Sandboxie Free, zur Browser Selbstreinigung Einstellungen

[subset]

Sandboxie, Englisch, Freeware
http://www.sandboxie.com/

Einleitung

Sandboxie ist den meisten wahrscheinlich schon länger bekannt, für alle übrigen deswegen nur eine kurze Erklärung:
Eine Anwendung wird über Sandboxie gestartet und alle Veränderungen am System finden danach nur noch in der Sandbox statt, einem vom Rest des eigentlichen Systems isolierten Bereich.
Alle übrigen Anwendungen können von Außen ganz normal auf die Sandbox zugreifen, sie ist einfach ein Ordner im Hautverzeichnis vom Systemlaufwerk.
Von der Sandbox nach Außen gelangt normal jedoch nichts, denn Sandboxie kopiert alle benötigten Daten in die Sandbox hinein.

Als Beispiel ein Browser der über Sandboxie gestartet wurde:
Ein Schadprogramm gelangt in das Browser Cache (nicht wirklich, da es in der Sandbox ist) und will die x.exe verändern.
Sandboxie kopiert die x.exe in die Sandbox und das Schadprogramm verändert die x.exe (wieder nicht wirklich, da das nur in der Sandbox stattfindet).
Das Schadprogramm ist scheinbar erfolgreich, aber in Wirklichkeit überhaupt nicht.
Weder befindet sich im echten Browser Cache ein Schadprogramm noch wurde die echte x.exe verändert.
Beides fand nur in der Sandbox statt, hatte also keine Auswirkungen auf das echte System und nach dem Leeren der Sandbox sind das Schadprogramm und die veränderte x.exe gelöscht.

Wo liegen nun die Unterschiede zwischen Sandboxie und GeSWall?
- GeSWall verfolgt quasi alle Dateien über alle Festplatten und isoliert jede Einzelne, sichtbar am roten Rahmen.
Am Speicherort der Dateien werden keinerlei Veränderungen vorgenommen, alles landet auf dem gleichen Platz wie ohne GeSWall.
Der Vorteil: alles ist an seinem Platz, nichts geht verloren.
- Sandboxie hingegen kopiert alle erforderlichen Dateien vom echten System in die „Scheinwelt“ der Sandbox.
Das System selbst bleibt unverändert, alle Veränderungen durch das Programm, das in der Sandbox läuft, finden nur in der Sandbox statt, ob Virenbefall oder Browserupdate.
Löscht man die Sandbox, gehen alle diese Veränderungen mit verloren.
Der Vorteil: nichts wird am eigentlichen System verändert, alles geht mit dem Leeren der Sandbox verloren.

Das Konfigurationsbeispiel (Browser Selbstreinigung) habe ich nach diesen Anforderungen erstellt:
Sicher im Internet surfen ohne Notwendigkeit eines Web AV Hemmschuhes und mit der Gewissheit, dass nach dem Beenden des Browser der ganze Mist gelöscht wird.
Außerdem soll die Sandbox möglichst dicht gehalten werden.
Ich habe nur wenige Ausnahmen für Downloads und Browser Addons erstellt und den Zugriff auf sensible Daten geblockt und den Zugriff auf das Internet streng limitiert.
Als Browser habe ich Firefox gewählt.

Die Installation

Die Installationsdatei ist nur 373 KB groß, ein Autostart (sbiectrl.exe), ein Service (sbiesvc.exe) und ein Treiber (sbiedrv.sys) werden installiert.

Der Resourcenverbrauch mit und ohne aktive Sandbox Anwendung.

 11Performance.png ( 9.56KB ) Anzahl der Downloads: 272


Sandboxie erzeugt einen Link für den Standardbrowser auf dem Desktop.
Man braucht diesen nur Doppelklicken und der Browser wird automatisch in der Sandbox gestartet.

 12DefaultBrowser.png ( 7.67KB ) Anzahl der Downloads: 64


Die Konfiguration

Vor dem ersten Start sollte man die Sandbox einrichten.
Dazu wählt man im Hauptfenster die „Sandbox Settings“

 13SBSettings.png ( 8.72KB ) Anzahl der Downloads: 227


In den Settings kann man dann die Vorgaben (Desktop, Eigene Dateien) löschen und sein persönliches Download Verzeichnis hinzufügen.

 14Recovery.png ( 16.44KB ) Anzahl der Downloads: 368


Wenn man will, dass Downloads sofort im Originalverzeichnis landen, sollte man diese Option aktivieren.

