GeSWall 2.7.1 Freeware, Browser isolieren Einstellungen

[subset]

GeSWall 2.7.1 Freeware

GeSWall (englisch) von GentleSecurity S.a.r.l. aus Luxemburg ist eine sandbox/policy restrictions Anwendung.
http://www.gentlesecurity.com

Eine Feature-Übersicht der Gratisversion gibt es hier:
http://www.gentlesecurity.com/professional.html

GeSWall funktioniert mit Windows 2000/XP/2003/Vista

Das Programm wurde bereits im Oktober 2006 von AV Comparatives zusammen mit anderen Programmen getestet (PDF):
http://www.av-comparatives.org/seiten/erge.../HIPS-BB-SB.pdf

GeSWall ist in seiner Handhabung dermaßen einfach, dass es wirklich für jede/n geeignet ist.
Es gibt im Wesentlichen nur eine Art von Dialogfenster:
Anwendung bzw. Datei isolieren oder nicht.

GeSWall isoliert also auf Wunsch Programme vom System (Dateien und Registrierung) und markiert alle Dateien als Untrusted (isoliert, nicht vertrauenswürdig), die von dem isolierten Programm (Browser) auf die Festplatte geschrieben wurden.
Auch nachdem der Browser geschlossen wurde und man etwa ein herunter geladenes Archiv (am roten Rahmen zu erkennen) öffnet, wird das Entpacken auf Wunsch vom System isoliert ausgeführt.
Die Isolation vom Betriebssystem wird also immer weiter vererbt nach dem Parent Child Prinzip und nur auf Wunsch des Benutzers beendet.

Das Programm selbst funktioniert auf Basis eines komplizierten internen Regelwerks, davon bekommt der Benutzer aber praktisch nichts mit, Tüftler können das Regelwerk jedoch nach belieben verändern (nicht empfohlen) oder erweitern (wenn notwendig).

Die Gratisversion, um die es hier geht, liefert vordefinierte Regeln für folgende Anwendungen:
Web Browser:
Avant Browser, Internet Explorer, K-Meleon, K-ninja, Maxthon, Mozilla, Mozilla Firefox, MyIE2, Netscape, Opera, SeaMonkey
Viewer und Packer:
7-Zip, Adobe Acrobat Reader, Foxit Reader, HTML Help, IZArc, MS PowerPoint Viewer, WinRar, WinZip

Zur Installation:

Die Installationsdatei ist ca. 6 MB groß
GeSWall installiert einen Dienst (GeSWall Service, gswserv.exe), das GeSWall User Interface (gswui.exe, wird von der winlogon.exe gestartet), einen Treiber (GeSWall Driver, GeSWall.sys) und eine Explorer-Erweiterung (gswshext.dll).

Resourcen Belastung:

Service und UI Prozess belegen insgesamt ca. 15 MB im RAM und ca. 7 MB im virtuellen Speicher.
CPU-Zeit und –Auslastung und Festplattenzugriffe sind sehr gering, wie das Bild zeigt:

 0Systemlast.png ( 49.9KB ) Anzahl der Downloads: 35


Die Handhabung:

Im Systray ist das GeSWall Icon, damit kann man den Farb-Overlay, das Icon im Browser und die Benachrichtigung über die Auslösung von verschiedenen Arten von Regeln deaktivieren.

 6Systray.png ( 12KB ) Anzahl der Downloads: 22


Startet man nun einen unterstützten Browser, erscheint ein Meldungsfenster:
Wollen sie die Anwendung vom System isolieren?

 21IEisolieren.png ( 22.18KB ) Anzahl der Downloads: 38


Antwortet man mit ja, dann kann man am Browser an Overlay und Icon die Isolation erkennen.

 22Oberlay.png ( 21.19KB ) Anzahl der Downloads: 41


Beim Linksklick auf das Icon erscheint ein Menü, der wichtigste Punkt ist „Restart as Non-Isolated“ (Browser ohne Isolation neu starten), diesen Punkt braucht man z. B. bei einem Browserupdate, der isolierte Browser kann sich nicht updaten.

 23AnwMen_.png ( 4.7KB ) Anzahl der Downloads: 7


Beim aktuellen Firefox Update habe ich das übersehen, war aber nicht weiter schlimm, das Update schlug nur so lange fehl, bis ich „Restart as Non-Isolated“ gewählt habe.
Dann funktionierte es einwandfrei…

Der allgemeine Umgang mit den Downloads ist denkbar einfach.
Als Beispiel der Installer von 7-Zip mit einem Browser heruntergeladen.
Am roten Rahmen erkennt man die Isolierung vom System:

 31Download.png ( 26.97KB ) Anzahl der Downloads: 32


Will man 7-Zip jetzt normal installieren, dann braucht man nur die Datei öffnen und beim nächsten Fenster mit „No“ antworten.

