Die Windows Sandbox bietet eine gute Möglichkeit, Webseiten und Links sicher auf Schadsoftware zu überprüfen. Du kennst sicherlich das Gefühl, wenn Du einen Link per Mail oder Messenger (Teams usw. bekommst). Dann willst du kurz prüfen, ob die Seite echt ist. Aber du willst nicht, dass dein echter PC dabei das Risiko trägt und ggf. infiziert wird.

Genau hier ist ein Browser in einer Sandbox wunderbar geeignet. Du trennst das Surfen vom Hauptsystem und somit kannst Du zahlreiche Dinge testen. Und wenn du fertig bist, wird die Sandbox einfach wieder geschlossen und der Inhalt verworfen.

Der wichtigste Vorteil ist die Schadensbegrenzung. Wenn eine Seite versucht, im Hintergrund etwas zu verändern oder dir unerwünschte Downloads unterzuschieben, dann passiert das in einer isolierten Umgebung, das sogenannten Sandboxing. Gerade beim Prüfen von unbekannten Webseiten oder beim Öffnen von Dateien aus unsicheren Quellen ist das ein sehr gute Möglichkeit.

Wichtig ist dabei allerdings das Thema Netzwerk. In der Standardkonfiguration hat Windows Sandbox normalerweise Netzwerkzugriff. Das bedeutet, du hast Internet in der Sandbox. Es bedeutet aber auch, dass eine untrusted Anwendung theoretisch Netzwerkverbindungen aufbauen kann. Darum ist es sinnvoll, die Sandbox so zu konfigurieren, je nachdem, was du gerade testen willst. Dabei helfen wir WSB XML-Konfigurationsdateien, wie Du später sehen wirst.

Wenn du neben der Sandbox generell sicherer surfen willst, lohnt es sich auch, deinen Browser sauber zu pflegen und wichtige Schutzfunktionen zu aktivieren. Schau Dir dafür unsere Anleitung „5 Tipps für einen hacksicheren Browser“ genau an.

Wie kann ich die Sandbox überhaupt nutzen?

Wir haben hier auf Windows-FAQ.de eine ausführliche Anleitung erstellt, wie die Windows Sandbox funktioniert, wie man sie installiert bzw. aktiviert. Für erfahrene Anwender und Administratoren gibt es aber auch eine Möglichkeit, die Sandbox per PowerShell oder DISM Befehl zu installieren. Um spezielle Einstellungen für die Sandbox vorzunehmen, stellt Microsoft Gruppenrichtlinien bereit.

Browser in Windows Sandbox starten: Schritt für Schritt für sichere Tests

Um einen Browser (Was ist eigentlich ein Browser?) in der Sandbox zu starten und zu nutzen, müsst Ihr folgendes durchführen.

Windows Sandbox öffnen und den Browser direkt nutzen

  1. Öffne das Startmenü.
  2. Tippe Sandbox ein.
  3. Starte Windows Sandbox.
  4. Warte kurz, bis der Desktop in der Sandbox erscheint.
  5. Öffne den vorinstallierten Browser in der Sandbox (in der Regel Edge) und rufe die Webseite auf, die du prüfen willst.
  6. Wenn du fertig bist, schließe das Sandbox Fenster.

Das schöne an der Sandbox ist, dass Du immer in einer frischen und somit neuen Umgebung landest. Es sind keine Altdaten und alte Einstellungen vorhanden.

Inkognito Modus in der Sandbox: wann es sinnvoll ist

Wenn du die Sandbox schließt, werden alle durchgeführten Änderungen verworfen. Trotzdem kann ein privater bzw. ein Inkognito Modus im Browser sinnvoll sein, wenn du während einer Sitzung weniger Cookies und Formulardaten erzeugen möchtest.

Sandbox per WSB Datei gestartet

Windows Sandbox konfigurieren mit WSB Datei: mehr Kontrolle für Browser Tests

Wenn du regelmäßig Webseiten testen willst, ist eine WSB Datei sehr sinnvoll. Das ist eine XML-Datei, die entsprechende Einstellungen für die Sandbox festlegt. Ein Doppelklick startet die Sandbox dann immer mit deinen Einstellungen. Du kannst damit Netzwerk gezielt aktivieren oder deaktivieren. Du kannst die Windows Zwischenablage abschalten oder Du kannst auch Ordner vom Host einbinden, wenn du es wirklich brauchst.

