Home Chi Sono
Servizi
WordPress Sviluppo Web Server & Hosting Assistenza Tecnica Windows Android
Blog
Tutti gli Articoli WordPress Hosting Plesk Assistenza Computer Windows Android A.I.
Contatti

Come Attivo e Uso Windows Sandbox su Windows 11 per Testare Software in Sicurezza: La Mia Guida Pratica

Quante volte vi è capitato di scaricare un eseguibile sospetto e non sapere se fosse sicuro avviarlo? Oppure avete dovuto testare un software sconosciuto sul PC di un cliente senza voler rischiare di compromettere l’installazione principale? Nella mia esperienza da System Administrator, questi scenari si presentano quasi quotidianamente. La soluzione che uso ormai da tempo si chiama Windows Sandbox: un ambiente desktop isolato, leggero e usa-e-getta, integrato direttamente in Windows 11.

Windows Sandbox è una delle funzionalità più sottovalutate di Windows 11, eppure è incredibilmente potente. Non servono immagini ISO da scaricare, non servono licenze aggiuntive, non serve configurare una macchina virtuale completa. Si tratta di un ambiente virtualizzato leggero che sfrutta la tecnologia Hyper-V per creare un’istanza pulita di Windows ogni volta che lo avviate. Una volta chiusa la finestra, tutto viene eliminato: software installato, file scaricati, modifiche di sistema. Come se non fosse mai successo nulla.

In questa guida vi mostro passo dopo passo come attivo e configuro Windows Sandbox su Windows 11, basandomi sulla mia esperienza diretta e sui casi d’uso reali che affronto nel lavoro quotidiano. Se avete mai avuto problemi di sistema come quelli che ho descritto nella mia guida su come risolvere la schermata blu BSOD su Windows 11, sapete bene quanto sia importante avere un ambiente sicuro dove testare prima di toccare il sistema principale.

Cos’è Windows Sandbox e Perché Dovresti Usarlo

Windows Sandbox è un ambiente desktop temporaneo e isolato pensato per eseguire applicazioni in modo sicuro. Utilizza la virtualizzazione hardware (Hyper-V) per creare un kernel separato che isola completamente il sandbox dal sistema host. A differenza di una VM tradizionale, è molto più efficiente perché riutilizza i file del sistema operativo già presenti sulla macchina, occupando solo circa 100 MB.

Le caratteristiche principali che lo rendono unico:

  • Istanza pulita: ogni avvio è come un’installazione fresca di Windows
  • Usa-e-getta: alla chiusura tutto viene eliminato permanentemente
  • Sicuro: utilizza la virtualizzazione hardware per l’isolamento del kernel
  • Leggero: riutilizza le pagine di memoria del sistema host per i binari del sistema operativo
  • Integrato: non serve scaricare nulla di aggiuntivo, è già incluso in Windows 11 Pro, Enterprise e Education

Un aspetto particolarmente utile: a partire da Windows 11 versione 22H2, i dati persistono attraverso i riavvii effettuati all’interno del sandbox. Questo è fondamentale quando testate applicazioni che richiedono un reboot per completare l’installazione.

Requisiti di Sistema per Windows Sandbox

Prima di procedere con l’attivazione, verificate che il vostro sistema soddisfi questi requisiti. All’inizio mi ero bloccato proprio su questo punto perché la virtualizzazione non era abilitata nel BIOS:

  • Edizione Windows: Windows 11 Pro, Enterprise o Education (purtroppo non disponibile su Windows 11 Home)
  • Processore: CPU a 64 bit con almeno 2 core e supporto alla virtualizzazione (Intel VT-x o AMD-V)
  • RAM: minimo 4 GB (consigliati 8 GB). Se volete sapere di più sulla RAM e come ottimizzarla, date un’occhiata al mio articolo su perché la RAM è così costosa e come risparmiare sull’upgrade
  • Storage: SSD consigliato per prestazioni ottimali, almeno 1 GB di spazio libero
  • Virtualizzazione: abilitata nel BIOS/UEFI

Verificare lo Stato della Virtualizzazione

Per controllare rapidamente se la virtualizzazione è attiva, aprite il Task Manager con Ctrl + Shift + Esc, andate nella scheda Prestazioni e verificate che la voce Virtualizzazione mostri “Abilitata”. Se non lo è, dovrete entrare nel BIOS/UEFI del vostro PC (solitamente premendo F2, F10, F12 o Canc all’avvio) e cercare l’opzione Intel VT-x, AMD-V o Virtualization Technology per attivarla.