 15Immediate.png ( 13.59KB ) Anzahl der Downloads: 337


Nach dem Herunterladen einer Datei öffnet sich dieses Fenster und man muss das Retten des Downloads mit „Recover“ genehmigen.
So werden ungewollte Downloads in dieses Verzeichnis verhindert (Drive-by-Download).

 16Recover.png ( 6.87KB ) Anzahl der Downloads: 262


Bei der nächsten Einstellung wird die Sandbox nach dem Beenden des Browsers automatisch gelöscht.
Ich bevorzuge diese Einstellung, da damit alle Surfspuren automatisch beseitigt werden.
Der Nachteil ist eine leichte Verzögerung bei jedem Browserstart, da alle erforderlichen Dateien jedes Mal erst in die Sandbox kopiert werden müssen.
Es spricht aber auch nichts dagegen, diese Einstellung nicht zu aktivieren, also die Sandbox beim Beenden des Browsers nicht zu löschen.
Auf die übrigen Einstellungen hat das keinen Einfluss.

 17DeleteSB.png ( 13.76KB ) Anzahl der Downloads: 253


Die nächste Einstellung betrifft den Internetzugang von Programmen die in der Sandbox laufen.
Hier habe ich nur Firefox ausgewählt, um sicherzustellen, dass sonst keine Programme aus der Sandbox heraus nach Hause telefonieren dürfen.

 18InetAccess.png ( 15.21KB ) Anzahl der Downloads: 336


Den direkten Zugriff auf Dateien aus der Sandbox heraus habe ich wieder auf Firefox beschränkt und nur auf für mich wichtige Dateien.
Für die NoScript Regeln:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
Für die Lesezeichen:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
Für die Sitzungswiederherstellung:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
Für Adblock Plus Regeln:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini

 19FileAccess.png ( 16.5KB ) Anzahl der Downloads: 330


Firefox oder Addons updaten, neue Addons oder Themes installieren usw. funktioniert mit diesen Einstellungen nicht, aber das will ich mit dem Browser in der Sandbox auch gar nicht.
Dazu starte ich den Browser nur für das Update normal.
Hier geht mir die Sicherheit vor dem Komfort.

Aber wer will kann auch die vorgefertigten Profile aktivieren.

 20Browser.png ( 16.69KB ) Anzahl der Downloads: 269


Oder wie oben einfach den direkten Zugriff von Firefox (mit OpenFilePath=firefox.exe,) auf relevante Dateien erlauben.
Für die Profilordner und das Programmverzeichnis sind das diese Pfade:
C:\Programme\Mozilla Firefox
C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox
Natürlich öffnet man dadurch die Sandbox weiter als mit den von mir bevorzugten Einstellungen.

Die nächsten Einstellungen betreffen Bereiche, auf die auch aus der Sandbox heraus nicht zugegriffen werden darf.

 21Blocked.png ( 16.69KB ) Anzahl der Downloads: 317


Das sind meine übrigen Sicherheitsprogramme und Ordner bzw. Partitionen mit privaten Daten.

C:\Programme\Returnil
C:\Programme\Tall Emu\Online Armor
C:\Programme\Avira
C:\RETURNIL
%Local Settings%\Anwendungsdaten\Thunderbird
%AppData%\Thunderbird
%Personal% (Eigene Dateien)
D:
S:

Und zusätzlich habe ich noch den Windows und Programme Ordner als Read only Ordner eingefügt.

 22Read.png ( 14.47KB ) Anzahl der Downloads: 219


C:\Programme funktioniert aber nur, wenn man den Browser aus der Sandbox heraus nicht updaten will.

Resümee

Mit diesen Einstellungen hat man ein System der Selbstreinigung für den Firefox Browser.
Ob gut oder schlecht, alles wird entsorgt.
Ähnlich lassen sich auch andere Browser für Sandboxie konfigurieren.

MfG

[rolarocka]

Sandboxie ist in den Standardeinstellungen insofern sicher dass alles was in der sandbox ausgeführt wird keinen Einfluss auf das eigentliche System hat. Aber wie jedes Programm, kann man es feintunen. Ist doch begrüssenswert.
Lass dich davon nicht abschrecken jetzt wo du soweit gekommen bist (ich auch übrigens). Die Standardeinstellung von Sandboxie sind für die meistes User eh vollkommen ausreichend. Ich find es interessant wie sicher man das ganze einstellen kann.

