Sandboxie Free, zur Browser Selbstreinigung Einstellungen

[subset]

Sandboxie, Englisch, Freeware
http://www.sandboxie.com/

Einleitung

Sandboxie ist den meisten wahrscheinlich schon länger bekannt, für alle übrigen deswegen nur eine kurze Erklärung:
Eine Anwendung wird über Sandboxie gestartet und alle Veränderungen am System finden danach nur noch in der Sandbox statt, einem vom Rest des eigentlichen Systems isolierten Bereich.
Alle übrigen Anwendungen können von Außen ganz normal auf die Sandbox zugreifen, sie ist einfach ein Ordner im Hautverzeichnis vom Systemlaufwerk.
Von der Sandbox nach Außen gelangt normal jedoch nichts, denn Sandboxie kopiert alle benötigten Daten in die Sandbox hinein.

Als Beispiel ein Browser der über Sandboxie gestartet wurde:
Ein Schadprogramm gelangt in das Browser Cache (nicht wirklich, da es in der Sandbox ist) und will die x.exe verändern.
Sandboxie kopiert die x.exe in die Sandbox und das Schadprogramm verändert die x.exe (wieder nicht wirklich, da das nur in der Sandbox stattfindet).
Das Schadprogramm ist scheinbar erfolgreich, aber in Wirklichkeit überhaupt nicht.
Weder befindet sich im echten Browser Cache ein Schadprogramm noch wurde die echte x.exe verändert.
Beides fand nur in der Sandbox statt, hatte also keine Auswirkungen auf das echte System und nach dem Leeren der Sandbox sind das Schadprogramm und die veränderte x.exe gelöscht.

Wo liegen nun die Unterschiede zwischen Sandboxie und GeSWall?
- GeSWall verfolgt quasi alle Dateien über alle Festplatten und isoliert jede Einzelne, sichtbar am roten Rahmen.
Am Speicherort der Dateien werden keinerlei Veränderungen vorgenommen, alles landet auf dem gleichen Platz wie ohne GeSWall.
Der Vorteil: alles ist an seinem Platz, nichts geht verloren.
- Sandboxie hingegen kopiert alle erforderlichen Dateien vom echten System in die „Scheinwelt“ der Sandbox.
Das System selbst bleibt unverändert, alle Veränderungen durch das Programm, das in der Sandbox läuft, finden nur in der Sandbox statt, ob Virenbefall oder Browserupdate.
Löscht man die Sandbox, gehen alle diese Veränderungen mit verloren.
Der Vorteil: nichts wird am eigentlichen System verändert, alles geht mit dem Leeren der Sandbox verloren.

Das Konfigurationsbeispiel (Browser Selbstreinigung) habe ich nach diesen Anforderungen erstellt:
Sicher im Internet surfen ohne Notwendigkeit eines Web AV Hemmschuhes und mit der Gewissheit, dass nach dem Beenden des Browser der ganze Mist gelöscht wird.
Außerdem soll die Sandbox möglichst dicht gehalten werden.
Ich habe nur wenige Ausnahmen für Downloads und Browser Addons erstellt und den Zugriff auf sensible Daten geblockt und den Zugriff auf das Internet streng limitiert.
Als Browser habe ich Firefox gewählt.

Die Installation

Die Installationsdatei ist nur 373 KB groß, ein Autostart (sbiectrl.exe), ein Service (sbiesvc.exe) und ein Treiber (sbiedrv.sys) werden installiert.

Der Resourcenverbrauch mit und ohne aktive Sandbox Anwendung.

 11Performance.png ( 9.56KB ) Anzahl der Downloads: 272


Sandboxie erzeugt einen Link für den Standardbrowser auf dem Desktop.
Man braucht diesen nur Doppelklicken und der Browser wird automatisch in der Sandbox gestartet.

 12DefaultBrowser.png ( 7.67KB ) Anzahl der Downloads: 64


Die Konfiguration

Vor dem ersten Start sollte man die Sandbox einrichten.
Dazu wählt man im Hauptfenster die „Sandbox Settings“

 13SBSettings.png ( 8.72KB ) Anzahl der Downloads: 227


In den Settings kann man dann die Vorgaben (Desktop, Eigene Dateien) löschen und sein persönliches Download Verzeichnis hinzufügen.