Come Attivare Windows Sandbox su Windows 11

Ci sono diversi metodi per attivare Windows Sandbox. Vi mostro tutti quelli che uso, partendo dal più rapido.

Metodo 1: Tramite le Impostazioni di Windows 11 (Il Più Nuovo)

Con gli ultimi aggiornamenti di Windows 11 (a partire dalla versione 25H2), Microsoft ha introdotto una nuova pagina Impostazioni Avanzate che rende tutto più semplice. In precedenza questa sezione si chiamava “Per sviluppatori”, e ora permette di attivare le funzionalità Hyper-V, incluso Windows Sandbox, direttamente dalle impostazioni.

  1. Premete Win + I per aprire le Impostazioni
  2. Andate su Sistema > Avanzate > Aree di lavoro virtuali (Virtual Workspaces)
  3. Trovate l’interruttore Windows Sandbox e attivatelo
  4. Riavviate il PC quando richiesto

Metodo 2: Tramite Funzionalità Facoltative di Windows

Questo è il metodo classico che funziona su tutte le versioni di Windows 11:

  1. Premete Win + R, digitate OptionalFeatures.exe e premete Invio
  2. Nella finestra “Funzionalità Windows” che si apre, scorrete fino a trovare Windows Sandbox
  3. Spuntate la casella e cliccate OK
  4. Attendete l’installazione dei componenti necessari
  5. Cliccate su Riavvia ora

Metodo 3: Tramite PowerShell (Il Mio Preferito)

Da sysadmin, preferisco quasi sempre la linea di comando. Aprite PowerShell come Amministratore ed eseguite:

Enable-WindowsOptionalFeature -Online -FeatureName "Containers-DisposableClientVM" -All

Quando il sistema vi chiede di riavviare, digitate Y e premete Invio.

Metodo 4: Tramite DISM (Prompt dei Comandi)

Se preferite il Prompt dei comandi, apritelo come Amministratore e digitate:

Dism /online /Enable-Feature /FeatureName:"Containers-DisposableClientVM" -All

Anche in questo caso, confermate il riavvio con Y quando richiesto.

Nota importante: per disattivare Windows Sandbox in futuro, usate gli stessi metodi ma con i comandi inversi. In PowerShell: Disable-WindowsOptionalFeature -Online -FeatureName "Containers-DisposableClientVM". Oppure in CMD: Dism /online /Disable-Feature /FeatureName:"Containers-DisposableClientVM".

Come Usare Windows Sandbox per Testare Software

Dopo il riavvio, il sandbox è pronto all’uso. Ecco come lo utilizzo quotidianamente:

  1. Aprite il Menu Start e cercate “Windows Sandbox”
  2. Cliccate con il tasto destro e selezionate Esegui come amministratore
  3. Attendete qualche secondo: si aprirà un desktop Windows pulito e isolato
  4. Copiate il file da testare dal vostro sistema host (copia-incolla funziona direttamente tramite clipboard)
  5. Installate ed eseguite il software all’interno del sandbox
  6. Quando avete finito, chiudete semplicemente la finestra e confermate l’eliminazione

Nella mia esperienza, i casi d’uso più frequenti sono:

  • Testare software sconosciuto prima di installarlo sui PC dei clienti
  • Aprire allegati email sospetti in un ambiente isolato
  • Navigare siti web potenzialmente pericolosi senza rischi per il sistema principale
  • Verificare la compatibilità di applicazioni legacy in un ambiente pulito
  • Testare script e automazioni prima di eseguirli in produzione (simile a quello che faccio con gli script di automazione con AI locale)

Configurare Windows Sandbox con File .wsb

Qui arriva la parte che mi entusiasma di più. Windows Sandbox supporta file di configurazione in formato XML con estensione .wsb che permettono di personalizzare il comportamento dell’ambiente virtualizzato. Questa è una funzionalità che uso tantissimo nel mio lavoro.

