Sandboxie Free, zur Browser Selbstreinigung Einstellungen

[subset]

Sandboxie, Englisch, Freeware
http://www.sandboxie.com/

Einleitung

Sandboxie ist den meisten wahrscheinlich schon länger bekannt, für alle übrigen deswegen nur eine kurze Erklärung:
Eine Anwendung wird über Sandboxie gestartet und alle Veränderungen am System finden danach nur noch in der Sandbox statt, einem vom Rest des eigentlichen Systems isolierten Bereich.
Alle übrigen Anwendungen können von Außen ganz normal auf die Sandbox zugreifen, sie ist einfach ein Ordner im Hautverzeichnis vom Systemlaufwerk.
Von der Sandbox nach Außen gelangt normal jedoch nichts, denn Sandboxie kopiert alle benötigten Daten in die Sandbox hinein.

Als Beispiel ein Browser der über Sandboxie gestartet wurde:
Ein Schadprogramm gelangt in das Browser Cache (nicht wirklich, da es in der Sandbox ist) und will die x.exe verändern.
Sandboxie kopiert die x.exe in die Sandbox und das Schadprogramm verändert die x.exe (wieder nicht wirklich, da das nur in der Sandbox stattfindet).
Das Schadprogramm ist scheinbar erfolgreich, aber in Wirklichkeit überhaupt nicht.
Weder befindet sich im echten Browser Cache ein Schadprogramm noch wurde die echte x.exe verändert.
Beides fand nur in der Sandbox statt, hatte also keine Auswirkungen auf das echte System und nach dem Leeren der Sandbox sind das Schadprogramm und die veränderte x.exe gelöscht.

Wo liegen nun die Unterschiede zwischen Sandboxie und GeSWall?
- GeSWall verfolgt quasi alle Dateien über alle Festplatten und isoliert jede Einzelne, sichtbar am roten Rahmen.
Am Speicherort der Dateien werden keinerlei Veränderungen vorgenommen, alles landet auf dem gleichen Platz wie ohne GeSWall.
Der Vorteil: alles ist an seinem Platz, nichts geht verloren.
- Sandboxie hingegen kopiert alle erforderlichen Dateien vom echten System in die „Scheinwelt“ der Sandbox.
Das System selbst bleibt unverändert, alle Veränderungen durch das Programm, das in der Sandbox läuft, finden nur in der Sandbox statt, ob Virenbefall oder Browserupdate.
Löscht man die Sandbox, gehen alle diese Veränderungen mit verloren.
Der Vorteil: nichts wird am eigentlichen System verändert, alles geht mit dem Leeren der Sandbox verloren.

Das Konfigurationsbeispiel (Browser Selbstreinigung) habe ich nach diesen Anforderungen erstellt:
Sicher im Internet surfen ohne Notwendigkeit eines Web AV Hemmschuhes und mit der Gewissheit, dass nach dem Beenden des Browser der ganze Mist gelöscht wird.
Außerdem soll die Sandbox möglichst dicht gehalten werden.
Ich habe nur wenige Ausnahmen für Downloads und Browser Addons erstellt und den Zugriff auf sensible Daten geblockt und den Zugriff auf das Internet streng limitiert.
Als Browser habe ich Firefox gewählt.

Die Installation

Die Installationsdatei ist nur 373 KB groß, ein Autostart (sbiectrl.exe), ein Service (sbiesvc.exe) und ein Treiber (sbiedrv.sys) werden installiert.

Der Resourcenverbrauch mit und ohne aktive Sandbox Anwendung.

 11Performance.png ( 9.56KB ) Anzahl der Downloads: 272


Sandboxie erzeugt einen Link für den Standardbrowser auf dem Desktop.
Man braucht diesen nur Doppelklicken und der Browser wird automatisch in der Sandbox gestartet.

 12DefaultBrowser.png ( 7.67KB ) Anzahl der Downloads: 64


Die Konfiguration

Vor dem ersten Start sollte man die Sandbox einrichten.
Dazu wählt man im Hauptfenster die „Sandbox Settings“

 13SBSettings.png ( 8.72KB ) Anzahl der Downloads: 227


In den Settings kann man dann die Vorgaben (Desktop, Eigene Dateien) löschen und sein persönliches Download Verzeichnis hinzufügen.