 14Recovery.png ( 16.44KB ) Anzahl der Downloads: 368


Wenn man will, dass Downloads sofort im Originalverzeichnis landen, sollte man diese Option aktivieren.

 15Immediate.png ( 13.59KB ) Anzahl der Downloads: 337


Nach dem Herunterladen einer Datei öffnet sich dieses Fenster und man muss das Retten des Downloads mit „Recover“ genehmigen.
So werden ungewollte Downloads in dieses Verzeichnis verhindert (Drive-by-Download).

 16Recover.png ( 6.87KB ) Anzahl der Downloads: 262


Bei der nächsten Einstellung wird die Sandbox nach dem Beenden des Browsers automatisch gelöscht.
Ich bevorzuge diese Einstellung, da damit alle Surfspuren automatisch beseitigt werden.
Der Nachteil ist eine leichte Verzögerung bei jedem Browserstart, da alle erforderlichen Dateien jedes Mal erst in die Sandbox kopiert werden müssen.
Es spricht aber auch nichts dagegen, diese Einstellung nicht zu aktivieren, also die Sandbox beim Beenden des Browsers nicht zu löschen.
Auf die übrigen Einstellungen hat das keinen Einfluss.

 17DeleteSB.png ( 13.76KB ) Anzahl der Downloads: 253


Die nächste Einstellung betrifft den Internetzugang von Programmen die in der Sandbox laufen.
Hier habe ich nur Firefox ausgewählt, um sicherzustellen, dass sonst keine Programme aus der Sandbox heraus nach Hause telefonieren dürfen.

 18InetAccess.png ( 15.21KB ) Anzahl der Downloads: 336


Den direkten Zugriff auf Dateien aus der Sandbox heraus habe ich wieder auf Firefox beschränkt und nur auf für mich wichtige Dateien.
Für die NoScript Regeln:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
Für die Lesezeichen:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
Für die Sitzungswiederherstellung:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
Für Adblock Plus Regeln:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini

 19FileAccess.png ( 16.5KB ) Anzahl der Downloads: 330


Firefox oder Addons updaten, neue Addons oder Themes installieren usw. funktioniert mit diesen Einstellungen nicht, aber das will ich mit dem Browser in der Sandbox auch gar nicht.
Dazu starte ich den Browser nur für das Update normal.
Hier geht mir die Sicherheit vor dem Komfort.

Aber wer will kann auch die vorgefertigten Profile aktivieren.

 20Browser.png ( 16.69KB ) Anzahl der Downloads: 269


Oder wie oben einfach den direkten Zugriff von Firefox (mit OpenFilePath=firefox.exe,) auf relevante Dateien erlauben.
Für die Profilordner und das Programmverzeichnis sind das diese Pfade:
C:\Programme\Mozilla Firefox
C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox
Natürlich öffnet man dadurch die Sandbox weiter als mit den von mir bevorzugten Einstellungen.

Die nächsten Einstellungen betreffen Bereiche, auf die auch aus der Sandbox heraus nicht zugegriffen werden darf.

 21Blocked.png ( 16.69KB ) Anzahl der Downloads: 317


Das sind meine übrigen Sicherheitsprogramme und Ordner bzw. Partitionen mit privaten Daten.

C:\Programme\Returnil
C:\Programme\Tall Emu\Online Armor
C:\Programme\Avira
C:\RETURNIL
%Local Settings%\Anwendungsdaten\Thunderbird
%AppData%\Thunderbird
%Personal% (Eigene Dateien)
D:
S:

Und zusätzlich habe ich noch den Windows und Programme Ordner als Read only Ordner eingefügt.

 22Read.png ( 14.47KB ) Anzahl der Downloads: 219


C:\Programme funktioniert aber nur, wenn man den Browser aus der Sandbox heraus nicht updaten will.

Resümee

Mit diesen Einstellungen hat man ein System der Selbstreinigung für den Firefox Browser.
Ob gut oder schlecht, alles wird entsorgt.
Ähnlich lassen sich auch andere Browser für Sandboxie konfigurieren.

