BlueRidge AppGuard 4.x Einstellungen

[micrei]

Hallo zusammen,

ich habe zwei Fragen zu AppGuard:

1. Ich versuche gerade AppGuard 4.0.17.0 in Verbindung mit Sandboxie 4.08 zu konfigurieren (Win 7 64bit). Laut Anleitung und auch gemäß diesem Thread müsste ich nur C:Sandbox als Folder im Register GuardedApps mit Read/Write eintragen.
Wenn ich das mache, kann ich aber weder Browser noch E-Mail-Programm in der Sandbox starten: "SBIE2335 Initialization failed for process ..." Es hilft auch nichts C:Sandbox im UserSpace einzutragen.
Lediglich wenn ich zusätzlich bei den Power Applications sbiescv.exe vom Sandboxie Programmordner (der bei mir auf D: installiert ist) hinzufüge, läuft alles. Ist diese Konfiguration so richtig? Ich habe gelesen, dass man bei den PowerApps keine Sandboxie-Dateien eintragen soll.

2. Wenn ich ein Programm installieren möchte, muss ich bei AppGuard den Schutzlevel auf Install verringern. Wie kann ich denn vermeiden, dass zu diesem Zeitpunkt nicht auch irgendeine Malware mitinstalliert wird (mal davon ausgehend, ich hätte Sandboxie nicht als weiteren Schutz)? Sollte man immer einen Reboot machen und dann die Software installieren, so dass etwaige Malware z.B. aus dem RAM-Speicher verschwunden ist?

Vielen Dank.
Michael

[SLE]

Zu 1) Mal genauer:
a.) Das Programm Sandboxie ist bei dir unter D installiert? Das wäre essentiell weil du ggf. schon dadurch das ganze Zonenkonzept aushebst.
b.) Ist das der Standardprogrammordner?
c.) In welchem Ordner ist deine Sandbox bzw. deine Sandboxen.

Man braucht bei AppGuard 4 im Normalfall gar keine Ausnahmen für Sandboxie.

Zu 2)
Wenn man AppGuard ohne AV einsetzt sollte man wissen was man installiert, sonst ggf. mit AV prüfen.
Wenn man vorher irgendwas am System ausführt was riskant sein könnte, dann lockert man in derselben Sitzung niemals die Sicherheitseinstellungen oder installiert was.
Alle andere Fälle: Wie soll Malware aktiv werden, während AppGuard läuft?

[Der Moloch]

Man braucht bei AppGuard 4 im Normalfall gar keine Ausnahmen für Sandboxie.

Zumindest C:\Sandbox muss unter Guarded Apps mit read/write eingetragen werden, sofern AppGuard noch nicht von Haus aus mit dieser Einstellung kommt.

[SLE]

Zumindest C:\Sandbox muss unter Guarded Apps mit read/write eingetragen werden, sofern AppGuard noch nicht von Haus aus mit dieser Einstellung kommt.

Stimmt NUR, wenn eine nicht "permanent gefüllte" Sandbox da liegt, denn dann würde ja u.U. im Systemspace geschrieben.
Sollte beim Fragesteller aber nicht so sein, vielmehr denke ich da die Sandbox schon im Userspace installiert ist müsste hier der Installationsordner ausgeschlossen werden (include=no). Aber hier warte ich mal die Antworten auf obige Fragen ab.

Der Beitrag wurde von SLE bearbeitet: 04.05.2014, 22:51

[micrei]

Also der Programmordner Sandboxie ist auf D: im Userspace installiert, aber die Sandbox selbst ist bei mir in C:\Sandbox
Dann müsste ich also in Appguard im Userspace D:\Sandboxie mit Include = no hinzufügen, oder?

[SLE]

Dann müsste ich also in Appguard im Userspace D:\Sandboxie mit Include = no hinzufügen, oder?

Ja.

Also der Programmordner Sandboxie ist auf D: im Userspace installiert, aber die Sandbox selbst ist bei mir in C:\Sandbox

Zusätzlich hier deinen Eintrag unter Guarded Apps, Folder, "Read/Write" lassen. Alle anderen Eintragungen, die du für Sandboxie vorgenommen hast löschen.

