Windows Sandboxのセキュアな設定

目的

Windows Sandboxをより安全に、快適に使ってみる。（ためのconfigのメモ）

必要な環境 (公式より抜粋)

Windows 10 Pro or Enterprise Insider build 18305 or later
AMD64 architecture
Virtualization capabilities enabled in BIOS
At least 4GB of RAM (8GB recommended)
At least 1 GB of free disk space (SSD recommended)
At least 2 CPU cores (4 cores with hyperthreading recommended)

なお、Windows サンドボックスを有効化すると100MBほどディスク容量を使います。

インストール手順

Windows FeaturesからWindows Sandboxを選択し、インストール、再起動。
config.wsbファイルを好きな場所（デスクトップなど）作成（"{ユーザー名}"は自身のユーザー名に置き換えてください。）なお、デフォルトの設定で起動するのであれば、configファイルは作成しなくともよいです。

<Configuration>
   <VGpu>Enable</VGpu>
   <Networking>Disable</Networking>
   <AudioInput>Disable</AudioInput>
   <VideoInput>Disable</VideoInput>
   <ProtectedClient>Enable</ProtectedClient>
   <PrinterRedirection>Disable</PrinterRedirection>
   <ClipboardRedirection>Disable</ClipboardRedirection>
   <MappedFolders>
      <MappedFolder>
         <HostFolder>C:\Users\{ユーザー名}\Downloads</HostFolder>
         <SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads</SandboxFolder>
         <ReadOnly>true</ReadOnly>
      </MappedFolder>
   </MappedFolders>
   <LogonCommand>
      <Command>explorer.exe C:\Users\WDAGUtilityAccount\Downloads
      </Command>
   </LogonCommand>
</Configuration>

config.wsbでは、下記を設定

パフォーマンス向上のため仮想GPUをオン
セキュリティ強化のためネットワーク/ビデオ入力/オーディオ入力/プリンタリダイレクト/クリップボードをオフ (クリップボードをオフにしているのでホスト-ゲスト間でコピペができません。)
セキュリティ強化のためProtectedClientをオン(RDPの機能制限を行っている模様)
利便性向上のため、ダウンロードフォルダを読み取りのみでサンドボックス内のダウンロードフォルダにマウント

利用方法

config.wsbをダブルクリックで起動。（サンドボックスが有効化されていればwsbファイルはサンドボックスに紐づけられているはず。）

備考

ホストのImageファイルを利用して実行しているため、Windows Sandbox内のWindowsのバージョンはホストと同じものとなる。
configファイルであるwsbファイルで、相対パスが利用できないため、wsbを各ユーザー向けに作成する必要がある。
Windowsにプリインストールされているアプリ以外は起動の度にインストールしなおさないといけない。(実質Officeが利用できない。)

まとめ

現在の機能では、OfficeやAdobe、アンチウイルスソフト(Windows Defenderは別)がインストールされていない状態のゲストマシンしか作成できないため、利用用途は狭い。（毎回インストールするのはさすがに時間の無駄かと。）主な利用用途は不審なパスワード付きZipファイルを解凍する程度か。

Windows 10 21H1のアップデートはマイナーアップデートになると予想されているため、Windows Sandboxの大幅な機能改善は望めない。そのため、便利に使えるようになるまではまだかかりそう。