MfG

[Peter 123]

Ja, wirklich toll von dir erläutert, subset. Auch wenn ich noch weit davon entfernt bin, tatsächlich zu durchschauen was dabei abläuft. (Du wirst es auch an meiner Frage unten sehen.) Aber ich habe mich jetzt einmal ganz an dein "Kochrezept" gehalten, eine zweite Sandbox namens "Operabox" angelegt und "streng" konfiguriert.

Bei der Default-Box habe ich vorerst einmal diese Restriktionen nicht vorgenommen, sondern bei ihr nur den Internetzugriff auf Firefox, Internet Explorer und die drei Messenger beschränkt. Insofern ist die Default-Box derzeit nicht ganz nach deinen hohen Sicherheitsstandards konfiguriert.

Zunächst meine Bitte:
Könntest du dir ansehen, ob (mit diesen eben genannten Prämissen) meine Einstellungen - vor allem unter Sicherheitsgesichtspunkten - in Ordnung sind? Ich kopiere zu diesem Zweck den Inhalt meiner Sandbox.ini-Datei herein. Damit haben ja vielleicht auch andere so eine Art Muster, was in dieser drinnenstehen sollte/könnte. Das, was du uns als sicherheitsrelevant erläutert hast, habe ich in roter Farbe hervorgehoben:

[GlobalSettings]

ProcessGroup=<InternetAccess_DefaultBox>,firefox.exe,iexplore.exe,skype.exe,msnmsgr.exe,yahoomessenger.exe
ProcessGroup=<InternetAccess_Operabox>,opera.exe
ProcessGroup=<restricted>,opera.exe,Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe

[DefaultBox]

ConfigLevel=4
AutoRecoverIgnore=.jc!
AutoRecoverIgnore=.part
RecoverFolder=%Personal%
RecoverFolder=%Favorites%
RecoverFolder=%Desktop%
LingerProcess=trustedinstaller.exe
LingerProcess=wuauclt.exe
LingerProcess=devldr32.exe
LingerProcess=syncor.exe
LingerProcess=jusched.exe
LingerProcess=acrord32.exe
Enabled=y
BoxNameTitle=n
AutoDelete=y
NeverDelete=n
CopyLimitKb=250000
AutoRecover=y
ClosedFilePath=!<InternetAccess_DefaultBox>,\Device\RawIp
ClosedFilePath=!<InternetAccess_DefaultBox>,\Device\Ip*
ClosedFilePath=!<InternetAccess_DefaultBox>,\Device\Tcp*
ClosedFilePath=!<InternetAccess_DefaultBox>,\Device\Afd*

[UserSettings_ ..........]

SbieCtrl_UserName= ..........
SbieCtrl_ShowWelcome=N
SbieCtrl_NextUpdateCheck=...........
SbieCtrl_UpdateCheckNotify=Y
SbieCtrl_WindowLeft=52
SbieCtrl_WindowTop=-1
SbieCtrl_WindowWidth=660
SbieCtrl_WindowHeight=450
SbieCtrl_Hidden=N
SbieCtrl_ActiveView=40021
SbieCtrl_BoxExpandedView_DefaultBox=Y
SbieCtrl_AutoApplySettings=N
SbieCtrl_HideWindowNotify=N
SbieCtrl_EnableLogonStart=N
SbieCtrl_EnableAutoStart=Y
SbieCtrl_AddDesktopIcon=N
SbieCtrl_AddQuickLaunchIcon=N
SbieCtrl_AddContextMenu=Y
SbieCtrl_AddSendToMenu=Y
SbieCtrl_ColWidthProcName=250
SbieCtrl_ColWidthProcId=70
SbieCtrl_ColWidthProcTitle=310
SbieCtrl_BoxExpandedView_Operabox=Y

[Operabox]

