Page 1 sur 1
[Tutoriel] Windows Sandbox, tout sur le fichier .WSB
Posté : dim. 28 sept. 2025 10:48
par pboulanger

Dans le tutoriel précédent (voir encadré ci-après), je vous parle de Windows Sandbox !
Saviez-vous qu’on peut personnaliser son comportement avec de simples fichiers .wsb ? 
Et mieux encore : vous pouvez lancer plusieurs sandbox en même temps, chacune avec sa propre config
.
viewtopic.php?t=47176
Tout , ou presque, sur le fichier .WSB
Définition
Un fichier .wsb (Windows Sandbox Configuration File) est un fichier texte au format XML qui permet de personnaliser le comportement de Windows Sandbox.

Windows Sandbox est un environnement isolé et temporaire intégré à Windows 10/11 Pro et Entreprise, qui sert à tester logiciels, scripts ou fichiers suspects sans risque pour le système principal.
Le fichier .wsb permet notamment de définir :
- l’accès au réseau, au GPU, au micro et à la webcam,
- les dossiers partagés entre l’hôte et la sandbox,
- les commandes ou scripts à exécuter automatiquement au démarrage,
- des options de sécurité comme le copier-coller ou l’impression.
Chaque .wsb est indépendant et peut être adapté à un usage spécifique (ex. sandbox de navigation web sécurisée, test logiciel, développement…).
Liste des fonctions .wsb
Un fichier .wsb est structuré en balises XML. Chaque balise a un rôle précis.
Voici la liste des plus utiles :
Paramètres généraux
- <Configuration>
└ Racine obligatoire du fichier (tout est dedans).
- • <VGpu> – contrôle l’accélération graphique
- Default → Sandbox choisit automatiquement
- Enable → Force l’usage du GPU (meilleures perfs graphiques)
- Disable → Pas d’accélération (plus sûr, mais plus lent)
- <Networking> – active ou désactive le réseau/Internet
- Enable → Réseau activé
- Disable → Pas de réseau (utile pour tests isolés)
- • <AudioInput> – contrôle l’accès au micro
- Enable → Micro activé
- Disable → Micro bloqué
- <VideoInput> – contrôle l’accès à la webcam
- Enable → Webcam activée
- Disable → Webcam bloquée
- <ProtectedClient> – protège certaines applis (mode sécurité renforcée)
Gestion des dossiers partagés
- <MappedFolders>
└ Conteneur de tous les dossiers partagés
- <MappedFolder>
└définit un dossier partagé
- <HostFolder> :
└chemin sur ton PC (ex. C:\Test)
- <SandboxFolder> (optionnel) :
└chemin d’accès dans la Sandbox (sinon par défaut sur le Bureau)
- <ReadOnly> :
- true → lecture seule
- false → lecture/écriture
Commandes automatiques
- <LogonCommand>
└ Définit une commande exécutée à l’ouverture de la Sandbox
- <Command>
└ Ligne de commande ou script à lancer (ex. cmd.exe, powershell.exe, ou chemin vers un .bat)
Sécurité & intégration
- <ClipboardRedirection> – contrôle le copier-coller entre hôte et Sandbox
- Enable → Copier-coller activé
- Disable → Copier-coller bloqué
- <PrinterRedirection> – contrôle l’accès aux imprimantes
- Enable → Impression activée
- Disable → Impression bloquée
Mémoire
- • <MemoryInMB>
└ Définit la quantité de RAM allouée (ex. 4096 pour 4 Go).
Si absent → allocation dynamique automatique.
Voici un exemple de fichier .wsb combinant plusieurs options :
Code : Tout sélectionner
<Configuration>
<VGpu>Enable</VGpu>
<Networking>Disable</Networking>
<AudioInput>Disable</AudioInput>
<VideoInput>Disable</VideoInput>
<ClipboardRedirection>Disable</ClipboardRedirection>
<PrinterRedirection>Disable</PrinterRedirection>
<MemoryInMB>4096</MemoryInMB>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\SandboxShare</HostFolder>
<SandboxFolder>C:\Partage</SandboxFolder>
<ReadOnly>false</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>powershell.exe -ExecutionPolicy Bypass -File C:\Partage\init.ps1</Command>
</LogonCommand>
</Configuration>
Pour en savoir plus
https://learn.microsoft.com/fr-fr/windo ... hatgpt.com
Re: [Tutoriel] Windows Sandbox, tout sur le fichier .WSB
Posté : dim. 28 sept. 2025 19:53
par ace_N_kelly
Dommage de ne pas pouvoir booter sur un iso comme sur une VM...
À moins que j'ailles perdu des bouts
Merci pour le tuto

