Sandboxie Free, zur Browser Selbstreinigung Einstellungen

[subset]

Sandboxie, Englisch, Freeware
http://www.sandboxie.com/

Einleitung

Sandboxie ist den meisten wahrscheinlich schon länger bekannt, für alle übrigen deswegen nur eine kurze Erklärung:
Eine Anwendung wird über Sandboxie gestartet und alle Veränderungen am System finden danach nur noch in der Sandbox statt, einem vom Rest des eigentlichen Systems isolierten Bereich.
Alle übrigen Anwendungen können von Außen ganz normal auf die Sandbox zugreifen, sie ist einfach ein Ordner im Hautverzeichnis vom Systemlaufwerk.
Von der Sandbox nach Außen gelangt normal jedoch nichts, denn Sandboxie kopiert alle benötigten Daten in die Sandbox hinein.

Als Beispiel ein Browser der über Sandboxie gestartet wurde:
Ein Schadprogramm gelangt in das Browser Cache (nicht wirklich, da es in der Sandbox ist) und will die x.exe verändern.
Sandboxie kopiert die x.exe in die Sandbox und das Schadprogramm verändert die x.exe (wieder nicht wirklich, da das nur in der Sandbox stattfindet).
Das Schadprogramm ist scheinbar erfolgreich, aber in Wirklichkeit überhaupt nicht.
Weder befindet sich im echten Browser Cache ein Schadprogramm noch wurde die echte x.exe verändert.
Beides fand nur in der Sandbox statt, hatte also keine Auswirkungen auf das echte System und nach dem Leeren der Sandbox sind das Schadprogramm und die veränderte x.exe gelöscht.

Wo liegen nun die Unterschiede zwischen Sandboxie und GeSWall?
- GeSWall verfolgt quasi alle Dateien über alle Festplatten und isoliert jede Einzelne, sichtbar am roten Rahmen.
Am Speicherort der Dateien werden keinerlei Veränderungen vorgenommen, alles landet auf dem gleichen Platz wie ohne GeSWall.
Der Vorteil: alles ist an seinem Platz, nichts geht verloren.
- Sandboxie hingegen kopiert alle erforderlichen Dateien vom echten System in die „Scheinwelt“ der Sandbox.
Das System selbst bleibt unverändert, alle Veränderungen durch das Programm, das in der Sandbox läuft, finden nur in der Sandbox statt, ob Virenbefall oder Browserupdate.
Löscht man die Sandbox, gehen alle diese Veränderungen mit verloren.
Der Vorteil: nichts wird am eigentlichen System verändert, alles geht mit dem Leeren der Sandbox verloren.

Das Konfigurationsbeispiel (Browser Selbstreinigung) habe ich nach diesen Anforderungen erstellt:
Sicher im Internet surfen ohne Notwendigkeit eines Web AV Hemmschuhes und mit der Gewissheit, dass nach dem Beenden des Browser der ganze Mist gelöscht wird.
Außerdem soll die Sandbox möglichst dicht gehalten werden.
Ich habe nur wenige Ausnahmen für Downloads und Browser Addons erstellt und den Zugriff auf sensible Daten geblockt und den Zugriff auf das Internet streng limitiert.
Als Browser habe ich Firefox gewählt.

Die Installation

Die Installationsdatei ist nur 373 KB groß, ein Autostart (sbiectrl.exe), ein Service (sbiesvc.exe) und ein Treiber (sbiedrv.sys) werden installiert.

Der Resourcenverbrauch mit und ohne aktive Sandbox Anwendung.

 11Performance.png ( 9.56KB ) Anzahl der Downloads: 272


Sandboxie erzeugt einen Link für den Standardbrowser auf dem Desktop.
Man braucht diesen nur Doppelklicken und der Browser wird automatisch in der Sandbox gestartet.