Enabled=y
ConfigLevel=4
AutoRecover=y
AutoRecoverIgnore=.jc!
AutoRecoverIgnore=.part
RecoverFolder=%Personal%
RecoverFolder=%Favorites%
RecoverFolder=%Desktop%
LingerProcess=trustedinstaller.exe
LingerProcess=wuauclt.exe
LingerProcess=devldr32.exe
LingerProcess=syncor.exe
LingerProcess=jusched.exe
LingerProcess=acrord32.exe
CopyLimitKb=250000
AutoDelete=y
NeverDelete=n
ClosedFilePath=!<restricted>,*
ClosedIpcPath=!<restricted>,*
ClosedKeyPath=!<restricted>,*

Und jetzt hätte ich noch ein praktische Frage dazu:

Deinen Erläuterungen zufolge geht es doch bei all diesen Maßnahmen vor allem auch darum, dass möglichst wenig Prozesse bzw. Programme in der Sandbox laufen bzw. auf das Internet Zugriff haben.

Folgende Merkwürdigkeit ist mir aber bei Benützung der Sandboxen mit obigen Einstellungen aufgefallen:
a) WindowsMediaPlayer 11 (zum Öffnen und Abspielen eines Videoclips aus dem Browser heraus):
funktioniert sowohl in der DefaultBox als auch in der (streng konfigurierten ) Operabox (!)
D.h.: Der Player öffnete sich (zum Glück in der Sandbox) und konnte die Datei abspielen.

b) Adobe Reader 9 (zum Öffnen einer pdf-Datei aus dem Browser heraus):
funktioniert zwar in der Default Box, nicht aber in der Operabox *

c) RealPlayer (zB. zum Abspielen einer kleinen Musikdatei auf amazon.de):
funktioniert weder in der DefaultBox noch in der Operabox *

*) [Es kommt die Fehlermeldung: "Anwendung konnte nicht richtig initialisiert werden."]

Drei Programme - drei Varianten.
Ist es also mehr oder weniger "Glückssache", welches Programm bei einer bestimmten Sandbox-Konfiguration funktioniert?
Und noch wichtiger:
Hat es seine Richtigkeit, dass der Windows Media Player sogar bei der ganz strengen Konfiguration der Sandbox läuft? Immerhin muss der ja zu diesem Zweck auch Verbindung mit dem Internet aufnehmen.
Um nicht falsch verstanden zu werden: Je mehr Programme funktionieren, umso lieber ist es mir natürlich. Aber ich möchte sichergehen, dass es damit kein Sicherheitsproblem gibt.

Der Beitrag wurde von Peter 123 bearbeitet: 22.07.2008, 02:44

[subset]

@ Peter 123

Wegen der Sandboxie.ini

CopyLimitKb=250000

Das ist auf fast 250 MB gesetzt, das Kopieren von Dateien dieser Größe in die Sandbox hinein dauert normal etwas.
Wenn es nicht unbedingt anders erforderlich ist, dann reicht normal die Voreinstellung mit 48 MB (CopyLimitKb=49152).
Zumal Dateien dieser Größe (über 48 MB) meist ohnehin nicht verändert werden, sondern nur gelesen.

Bei deiner [Operabox] fehlen diese Eintäge:
----------------------------------------------------------------------------

ClosedFilePath=!<InternetAccess_Operabox>,\Device\RawIp
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Ip*
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Tcp*
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Afd*

----------------------------------------------------------------------------
Die verhindern die Internetzugriffe für alle Programme die nicht zur InternetAccess_Operabox Gruppe gehören. Normal erzeugt diese Einträge Sandboxie aber automatisch.

Wegen Media Player, Adobe Reader und Real Player

Starten hier tatsächlich die Programme, oder werden die über die Browser Plug-Ins aufgerufen?
Als Browser Plug-In würden sie quasi im Browserprozess laufen und nicht als verbotene Anwendung.
Das wäre für jeden Browser zu ermitteln.
- Bei Firefox: Extras > Add-ons > Plugins, dort kann man sie einfach testweise deaktivieren.
- Beim IE: Extras > Internetoptionen > Programme > Add-Ons verwalten, auch hier die Fraglichen testweise deaktivieren.
- Bei Opera: opera:plugins in die Adresszeile eingeben. Wie man die testweise deaktivieren kann, weiß ich leider nicht.


