Sandboxie Free, zur Browser Selbstreinigung Einstellungen

[subset]

Sandboxie, Englisch, Freeware
http://www.sandboxie.com/

Einleitung

Sandboxie ist den meisten wahrscheinlich schon länger bekannt, für alle übrigen deswegen nur eine kurze Erklärung:
Eine Anwendung wird über Sandboxie gestartet und alle Veränderungen am System finden danach nur noch in der Sandbox statt, einem vom Rest des eigentlichen Systems isolierten Bereich.
Alle übrigen Anwendungen können von Außen ganz normal auf die Sandbox zugreifen, sie ist einfach ein Ordner im Hautverzeichnis vom Systemlaufwerk.
Von der Sandbox nach Außen gelangt normal jedoch nichts, denn Sandboxie kopiert alle benötigten Daten in die Sandbox hinein.

Als Beispiel ein Browser der über Sandboxie gestartet wurde:
Ein Schadprogramm gelangt in das Browser Cache (nicht wirklich, da es in der Sandbox ist) und will die x.exe verändern.
Sandboxie kopiert die x.exe in die Sandbox und das Schadprogramm verändert die x.exe (wieder nicht wirklich, da das nur in der Sandbox stattfindet).
Das Schadprogramm ist scheinbar erfolgreich, aber in Wirklichkeit überhaupt nicht.
Weder befindet sich im echten Browser Cache ein Schadprogramm noch wurde die echte x.exe verändert.
Beides fand nur in der Sandbox statt, hatte also keine Auswirkungen auf das echte System und nach dem Leeren der Sandbox sind das Schadprogramm und die veränderte x.exe gelöscht.

Wo liegen nun die Unterschiede zwischen Sandboxie und GeSWall?
- GeSWall verfolgt quasi alle Dateien über alle Festplatten und isoliert jede Einzelne, sichtbar am roten Rahmen.
Am Speicherort der Dateien werden keinerlei Veränderungen vorgenommen, alles landet auf dem gleichen Platz wie ohne GeSWall.
Der Vorteil: alles ist an seinem Platz, nichts geht verloren.
- Sandboxie hingegen kopiert alle erforderlichen Dateien vom echten System in die „Scheinwelt“ der Sandbox.
Das System selbst bleibt unverändert, alle Veränderungen durch das Programm, das in der Sandbox läuft, finden nur in der Sandbox statt, ob Virenbefall oder Browserupdate.
Löscht man die Sandbox, gehen alle diese Veränderungen mit verloren.
Der Vorteil: nichts wird am eigentlichen System verändert, alles geht mit dem Leeren der Sandbox verloren.

Das Konfigurationsbeispiel (Browser Selbstreinigung) habe ich nach diesen Anforderungen erstellt:
Sicher im Internet surfen ohne Notwendigkeit eines Web AV Hemmschuhes und mit der Gewissheit, dass nach dem Beenden des Browser der ganze Mist gelöscht wird.
Außerdem soll die Sandbox möglichst dicht gehalten werden.
Ich habe nur wenige Ausnahmen für Downloads und Browser Addons erstellt und den Zugriff auf sensible Daten geblockt und den Zugriff auf das Internet streng limitiert.
Als Browser habe ich Firefox gewählt.

Die Installation

Die Installationsdatei ist nur 373 KB groß, ein Autostart (sbiectrl.exe), ein Service (sbiesvc.exe) und ein Treiber (sbiedrv.sys) werden installiert.

Der Resourcenverbrauch mit und ohne aktive Sandbox Anwendung.

 11Performance.png ( 9.56KB ) Anzahl der Downloads: 272


Sandboxie erzeugt einen Link für den Standardbrowser auf dem Desktop.
Man braucht diesen nur Doppelklicken und der Browser wird automatisch in der Sandbox gestartet.

 12DefaultBrowser.png ( 7.67KB ) Anzahl der Downloads: 64


Die Konfiguration

Vor dem ersten Start sollte man die Sandbox einrichten.
Dazu wählt man im Hauptfenster die „Sandbox Settings“

 13SBSettings.png ( 8.72KB ) Anzahl der Downloads: 227


In den Settings kann man dann die Vorgaben (Desktop, Eigene Dateien) löschen und sein persönliches Download Verzeichnis hinzufügen.