 32Ausf_hren.png ( 30.71KB ) Anzahl der Downloads: 36


Somit ist die Datei aus der Isolation befreit und kann ganz normal installiert werden.
Das waren alle wesentlichen Punkte zur Bedienung.

Weiter geht es mit zusätzlichen Features und der Programmoberfläche.

MfG

[subset]

Ein zusätzliches Feature von GeSWall ist noch der sogenannte „Confidential“ Ordner.
Dieser wird automatisch in den Eigenen Dateien des Benutzerprofils angelegt und bietet die Möglichkeit darin private Daten aller Art zu speichern.

 7Confident.png ( 55.74KB ) Anzahl der Downloads: 30


Isolierte Anwendungen (Browser usw.) können auf diesen Ordner nicht zugreifen, weder lesend noch sonst irgendwie, quasi ein Datensafe.

Die Programmoberfläche ist in die Microsoft Management Console integriert.

 1Schutzeinstellung.png ( 46.83KB ) Anzahl der Downloads: 37


Die Voreinstellung ist mit Standard gekennzeichnet, mit Low wird GeSWall praktisch deaktiviert und bei High werden alle Programme (für die es Regeln gibt) automatisch und ohne Meldungsfenster isoliert.

Hier sieht man die unterstützten Web Browser und das Regelwerk für den Internet Explorer:

 2IERegel.png ( 31.72KB ) Anzahl der Downloads: 31


Die umgeleiteten Daten und die Logs befinden sich im Windows Ordner:

 8Redirect.png ( 33.08KB ) Anzahl der Downloads: 20


Abschließend noch ein kleiner Test mit dem TrojanSimulator, um die Funktionsweise von GeSWall zu demonstrieren.

[subset]

TrojanSimulator Test:

Nach dem Herunterladen und Entpacken wird die TrojanSimulator.exe gestartet (alles isoliert):

 tsim2.png ( 32.44KB ) Anzahl der Downloads: 43


Dann auf „Install“ geklickt um den Trojan Server TSServ.exe zu starten und den Autostart Eintrag für den TrojanSimulator in die Registrierung zu schreiben.

 tsim3.png ( 12.55KB ) Anzahl der Downloads: 36


Normal kommt bei Erfolg eine Meldung vom TrojanSimulator.
Nicht mit GeSWall, warum kann man im Log nachlesen:

- TrojanSimulator ISOLATE on start from explorer.exe
- TSServ.exe ISOLATE on start from TrojanSimulator
- TSServ.exe REDIRECT access to HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TrojanSimulator (Registry)

Weitere Tests mit GeSWall gibt es hier:

GeSWall - some news/ tests
http://www.wilderssecurity.com/showthread.php?t=202870

Very interesting tests of DW, SBIE, BufferZone and GeSWall
http://www.wilderssecurity.com/showthread.php?t=202987

Viel Spaß beim sicheren Surfen.

MfG

Der Beitrag wurde von subset bearbeitet: 27.03.2008, 00:45

[Julian]

Vielen Dank, subset
Sehr interessantes Review

Ich werde mir die Software auf jeden Fall anschauen.

[subset]

Danke auch, für die Blumen.
Hab ich wieder zielsicher ein Mainstream Thema platziert.

Wie auch immer.
Meiner Meinung nach ist GeSWall eine simple Lösung für alle, die ein AV ohne Web (http) Scanner haben.
Zielgruppen wären z. B. Avira Antivir Free oder IE User.
Der Browser kann mit GeSWall keinen Unsinn mehr machen und alles was an Viren auf der Festplatte landet, wird sowieso von Antivir gefangen.

MfG

[Julian]

Für Windows XP ist es ein guter Ersatz für die UAC, wenn auch weitreichender was die Beschränkungen angeht.
Unter Vista 64 wollte die Software nicht so recht bzw. gab sie keine Hinweismeldungen heraus, da die Systemtrayanwendung unter Vista nicht zu funktionieren scheint. Schade
Unter Windows XP hatte ich ausserdem einen BSOD, den ich aber auf das Zusammenspiel von GeSWall und Kaspersky 8 Beta zurückführe.

[subset]

Unter Vista 64 wollte die Software nicht so recht bzw. gab sie keine Hinweismeldungen heraus, da die Systemtrayanwendung unter Vista nicht zu funktionieren scheint. Schade

GeSWall ist nicht kompatibel mit 64 bit Betriebssystemen.