I file .wsb consentono di controllare:

  • vGPU: abilitare o disabilitare la GPU virtualizzata
  • Networking: abilitare o disabilitare l’accesso alla rete
  • Cartelle mappate: condividere cartelle dall’host con permessi di lettura o scrittura
  • Comandi di logon: eseguire comandi all’avvio del sandbox
  • Audio/Video input: condividere microfono e webcam
  • Protected Client: aggiungere un ulteriore livello di sicurezza con AppContainer Isolation
  • Clipboard: abilitare o disabilitare la condivisione degli appunti
  • Stampanti: condividere le stampanti dell’host

Esempio 1: Sandbox Sicuro per Testare File Sospetti

Questo è il profilo che uso quando devo analizzare un file potenzialmente malevolo. Disabilito la rete per impedire qualsiasi comunicazione esterna e mappo solo la cartella con il file da analizzare in modalità di sola lettura:

<Configuration>
  <Networking>Disable</Networking>
  <VGpu>Disable</VGpu>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:UsersDarioDownloads</HostFolder>
      <SandboxFolder>C:UsersWDAGUtilityAccountDesktopFileTest</SandboxFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
</Configuration>

Salvate questo contenuto come sandbox-sicuro.wsb e fate doppio clic per avviare un sandbox isolato con la cartella Downloads mappata in sola lettura.

Esempio 2: Sandbox per Test Software con Rete Abilitata

Quando devo testare un’applicazione che richiede accesso a internet (ad esempio un software che si attiva online), uso questo profilo con rete abilitata ma Protected Client attivo per maggiore sicurezza:

<Configuration>
  <Networking>Enable</Networking>
  <VGpu>Enable</VGpu>
  <ProtectedClient>Enable</ProtectedClient>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:SandboxScripts</HostFolder>
      <SandboxFolder>C:tempscripts</SandboxFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>explorer.exe C:tempscripts</Command>
  </LogonCommand>
</Configuration>

Il LogonCommand apre automaticamente la cartella degli script al primo accesso. L’opzione ProtectedClient aggiunge un livello di isolamento extra tramite AppContainer, che fornisce isolamento a livello di credenziali, dispositivi, file, rete, processi e finestre.

Impostazioni Predefinite del Sandbox

Se avviate Windows Sandbox senza un file .wsb, queste sono le impostazioni predefinite con un limite massimo di 4 GB di memoria:

  • vGPU: Abilitata (su dispositivi non Arm64)
  • Networking: Abilitato (tramite Hyper-V Default Switch)
  • Audio input: Abilitato
  • Video input: Disabilitato
  • Protected Client: Disabilitato
  • Stampanti: Disabilitate
  • Clipboard: Abilitata

Novità di Windows Sandbox nella Versione Aggiornata

Con Windows 11 versione 24H2 e successivi, Microsoft ha rilasciato una versione rinnovata di Windows Sandbox disponibile dal Microsoft Store. Questo significa aggiornamenti più rapidi senza dover attendere gli aggiornamenti del sistema operativo.

Le novità principali che ho apprezzato particolarmente:

  • Interfaccia WinUI 3: design moderno basato sul Fluent Design System
  • Funzionalità runtime: clipboard, audio/video input e condivisione cartelle gestibili direttamente durante l’esecuzione dall’icona “…” in alto a destra, senza bisogno di un file .wsb preconfigurato
  • Supporto linea di comando: una versione preliminare del supporto CLI per Windows Sandbox
  • Impostazioni mouse sincronizzate: il sandbox ora rispetta le impostazioni del mouse del sistema host

Attenzione: nella versione 24H2 alcune app di sistema come Calcolatrice, Foto, Notepad e Terminale non sono disponibili all’interno del sandbox. Microsoft sta lavorando per ripristinare questa funzionalità.

Consigli di Sicurezza per l’Uso del Sandbox

Nella mia esperienza, questi sono i consigli che do sempre a chi inizia a usare Windows Sandbox:

  1. Disabilitate la rete quando testate malware: il networking abilitato può esporre la vostra rete interna ad applicazioni non attendibili
  2. Usate cartelle mappate in sola lettura: per evitare che software malevolo possa scrivere file sul sistema host
  3. Abilitate Protected Client quando testate software di cui non vi fidate completamente
  4. Non fate affidamento esclusivamente sul sandbox: per analisi malware avanzate, usate strumenti dedicati
  5. Create profili .wsb diversi per scenari diversi: uno sicuro senza rete, uno per test standard, uno per sviluppo

Questo approccio si integra perfettamente con una strategia di sicurezza più ampia, come quella che descrivo nel mio articolo sulla messa in sicurezza della rete Wi-Fi con segmentazione VLAN.

