Microsoft place les applications de bureau dans des conteneurs avec Windows Sandbox. (crédit : Microsoft)
Une dernière fonctionnalité de Windows 10 Pro et de Windows 10 Enterprise permet d'exécuter des applications desktop non fiables dans des environnements isolés plus souples que dans des machines virtuelles.
Microsoft a doté les versions builds 18305 et suivantes de Windows 10 Pro et de Windows 10 Enterprise d'une nouvelle fonctionnalité qui permet de créer des environnements desktop jetables pour tester et développer des logiciels. Normalement, les développeurs doivent exécuter une machine virtuelle ou utiliser un système distinct pour faire tourner leurs nouvelles applications ou des apps instables. Mais selon Microsoft, « la nouvelle fonctionnalité Windows Sandbox basée sur les récentes technologies de conteneurs ajoutées à Windows offre un niveau élevé d'isolement pour les apps individuelles ».
Au lancement, Windows Sandbox ouvre une fenêtre affichant un desktop Windows semblable à une VM. Il suffit ensuite d'ajouter les fichiers et les applications dans le processus sandbox par simples glisser-déposer ou copier-coller, et de les exécuter tels quels. Aucune action réalisée dans la sandbox ne peut affecter l'hôte. Et quand la sandbox est fermée, tout son contenu est effacé. Pour l'instant, les fonctionnalités de Windows Sandbox sont très limitées. Par ailleurs, il semble impossible de sauvegarder et de restaurer l'état de plusieurs bacs à sable. Enfin, les API de Windows Sandbox, si jamais il y en a, ne sont pas encore documentées.
Un principe similaire à Docker
Le mode de fonctionnement de Windows Sandbox est directement lié au travail réalisé par Microsoft dans la virtualisation et les conteneurs. Quand un nouveau processus sandbox est mis en route, les fichiers du système d'exploitation qui tourne à l'intérieur de l'image ne sont rien d'autre que des liens immuables vers les fichiers de l'OS de l'hôte, comme c'est le cas de la couche image du système de fichiers Docker. Toutes les modifications apportées au système de fichiers, par exemple les apps lancées dans le bac à sable et les données générées par ces apps, sont enregistrées séparément. Les processus de la sandbox bénéficient également d'une gestion de mémoire plus flexible. Ils peuvent restituer la mémoire inutilisée à l'hôte, contrairement aux machines virtuelles qui tournent avec une quantité de mémoire préaffectée non modifiable.
On trouvait déjà des programmes tiers offrant des fonctions similaires à Windows Sandbox, sans parler des VM complètes via VirtualBox, Parallels ou VMware Desktop. Il y a même une application nommée Sandboxie, disponible depuis 2004, permettant d'exécuter des applications Windows en mode isolé offrant de nombreuses options. Cependant, Sandboxie ne fonctionnait pas avec certaines applications, notamment les apps UWP Windows 10, de nombreux programmes antivirus ou des programmes utilisant des shells de protection contre la copie comme les jeux distribués par Steam.
Suivez-nous