 12DefaultBrowser.png ( 7.67KB ) Anzahl der Downloads: 64


Die Konfiguration

Vor dem ersten Start sollte man die Sandbox einrichten.
Dazu wählt man im Hauptfenster die „Sandbox Settings“

 13SBSettings.png ( 8.72KB ) Anzahl der Downloads: 227


In den Settings kann man dann die Vorgaben (Desktop, Eigene Dateien) löschen und sein persönliches Download Verzeichnis hinzufügen.

 14Recovery.png ( 16.44KB ) Anzahl der Downloads: 368


Wenn man will, dass Downloads sofort im Originalverzeichnis landen, sollte man diese Option aktivieren.

 15Immediate.png ( 13.59KB ) Anzahl der Downloads: 337


Nach dem Herunterladen einer Datei öffnet sich dieses Fenster und man muss das Retten des Downloads mit „Recover“ genehmigen.
So werden ungewollte Downloads in dieses Verzeichnis verhindert (Drive-by-Download).

 16Recover.png ( 6.87KB ) Anzahl der Downloads: 262


Bei der nächsten Einstellung wird die Sandbox nach dem Beenden des Browsers automatisch gelöscht.
Ich bevorzuge diese Einstellung, da damit alle Surfspuren automatisch beseitigt werden.
Der Nachteil ist eine leichte Verzögerung bei jedem Browserstart, da alle erforderlichen Dateien jedes Mal erst in die Sandbox kopiert werden müssen.
Es spricht aber auch nichts dagegen, diese Einstellung nicht zu aktivieren, also die Sandbox beim Beenden des Browsers nicht zu löschen.
Auf die übrigen Einstellungen hat das keinen Einfluss.

 17DeleteSB.png ( 13.76KB ) Anzahl der Downloads: 253


Die nächste Einstellung betrifft den Internetzugang von Programmen die in der Sandbox laufen.
Hier habe ich nur Firefox ausgewählt, um sicherzustellen, dass sonst keine Programme aus der Sandbox heraus nach Hause telefonieren dürfen.

 18InetAccess.png ( 15.21KB ) Anzahl der Downloads: 336


Den direkten Zugriff auf Dateien aus der Sandbox heraus habe ich wieder auf Firefox beschränkt und nur auf für mich wichtige Dateien.
Für die NoScript Regeln:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
Für die Lesezeichen:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
Für die Sitzungswiederherstellung:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
Für Adblock Plus Regeln:
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini

 19FileAccess.png ( 16.5KB ) Anzahl der Downloads: 330


Firefox oder Addons updaten, neue Addons oder Themes installieren usw. funktioniert mit diesen Einstellungen nicht, aber das will ich mit dem Browser in der Sandbox auch gar nicht.
Dazu starte ich den Browser nur für das Update normal.
Hier geht mir die Sicherheit vor dem Komfort.

Aber wer will kann auch die vorgefertigten Profile aktivieren.

 20Browser.png ( 16.69KB ) Anzahl der Downloads: 269


Oder wie oben einfach den direkten Zugriff von Firefox (mit OpenFilePath=firefox.exe,) auf relevante Dateien erlauben.
Für die Profilordner und das Programmverzeichnis sind das diese Pfade:
C:\Programme\Mozilla Firefox
C:\Dokumente und Einstellungen\*\Anwendungsdaten\Mozilla
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox
Natürlich öffnet man dadurch die Sandbox weiter als mit den von mir bevorzugten Einstellungen.

Die nächsten Einstellungen betreffen Bereiche, auf die auch aus der Sandbox heraus nicht zugegriffen werden darf.

 21Blocked.png ( 16.69KB ) Anzahl der Downloads: 317


Das sind meine übrigen Sicherheitsprogramme und Ordner bzw. Partitionen mit privaten Daten.

C:\Programme\Returnil
C:\Programme\Tall Emu\Online Armor
C:\Programme\Avira
C:\RETURNIL
%Local Settings%\Anwendungsdaten\Thunderbird
%AppData%\Thunderbird
%Personal% (Eigene Dateien)
D:
S:

Und zusätzlich habe ich noch den Windows und Programme Ordner als Read only Ordner eingefügt.