 14Recovery.png ( 16.44KB ) Anzahl der Downloads: 368


Wenn man will, dass Downloads sofort im Originalverzeichnis landen, sollte man diese Option aktivieren.

 15Immediate.png ( 13.59KB ) Anzahl der Downloads: 337


Nach dem Herunterladen einer Datei öffnet sich dieses Fenster und man muss das Retten des Downloads mit „Recover“ genehmigen.
So werden ungewollte Downloads in dieses Verzeichnis verhindert (Drive-by-Download).

 16Recover.png ( 6.87KB ) Anzahl der Downloads: 262


Bei der nächsten Einstellung wird die Sandbox nach dem Beenden des Browsers automatisch gelöscht.
Ich bevorzuge diese Einstellung, da damit alle Surfspuren automatisch beseitigt werden.
Der Nachteil ist eine leichte Verzögerung bei jedem Browserstart, da alle erforderlichen Dateien jedes Mal erst in die Sandbox kopiert werden müssen.
Es spricht aber auch nichts dagegen, diese Einstellung nicht zu aktivieren, also die Sandbox beim Beenden des Browsers nicht zu löschen.
Auf die übrigen Einstellungen hat das keinen Einfluss.

 17DeleteSB.png ( 13.76KB ) Anzahl der Downloads: 253


Die nächste Einstellung betrifft den Internetzugang von Programmen die in der Sandbox laufen.
Hier habe ich nur Firefox ausgewählt, um sicherzustellen, dass sonst keine Programme aus der Sandbox heraus nach Hause telefonieren dürfen.

 18InetAccess.png ( 15.21KB ) Anzahl der Downloads: 336


Den direkten Zugriff auf Dateien aus der Sandbox heraus habe ich wieder auf Firefox beschränkt und nur auf für mich wichtige Dateien.
Für die NoScript Regeln:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
Für die Lesezeichen:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
Für die Sitzungswiederherstellung:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
Für Adblock Plus Regeln:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini

 19FileAccess.png ( 16.5KB ) Anzahl der Downloads: 330


Firefox oder Addons updaten, neue Addons oder Themes installieren usw. funktioniert mit diesen Einstellungen nicht, aber das will ich mit dem Browser in der Sandbox auch gar nicht.
Dazu starte ich den Browser nur für das Update normal.
Hier geht mir die Sicherheit vor dem Komfort.

Aber wer will kann auch die vorgefertigten Profile aktivieren.

 20Browser.png ( 16.69KB ) Anzahl der Downloads: 269


Oder wie oben einfach den direkten Zugriff von Firefox (mit OpenFilePath=firefox.exe,) auf relevante Dateien erlauben.
Für die Profilordner und das Programmverzeichnis sind das diese Pfade:
C:\Programme\Mozilla Firefox
C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox
Natürlich öffnet man dadurch die Sandbox weiter als mit den von mir bevorzugten Einstellungen.

Die nächsten Einstellungen betreffen Bereiche, auf die auch aus der Sandbox heraus nicht zugegriffen werden darf.

 21Blocked.png ( 16.69KB ) Anzahl der Downloads: 317


Das sind meine übrigen Sicherheitsprogramme und Ordner bzw. Partitionen mit privaten Daten.

C:\Programme\Returnil
C:\Programme\Tall Emu\Online Armor
C:\Programme\Avira
C:\RETURNIL
%Local Settings%\Anwendungsdaten\Thunderbird
%AppData%\Thunderbird
%Personal% (Eigene Dateien)
D:
S:

Und zusätzlich habe ich noch den Windows und Programme Ordner als Read only Ordner eingefügt.

 22Read.png ( 14.47KB ) Anzahl der Downloads: 219


C:\Programme funktioniert aber nur, wenn man den Browser aus der Sandbox heraus nicht updaten will.

Resümee

Mit diesen Einstellungen hat man ein System der Selbstreinigung für den Firefox Browser.
Ob gut oder schlecht, alles wird entsorgt.
Ähnlich lassen sich auch andere Browser für Sandboxie konfigurieren.

MfG

[Peter 123]

Das freut mich, dass ich da ein paar richtige Annahmen getroffen habe.

Man könnte also die Funktionsweise des von dir empfohlenen Zugriffsverbots für Mailprogramm und Eigene Dateien auch so beschreiben: Es soll damit (aus Sicherheitsgründen) verhindert werden, dass das Mailprogramm bzw. der Ordner "Eigene Dateien" über den Browser geöffnet wird.