Re: [Tutoriel] Windows Sandbox, tout sur le fichier .WSB
Posté : lun. 29 sept. 2025 11:52
par pboulanger
Bonjour Ace,
C'est la limite de cet outil ...
- Windows Sandbox → c’est une fonctionnalité intégrée à Windows 10/11 Pro/Enterprise qui permet de lancer un mini-Windows jetable basé sur une image système (c’est toujours une version « standardisée » de ton Windows, pas un ISO personnalisé). On peut l’« injecter » avec des scripts ou des applications via des fichiers .wsb, mais pas lui dire directement : « démarre sur tel ISO ».
- Booter directement sur un ISO → ça correspond plutôt à un environnement virtualisé (Hyper-V, VirtualBox, VMware, QEMU, etc.) ou à un boot réel (USB, PXE). Là, on monte l’ISO comme média de démarrage.
Donc en résumé :
Avec Windows Sandbox

tu ne peux pas booter sur un ISO personnalisé. Tu peux seulement copier/déployer du contenu dedans au démarrage via le fichier .wsb.
Si tu veux vraiment booter un ISO

il faut utiliser une VM (Hyper-V, VirtualBox, VMware) ou un boot physique (clé USB / réseau).
Re: [Tutoriel] Windows Sandbox, tout sur le fichier .WSB
Posté : jeu. 2 juil. 2026 09:58
par MickDev
Super tuto sur les fichiers .WSB ! Je voulais vraiment en savoir plus sur ce sujet depuis un moment. Maintenant que j'ai lu ce tutoriel, j'utilise régulièrement les fichiers .WSB pour tester des plugins WordPress suspects avant de les intégrer sur un site client. C'est vraiment utile pour gagner en sécurité et en temps. Pour les développeurs web comme moi, il est risqué d'installer un plugin ou un thème WordPress sans vérifier sa provenance. Par exemple, si un client me fournit un plugin, je ne peux pas être sûr qu'il est sans danger. C'est là que les fichiers .WSB sont utiles. Je peux créer une Windows Sandbox avec un dossier partagé, copier l'archive du plugin, l'extraire et analyser le code pour détecter des fonctions dangereuses comme eval() ou base64_decode(). Cela me permet de détecter rapidement des backdoors ou des obfuscations suspectes. L'utilisation d'un fichier .WSB est beaucoup plus efficace que de passer par l'interface graphique. Récemment, j'ai configuré une Windows Sandbox avec un dossier client en lecture seule et un dossier de sortie en écriture. Un script PowerShell installe automatiquement un environnement WordPress vierge via WP-CLI. Chaque session démarre dans un environnement propre, sans persistance entre les tests, ce qui garantit une isolation fiable. Il est important de noter que la Sandbox conserve un accès réseau par défaut. Mais je peux désactiver l'accès réseau dans le fichier .WSB si je veux analyser des exécutables ou scripts suspects sans risque de communication externe. Par contre, si je teste des plugins qui dépendent de ressources distantes, comme l'API WordPress.org, je dois laisser le réseau actif. Ce tutoriel est vraiment pertinent et répond à un manque de contenu technique de qualité sur ce sujet. Une idée intéressante pour un complément pourrait être un exemple de configuration .WSB avec une stack complète (PHP, base de données, etc.) pour tester des CMS comme WordPress ou Joomla dans des conditions proches de la production.