在最新的Windows 10 Insider预览版系统当中，微软新增了一项小白鼠玩具期待已久的功能：Windows Sandbox沙盒，堪称是以身试毒的法宝！

虽然沙盒类软件由来已久，但由微软直接集成至Windows内还是首次。相比虚拟机和第三方的沙盒软件，Windows Sandbox启用后仅占用100MB硬盘空间，还能与物理机安全地共享部分内存空间。简单来说就是易用、免费、不卡机！

首次打开Windows Sandbox的过程与开启普通程序别无二致，不需要像VMWare、Hyper-V虚拟机那样需要自己安装系统和初始化，打开后直接进入到一个全新的影子系统。影子系统的硬盘容量40GB，适合测试软件或分析疑似病毒程序。

凭借硬件虚拟化技术，Sandbox沙盒内的程序无法直接访问物理设备，不用担心病毒扩散和个人数据泄露。不过跟虚拟机不太一样的是，微软的这个沙盒功能每次关闭都会清零影响，相当于强制自动还原的影子系统，如果你想用它多开游戏软件的话，可能并不是很合适。

作为微软自己的沙盒软件，沙盒内运行程序的性能自然很受关注。根据微软的建议，安装和使用Windows Sandbox需要至少双核CPU、4GB内存和1GB硬盘空间，同时建议至少配备4核CPU、8GB内存，并安装固态硬盘。存储极客的测试平台使用了四核八线程的酷睿i7 7700K，8GB内存和东芝TR200 960G固态硬盘。

对比物理机的性能，沙盒大约能发挥出80%~95%的CPU性能。

沙盒虚拟化对存储性能的影响更大一些，由于要保证沙盒内的数据不泄露并影响物理系统，所有文件读写都经过了重定向。由于性能开销比较大，需要在电脑中安装一颗性能较好的固态硬盘才能流畅运行。

这颗TB级容量的TR200固态硬盘使用了东芝TC58NC1010GSB主控搭配东芝自家BiCS三维闪存，在物理机中4K随机读写性能不凡，不过到了沙盒中受到虚拟化的限制，只能发挥出一成左右的随机读写能力。尽管如此，已经足以保障沙盒内程序的流畅运行。

最后让我们实际演示下如何利用沙盒功能“安全地作死”吧：在Windows Sandbox中运行WanaCry勒索病毒。沙盒内的虚拟影子系统随即被感染，个人文档被加密。

而此时物理机不需要断网，也不需要特意安装杀毒软件，所有的病毒感染都被限制在沙盒系统之内。并且只要关闭沙盒，这些病毒产生的影响也会随之消失。

总结下沙盒跟虚拟机的区别：微软沙盒系统占用体积小，仅需100MB硬盘空间。沙盒对系统资源消耗小，部分只读的内核文件实现与物理机内存共享。沙盒关闭后清空影响，不怕病毒感染，相当于虚拟机开启了快照还原。

二者相同点：都使用硬件虚拟化技术，增强虚拟机/沙盒内运行性能。虚拟化隔绝，程序无法直接接触到物理硬件，不怕病毒入侵物理机。都需要固态硬盘帮助实现流畅的运行。