Die Windows Sandbox ist ein integriertes Sicherheitsfeature mit dem Software und Dateien in einer isolierten Umgebung gefahrlos getestet werden können. Stellt Euch die Sandbox als einen kleinen, separaten Windows-PC innerhalb Eures echten PCs vor. Alles, was in dieser Sandbox passiert – sei es das Installieren einer unbekannten Software oder das Surfen auf fragwürdigen Internetseiten – bleibt komplett von Eurem Haupt-Windows getrennt.

Sobald Ihr die Sandbox schließt, werden alle Änderungen verworfen, und beim nächsten Start der Sandbox erhaltet Ihr wieder ein frisches Windows-System. In diesem Blogbeitrag erklären wir Euch Schritt für Schritt, was die Windows Sandbox macht, wie sie funktioniert, und wie Ihr sie unter Windows 10 und Windows 11 einrichtet. Außerdem klären wir Fragen nach den Voraussetzungen, den Kosten und was der Begriff „Sandbox“ im Gaming-Bereich bedeutet.

Was macht die Windows Sandbox?

Die Windows Sandbox dient vor allem der Erhöhung der Sicherheit Eures PCs. Sie wurde mit Windows 10 eingeführt, um Anwendern eine einfache Möglichkeit zu geben, potenziell gefährliche Programme oder Dateien sicher zu testen, ohne das eigentliche Windows-System zu gefährden. Wenn Ihr z.B. eine unbekannte .exe-Datei aus dem Internet heruntergeladen habt oder einen E-Mail-Anhang öffnen möchtet, dem Ihr nicht ganz traut – dann könnt Ihr das innerhalb der Sandbox tun.

In dieser isolierten Umgebung kann eine mögliche Schadsoftware keinen Schaden anrichten, denn sie hat keinen Zugriff auf Euer Host-System. Die Sandbox ist quasi ein virtuelles Windows in Windows: Ihr startet darin ein frisches Mini-Betriebssystem, könnt Software installieren, Einstellungen vornehmen oder im Internet surfen. Beim Schließen der Sandbox wird alles darin rückstandslos gelöscht, als wäre nichts geschehen.

Das nächste Mal startet Ihr wieder mit einer sauberen Umgebung. Dadurch eignet sich die Sandbox ideal, um unbekannte Anwendungen zu prüfen, neue Software auszuprobieren oder Webseiten zu besuchen, ohne dass Euer eigentliches Windows davon betroffen ist.

Sandbox VM Windows 11

Ein weiterer Vorteil der Sandbox ist, dass sie sehr benutzerfreundlich ist. Ihr müsst keine separate virtuelle Maschine manuell einrichten oder konfigurieren. Die Sandbox wird direkt von Windows bereitgestellt und ist mit einem Klick startklar. Zudem teilt sie sich im Hintergrund viele Komponenten mit Eurem Haupt-Windows, was sie ressourcenschonender macht als herkömmliche virtuelle Maschinen.

Ihr erhaltet die volle Windows-Umgebung, aber in einer sicheren Box, aus der nichts Schädliches entkommen kann. Kurz gesagt: Die Windows Sandbox macht Euren PC sicherer, indem sie Euch einen Testbereich gibt, in dem Ihr nach Herzenslust experimentieren könnt, ohne bleibende Folgen befürchten zu müssen.

Wie funktioniert die Windows Sandbox?

Technisch basiert die Windows Sandbox auf der Virtualisierungstechnologie Hyper-V von Microsoft. Das bedeutet, dass im Hintergrund eine abgespeckte virtuelle Maschine gestartet wird, die das gleiche Betriebssystem verwendet wie Euer Host-PC. Diese virtuelle Maschine ist jedoch vollständig isoliert: Sie hat einen eigenen Kernel und eigene Systemprozesse, getrennt vom Host.

Alle Programme, die Ihr in der Sandbox ausführt, laufen nur innerhalb dieser virtuellen Umgebung. Dank spezieller Technologien nutzt die Sandbox dabei intelligent die Ressourcen Eures PCs. Beispielsweise werden viele Systemdateien des Hosts in der Sandbox nur schreibgeschützt eingebunden, anstatt sie komplett zu duplizieren.

GPOs Windows-Sandbox

Dadurch ist die Sandbox relativ leichtgewichtig: Sie benötigt weniger Speicher und Festplattenplatz als eine normale VM und startet auch schneller. Innerhalb weniger Sekunden öffnet sich das Fenster der Sandbox, und Ihr seht einen Desktop, der aussieht wie ein frisches Windows – meist mit dem gleichen Windows-Build und Patch-Stand wie Euer Hauptsystem.