Problemi Comuni e Come Li Ho Risolti

Vi racconto i problemi in cui mi sono imbattuto e come li ho risolti:

Windows Sandbox Non Si Avvia

Il problema più comune è la virtualizzazione non abilitata nel BIOS. Verificate nel Task Manager (scheda Prestazioni) che la virtualizzazione sia attiva. Se non lo è, riavviate, entrate nel BIOS e cercate Intel VT-x o AMD-V.

Opzione Windows Sandbox Grigiata

Se l’opzione appare grigiata nelle Funzionalità Windows, probabilmente state usando Windows 11 Home, che non supporta Sandbox. Dovrete passare a Windows 11 Pro o superiore.

Prestazioni Lente nel Sandbox

Se il sandbox è lento, verificate di avere la vGPU abilitata (è attiva di default). Disabilitarla forza il rendering software tramite WARP, che è significativamente più lento. Anche una quantità insufficiente di RAM può causare rallentamenti: consiglio almeno 8 GB sul sistema host. Per approfondire la manutenzione ottimale del vostro PC, consultate la mia guida sulla manutenzione preventiva del portatile.

Errore Aggiornamento Bloccato

Se durante l’attivazione di Sandbox vi compare un errore di aggiornamento come 0x800f081f, potrebbe essere un problema di componenti Windows corrotti. Ho scritto una guida specifica su come risolvere l’errore 0x800f081f su Windows 11 che vi sarà utile.

FAQ

Windows Sandbox funziona su Windows 11 Home?

No, purtroppo Windows Sandbox non è disponibile su Windows 11 Home. È supportato solo sulle edizioni Pro, Enterprise e Education. Se utilizzate la versione Home, dovrete eseguire l’upgrade a Pro oppure considerare alternative di terze parti come Sandboxie Plus.

I dati salvati nel sandbox vengono conservati dopo la chiusura?

No, alla chiusura di Windows Sandbox tutti i dati vengono eliminati permanentemente: software installato, file scaricati, modifiche di sistema. Ogni nuovo avvio riparte da un’installazione pulita. L’unica eccezione è che dalla versione 22H2 i dati persistono durante i riavvii interni al sandbox (utile per installazioni che richiedono un reboot).

Posso eseguire più istanze di Windows Sandbox contemporaneamente?

No, al momento Windows Sandbox non supporta l’esecuzione di istanze multiple simultanee. Potete avere un solo sandbox attivo alla volta. Se avete bisogno di ambienti multipli, dovrete usare Hyper-V con macchine virtuali tradizionali.

Come trasferisco file dal mio PC al sandbox?

Il metodo più semplice è il copia-incolla: la clipboard è condivisa per impostazione predefinita tra host e sandbox. In alternativa, potete usare le cartelle mappate nei file di configurazione .wsb per condividere automaticamente cartelle specifiche all’avvio del sandbox.

Windows Sandbox è sicuro per analizzare malware?

Windows Sandbox offre un buon livello di isolamento grazie alla virtualizzazione hardware del kernel, ma non è progettato specificamente per l’analisi malware professionale. Per test di base su software sospetto è più che adeguato, specialmente con rete disabilitata e cartelle in sola lettura. Per analisi avanzate, consiglio strumenti dedicati come macchine virtuali con snapshot e tool di analisi forense.

Conclusione

Windows Sandbox su Windows 11 è uno strumento che ogni professionista IT dovrebbe conoscere e utilizzare. Nella mia esperienza, ha semplificato enormemente il workflow di test del software, eliminando la necessità di gestire macchine virtuali separate per attività rapide di verifica. L’attivazione è semplice — che scegliate la GUI o la linea di comando — e la personalizzazione tramite file .wsb lo rende adattabile a qualsiasi scenario.

Il mio consiglio è di crearvi una libreria di file .wsb per i vostri scenari più comuni: uno per il test sicuro senza rete, uno per test con internet, uno per lo sviluppo. Una volta configurato, diventerà parte integrante del vostro toolkit quotidiano.

Avete domande o suggerimenti su come usate Windows Sandbox? Lasciate un commento qui sotto, sono curioso di sapere i vostri casi d’uso!

Share: