Windows Sandbox: Hardware-Beschleugigung für den Firefox ‐ Seite 1/3

Eines des sinnvollsten Extras der Professional- und Enterprise-Versionen von Windows 10 und 11 ist die Windows Sandbox. Sie wurde mit dem Windows 10 Insider Build 18305 und dann offiziell im Mai 2019 mit Windows 10 Version 1903 eingeführt und dient zum sicheren Testen von Programmen und Programmerweiterungen, ohne dass sich diese auf das eigentliche Betriebssystem auswirken. Optional kann man auch den Grafikprozessor in der Sandbox zum Rechnen einspannen, doch während Edge davon sofort Gebrauch macht, zeigt sich der Firefox widerwillig.

Unter Edge wurde die virtualisierte GPU sowohl für 3D-Aufgaben als auch für die Beschleunigung von Videos genutzt, während der Firefox in beiden Fällen auf die deutlich langsamere Software-Berechnung über den Prozessor ausweicht. Und das geschah nicht nur bei Grafikchips von NVIDIA, sondern auch bei jenen von AMD. Da für ein bestimmtes Projekt allerdings genau diese Hardware-Beschleugigung des Firefox in der Windows Sandbox gefordert wurde, mussten wir eine Lösung finden. Und das ist uns letztendlich auch gelungen.

Windows Sandbox: Grundlagen

Doch was ist diese Windows Sandbox (auf Deutsch: Sandkiste) eigentlich? Es ist eine virtuelle Maschine, auf der als Gastsystem eine reduzierte Version des installierten Windows 10 oder 11 läuft. Die Sandbox ist vom Hostsystem weitgehend isoliert, so dass bösartigen Anwendungen oder Webseiten der zugrundeliegenden Windows-Installation nicht schaden können. Zudem ist das Gastsystem nur temporär. Wird es geschlossen, gehen alle Änderungen verloren. Beim Neustart ist auch dann alles frisch und sauber, wenn man zuvor eine Schad-Software ausgeführt hatte. Eine Ausnahme hiervon gibt es seit Windows 11 Build 22509: Wird das Gastsystem nicht heruntergefahren, sondern neu gestartet, bleibt der letzte Status erhalten. Dies ist nützlich beim Test von Programmen, die nach ihrer Installation auf einem Neustart beharren.

Um die Windows Sandbox nutzen zu können, muss als Betriebssystem eine Professional- oder Enterprise-Version von Windows 10 oder 11 installiert sein. Im UEFI (vormals BIOS) des PC muss die Virtualisierung aktiviert sein und die verwendete Hardware muss eine Virtualisierung unterstützen. Da Windows 10 und 11 die Sandbox standardmäßig nicht verwenden, muss diese einmalig eingerichtet werden. Dies funktioniert wie folgt:

• Im Suchfeld der Taskleiste tippt man Windows Features aktivieren oder deaktivieren ein (oder kopiert diesen Text).
• Wir klicken auf das Suchergebnis Windows Features aktivieren oder deaktivieren in der Systemsteuerung.
• In der Liste scrollen wir bis Windows-Sandbox und setzen das Häkchen.
• Nach der Bestätigung mit OK wird die Sandbox als zusätzliches Feature installiert.
• Nach einem Neustart findet sich die Verknüpfung zur Windows Sandbox im Startmenü unter W.

Windows Sandbox: vGPU konfigurieren

Das Konfigurieren der Windows Sandbox findet über eine Textdatei statt, welche die Dateinamenerweiterung .wsb erhält. Wenn man eine solche .wsb-Datei anklickt, startet die Windows Sandbox unter Berücksichtigung der darin enthaltenen Vorgaben. Zur Übergabe der Werte werden XML-Strukturen verwendet. Es ist dabei nicht notwendig, alle möglichen Werte zu übergeben. Es reicht völlig aus, sich auf die von der Standardkonfiguration abweichenden Werte zu beschränken. In unserem Fall wäre das der Wer vGPU, der standardmäßig deaktiviert ist. Der Inhalt der Konfigurationsdatei sieht also wie folgt aus:

<Configuration>
<vGPU>Disable</vGPU>
</Configuration>

Diesen speichern wir in eine Datei namens Sandbox-mit-vGPU.wsb und führen diese mit einem Doppelklick aus. Nun startet die Windows Sandbox unter Verwendung der virtuellen GPU, sofern Hardware und Treiber dies erlauben. Im Gerätemanager der Windows Sandbox wird die Grafikkarte des Hostsystems nun aufgeführt:

Standardmäßig wird in der Windows Sandbox kein Code auf dem Grafikchip (GPU) ausgeführt, da ein weiterer Prozessor auch ein weiteres potentielles Angriffsziel darstellt. Wird die Sicherheit priorisiert, sollte die vGPU nicht genutzt werden. Will man jedoch 3D-Aufgaben oder die Videowiedergabe testen, kommt man um die virtualisierte GPU kaum herum. Selbst leistungsstarke CPUs sind für typische GPU-Aufgaben nur schlecht gewappnet.