@ rolarocka

Zuerst die hpzstw07.exe in die Gruppe der erlaubten Anwendungen:
ProcessGroup=<restricted>,Start.exe,hpzstw07.exe,...

Dann den Zugriff auf den HP Druckertreiber erlauben.
OpenFilePath=hpzstw07.exe,C:\WINDOWS\system32\drivers\HP.sys
HP.sys ist natürlich nur ein Platzhalter.

Sollte das mit OpenFilePath nicht reichen, auch mal mit OpenPipePath versuchen.
OpenPipePath=hpzstw07.exe,C:\WINDOWS\system32\drivers\HP.sys

MfG

[Peter 123]

Wieder mal danke, subset.

Das mit den 250 MB habe ich bewusst so eingestellt - einfach damit ich nicht verwirrt bin, wenn doch einmal etwas Größeres zum Herunterladen ist und dann eine Fehlermeldung kommt. Wenn es nur eine Geschwindigkeitsfrage ist (und keine der Sicherheit) würde ich das daher gerne beibehalten (oder nur auf eine Größenordnung zB. um die 100 MB reduzieren).

Und jetzt zu den heikleren Punkten:

Bei deiner [Operabox] fehlen diese Eintäge:
----------------------------------------------------------------------------

ClosedFilePath=!<InternetAccess_Operabox>,\Device\RawIp
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Ip*
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Tcp*
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Afd*

----------------------------------------------------------------------------
Die verhindern die Internetzugriffe für alle Programme die nicht zur InternetAccess_Operabox Gruppe gehören. Normal erzeugt diese Einträge Sandboxie aber automatisch.

Ich sag's ja: Ich bin mit all diesen Einstellungen intellektuell überfordert.

Ich dachte nämlich, die neuen (von dir empfohlenen) ClosedFilePath-Einträge wären Ersatz für die standardmäßig vorhandenen. Die hatte ich daher bewusst gelöscht. Dann müssen die also wieder rein.
D.h. für meine Operabox muss das dann so aussehen:

ClosedFilePath=!<InternetAccess_Operabox>,\Device\RawIp
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Ip*
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Tcp*
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Afd*
ClosedFilePath=!<restricted>,*
ClosedIpcPath=!<restricted>,*
ClosedKeyPath=!<restricted>,*

Richtig so?

Und beim Folgenden wird es überhaupt schwierig:

Wegen Media Player, Adobe Reader und Real Player

Starten hier tatsächlich die Programme, oder werden die über die Browser Plug-Ins aufgerufen?
Als Browser Plug-In würden sie quasi im Browserprozess laufen und nicht als verbotene Anwendung.
Das wäre für jeden Browser zu ermitteln.
[....]

Ich weiß es nicht, wie die Programme laufen (ob sie tatsächlich starten oder über die Browser Plug-Ins aufgerufen werden). Normalerweise klicke ich auf das Fenster mit der Option "Öffnen mit ..." und die betreffende pdf-Datei + Adobe bzw. der betreffende Player (WMP, RealPlayer) öffnet sich. Vielleicht sehe ich es mir anhand deiner Erläuterung einmal an, aber im Moment lasse ich es mal auf sich beruhen - es ist mir einfach zu aufwendig und zeitraubend. Ich habe den Eindruck, man kann eine Frage klären und gleichzeitig tauchen fünf neue auf.

Der Beitrag wurde von Peter 123 bearbeitet: 22.07.2008, 15:13

[subset]

Das mit den 250 MB habe ich bewusst so eingestellt - einfach damit ich nicht verwirrt bin, wenn doch einmal etwas Größeres zum Herunterladen ist und dann eine Fehlermeldung kommt.

Der CopyLimitKb Eintrag betrifft heruntergeladene Dateien überhaupt nicht.
Das Limit gilt nur für Dateien, die vom echten System in die Sandbox kopiert werden.

Der Rest stimmt so.

MfG

[Peter 123]

Der CopyLimitKb Eintrag betrifft heruntergeladene Dateien überhaupt nicht.
Das Limit gilt nur für Dateien, die vom echten System in die Sandbox kopiert werden.