 14Recovery.png ( 16.44KB ) Anzahl der Downloads: 368


Wenn man will, dass Downloads sofort im Originalverzeichnis landen, sollte man diese Option aktivieren.

 15Immediate.png ( 13.59KB ) Anzahl der Downloads: 337


Nach dem Herunterladen einer Datei öffnet sich dieses Fenster und man muss das Retten des Downloads mit „Recover“ genehmigen.
So werden ungewollte Downloads in dieses Verzeichnis verhindert (Drive-by-Download).

 16Recover.png ( 6.87KB ) Anzahl der Downloads: 262


Bei der nächsten Einstellung wird die Sandbox nach dem Beenden des Browsers automatisch gelöscht.
Ich bevorzuge diese Einstellung, da damit alle Surfspuren automatisch beseitigt werden.
Der Nachteil ist eine leichte Verzögerung bei jedem Browserstart, da alle erforderlichen Dateien jedes Mal erst in die Sandbox kopiert werden müssen.
Es spricht aber auch nichts dagegen, diese Einstellung nicht zu aktivieren, also die Sandbox beim Beenden des Browsers nicht zu löschen.
Auf die übrigen Einstellungen hat das keinen Einfluss.

 17DeleteSB.png ( 13.76KB ) Anzahl der Downloads: 253


Die nächste Einstellung betrifft den Internetzugang von Programmen die in der Sandbox laufen.
Hier habe ich nur Firefox ausgewählt, um sicherzustellen, dass sonst keine Programme aus der Sandbox heraus nach Hause telefonieren dürfen.

 18InetAccess.png ( 15.21KB ) Anzahl der Downloads: 336


Den direkten Zugriff auf Dateien aus der Sandbox heraus habe ich wieder auf Firefox beschränkt und nur auf für mich wichtige Dateien.
Für die NoScript Regeln:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
Für die Lesezeichen:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
Für die Sitzungswiederherstellung:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
Für Adblock Plus Regeln:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini

 19FileAccess.png ( 16.5KB ) Anzahl der Downloads: 330


Firefox oder Addons updaten, neue Addons oder Themes installieren usw. funktioniert mit diesen Einstellungen nicht, aber das will ich mit dem Browser in der Sandbox auch gar nicht.
Dazu starte ich den Browser nur für das Update normal.
Hier geht mir die Sicherheit vor dem Komfort.

Aber wer will kann auch die vorgefertigten Profile aktivieren.

 20Browser.png ( 16.69KB ) Anzahl der Downloads: 269


Oder wie oben einfach den direkten Zugriff von Firefox (mit OpenFilePath=firefox.exe,) auf relevante Dateien erlauben.
Für die Profilordner und das Programmverzeichnis sind das diese Pfade:
C:\Programme\Mozilla Firefox
C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox
Natürlich öffnet man dadurch die Sandbox weiter als mit den von mir bevorzugten Einstellungen.

Die nächsten Einstellungen betreffen Bereiche, auf die auch aus der Sandbox heraus nicht zugegriffen werden darf.

 21Blocked.png ( 16.69KB ) Anzahl der Downloads: 317


Das sind meine übrigen Sicherheitsprogramme und Ordner bzw. Partitionen mit privaten Daten.

C:\Programme\Returnil
C:\Programme\Tall Emu\Online Armor
C:\Programme\Avira
C:\RETURNIL
%Local Settings%\Anwendungsdaten\Thunderbird
%AppData%\Thunderbird
%Personal% (Eigene Dateien)
D:
S:

Und zusätzlich habe ich noch den Windows und Programme Ordner als Read only Ordner eingefügt.

 22Read.png ( 14.47KB ) Anzahl der Downloads: 219


C:\Programme funktioniert aber nur, wenn man den Browser aus der Sandbox heraus nicht updaten will.

Resümee

Mit diesen Einstellungen hat man ein System der Selbstreinigung für den Firefox Browser.
Ob gut oder schlecht, alles wird entsorgt.
Ähnlich lassen sich auch andere Browser für Sandboxie konfigurieren.

MfG

[Peter 123]

Unterdessen eine andere Frage:

Ich habe (wie oben dargestellt) die Option des Automatischen Löschens der Sandbox aktiviert. D.h. die Sandbox wird geleert, "sobald das letzte Programm darin beendet wurde und die Sandbox unbenutzt wird".