Standardmäßig ist die Sandbox sehr restriktiv eingestellt, um maximale Sicherheit zu gewährleisten. So bestehen keinerlei direkten Netzwerkverbindungen oder Laufwerksfreigaben zwischen Sandbox und Host. Das bedeutet, dass ein Programm in der Sandbox nicht einfach auf Eure persönlichen Dateien zugreifen oder ins Heimnetz gelangen kann.

Internetzugriff ist in der Standardeinstellung ebenfalls deaktiviert, damit etwaige Schadsoftware innerhalb der Sandbox nicht ins Internet telefonieren oder weiteren Schaden anrichten kann. (Fortgeschrittene Nutzer können diese Einstellungen allerdings ändern – Microsoft stellt spezielle Windows Sandbox Gruppenrichtlinien bereit, mit denen man z.B. den Netzwerkzugriff oder das Austauschen der Zwischenablage erlauben kann.

Details dazu findet Ihr in unserem Beitrag Windows Sandbox Gruppenrichtlinien.) Der einzige einfache Weg, Daten zwischen Host und Sandbox auszutauschen, ist die Zwischenablage: Ihr könnt also z.B. eine Datei auf Eurem Host kopieren und dann drinnen in der Sandbox einfügen (Strg+C/Strg+V). Drag & Drop wird hingegen nicht unterstützt. Auf diese Weise könnt Ihr z.B. einen Installer in die Sandbox kopieren, dort ausführen und beobachten, wie er sich verhält – ohne Risiko für Euer Hauptsystem.

Windows Sandbox aktivieren – Schritt-für-Schritt-Anleitung

Die Windows Sandbox ist zwar in Windows integriert, aber zunächst nicht automatisch aktiviert. Ihr müsst sie einmalig einschalten, da sie als optionales Feature vorliegt. Hier zeigen wir Euch Schritt für Schritt, wie Ihr die Sandbox unter Windows 10 (und analog unter Windows 11) installiert und startet:

Voraussetzungen für die Windows Sandbox prüfen

Stellt sicher, dass Ihr Windows 10 oder Windows 11 in der Pro-, Enterprise- oder Education-Edition verwendet. In den Home-Editionen ist die Sandbox leider nicht verfügbar. Außerdem muss die Hardware-Virtualisierung Eures PCs aktiviert sein. In den meisten Fällen ist diese Funktion (Intel VT-x oder AMD-V) bereits im BIOS/UEFI eingeschaltet. Falls nicht, müsstet Ihr sie dort aktivieren, bevor die Sandbox funktioniert. Ohne aktivierte Virtualisierung kann die Sandbox nicht gestartet werden.

Windows-Features öffnen

Drückt die Tastenkombination Windows-Taste + R, gebt dann „optionalfeatures“ ein und bestätigt mit OK. Alternativ könnt Ihr in der Windows-Suche nach „Windows-Features aktivieren oder deaktivieren“ suchen und den entsprechenden Eintrag auswählen. Daraufhin öffnet sich das Fenster „Windows-Features“ mit einer Liste aller optionalen Windows-Komponenten.

Windows Sandbox installieren

Sandbox Feature einschalten

Scrollt in der Liste der Windows-Features nach unten, bis Ihr „Windows-Sandbox“ findet. Setzt ein Häkchen vor „Windows-Sandbox“. (Stellt sicher, dass auch die Unterkomponente Hyper-V aktiviert wird – normalerweise geschieht das automatisch, da die Sandbox darauf aufbaut.) Klickt nun auf OK, um die Sandbox-Komponente zu installieren.

Installation abwarten

Windows installiert nun die erforderlichen Dateien für die Sandbox. Dieser Vorgang dauert in der Regel weniger als eine Minute. Es erscheint eine Fortschrittsanzeige mit dem Hinweis „Änderungen werden angewendet„. Wartet, bis die Installation abgeschlossen ist. Anschließend fordert Windows Euch auf, den Rechner neu zu starten, damit die Änderungen wirksam werden.

Neustart durchführen

Startet Euren PC neu, sobald Ihr dazu aufgefordert werdet. Während des Neustarts richtet Windows die Virtualisierungsumgebung ein. Nach dem Hochfahren ist die Sandbox einsatzbereit.

