i gestionar les màquines virtuals i els seus checkpoints.

Quan utilitzar Windows Sandbox i quan altres solucions

En el dia a dia, Windows Sandbox encaixa genial per a aquestes situacions ràpides en què t'arriba un arxiu adjunt dubtós, descarregues un instal·lador d'origen poc clar, o vols tafanejar amb una aplicació que no penses utilitzar a llarg termini. Ho obris, fas la prova, tanques la finestra i t'oblides, sabent que el teu sistema principal s'ha mantingut intacte.

Per a usuaris que no volen complicar-se la vida amb configuracions complexes, aquesta funció proporciona una “zona segura” immediata sense necessitat de ferramentes externes ni de tenir un segon ordinador. Especialment en equips de treball o de producció, pot ser una capa extra de seguretat molt interessant per filtrar programari abans d'instal·lar-lo al sistema real.

En canvi, si el teu objectiu és mantenir un entorn de proves durant molt de temps, amb programes que vols conservar instal·lats entre reinicis, configuracions específiques o fins i tot servidors de prova, probablement t'interessi més optar per una màquina virtual clàssica amb Hyper-V, VirtualBox o VMware, on tu decideixes quan esborrar o restaurar estats.

Eines com Sandboxie poden ser l'opció ideal quan només vols aïllar aplicacions puntuals sense aixecar tot un sistema dins un altre, o quan treballes amb edicions Home de Windows que no inclouen Windows Sandbox. En aquest cas, aïllar el navegador o el client de correu pot reduir limpacte de molts atacs quotidians sense consumir tants recursos.

Amb tot això al cap, el més intel·ligent és combinar diverses estratègies segons l'escenari: fer servir Windows Sandbox per a proves puntuals, recórrer a màquines virtuals per a laboratoris persistents i, si cal, complementar-lo amb eines de sandbox a nivell d'aplicació com Sandboxie. Així tindràs coberts tant els casos ràpids del dia a dia com els entorns més complexos de desenvolupament o anàlisi.

Gràcies a aquest conjunt d'opcions, qualsevol usuari amb Windows Pro o Enterprise pot reduir de forma dràstica el risc en provar programes sospitosos o arxius perillosos, aprofitant Windows Sandbox com a primera barrera ràpida i senzilla, i recolzant-se en Hyper-V o solucions de tercers quan faci falta una mica més robust i durador.

Article relacionat:

La importància del suport de la informació: Assegura la continuïtat del teu negoci