Der Beitrag wurde von rolarocka bearbeitet: 23.07.2008, 17:33

[Peter 123]

Sandboxie ist in den Standardeinstellungen insofern sicher dass alles was in der sandbox ausgeführt wird keinen Einfluss auf das eigentliche System hat.

Aber du schreibst ja selbst:

"Zugriff verweigern" würde ich schon einstellen. Z.B. dass Opera nicht auf deine private Dateien zugreifen darf.

Und das Gleiche betrifft natürlich auch die Sicherheitsprogramme, Mailprogramme etc. die subset in seinem ersten Beitrag diesbezüglich erwähnt. Ich nehme an, ein solcher Zugriff wäre immer dann problematisch, wenn sich (zB. über den Browser) ein Schädling in die Sandbox eingeschlichen hat. Der könnte dann ja vorübergehend - nämlich solange die Sandbox geöffnet ist - auf diese Programme zugreifen.

Und ich vemute, um dies zu verhindern, gibt es diese Zugriff-Verweigern-(ClosedFilePath)-Option:



Nur verstehe ich ja prinzipiell nicht, warum eine solche Option überhaupt vorhanden sein muss. Als Laie meint man doch, ein Programm, das in der Sandbox läuft, könne automatisch auf Ordner oder Programme außerhalb der Sandbox nicht zugreifen (abgesehen von jenen, die es zum Betrieb benötigt, aber die hat es ja ohnedies in kopierter Form in der Sandbox) - nämlich auch ohne das Erfordernis, einen solchen Zugriff erst eigens ausschließen zu müssen.

Und auch das ist doch gefährlich:

Eigentlich geht es um Sicherheit:
- Ist das Feld [Anm.: es geht um jenes bei "Internetzugriff"] frei, dann haben alle Anwendungen, die in dieser Sandbox laufen, Zugriff auf das Internet.
Das ist sehr unsicher, es könnte z.B. ein Trojaner aus der Sandbox heraus Daten in das Internet verschicken.
[...]

Wieso ist also der Internetzugriff nicht schon in der Standardkonfiguration auf das konkrete, in der Sandbox benützte Programm (+ allfälliger Plugins [wie das anscheinend zB. bei mir betreffend Windows Media Player im Firefox- und Opera-Brwoser der Fall ist]) beschränkt - ohne, dass man diese Zugriffsbeschränkung erst eigens in der Sandboxie-ini eintragen muss?

Der Beitrag wurde von Peter 123 bearbeitet: 23.07.2008, 17:43

[subset]

Als Laie meint man doch, ein Programm, das in der Sandbox läuft, könne automatisch auf Ordner oder Programme außerhalb der Sandbox nicht zugreifen

Das ist auch so, Programme können nicht auf Dateien außerhalb der Sandbox zugreifen, denn Sandboxie fängt diese Anforderungen ab und kopiert die Dateien in die Sandbox hinein.
Also so:
- Ein Programm in der Sandbox fordert eine Datei an
- Sandboxie kopiert die Datei in die Sandbox hinein

- nämlich auch ohne das Erfordernis, einen solchen Zugriff erst eigens ausschließen zu müssen.

Muss man nicht ausschließen, hier ist der Fehler.
Mit ClosedFilePath wird der Zugriff von Programmen die in der Sandbox laufen beschränkt.
Also so:
- Ein Programm in der Sandbox fordert eine Datei an
- Sandboxie verweigert das wegen einer ClosedFilePath Regel und kopiert die Datei nicht in die Sandbox hinein.

Mit direktem Dateizugriff (OpenFilePath) und Vollzugriff (OpenPipePath) von Programmen aus der Sandbox heraus hat das nichts zu tun.
Diese werden immer vom Benutzer erstellt.
Erstelle einfach eine neue Sandbox und schau dir dann die Sandboxie.ini an.
Ist da eine einzige OpenFilePath/OpenPipePath Zeile in der Sandboxie.ini?

MfG

[Peter 123]

Programme können nicht auf Dateien außerhalb der Sandbox zugreifen, denn Sandboxie fängt diese Anforderungen ab und kopiert die Dateien in die Sandbox hinein.
Also so:
- Ein Programm in der Sandbox fordert eine Datei an
- Sandboxie kopiert die Datei in die Sandbox hinein
[...]
Mit ClosedFilePath wird der Zugriff von Programmen die in der Sandbox laufen beschränkt.
Also so:
- Ein Programm in der Sandbox fordert eine Datei an
- Sandboxie verweigert das wegen einer ClosedFilePath Regel und kopiert die Datei nicht in die Sandbox hinein.

