Как работает безопасность в Windows Sandbox?

Безопасность в Windows Sandbox (Песочнице) работает за счёт изоляции ядра с помощью аппаратной виртуализации. learn.microsoft.com Гипервизор запускает отдельное ядро ОС и отделяет Песочницу от основного компьютера. habr.com learn.microsoft.com

Некоторые особенности работы безопасности в Песочнице:

• Ограничение вредоносных действий. trashbox.ru Основной антивирусный процесс передаёт контент процессу, работающему в изолированной среде с низким уровнем привилегий. trashbox.ru Если вредоносный файл сможет скомпрометировать этот процесс, доступ к остальной части системы будет закрыт, и атака завершится. trashbox.ru
• Изоляция ПО. habr.com Любое ПО, установленное в Песочнице, остаётся только в ней и не может взаимодействовать с основной ОС. habr.com
• Временный характер. learn.microsoft.com Песочница является временной, при закрытии удаляется всё программное обеспечение, файлы и состояние. learn.microsoft.com Каждый запуск предоставляет новый экземпляр. learn.microsoft.com
• Оптимизация энергопотребления. g-ek.com Песочница знает об уровнях заряда батареи хост-компьютера и оптимизирует свою работу для экономии энергии. g-ek.com