Ach so. Da war ich wieder einmal ahnungslos. Na dann gehe ich auf die Standardeinstellung zurück.

Jetzt würde ich gerne noch etwas Prinzipielles wissen:

Du hast uns in deinen Beiträgen der letzten Tage vor allem erklärt, wie man in der Sandboxie.ini Einstellungen vornehmen soll, um die Sicherheit zu erhöhen, insbesondere mit diesen "ClosedFilePath"-Einträgen.

In deinem ersten Beitrag ging es auch schon um die Sicherheit; und zwar um Maßnahmen, die im Sandboxie-Menü unter "Sandboxeinstellungen" zu treffen wären. Da spielte teilweise sogar auch schon das Thema "ClosedFilePath" eine Rolle:

(Wiedergabe der Abbildung vom ersten Beitrag subset's):


(oder in der deutschen Sandbox-Version):



Wären das (im ersten Beitrag) alles Maßnahmen, die man zusätzlich zu den von dir empfohlenen Änderungen in der ini-Datei setzen sollte, oder erübrigt sich davon jetzt manches (oder alles), wenn man in der ini-Datei diese Einträge

ClosedFilePath=!<restricted1>,*
ClosedIpcPath=!<restricted1>,*
ClosedKeyPath=!<restricted1>,*

vorgenommen hat?

Wahrscheinlich ist meine Frage sehr laienhaft. Aber ich blicke nicht mehr durch, welcher Eintrag an welcher Stelle welchen Prozess bzw. Zugriff verbietet oder erlaubt.

Der Beitrag wurde von Peter 123 bearbeitet: 22.07.2008, 20:41

[subset]

Wären das (im ersten Beitrag) alles Maßnahmen, die man zusätzlich zu den von dir empfohlenen Änderungen in der ini-Datei setzen sollte, oder erübrigt sich davon jetzt manches (oder alles), wenn man in der ini-Datei diese Einträge

ClosedFilePath=!<restricted1>,*
ClosedIpcPath=!<restricted1>,*
ClosedKeyPath=!<restricted1>,*

vorgenommen hat?

ClosedFilePath=!<restricted1>,* bezieht sich auf alle Programme, die nicht in der restricted1 Gruppe sind.
Alle Programme der restricted1 Gruppe haben aber theoretisch überallhin Zugriff.
Genau um das zu verhindern habe ich die globalen Zugriffe definiert.

Ein Beispiel:
Firefox und Opera sind in der restricted1 Gruppe, Thunderbird ist mein Email-Programm und ich will nicht, dass Firefox oder Opera auf meine Mailadressen usw. zugreifen dürfen.
Lösung für diese Sandbox:

ClosedFilePath=%AppData%\Thunderbird\
ClosedFilePath=%Local Settings%\Anwendungsdaten\Thunderbird\

Da diese Anweisung für "Alle Programme" gilt, können weder Firefox noch Opera auf meine persönlichen Email-Daten zugreifen.
Diese ClosedFilePath für alle oder einzelne Programme können aber einfach über das Einstellungsmenü von Sandboxie erzeugt werden.
Im ersten Post habe ich mich auf das Einstellungsmenü beschränkt, das wäre sonst zu kompliziert geworden.

Aber zusätzlich würde ich nicht sagen, durch die restricted Gruppen und InternetAccess_ hat man schon ein gutes Maß an Sicherheit, aber natürlich kann man weiter durch ClosedFilePath und OpenFilePath Anweisungen das Ganze noch sicherer bzw. komfortabler machen.

MfG

[Peter 123]

Aber zusätzlich würde ich nicht sagen, durch die restricted Gruppen und InternetAccess_ hat man schon ein gutes Maß an Sicherheit,[...]

Gut, dieser Halbsatz beruhigt mich. Dann beschränke ich mich auf die Änderungen in Sandboxie.ini. Für meine Zwecke (Surfen, Abrufen von emails im Browser, Herunterladen einer Datei; keine Hochrisiko-Aktionen wie Experimentieren mit Malware) ist das dadurch erzielte Sicherheitsniveau ja dann wohl ausreichend.