O.k., dieses Prinzip leuchtet mir völlig ein.

Das heißt:

In diesem Fenster:



bedeutet der Satz "Auf die folgenden Dateien und Ordner können Programme in der Sandbox [besser: in der Sandbox laufende Programme] nicht zugreifen" technisch gesprochen:

"Von den folgenden Dateien und Ordnern werden keine Kopien in der Sandbox angelegt - auch dann nicht, wenn ein in der Sandbox laufendes Programm diese Datei (bzw. diesen Ordner) anfordert."

Du empfiehlst (in deinem ersten Beitrag) die Vornahme einer solchen Beschränkung im Prinzip für drei Ordner- bzw. Programmgruppen:

- für Sicherheitsprogramme (also Virenschutzprogramme usw. [bei dir Avira und einiges mehr, bei mir im Wesentlichen Norton Internet Security])
- für das Mailprogramm (bei dir Thunderbird, bei mir wäre es Outlook Express)
- für die eigenen Dateien
(- außerdem für etwaige weitere Partitionen [ist hier einmal zu vernachlässigen])

Ich nehme an, der Grund für deine Empfehlung ist folgender:
Diese Bereiche sind derartig sensibel, dass sie (bzw. Kopien davon) aus der (für ein anderes Programm eingerichteten) Sandbox sozusagen immer "draußenbleiben" sollen - um zu verhindern, dass in der Zeit, in der die Sandbox geöffnet ist, ein Schädling auf diese Programme/Ordner (nämlich auf deren Kopie) Zugriff haben und sie manipulieren oder Informationen ausspähen und (über das eigentlich in der Sandbox laufende Programm [= typischerweise Browser]) in das Internet senden könnte.

Wenn diese Überlegungen stimmmen, ist mir das soweit auch klar.

Was ich aber nicht verstehe:

Gehen wir von meinen Fall aus: Eine Sandbox wäre z.B. ausschließlich für die Benutzung des Browsers Opera eingerichtet. Welche Konstellationen sind da überhaupt denkbar, dass aus der Sandbox heraus eine Datei angefordert wird, die

a) zu einem Mailprogramm
b) zum Ordner "Eigene Dateien"
c) zu einem Sicherheitsprogramm
gehört?

Für a) fällt mir da im Wesentlichen der Fall ein, dass ich z.B. auf einer Webseite eine Mailadresse anklicke, sich damit mein Mailprogramm öffnet und ich unmittelbar eine Mail an diese Adresse schicken kann. Außerdem gibt es meines Wissens die Möglichkeit, über web-gebundene Maildienste (Hotmail, gmx usw.) auf das eigene Mailprogramm zuzugreifen, wenn man das irgendwie einstellt (aber das ist jetzt Spekulation von mir, ich habe damit keine Erfahrung).
Sind es solche Vorgänge, die unterbunden werden, wenn ich in den Sandboxeinstellungen unter "Zugriff verweigert (ClosedFilePath)" die entsprechenden Beschränkungen bezüglich der Mailprogramm-Ordner eintrage?

Für b) könnte ich mir denken, dass der Browser z.B. dann etwas aus dem Ordner "Eigene Dateien" anfordert, wenn ich das irgendwo hochladen will (ein Foto in einem Forum, ein Videoclip bei youtube usw., oder irgendeine eigene Datei als Anhang zu einer Mail, die ich über den Browser versenden möchte). Auch das wäre offenbar durch einen entsprechenden Eintrag in den Sandboxeinstellungen (bewusst) unmöglich gemacht.

Und für c) (die Sicherheitsprogramme) tue ich mir ohnehin verständnismäßig schwer: Denn einerseits verstehe ich, dass gerade solche Programme vor dem Zugriff eines Schädlings geschützt sein sollen, insbesondere damit sie durch ihn nicht ausgeschaltet oder manipuliert werden können (was ja passieren könnte, solange die Sandbox geöffnet ist). Andererseits gibt es aber offenbar ohnedies immer eine Kommunikation zwischen dem Sicherheitsprogramm und dem, was sich in der Sandbox abspielt (ob das durch das "originale" Schutzprogramm außerhalb der Sandbox geschieht oder durch eine Kopie von ihm innerhalb der Sandbox, das weiß ich nicht). Jedenfalls hat mein Virenschutz sofort den (harmlosen) Testvirus Eicar gemeldet, als ich in der Sandbox probeweise den entsprechenden Link auf der Eicar-Seite angeklickt hatte.
Da ist mir also überhaupt nicht klar, was es mit (allfälligen) Anforderungen der Sandbox von Dateien aus dem Sicherheitsprogramm auf sich hat.