Falls das so ist, dann könnte man das Ganze in zweierlei Hinsicht aber auch umgekehrt sehen:

- Wenn ich ohnedies nie mein Mailprogramm oder die Eigenen Dateien über den Browser öffne, dann erübrigt es sich, ein diesbzügliches Zugriffsverbot in den Sandboxeinstellungen festzulegen.

(Zwischenfrage):
Oder könnte ein Schädling auch dann über den Browser in diese Bereiche eindringen, wenn ich nicht selbst (aktiv) eine Verbindung von Mailprogramm bzw. Eigenen Dateien mit dem Browser - also mit dem Internet - herstelle? (Deine Bemerkung "Es geht aber nicht um das, was du machst. Es geht darum, was Schadprogramme machen könnten." habe ich in diese Richtung verstanden.) Dann würde sich das Zugriffsverbot natürlich nicht erübrigen.

- Und andererseits: Wenn ich einen Bezug zwischen Browser und Mailprogramm bzw. Eigenen Dateien benötige (zB. weil ich Mail-Links auf Webseiten direkt anklicken will, oder weil ich Dateien in das Internet hochladen möchte), dann darf ich dieses Zugriffsverbot ja gar nicht vorsehen, weil ich sonst daran gehindert wäre, diese Funktionen zu nützen.

Damit will ich nichts gegen deine Konfigurationsempfehlung gesagt haben; ich möchte nur den Gesamtzusammenhang verstehen.

Und zum Zugriffsverbot betreffend Sicherheitsprogramme schreibst du:

Dein Antivirenprogramm kann natürlich ganz normal auf den Sandbox Ordner zugreifen und Viren erkennen und löschen.
Der ClosedFilePath ist hier eine Vorsichtsmaßnahme, selbst wenn der Browserprozess verseucht wäre, könnte er nicht auf den Antiviren-Ordner zugreifen.

Dazu meine Fragen:
- Wie kann so ein "verseuchter Browserprozess" zustandekommen? Schon durch bloßes Ansurfen einer verseuchten Webseite? (Und wenn ja: Wäre dann die Deaktivierung von Java und Javascript eine ausreichende Schutzmaßnahme?) Oder bedarf es dazu des Herunterladens + Öffnens einer verseuchten Datei (zB. in einem e-mail-Anhang)?

- Angenommen, ich lege für mein Virenschutzprogramm ein Zugriffsverbot in der Sandbox fest. Gibt es dann auch irgendwelche Funktionsbeeinträchtigungen dieses Programms (ähnlich wie beim Mailprogramm und den Eigenen Dateien?)
Anders gefragt: Was könnte dagegen sprechen, für das Virenschutzprogramm das Zugriffsverbot festzulegen?

- Norton Internet Security ist auf die verschiedensten Ordner aufgeteilt; manches dazu findet sich auch in Ordnern mit der Bezeichnung "Symantec". Ich weiß daher gar nicht so recht, was ich konkret auswählen müsste, um das Zugriffsverbot korrekt zu definieren. Kann man eine allgemeine Regel aufstellen, auf welche konkreten Ordner sich die Zugriffsverweigerung beziehen muss (nur auf den Ordner, der das Sicherheitsprogramm als solches enthält, oder auch auf den Ordner mit den Virendefinitionsdateien, ...)?

Der Beitrag wurde von Peter 123 bearbeitet: 24.07.2008, 16:29

[subset]

(Deine Bemerkung "Es geht aber nicht um das, was du machst. Es geht darum, was Schadprogramme machen könnten." habe ich in diese Richtung verstanden.) Dann würde sich das Zugriffsverbot natürlich nicht erübrigen.

Richtig erkannt.

- Und andererseits: Wenn ich einen Bezug zwischen Browser und Mailprogramm bzw. Eigenen Dateien benötige (zB. weil ich Mail-Links auf Webseiten direkt anklicken will, oder weil ich Dateien in das Internet hochladen möchte), dann darf ich dieses Zugriffsverbot ja gar nicht vorsehen, weil ich sonst daran gehindert wäre, diese Funktionen zu nützen.