Ich fasse zur besseren Übersicht zusammen, was ich jetzt entsprechend deiner Anleitungen gemacht habe. Vielleicht kann das ja auch anderen Interessierten als Hilfe dienen:

1. Ich habe eine zweite Sandbox eingerichtet.*

*) (dazu Sandboxie-Control-Fenster öffnen ---> "Sandbox" ---> "Neue Sandbox erstellen")

D.h. es gibt bei mir jetzt:

- a) die Defaultbox (in meinem Fall gedacht für die Benutzung der Browser Firefox und Internet Explorer sowie der drei Kommunikations-Programme Skype, Windows Live Messenger und Yahoo Messenger)
[Diese fünf Programme benütze ich jetzt einmal der Einfachheit und Übersichtlichkeit wegen in einer gemeinsamen Sandbox.]

- b) eine eigene Sandbox gedacht für die Benutzung des Browsers Opera (von mir bezeichnet als "Operabox")

2. Damit auch nur diese Programme Zugriff auf das Internet haben, habe ich sie eigens im Menüpunkt "Internetzugriff"* der jeweiligen Sandbox eingetragen**:

*) (zu finden in den "Sandboxeinstellungen" als Unterpunkt zu "Ressourcenzugriff")

**) (zu diesem Zweck auf die Schaltfläche "Datei hinzufügen" klicken und aus dem Verzeichnis C:\Programme im betreffenden Programmordner die exe-Datei auswählen - in meinem Fall also: firefox.exe [zu finden im Programmordner "Mozilla Firefox"], iexplore.exe, skype.exe usw.)

a) Eintrag für die DefaultBox:



b) Eintrag für "Operabox":




3. In der Sandboxie.ini* habe ich die von dir empfohlenen** Eintragungen vorgenommen (nunmehr für beide Sandboxen).

*) (zu finden im Verzeichnis C:\WINDOWS oder über das Sandboxie-Control-Fenster unter "Konfiguration" ---> "Konfiguration bearbeiten")

**) (siehe http://www.rokop-security.de/index.php?s=&...st&p=242319 und http://www.rokop-security.de/index.php?s=&...st&p=242537 )

Sandboxie.ini hat damit bei mir jetzt folgenden Inhalt (die gegenüber den Standardeinstellungen geänderten bzw. neu hinzugekommenen sicherheitsrelevanten Eintragungen sind farblich markiert: jene für die DefaultBox in rot und jene für "Operabox" in dunkelgrün):

[GlobalSettings]

ProcessGroup=<InternetAccess_DefaultBox>,firefox.exe,iexplore.exe,skype.exe,msnmsgr.exe,yahoomessenger.exe
ProcessGroup=<InternetAccess_Operabox>,opera.exe
ProcessGroup=<restricted1>,firefox.exe,iexplore.exe,skype.exe,msnmsgr.exe,yahoomessenger.exe,Start.
exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe
ProcessGroup=<restricted2>,opera.exe,Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe

[DefaultBox]

ConfigLevel=4
AutoRecoverIgnore=.jc!
AutoRecoverIgnore=.part
RecoverFolder=%Personal%
RecoverFolder=%Favorites%
RecoverFolder=%Desktop%
LingerProcess=trustedinstaller.exe
LingerProcess=wuauclt.exe
LingerProcess=devldr32.exe
LingerProcess=syncor.exe
LingerProcess=jusched.exe
LingerProcess=acrord32.exe
Enabled=y
BoxNameTitle=n
AutoDelete=y
NeverDelete=n
CopyLimitKb=49152
AutoRecover=y
ClosedFilePath=!<InternetAccess_DefaultBox>,\Device\RawIp
ClosedFilePath=!<InternetAccess_DefaultBox>,\Device\Ip*
ClosedFilePath=!<InternetAccess_DefaultBox>,\Device\Tcp*
ClosedFilePath=!<InternetAccess_DefaultBox>,\Device\Afd*
ClosedFilePath=!<restricted1>,*
ClosedIpcPath=!<restricted1>,*
ClosedKeyPath=!<restricted1>,*

[UserSettings_......]