Nehmen wir an, in der Sandbox laufe nur ein Browser, also z.B. Firefox. Wie gehe ich da eigentlich auf die "richtige" Weise vor, wenn ich nach meinem Internetbesuch die Sandbox verlässlich geleert haben möchte?

a) Einfach den Browser schließen? (so mache ich es derzeit)

b) Oder besser, indem ich auf das Sandboxie-Icon in der Taskleiste rechtsklicke und auf "Alle Programme beenden" klicke? D.h.:




c) Bzw. indem ich auf das Sandboxie-Icon in der Taskleiste rechtsklicke, die offene Sandbox auswähle und dann auf "Programme beenden" klicke? D.h.:




d) Oder: wie Fall c), aber indem ich statt "Programme beenden" die Option "Inhalte löschen" auswähle?

Mit der "richtigen" Weise meine ich jene, die zuverlässig gewährleistet, dass meine Sandbox geleert ist (und somit etwaige Schädlinge aus ihr entfernt sind). Ich denke an folgenden Fall: Es könnte doch passieren, dass in der geöffneten Sandbox irgendein Schadprogramm (zB. ein Keylogger) läuft, das während meines Aufenthalts im Internet in die Sandbox gelangt ist. Bei Variante a) würde dann doch zwar das Browserprogramm beendet werden, aber nicht zwangsläufig das Schadprogramm. Damit wäre das letzte Programm in der Sandbox nicht beendet, und infolgedessen würde bei aktivierter Option des Automatischen Löschens die Sandbox noch nicht geleert.

_____________

Und zwei Zusatzfragen, was die obigen Varianten b), c) und d) betrifft:

- Ich nehme an, ein Unterschied zwischen b) und c) besteht nur dann, wenn ich mehrere Sandboxen gleichzeitig geöffnet habe (was in der kostenlosen Version von Sandboxie ohndies nicht möglich ist). Dann könnte man wählen, ob man alle Programme beendet (also die Programme sämtlicher gerade geöffneter Sandboxen) (Variante b), oder ob man dies nur hinsichtlich einer bestimmten Sandbox tun will (Variante c). Stimmt das so?

- Zum Unterschied zwischen den Varianten "(Alle) Programme beenden" und "Inhalte löschen":
Bei aktivierter Option des Automatischen Löschens dürfte es meiner Meinung nach keinen Unterschied machen, welche der beiden Varianten ich anklicke, um meine Sandbox zu leeren; denn das Beenden der Programme in einer Sandbox führt dann automatisch zum Löschen ihres Inhalts. Nur wenn jemand diese Option nicht aktiviert hat, bleibt die Sandbox auch nach dem Schließen der Programme "gefüllt". Richtig?

Der Beitrag wurde von Peter 123 bearbeitet: 31.07.2008, 17:05

[subset]

a) Einfach den Browser schließen? (so mache ich es derzeit)

Ja, der automatische Ablauf ist immer zuerst alle Programme schließen und dann den Inhalt der Sandbox löschen.
Andersherum wäre sinnlos, da dann viele Dateien noch in Benutzung wären und somit nicht gelöscht werden könnten.
Kann eine Sandbox aus irgendeinem Grund nicht automatisch gelöscht werden, dann bekommst du eine entsprechende Meldung, ähnlich wie diese hier:

 SBnodelete.png ( 13.83KB ) Anzahl der Downloads: 16


Deine Bedenken von wegen Schädlinge und Keylogger sind so gesehen unbegründet, da du über das Scheitern des Löschens der Sandbox ja informiert wirst.

Dann könnte man wählen, ob man alle Programme beendet (also die Programme sämtlicher gerade geöffneter Sandboxen) (Variante b), oder ob man dies nur hinsichtlich einer bestimmten Sandbox tun will (Variante c). Stimmt das so?

Ja

Nur wenn jemand diese Option nicht aktiviert hat, bleibt die Sandbox auch nach dem Schließen der Programme "gefüllt". Richtig?

Auch ja, Sandboxie ist sehr flexibel einsetzbar, wer z.B. ein Programm in eine Sandbox installieren will, um es zu testen, der will vermutlich auch, dass die Sandbox nicht sofort gelöscht wird.

MfG