Wenn in den Eigenen Dateien nichts sicherheitsrelevantes zu finden ist, also nur Bilder und so Zeug, dann brauchst du auch kein Zugriffsverbot.
Sind da aber jede Menge Geschäfts- und Bank-Briefe usw., dann wäre ein Zugriffsverbot sinnvoll.

Die paar Bilder zum Hochladen könntest du aber auch woanders hinkopieren vor dem Hochladen, theoretisch.
Wie du das aber letztendlich handhabst, ist deine Entscheidung.

- Wie kann so ein "verseuchter Browserprozess" zustandekommen? Schon durch bloßes Ansurfen einer verseuchten Webseite? (Und wenn ja: Wäre dann die Deaktivierung von Java und Javascript eine ausreichende Schutzmaßnahme?) Oder bedarf es dazu des Herunterladens + Öffnens einer verseuchten Datei (zB. in einem e-mail-Anhang)?

Eine Antwort liefert secunia.com, die auch Sicherheitslöcher in Browsern veröffentlichen.
Für Firefox http://secunia.com/graph/?type=imp&per...&prod=12434
Für den IE http://secunia.com/graph/?type=imp&per...&prod=12366
Und für Opera http://secunia.com/graph/?type=imp&per...&prod=10615
Die Erklärung zu den Bedrohungen gibt es hier.
http://secunia.com/about_secunia_advisories/

Anders gefragt: Was könnte dagegen sprechen, für das Virenschutzprogramm das Zugriffsverbot festzulegen?

Du meinst ein Zugriffsverbot für in der Sandbox laufende Programme auf die Ordner des Virenschutzes?
Denn für das Virenschutzprogramm gibt es kein Zugriffsverbot, das läuft ja nicht in der Sandbox.

Norton Internet Security ist auf die verschiedensten Ordner aufgeteilt;
...
Kann man eine allgemeine Regel aufstellen, auf welche konkreten Ordner sich die Zugriffsverweigerung beziehen muss (nur auf den Ordner, der das Sicherheitsprogramm als solches enthält, oder auch auf den Ordner mit den Virendefinitionsdateien, ...)?

Bei den ganzen Ordner für NIS kann dir sicher bond7 weiterhelfen.

MfG

[Peter 123]

Angenommen, ich lege für mein Virenschutzprogramm ein Zugriffsverbot in der Sandbox fest. Gibt es dann auch irgendwelche Funktionsbeeinträchtigungen dieses Programms (ähnlich wie beim Mailprogramm und den Eigenen Dateien?)
Anders gefragt: Was könnte dagegen sprechen, für das Virenschutzprogramm das Zugriffsverbot festzulegen?

+

Du meinst ein Zugriffsverbot für in der Sandbox laufende Programme auf die Ordner des Virenschutzes?

Ja, so meinte ich das. Also in deinem Fall z.B. den Eintrag "C:\Programme\Avira" unter "Ressourcenzugriff" ---> "Dateizugriff" ---> "Zugriff verweigern" bei den Sandboxeinstellungen. Hat ein solcher Eintrag irgendwelche "Nebenwirkungen", die zB. das Surfen erschweren oder die Aktualisierung des Virenschutzprogramms (bei geöffneter Sandbox) verhindern, oder dergleichen mehr?
_____

Und jetzt ist bei mir leider noch ein Problem mit dem Windows Media Player 11 aufgetaucht:
Als Plugin ist er in beiden Browsern (Firefox und Opera) eingetragen. Das habe ich inzwischen nachgeprüft. Und weiter oben habe ich ja schon erwähnt, dass er sowohl in der Firefox- als auch in der Opera-Sandbox funktionierte. D.h. er öffnete sich (in der Sandbox) z.B. beim Anklicken eines Video-Links auf einer Webseite. Das ist jetzt plötzlich nicht mehr der Fall. Und ich bin auch draufgekommen woran es liegt:

- In der für Opera eingerichteten Sandbox funktioniert der WMP komischerweise jetzt nur mehr, wenn ich die drei folgenden Einträge aus der Sandboxie.ini wieder entferne:

ClosedFilePath=!<restricted2>,*
ClosedIpcPath=!<restricted2>,*
ClosedKeyPath=!<restricted2>,*

Belasse ich diese Einträge, so öffnet sich der WMP nicht (mehr), und es kommt die Fehlermeldung: "Anwendung konnte nicht richtig initialisiert werden."