 22Read.png ( 14.47KB ) Anzahl der Downloads: 219


C:\Programme funktioniert aber nur, wenn man den Browser aus der Sandbox heraus nicht updaten will.

Resümee

Mit diesen Einstellungen hat man ein System der Selbstreinigung für den Firefox Browser.
Ob gut oder schlecht, alles wird entsorgt.
Ähnlich lassen sich auch andere Browser für Sandboxie konfigurieren.

MfG

[Peter 123]

Zum Thema Icon hat sich im Sandboxie-Forum jetzt auch tzuk persönlich geäußert. Seine Argumentation in dieser Frage finde ich zwar ausgeprochen dürftig, aber sei's drum. Zum Glück geht es dabei ja nur um ein eher "kosmetisches" Problem. Diese diversen "kleinen" (und durchwegs vermeidbaren) Ungereimtheiten des Sandboxie-Programms nerven (mich) zwar etwas. Aber Hauptsache ist, dass das Programm seine Funktion zuverlässig erfüllt.

Jetzt habe ich noch eine andere Frage, die unter dem Sicherheitsgesichtspunkt von größerer Bedeutung ist. Ich vermute, sie hängt eng mit deinen Konfigurationsempfehlungen zusammen, subset. Es geht um folgende Maßnahmen:

a) (manuelle) Überprüfung einer heruntergeladenen Datei mit dem Virenscanner innerhalb der Sandbox
b) Ausführen einer heruntergeladenen exe-Datei (oder Öffnen einer Zip-Datei usw.) innerhalb der Sandbox

Das ist (mir) mit der besprochenen Konfiguration nicht möglich.

Was Fall a) betrifft, würde mich das auch nicht weiter stören. Ich handhabe das nämlich ohnehin so, dass ich die betreffende Datei wiederherstelle (= aus der Sandbox auf meinen Desktop übertrage) und dann am Desktop den Virenscan durchführe (natürlich vor dem ersten Öffnen der Datei ). Es würde mich nur interessieren, ob diese Methode ebenso sicher ist wie eine Vornahme des Virenscans innerhalb der Sandbox. Also konkret: Ob es ungefährlich ist, wenn ein (etwaiger) Schädling in Form einer ungeöffneten Datei am Desktop liegt. Wenn das unbedenklich ist, würde ich bei dieser Methode bleiben und auf die Überprüfung innerhalb der Sandbox verzichten.

Der Fall b) wäre dann interessant, wenn ich z.B. einmal eine Software nur probeweise innerhalb der Sandbox installieren möchte, etwa um zu prüfen, ob sie mir zusagt. Dass ich mir neue Software installiere, kommt zwar ohnedies kaum vor; aber es wäre dennoch gut zu wissen, wie ich in diesem Fall vorgehen könnte.

[Peter 123]

Ich habe mich jetzt einmal anderweitig nach Informationen zu den von mir in Beitrag 88 erwähnten Fragen umgesehen. Vielleicht sind meine Erkenntnisse auch für andere von Interesse.

a) (manuelle) Überprüfung einer heruntergeladenen Datei mit dem Virenscanner innerhalb der Sandbox
[...]
Das ist (mir) mit der besprochenen Konfiguration nicht möglich.