Der Beitrag wurde von SLE bearbeitet: 05.05.2014, 08:54

[Krond]

Ich muss diesen Faden nochmals hervor holen. Gestern hatte ich ein Gespräch mit einem Freund, wo zufälliger Weise auch die Sprache auf AppGuard gekommen ist - fragt mich nicht, war ein lange, feucht-fröhliche Nacht....

Folgende Frage stellt sich mir nun, was das Programm angeht: AppGuard sollte ja gegen das Einfallstor "Internet" (Drive-By, unerwünschte Programmausführungen, usw.) absichern, so weit so gut. Mein Freund war sich nicht ganz im Klaren, was es mit User- und Systemspace auf sich hatte.... Als ich ihm das Konzept erklärte, verstand er es auch. Allerdings kamen mir im Zuge der Erklärungen Bedenken, ob die normale mittlere Sicherheitsstufe überhaupt gegen solche Attacken schützen kann...

Hintergrund ist ja jener, dass Programme, die aus dem Userspace gestartet werden, immer überwacht (guarded) ausgeführt werden. Toll, guarded-Apps haben aber Schreib-Lese-Rechte auf den Userbereich, nur auf Systembereiche dürfen diese nicht schreiben.

Hole ich mir nun einen unerwünschten Download, der mir meine Dateien im Userspace verschlüsselt oder löscht, habe ich Pech gehabt. Oder nicht? Die privaten Dateien wären jedenfalls kaputt, gelöscht oder eben verschlüsselt, da ja im Userbereich angesiedelt.

Einzig der Lock-Down-Modus würde hier schützen, da ein Programm aus dem Userbereich erst gar nicht starten kann (auch nicht guarded). Allerdings hebe ich den Wartungsaufwand (Aus-/Einschalten des Modus) wieder unnötig an, noch dazu, weil die automatische Reaktivierung ja nur auf den mittleren Modus geht soweit ich weiß.

Auch die Definition von Ordnern als private (sodass die Programme nicht zugreifen können) steigert wieder den Wartungsaufwand, weil Programme, die guarded eingetragen sind, wieder nicht drauf zugreifen können. Außerdem ist der Konfigurationsaufwand extrem hoch, weil bei jedem neuen Ordner, der irgendwo angelegt wird, überlegt werden muss und drann gedacht werden muss, diesen auf private zu setzen.

Hat sich hier irgendwo ein Denkfehler bei mir in der Nacht zwischen dem x-ten und y-ten Bier eingeschlichen? War das in der 3er-Version auch schon so auf der Stufe "high", die es ja nicht mehr gibt? Kann mich ehrlich gesagt nicht mehr erinnern.

[Der Moloch]

Damit Malware auf Medium starten kann, muss sie digital signiert sein. Im Übrigen stimme ich zu, dass für einen vernünftigen Schutz vor Ransomware die privaten Ordner entsprechend konfiguriert werden müssen und Lockdown angezeigt ist. Selbst auf Lockdown könnten private Ordner noch Sinn machen, falls die Verschlüsselung im Rahmen eines Exploits direkt durch das kompromittierte Programm erfolgt - so weit sind wir aber zum Glück noch nicht.

Da du gerade Ransomware ansprichst, frage ich mich, inwiefern der Memory Guard auf Medium hier Abhilfe schaffen könnte. CTB-Locker und Cryptowall 3 missbrauchen ja Explorer.exe und svchost.exe für ihre Drecksarbeit. Allerdings weiß ich nicht, wie genau dieser Missbrauch stattfindet, da es entscheidend für die Funktion von MemoryGuard ist. Meines Wissens nach (mit Vorbehalt, ich bin mir nicht sicher!) blockt MemoryGuard keine Speicherzugriffe zwischen Vaterprozess und Kindsprozess. D.H. wenn die Malware eine bestehende Instanz von Explorer und svchost angreifen will, sollte es geblockt werden. Wird allerdings eine eigene Instanz erzeugt, bin ich mir nicht mehr sicher. Dazu weiß ich zu wenig über MemoryGuard.