- In der (unter anderem) für Firefox eingerichteten Sandbox (= DefaultBox) läuft der WMP hingegen weiterhin trotz der entsprechenden <restricted1>-Einträge problemlos.

Diese <restricted>-Einträge sind unverändert jene, die weiter oben angeführt sind, nämlich:

ProcessGroup=<restricted1>,firefox.exe,iexplore.exe,skype.exe,msnmsgr.exe,yahoomessenger.exe,Start.
exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe
ProcessGroup=<restricted2>,opera.exe,Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe

Überprüft habe ich das alles anhand dieser Testseite für WMP-Plugins (mit dem ersten Test, betreffend Linkverwendung):
http://www.uni-koeln.de/rrzk/multimedia/pl...st/wm_test.html

[Der Test betrifft zwar die veraltete Browserversion Opera 9.2, aber daran liegt es nicht. Auf anderen Webseiten mit Videolinks war es genauso.]

Gibt es irgendeine Erklärung für diesen Funktionsunterschied bei gleichartiger Konfiguration der beiden Sandboxen? Den WMP hätte ich schon gerne in beiden Sandboxen/Browsern funktionstüchtig.

________________________________

Nachtrag zu dem WMP-Problem in der Opera-Sandbox:

Ich habe jetzt doch herausgefunden, wie man den WMP in der Sandbox zum Spielen bringt, ohne die drei oben genannten "restricted"-Einträge aus der sandboxie.ini zu entfernen. Man muss zwei Vorgaben im Opera-Browser ändern:

1. Unter "Extras" ---> "Schnelleinstellungen" Folgendes aktivieren: "Plugins" und "Javascript"

2. Unter "Extras" ---> "Einstellungen" --> "Erweitert" ---> "Downloads" Folgendes tun:
a) den Haken bei "In Opera aktivierte Dateitypen ausblenden" entfernen
b) den der Videodatei entsprechenden Mime-Typ auswählen (zB. bei einer wmv-Datei: video/x-ms-wmv *), ihn anklicken und auf "Bearbeiten" klicken.
c) Anstelle der Option "Download-Dialog anzeigen" die Option "Plug-In verwenden" auswählen und mit OK bestätigen.

*) [Für die Link-Datei auf der genannten Testseite http://www.uni-koeln.de/rrzk/multimedia/pl...st/wm_test.html ist es hingegen der Mime-Typ video/x-ms-wvx, obwohl auch diese Datei als wmv-Datei bezeichnet ist. ]



Das ist total kompliziert und auch unsicher (weil man wieder JavaScript aktivieren muss). Gibt es eine Möglichkeit, den WMP in der Opera-Sandbox wieder so zum Spielen zu bringen wie noch vor wenigen Tagen - also so wie in der Defaultbox für Firefox und ohne all diese Änderungen in den Einstellungen??

Der Beitrag wurde von Peter 123 bearbeitet: 25.07.2008, 15:14

[subset]

Also in deinem Fall z.B. den Eintrag "C:\Programme\Avira" unter "Ressourcenzugriff" ---> "Dateizugriff" ---> "Zugriff verweigern" bei den Sandboxeinstellungen. Hat ein solcher Eintrag irgendwelche "Nebenwirkungen", die zB. das Surfen erschweren oder die Aktualisierung des Virenschutzprogramms (bei geöffneter Sandbox) verhindern, oder dergleichen mehr?

Ne, bis jetzt keine bemerkt. Was hat z.B. der Browser auch in diesen Ordnern zu suchen?
ClosedFilePath=C:\Dokumente und Einstellungen\*\Anwendungsdaten\Avira\
ClosedFilePath=C:\Programme\Avira\

Gibt es eine Möglichkeit, den WMP in der Opera-Sandbox wieder so zum Spielen zu bringen wie noch vor wenigen Tagen - also so wie in der Defaultbox für Firefox und ohne all diese Änderungen in den Einstellungen??

Na freilich, du mußt die wmplayer.exe nur zu deinen erlaubten Programmen für die jeweilige Sandbox hinzufügen.
Denn du willst ja, dass der WMP in der Sandbox ausgeführt werden darf.
Also für deine Opera Sandbox:

ProcessGroup=<restricted2>,wmplayer.exe,opera.exe,Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.
exe

MfG