Das kann ich erfreulicherweise korrigieren: Die Überprüfung ist mir sowohl mit der Standardkonfiguration als auch mit der hier besprochenen Spezialkonfiguration in gleicher Weise möglich, zum Beispiel so (es gibt auch andere Wege):

1. Doppelklick auf das Sandboxie-Icon in der Taskleiste ---> Rechtsklick auf jene Sandbox, deren Inhalt gescannt werden soll (zB. "DefaultBox") ---> Klick auf "Inhalte anzeigen":




2. Den allfälligen Warnhinweis im sich öffnenden Fenster mit "OK" bestätigen:



(Diesen Warnhinweis hatte ich lange Zeit missverstanden. Was hier wieder einmal etwas rätselhaft signalisiert werden soll, ist offenbar nichts anderes als: "Achtung: Wenn du nachfolgend Programme bzw. Ordner/Dateien direkt öffnest, so geschieht das außerhalb der Sandbox. Wenn du das vermeiden willst, mach einen Rechtsklick auf das betreffende Programm bzw. den Ordner oder die Datei und wähle aus dem Menü die Option 'Run Sandboxed'/'In der Sandbox starten'.")

3. Dann erscheint folgendes Fenster:



Zum Scannen gibt es jetzt zwei Möglichkeiten:

a) man scannt den gesamten user-Ordner, indem man auf ihn rechtsklickt und dann die Überprüfung durch den entsprechenden Virenscanner auswählt (in meinem Fall "AntiVir" und/oder "Norton Internet Security"):



oder
b) Wenn man den Namen der heruntergeladenen Datei kennt, kann man durch Eingabe des Namens direkt nach ihr suchen und sie dann gesondert scannen (wieder mittels Rechtsklick + Auswahl des Virenscanners).

Z.B. hatte ich probeweise eine Grafik namens "nav.gif" in die Sandbox heruntergeladen:

Suche:


Suchergebnis:


_________

Das Scannen einer in die Sandbox heruntergeladenenen Datei funktioniert hingegen nicht auf folgende Weise (und das verleitete mich zunächst zur Annahme, das Scannen wäre überhaupt nicht möglich):

"nav.gif" ist die von mir heruntergeladene (Grafik-)Datei, die für die "Wiederherstellung" am Desktop vorgesehen ist. Entsprechend scheint sie im Sandboxie-Control-Fenster auf:



Ein Rechtsklick auf den Dateinamen ermöglicht mir hier jedoch keine manuelle Überprüfung auf Viren! (Ich habe bei Rechtsklick zwar die Option, die Datei in der Sandbox zu öffnen oder sie sofort außerhalb der Sandbox "wiederherzustellen"; aber beides geschieht dann eben ohne vorangegangenen manuellen Virenscan.)
_______

Eine etwas anspruchsvollere (und in Englisch verfasste) Erläuterung zum Thema kann man sich auch hier ansehen:
How to investigate suspicious file using sandboxie

xxxxxxxxxxxxxxxxxxxxxxxxxxxxx

b) Ausführen einer heruntergeladenen exe-Datei (oder Öffnen einer Zip-Datei usw.) innerhalb der Sandbox

Das ist (mir) mit der besprochenen Konfiguration nicht möglich.

Ich habe es jetzt einmal mit einer beliebigen exe-Datei getestet, und zwar jener für das bekannte Programm CCleaner. In meiner speziell konfigurierten Sandbox konnte ich das Programm nicht installieren; in einer probeweise angelegten Sandbox, die mit der Standardkonfiguration lief, hingegen schon. ---> Wenn man ein Programm innerhalb einer Sandbox testen möchte, ohne aber an der "Spezialkonfiguration" der bereits bestehenden Sandbox etwas ändern zu wollen, empfiehlt es sich also wahrscheinlich, zwecks Vornahme dieses Tests einfach eine weitere Sandbox einzurichten*, bei dieser die Standardkonfiguration (ganz oder teilweise) beizubehalten und dort das Programm zu installieren. (Sei es nach dem direktem Herunterladen der betreffenden exe-Datei aus dem Internet in die Sandbox; sei es - falls sich diese Datei schon am Desktop befindet - mittels Rechtsklick und "Run Sandboxed" + Auswahl der für den Test eingerichteten Sandbox.)

*) Funktioniert ganz einfach:


Der Beitrag wurde von Peter 123 bearbeitet: 07.08.2008, 00:58