Windows Sandbox starten

Öffnet nun das Startmenü und gebt in die Suche „Sandbox“ ein. Ihr solltet die Desktop-App Windows Sandbox als Treffer sehen. Klickt darauf, um die Sandbox zu starten. (Beim allerersten Start kann es ein paar Sekunden dauern, da im Hintergrund das isolierte Windows-System vorbereitet wird.)

Isolierte Umgebung nutzen

Es öffnet sich ein Fenster, das aussieht wie ein simpler Windows-Desktop – das ist Eure Sandbox. Ihr könnt dieses Fenster maximieren, um praktisch im „zweiten Windows“ zu arbeiten. Nun könnt Ihr innerhalb der Sandbox alles Mögliche tun: Öffnet zum Beispiel den Edge-Browser, um sicher zu surfen, oder installiert ein Programm, das Ihr testen möchtet. Wenn Ihr eine Datei von Eurem Host-System in der Sandbox ausprobieren wollt, kopiert die Datei zunächst auf Eurem normalen Desktop (oder im Explorer) und fügt sie dann in der Sandbox ein (Rechtsklick Einfügen oder Strg+V im Sandbox-Fenster). Die Datei wird in der Sandbox erscheinen, und Ihr könnt sie dort gefahrlos öffnen oder ausführen.

Sandbox schließen

Sandbox schließen

Seid Ihr mit Eurem Test fertig, könnt Ihr die Sandbox einfach wie ein normales Programmfenster schließen (zum Beispiel über das X oben rechts). Es erscheint eine Warnung, dass alle innerhalb der Sandbox vorgenommenen Änderungen verworfen werden. Bestätigt das Schließen. Die Sandbox fährt dann den virtuellen Windows-Container herunter. Sobald das Fenster zu ist, ist von Euren Aktionen nichts mehr übrig – weder Malware, noch installierte Tools, noch geänderte Einstellungen. Euer Host-System bleibt unverändert und sicher.

Tipp: Wenn Ihr regelmäßig mit der Sandbox arbeitet, könnt Ihr Euch eine Verknüpfung zur Windows Sandbox anlegen, um sie schneller zu starten. Ansonsten genügt es, im Startmenü „Sandbox“ zu suchen. Für fortgeschrittene Anwender bietet Microsoft übrigens auch die Möglichkeit, die Sandbox über die Kommandozeile zu installieren. Wie das per PowerShell-Befehl oder mit dem DISM-Tool funktioniert, haben wir im Beitrag Sandbox per PowerShell Befehl oder mit DISM installieren beschrieben. Normalerweise ist die oben gezeigte Methode über die Windows-Features jedoch am einfachsten und effektivsten.

Hat Windows 11 eine Sandbox?

Ja, Windows 11 verfügt ebenfalls über die Windows Sandbox. Die Sandbox ist in Windows 11 Pro, Enterprise und Education weiterhin vorhanden und funktioniert nach dem gleichen Prinzip wie unter Windows 10. Die Schritte zum Aktivieren sind praktisch identisch: Über die optionalen Windows-Features könnt Ihr die Sandbox in Windows 11 einschalten, genau wie oben beschrieben. Nach einem Neustart findet Ihr die „Windows Sandbox“ auch in Windows 11 im Startmenü. Die Benutzeroberfläche und das Verhalten der Sandbox sind unter Windows 11 gleich – Ihr erhaltet ein isoliertes Windows-Umfeld, in dem Ihr sicher experimentieren könnt. Kurz gesagt: Wenn Ihr von Windows 10 Pro auf Windows 11 Pro wechselt (oder eine entsprechende Edition nutzt), müsst Ihr auf die Sandbox-Funktion nicht verzichten. Sie ist weiterhin kostenlos integriert und ein wertvolles Sicherheits-Tool in Windows 11.

Ist die Windows Sandbox kostenlos?

Die Windows Sandbox selbst ist kostenlos in Windows enthalten, es fallen also keine zusätzlichen Lizenzkosten oder Gebühren an, wenn Ihr eine dafür geeignete Windows-Version besitzt. Ihr müsst nichts herunterladen (die benötigten Komponenten sind Teil des Betriebssystems) und keine extra Software kaufen. Allerdings ist zu beachten, dass die Sandbox nur in bestimmten Windows-Editionen zur Verfügung steht. In Windows 10/11 Home gibt es die Sandbox-Funktion nicht.