So erstellst du eine WSB Datei unter Windows

  1. Öffne Editor.
  2. Füge eine Konfiguration ein, siehe Beispiele unten.
  3. Klicke auf Datei und dann auf Speichern unter.
  4. Wähle als Dateityp Alle Dateien.
  5. Gib einen Namen mit der Endung „.wsb“ an, zum Beispiel „BrowserTest.wsb„.
  6. Speichere die Datei auf dem Desktop oder in Dokumente.
  7. Starte die Sandbox über Doppelklick auf die WSB Datei.

Beispiel WSB Datei für Webseiten Checks mit Netzwerk

Diese XML Vorlage schaltet das Netzwerk in der Sandbox ein, damit du Webseiten wirklich öffnen kannst. Sie schaltet ein paar Dinge ab, die du beim Testen oft nicht brauchst.

<Configuration> 
<Networking>Enable</Networking> <vGPU>Disable</vGPU> <AudioInput>Disable</AudioInput> 
<VideoInput>Disable</VideoInput> <PrinterRedirection>Disable</PrinterRedirection> 
<ClipboardRedirection>Enable</ClipboardRedirection>
</Configuration>

Natürlich ist ein aktiviertes Netzwerk auch ein Sicherheitsproblem, denn über das Netzwerk können sich Schadprogramme auch weiter verteilen.

Beispiel WSB Datei für maximale Isolation beim Surfen

Hier nun eine XML-Datei für eine Sandbox mit Netzwerk, aber ohne Windows Zwischenablage

<Configuration> 
<Networking>Enable</Networking> <vGPU>Disable</vGPU> <AudioInput>Disable</AudioInput> 
<VideoInput>Disable</VideoInput> <PrinterRedirection>Disable</PrinterRedirection> 
<ClipboardRedirection>Disable</ClipboardRedirection> <ProtectedClient>Enable</ProtectedClient> 
</Configuration>

Protected Client“ kann eine zusätzliche Schutzschicht aktivieren, kann aber leider auch das Kopieren und Einfügen von Daten einschränken.

Beispiel WSB Datei für Datei Tests ohne Internet

Diese XML-Datei ist ideal, wenn du einen Download oder einen Anhang nur öffnen willst, ohne dass irgendetwas Netzwerkzugriff bekommt.

<Configuration> 
<Networking>Disable</Networking> <vGPU>Disable</vGPU> <AudioInput>Disable</AudioInput> 
<VideoInput>Disable</VideoInput> <PrinterRedirection>Disable</PrinterRedirection> 
<ClipboardRedirection>Enable</ClipboardRedirection> 
</Configuration>

Webseiten in der Sandbox auf Gefahren prüfen: so gehst du praktisch vor

Eine Sandbox ist wie ein Einweg-Handschuh. Du ziehst sie an, du testest, dann wirfst Du sie weg. Das bringt sehr viel Sicherheit.

So checkst du eine Webseite Schritt für Schritt auf typische Gefahren

  1. Starte die Sandbox möglichst über eine WSB Datei.
  2. Öffne die Webseite nur in der Sandbox, nicht auf deinem echten Windows.
  3. Achte auf Browser Warnungen und blockierte Inhalte. Das betrifft besonders Phishing und verdächtige Downloads.
  4. Gib keine echten Zugangsdaten ein, wenn du nicht hundertprozentig sicher bist. Eine Sandbox schützt nicht davor, dass du Daten auf einer gefälschten Seite eintippst.
  5. Wenn die Seite dir sofort Downloads anbietet oder dich zu Erweiterungen drängt, dann brich ab.
  6. Wenn du eine Datei wirklich prüfen willst, lade sie in der Sandbox herunter. Öffne sie dort und schließe nach dem Test die Sandbox.

Die Windows Sandbox ist genau für solche Testaktionen gedacht.

Auf was solltest Du achten beim Testen in einer Sandbox?

Du bekommst oft schon ohne Spezialtools starke Hinweise, dass etwas mit einer Webseite oder einer Datei nicht stimmt. Für Windows ist hier besonders SmartScreen wichtig. Weitere Infos dazu findest Du unter „Windows SmartScreen Aufgabe und Funktion„.