SbieCtrl_UserName= ......
SbieCtrl_ShowWelcome=N
SbieCtrl_NextUpdateCheck= .......
SbieCtrl_UpdateCheckNotify=Y
SbieCtrl_WindowLeft=162
SbieCtrl_WindowTop=267
SbieCtrl_WindowWidth=660
SbieCtrl_WindowHeight=450
SbieCtrl_Hidden=Y
SbieCtrl_ActiveView=40021

SbieCtrl_BoxExpandedView_DefaultBox=Y
SbieCtrl_AutoApplySettings=N
SbieCtrl_HideWindowNotify=N
SbieCtrl_EnableLogonStart=N
SbieCtrl_EnableAutoStart=Y
SbieCtrl_AddDesktopIcon=N
SbieCtrl_AddQuickLaunchIcon=N
SbieCtrl_AddContextMenu=Y
SbieCtrl_AddSendToMenu=Y
SbieCtrl_ColWidthProcName=250
SbieCtrl_ColWidthProcId=70
SbieCtrl_ColWidthProcTitle=310
SbieCtrl_BoxExpandedView_Operabox=Y

[Operabox]

Enabled=y
ConfigLevel=4
AutoRecover=y
AutoRecoverIgnore=.jc!
AutoRecoverIgnore=.part
RecoverFolder=%Personal%
RecoverFolder=%Favorites%
RecoverFolder=%Desktop%
LingerProcess=trustedinstaller.exe
LingerProcess=wuauclt.exe
LingerProcess=devldr32.exe
LingerProcess=syncor.exe
LingerProcess=jusched.exe
LingerProcess=acrord32.exe
CopyLimitKb=49152
AutoDelete=y
NeverDelete=n
ClosedFilePath=!<InternetAccess_Operabox>,\Device\RawIp
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Ip*
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Tcp*
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Afd*
ClosedFilePath=!<restricted2>,*
ClosedIpcPath=!<restricted2>,*
ClosedKeyPath=!<restricted2>,*

4. Nicht vorgenommen habe ich hingegen jene Änderungen, die du in deinem ersten Beitrag für folgende Menüpunkte der Sandboxeinstellungen angeregt hast:

"Dateizugriff - Direkter Zugriff" (im ersten Beitrag englisch: "File Access - Direct Access")
"Dateizugriff - Zugriff verweigern" ("Files Access - Blocked Access")
"Dateizugriff - Nur-Lese-Zugriff" ("Files Access - Read Only Access")

In den Feldern der zugehörigen Fenster wurde von mir also nichts eingetragen (gilt für beide Sandboxen). Die Fenster sehen also z.B. bei der Defaultbox so aus:








Habe ich das so richtig und "sicherheitspolitisch" sinnvoll konfiguriert?

Der Beitrag wurde von Peter 123 bearbeitet: 23.07.2008, 13:55

[subset]

RecoverFolder=%Personal%
RecoverFolder=%Favorites%
RecoverFolder=%Desktop%

Nur eine Anmerkung wegen der Order für die Wiederherstellung der Downloads.
Du bekommst eine Meldung, wenn die Downloads entweder in den Eigenen Dateien, den Favoriten oder auf dem Desktop landen.
Sollte nun eines der Programme (Firefox, IE, Skype, Opera usw.) ein anderes Downloadverzeichnis verwenden, wie z.B. D:\Downloads, dann geht der Download mit dem Löschen der Sandbox verloren.
In einem solchen Fall muss man nur das Zielverzeichnis für die Downloads zur Sandboxie.ini hinzufügen:

RecoverFolder=D:\Downloads

Natürlich hat rolarocka recht, die ClosedFilePath und OpenFilePath Anweisungen gehören zu jeder Sandbox.
Wie bereits von mir erwähnt, die ClosedFilePath Anweisungen erhöhen die Sicherheit und die OpenFilePath Anweisungen erhöhen den Komfort.
Die für die Operabox sind relativ einfach zu machen.
Nur bei der firefox.exe,iexplore.exe,skype.exe,msnmsgr.exe,yahoomessenger.exe Sandbox habe ich meine Zweifel, ob da etwas Sinnvolles rauskommt, wegen der Vielzahl an unterschiedlichen Programmen.

MfG