Unter Windows XP hatte ich ausserdem einen BSOD, den ich aber auf das Zusammenspiel von GeSWall und Kaspersky 8 Beta zurückführe.

KIS 8 Beta hat die neue Aktivitätsfilterung, die primär sehr umfangreich mit der Beschränkung von Zugriffsrechten auf die Registrierung arbeitet.
GeSWall leitet bedenkliche Zugriffe von isolierten Programmen auf die Registrierung um.
Da könnte möglicherweise ein Konflikt entstehen.

MfG

[Gast_claudia_*]

GeSWall ist auch leider nicht richtig kompatibel mit Avant Browser. Trotzdem er in der Liste der unterstützten Browser aufgeführt wird schließt er nicht(entfernen aus dem Speicher). Mit IE 7 klappt es, aber den benutze ich eher selten.

Der Beitrag wurde von claudia bearbeitet: 28.03.2008, 15:59

[Julian]

GeSWall ist nicht kompatibel mit 64 bit Betriebssystemen.

Heimtückisch, denn davon steht nichts auf der Downloadseite...

KIS 8 Beta hat die neue Aktivitätsfilterung, die primär sehr umfangreich mit der Beschränkung von Zugriffsrechten auf die Registrierung arbeitet.
GeSWall leitet bedenkliche Zugriffe von isolierten Programmen auf die Registrierung um.
Da könnte möglicherweise ein Konflikt entstehen.

Das selbe hatte ich mir auch gedacht.

[subset]

GeSWall ist auch leider nicht richtig kompatibel mit Avant Browser. Trotzdem er in der Liste der unterstützten Browser aufgeführt wird schließt er nicht(entfernen aus dem Speicher).

Hab den aktuellen Avant Browser gerade getestet, funktioniert bei mir einwandfrei.
Vielleicht irgendwelche Add-ons oder eine andere Anwendung, die den Konflikt verursacht.
Ein Blick in die Logs von GeSWall ist oft sehr hilfreich.

Ich hatte von Beginn an ein Problem mit den Browserfenstern.
Die sahen alle so aus:

 Fenster.png ( 6.14KB ) Anzahl der Downloads: 25


Der Grund war, dass WindowBlinds bei den isolierten Anwendungen nicht mehr erkennen konnte,
wie es die Fenster skinnen sollte.
Durch einen Blick in die Logs war der Grund leicht zu erkennen:
- firefox.exe READONLY access to \Device\NamedPipe\WBServer0 (File)

Einfach bei den Resources von GeSWall eine Regel erstellt:

 WBRegel.png ( 30.21KB ) Anzahl der Downloads: 40


Damit war das Problem gelöst.

MfG

[Gast_claudia_*]

Bekomme das mit dem Avant einfach nicht hin, bin wahrscheinlich zu blond.
Stelle mal hir den Log rein, vielleicht siehst Du den Fehler.

[subset]

Hi,

ich sehe da nur eine seltsame Meldung: avant.exe DENY access to (Thread)

Bin zwar nicht blond aber dennoch ratlos.
Das habe ich so noch nirgends gesehen, weder im GeSWall Forum noch bei Wilders Security.

Wenn GeSWall der avant.exe tatsächlich den Zugriff auf einen eigenen (?!) Thread verbietet,
dann wäre es kein Wunder, wenn die Anwendung nicht richtig geschlossen werden kann.

Da würde eine eMail an Brian (L. Walche) wahrscheinlich hilfreich sein.
Normal bekommt man relativ rasch eine Antwort.
http://www.gentlesecurity.com/support.php

MfG

[HighFy]

Hy, hab mir das Programm auch mal installiert.
Allerdings funktioniert jetzt der Norton Phishingschutz nicht mehr und auch das Automatische
ausfüllen der Paßwortfelder macht die NIS nicht mehr.

Gibts da eine Option die ich einstellen kann, oder funktioniert das einfach
gar nicht, sobald der Firefox unter GeSWall läuft ?

[subset]

Hi,

hast du im Log nach gesehen, ob da Einträge zu Norton Dateien sind?
Wie z. B.:
firefox.exe READONLY access to "Norton Datei"
firefox.exe REDIRECT access to "Norton Datei"
firefox.exe DENY access to "Norton Datei"

Konkrete Beispiele aus meinem Log für solche Einträge:
firefox.exe READONLY access to \Device\NamedPipe\lsass (File)
iexplore.exe REDIRECT access to C:\WINDOWS\Debug\UserMode\userenv.log (File)
firefox.exe DENY access to C:\Programme\Tall Emu\Online Armor\oawatch.dll (File)

Und dann Ausnahmeregel für diese "Norton Datei" bei den Resources von GeSWall erstellt?
(wie im Beitrag #10 beschrieben)

MfG

[Habakuck]

Ich grabe den Thread mal wieder hervor.