Aber was die Fälle a) und b) betrifft:
Wenn meine diesbzüglichen Annahmen oben stimmen, dann könnte ich mir den Eintrag von Mailprogramm bzw. "Eigenen Dateien" in den Sandboxeinstellungen unter "Zugriff verweigert (ClosedFilePath)" ersparen, weil ich mein Mailprogramm ohnedies nie durch Anklicken eines Links im Browser öffne (und es auch sonst nicht mit dem Browser in Verbindung bringe) und weil ich das (seltene) Hochladen eigener Dateien durchführe, indem ich den Browser außerhalb der Sandbox starte (anders wäre es ja wahrscheinlich auch gar nicht möglich, wenn die Sandboxeinstellungen den Zugriff auf diese Dateien verweigert).

Das sind halt so meine Überlegungen zu den "computerinternen" Zugriffsbeschränkungen, die du empfiehlst. Aber vielleicht sehe ich da ja etwas falsch.

Der Beitrag wurde von Peter 123 bearbeitet: 23.07.2008, 21:36

[subset]

Für a) fällt mir da im Wesentlichen der Fall ein, dass ich z.B. auf einer Webseite eine Mailadresse anklicke, sich damit mein Mailprogramm öffnet und ich unmittelbar eine Mail an diese Adresse schicken kann.
...
Sind es solche Vorgänge, die unterbunden werden, wenn ich in den Sandboxeinstellungen unter "Zugriff verweigert (ClosedFilePath)" die entsprechenden Beschränkungen bezüglich der Mailprogramm-Ordner eintrage?

Genau. Hätte der Browser z.B. eine unbekannte Sicherheitslücke und könnte durch Schadcode dazu gebracht werden, das Adressbuch vom Emailprogramm auszulesen und irgendwohin ins Internet zu schicken, dann würde dies durch die ClosedFilePath Einträge verhindert.

Für b) könnte ich mir denken, dass der Browser z.B. dann etwas aus dem Ordner "Eigene Dateien" anfordert, wenn ich das irgendwo hochladen will (ein Foto in einem Forum, ein Videoclip bei youtube usw., oder irgendeine eigene Datei als Anhang zu einer Mail, die ich über den Browser versenden möchte). Auch das wäre offenbar durch einen entsprechenden Eintrag in den Sandboxeinstellungen (bewusst) unmöglich gemacht.

Auch richtig.

Jedenfalls hat mein Virenschutz sofort den (harmlosen) Testvirus Eicar gemeldet, als ich in der Sandbox probeweise den entsprechenden Link auf der Eicar-Seite angeklickt hatte.
Da ist mir also überhaupt nicht klar, was es mit (allfälligen) Anforderungen der Sandbox von Dateien aus dem Sicherheitsprogramm auf sich hat.

Dein Antivirenprogramm kann natürlich ganz normal auf den Sandbox Ordner zugreifen und Viren erkennen und löschen.
Der ClosedFilePath ist hier eine Vorsichtsmaßnahme, selbst wenn der Browserprozess verseucht wäre, könnte er nicht auf den Antiviren-Ordner zugreifen.

Wenn meine diesbzüglichen Annahmen oben stimmen, dann könnte ich mir den Eintrag von Mailprogramm bzw. "Eigenen Dateien" in den Sandboxeinstellungen unter "Zugriff verweigert (ClosedFilePath)" ersparen, weil ich mein Mailprogramm ohnedies nie durch Anklicken eines Links im Browser öffne (und es auch sonst nicht mit dem Browser in Verbindung bringe) und weil ich das (seltene) Hochladen eigener Dateien durchführe, indem ich den Browser außerhalb der Sandbox starte (anders wäre es ja wahrscheinlich auch gar nicht möglich, wenn die Sandboxeinstellungen den Zugriff auf diese Dateien verweigert).

Es geht aber nicht um das, was du machst.
Es geht darum, was Schadprogramme machen könnten.

MfG