Windows Sandbox: ambiente usa e getta per testare software senza rischi

Pubblicato il 17/07/2026 Windows

Ti arriva un installer da una fonte non proprio ufficiale, o vuoi provare un programma prima di fidarti abbastanza da installarlo sul PC vero: Windows Sandbox è la risposta integrata in Windows 10/11 Pro, Enterprise ed Education. Crea un ambiente Windows temporaneo e completamente isolato dal sistema host, che sparisce senza lasciare traccia alla chiusura.

Requisiti e attivazione

Serve virtualizzazione hardware attiva nel BIOS/UEFI (Intel VT-x o AMD-V) e un'edizione Pro o superiore. Si attiva da PowerShell come amministratore:

Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online

Dopo il riavvio, "Windows Sandbox" compare nel menu Start come una normale applicazione.

Come funziona

Ogni volta che la apri ottieni un desktop Windows pulito, generato al volo a partire dalla stessa installazione del sistema host (non scarica una ISO separata, quindi l'avvio richiede pochi secondi). Puoi copiare-incollare file dal PC reale dentro la sandbox, installare e provare qualsiasi cosa. Alla chiusura della finestra, tutto — file, modifiche al registro, programmi installati — viene eliminato in modo permanente e irreversibile.

Un caso d'uso concreto: verificare un installer sospetto

  1. Copia l'installer scaricato in una cartella condivisa o trascinalo direttamente nella finestra della Sandbox.
  2. Eseguilo ed esplora: dai un'occhiata a cosa installa davvero, se apre connessioni di rete inattese, se modifica impostazioni di sistema.
  3. Chiudi la Sandbox: tutto torna come prima, il PC reale non ha mai visto quel software.

Automatizzare la configurazione con i file .wsb

Puoi predefinire cartelle condivise, comandi di avvio automatico e altre opzioni con un file di configurazione .wsb (XML), da lanciare con doppio click invece di configurare tutto manualmente ogni volta:

<Configuration>
  <MappedFolders>
    <MappedFolder>
      <HostFolder>C:\SandboxShare</HostFolder>
      <ReadOnly>true</ReadOnly>
    </MappedFolder>
  </MappedFolders>
  <LogonCommand>
    <Command>explorer.exe C:\Users\WDAGUtilityAccount\Desktop\SandboxShare</Command>
  </LogonCommand>
</Configuration>

ReadOnly impostato a true impedisce che un eventuale malware nella sandbox possa scrivere sulla cartella condivisa e quindi "uscire" verso il PC host — un dettaglio da non dimenticare quando la cartella condivisa contiene l'installer da testare.

Cosa la Sandbox NON sostituisce

Non è pensata per l'analisi di malware avanzato: condivide il kernel con l'host tramite tecnologie di virtualizzazione leggera, e alcune tecniche di evasione dei sandbox potrebbero, in teoria, rilevarne la presenza. Per test di sicurezza seri su campioni sospetti resta preferibile una VM completa e isolata di rete (VirtualBox/VMware con rete "host-only" o disabilitata). Per il caso comune — "voglio provare questo programma senza sporcare Windows" — la Sandbox è invece perfetta: veloce, integrata, zero configurazione di dischi virtuali da gestire.