SafeSearch SmartScreen

Phishing ist ein sehr wichtiges Thema, weil es dich nicht über eine technische Lücke angreift, sondern über Täuschung. Wenn du mehr erfahren willst, wie der integrierte Phishing Schutz in Windows funktioniert und wo du ihn findest, dann schau Dir „Phishing Schutz in Windows 11 aktivieren“ an. Windows bietet für die Pro und Enterprise Versionen auch Phishing Gruppenrichtlinien an.

Viele unerwünschte Programme sind keine klassischen Viren, nerven aber trotzdem. Dafür gibt es z.B. Schutzfunktionen im Browser gegen potentiell unerwünschte Anwendungen. Mehr Informationen dazu unter „PUA Protection in Edge aktivieren„.

Wenn du mit Google Chrome arbeitest, dann kannst Du auch mit Chrome Safe Browsing sicher surfen.

Nach dem Test: was du auf deinem echten Windows tun solltest

Unabhängig, ob Du mit einer Sandbox arbeitest oder nicht, ein passenden Virenschutz für Windows ist unumgänglich. Wer keinen Virenschutz eines Drittherstellers verwendet, sollten unbedingt den Windows Defender aktivieren.

Wenn du eine Datei aus der Sandbox doch übernommen hast oder du dir unsicher bist, dann scanne den Ordner gezielt auf Gefahren. Wenn Du denkst, dass Dein PC evtl. verseucht sein kann, dann solltest Du mit Tools die Malware entfernen bei Windows.

Browser in Sandbox - FAQ

Häufige Fragen zu Browser in Sandbox auf Windows

Kann ich mit einem Sandbox Browser Webseiten sicher auf Gefahren checken?

Ja, eine Sandbox eignet sich hervorragend um Webseiten auf Gefahren zu checken.

Aber es gibt Grenzen. Eine Sandbox schützt dich nicht davor, dass du selbst Daten auf einer Fake Seite eingibst. Wenn du also prüfen willst, ob eine Login Seite echt ist, ist die wichtigste Regel ganz simpel. Gib keine echten Passwörter ein, bevor du dir sicher bist. Schau Dir auch unsere Anleitung über die Grundregeln für sicheres Surfen im Internet an.

Welche Vorteile bringt mir ein Browser in der Sandbox wirklich?

Du bekommst jedesmal, wenn Du die Sandbox startest, eine frische Umgebung für einen Test. Nach dem Schließen wird alles verworfen. Das ist perfekt für riskante Webseiten und für unbekannte Downloads. Du bekommst außerdem eine klare Trennung von Cookies, Cache und Session Daten, weil du nicht in deinem normalen Browser Profil surfst.

Was ist der Unterschied zwischen Sandbox Browser und Inkognito Modus?

Ein Inkognito Modus ist vor allem eine Datenschutz-Funktion im Browser. Er ändert nicht das Betriebssystem Umfeld. Eine Sandbox ist dagegen eine völlig getrennte Umgebung.

Warum hat meine Sandbox manchmal kein Internet

In der Standardkonfiguration der Sandbox ist das Netzwerk normalerweise immer aktiviert. Wenn du trotzdem kein Internet hast, liegt es oft daran, dass du Netzwerk über eine WSB Datei oder per GPO deaktiviert hast.

Alternative zum Browser in Windows Sandbox: Application Guard und was du heute wissen musst

Viele kennen noch Microsoft Defender Application Guard als Browser Isolation für „untrusted Seiten“ in einem separaten Container. Für ältere Systeme und bestimmte Unternehmensumgebungen war das sicherlich eine gute Möglichkeit Inzwischen ist diese Funktion aber offiziell veraltet. Ab Windows 11 Version 24H2 ist sie nicht mehr verfügbar.

Wenn du trotzdem in einer Umgebung arbeitest, in der Application Guard noch genutzt wird, dann schaue Dir unsere Anleitungen „Windows Defender Application Guard installieren“ und „Windows Defender Application Guard Einstellungen„. Außerdem gibt es noch „Application Guard Extension für Google Chrome installieren

– NTLM vs Kerberos – Was sind die Unterschiede?
– Laptop startet nicht mehr – Schritt für Schritt Anleitungen
– Häufige Fragen zum Windows 11 Boot Stick – FAQ