Das bedeutet, wenn Ihr derzeit eine Home-Edition habt, müsstet Ihr auf Windows Pro upgraden, um die Sandbox nutzen zu können – und dieses Upgrade ist natürlich nicht kostenlos. Habt Ihr jedoch Windows 10 Pro (oder Enterprise/Education) oder Windows 11 Pro auf Eurem PC, dann könnt Ihr die Sandbox ohne weitere Kosten aktivieren. Zusammengefasst: Die Sandbox selbst kostet nichts, da sie Teil von Windows ist, aber Ihr benötigt eine geeignete Windows-Version, um sie verwenden zu können.

Sandbox-Spiel Windows

Was heißt „Sandbox“ beim Spielen?

Der Begriff „Sandbox“ wird nicht nur in der IT-Sicherheit, sondern auch im Gaming verwendet, hat dort aber eine andere Bedeutung. Wenn man von einem „Sandbox-Spiel“ spricht, meint man ein Spiel, das dem Spieler eine offene, frei gestaltbare Welt bietet – quasi einen „Sandkasten“, in dem man nach eigenen Vorstellungen spielen kann. In Sandbox-Games gibt es oft keine strenge Missionsstruktur oder lineare Handlung.

Stattdessen können Spieler die Spielwelt frei erkunden, eigene Ziele setzen und kreativ mit der Umgebung interagieren. Bekannte Beispiele für Sandbox-Spiele sind zum Beispiel Minecraft oder Grand Theft Auto im freien Modus: Man kann bauen, experimentieren oder einfach umherstreifen, ohne fest vorgegebene Pfade. Der Name „Sandbox“ kommt dabei von der Idee des Sandkastens, in dem Kinder spielen – man hat verschiedene „Spielzeuge“ und nahezu unbegrenzte Möglichkeiten, selbst zu entscheiden, was man damit anstellt.

Wichtig ist: Die Sandbox in Windows und die Sandbox im Spiele-Kontext sind nicht das Gleiche. Die Namensgleichheit beruht lediglich auf dem Prinzip des freien, geschützten Raums. In Windows ist die Sandbox ein isolierter Computer innerhalb des Computers, um Sicherheit zu erhöhen.

Beim Spielen bezeichnet Sandbox ein Spieldesign, das Freiheit und Kreativität lässt. Beide Konzepte teilen die Idee, dass man in einem abgegrenzten Bereich nach Belieben Dinge ausprobieren kann – sei es nun Software testen ohne Schäden (Windows Sandbox) oder in einer virtuellen Spielewelt tun und lassen, was man möchte (Sandbox-Game).

Fazit

Die Windows Sandbox ist ein mächtiges Werkzeug für alle, die ihren PC vor Schaden bewahren und trotzdem unbekannte Programme oder riskante Aktionen ausprobieren möchten. Gerade für Privatanwender, die häufig Software aus dem Internet testen oder neugierig auf neue Tools sind, bietet die Sandbox eine unkomplizierte Möglichkeit, dies ohne Risiko zu tun. Ihr habt gelernt, was die Sandbox macht und wie sie funktioniert: Sie stellt ein temporäres Windows in einem abgekapselten virtuellen Container bereit, der beim Schließen wieder verworfen wird.

Wir haben Euch gezeigt, wie Ihr die Sandbox Schritt für Schritt aktiviert und nutzt – unter Windows 10 genauso wie unter Windows 11. Die häufigen Fragen nach der Verfügbarkeit und den Kosten haben wir ebenfalls beantwortet: In den Pro-/Enterprise-Versionen von Windows ist die Sandbox kostenlos integriert, in Home-Versionen allerdings nicht verfügbar. Abschließend wisst Ihr nun auch, dass „Sandbox“ im Spiele-Bereich etwas völlig anderes meint, nämlich eine offene Spielwelt zum kreativen Austoben.

Probiert die Windows Sandbox gerne einmal selbst aus, wenn Ihr sie zur Verfügung habt. Sie kann Euch im Alltag viel Ärger ersparen – etwa wenn Ihr Euch nicht sicher seid, ob ein Download vertrauenswürdig ist. Einfach in der Sandbox testen, anstatt das Risiko auf dem echten System einzugehen. Für erfahrene Nutzer gibt es zudem erweiterte Einstellungen und sogar Skriptmöglichkeiten, um die Sandbox zu konfigurieren. Alles in allem zeigt die Windows Sandbox, wie leicht und effektiv man heute für mehr Sicherheit sorgen kann.

Windows startet nicht – was tun?
Browser in Sandbox unter Windows – Webseiten sicher überprüfen

– Alternativen zu Sysprep für Deployment und Standard Images
– So kannst Du testen, ob die Hardware Virtualisierung schon aktiv ist