Hat irgendwer Neuigkeiten wann die Version 3 mit 64-bit support erscheinen soll?

PS: Die Preise sind ja hammermäßig teuer! Da fällt man ja hinten über...

[subset]

Hat irgendwer Neuigkeiten wann die Version 3 mit 64-bit support erscheinen soll?

Ankündigung im Juli 2009...
"The next major update is GeSWall 3.0 that would include support for 64-bit Windows Vista and Windows 7."
http://www.gentlesecurity.com/blog/
Seither Funkstille.

PS: Die Preise sind ja hammermäßig teuer! Da fällt man ja hinten über...

Wenn man nur auf die Regeln scharf ist, dann gibt es eine Lösung, die steht sogar im GeSWall Support Forum.
http://www.gentlesecurity.com/board/viewto...php?p=1200#1200

Bei gleichzeitiger Verwendung von einem AV reicht eigentlich die Free Version.
Die Entfernungsfunktion der Vollversion für die isolierten Dateien übernimmt dann früher oder später ohnehin das AV und bis dahin können die im roten Vogelkäfig eh nichts anstellen.

MfG

[Habakuck]

Ankündigung im Juli 2009...
"The next major update is GeSWall 3.0 that would include support for 64-bit Windows Vista and Windows 7."
http://www.gentlesecurity.com/blog/
Seither Funkstille.


Wenn man nur auf die Regeln scharf ist, dann gibt es eine Lösung, die steht sogar im GeSWall Support Forum.
http://www.gentlesecurity.com/board/viewto...php?p=1200#1200

Bei gleichzeitiger Verwendung von einem AV reicht eigentlich die Free Version.
Die Entfernungsfunktion der Vollversion für die isolierten Dateien übernimmt dann früher oder später ohnehin das AV und bis dahin können die im roten Vogelkäfig eh nichts anstellen.

MfG

O.k. die Meldung hatte ich auch gefunden. Dachte da gäbe es mal ein Update... Denn die Meldung kann ja alles bedeuten. Wer weiss wann die v3 kommt..

Das mit den Regel nist natürlich super.

Mir geht es vorallem darum meine Office, PDF, Media, IMs und Browser und e-Mail Progs isolieren zu können. Und da bietet sich GesWall an.

DefenseWall wird ja scheinbar doch keine 64-bit version bringen und AppGuard hat auch noch keine keine. Mal Gucken; ich hoffe GesWall sieht zu dass die v3 fertig wird...

Also kann ich in der Free Version die isolierten Dateien oder Prozesse nicht entfernen? Garnicht?
Auch nicht wenn ich die Datei einfach manuell lösche? Oder den Prozess im Taskmanager kille?

Wie gut schützt mich das ganze eigentlich gegen Keylogger oder ScreenGrabber?

viele Grüße und Danke!

[subset]

Also kann ich in der Free Version die isolierten Dateien oder Prozesse nicht entfernen? Garnicht?
Auch nicht wenn ich die Datei einfach manuell lösche? Oder den Prozess im Taskmanager kille?

Wie gut schützt mich das ganze eigentlich gegen Keylogger oder ScreenGrabber?

Isolierte Prozesse kann man mit GW (bei Isolated Applications) oder dem Taskmanager beenden oder sie verschwinden mit einem Neustart.
Die meisten Schadprogramme werden mit GW schon bei der Ausführung derart eingeschränkt, dass sie sowieso nicht richtig funktionieren.
Ich habe das Programm aber schon lange nicht mehr benutzt, aber z.B. der aigle bei Wilders kennt sich sehr gut mit GW aus.

MfG

[Habakuck]

Isolierte Prozesse kann man mit GW (bei Isolated Applications) oder dem Taskmanager beenden oder sie verschwinden mit einem Neustart.
Die meisten Schadprogramme werden mit GW schon bei der Ausführung derart eingeschränkt, dass sie sowieso nicht richtig funktionieren.
Ich habe das Programm aber schon lange nicht mehr benutzt, aber z.B. der aigle bei Wilders kennt sich sehr gut mit GW aus.

MfG

So ungefähr dachte ich mir das schon. Wofür ist das Feature der Pro Version (terminate Malware Processes) dann eigentlich gut? =)

[subset]

Wofür ist das Feature der Pro Version (terminate Malware Processes) dann eigentlich gut? =)

Da kannst du einstellen, was passieren soll, also z.B. Auto-Termination.
http://www.gentlesecurity.com/docs/notifications.html

MfG