Sandboxie Free, zur Browser Selbstreinigung Einstellungen

[subset]

Hi,

hier ein Grafik, wie man am Beispiel Opera eine neue Sandbox und den Desktoplink dazu aus dem Programm heraus erstellen kann.

 SBboxnlink.png ( 41.94KB ) Anzahl der Downloads: 81


MfG

[Peter 123]

Das ist total anschaulich dargestellt. Danke. Ich habe mir das für Opera soeben genau nach dieser Anleitung eingerichtet.

Ich werde diese neue Opera-Sandbox jetzt einmal probeweise ganz "streng" konfigurieren. Die Default-Sandbox (für Firefox usw.) würde ich zunächst einmal unverändert lassen.

Du hast für die Sandboxie.ini im Verzeichnis C:\WINDOWS\ aus Sicherheitsgründen folgende Einträge empfohlen (das war bezogen auf eine "strenge" Konfiguration einer Sandbox für Firefox):

----------------------------------------------------------------
[GlobalSettings]

ProcessGroup=<InternetAccess_DefaultBox>,firefox.exe
ProcessGroup=<restricted>,Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe,firefox.exe
----------------------------------------------------------------

Hieße das jetzt umgelegt auf meinen Fall:

"[GlobalSettings]

ProcessGroup=<InternetAccess_DefaultBox>,firefox.exe,iexplore.exe,skype.exe,msnmsgr.exe,yahoomessenger.exe
ProcessGroup=<InternetAccess_SandboxOpera>,opera.exe
ProcessGroup=<restricted>,Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe,opera.exe "

Die Einträge in schwarzer Schrift sind in meiner sandboxie.ini derzeit vorhanden, jenen in roter Schrift habe ich noch nicht vorgenommen. Wäre der dort richtig platziert (also in der dritten Zeile)? Und wie käme zum Ausdruck, dass sich diese "restricted"-Einträge nur auf die Opera-Sandbox und nicht auf die Default-Box beziehen sollen? Muss ich dafür noch etwas hinzufügen? Oder lassen sich diese Restriktionen nur für alle Sandboxen gemeinsam vornehmen?

Und gleich noch eine Frage:
Laut Hijackthis-Logfile laufen bei mir im Rahmen des Sandboxie-Programms auch noch die zwei folgenden Prozesse:
- SbieSvc.exe
- SbieCtrl.exe

Müssten die nicht auch in diese restricted-Liste aufgenommen werden?

Der Beitrag wurde von Peter 123 bearbeitet: 21.07.2008, 22:24

[subset]

Und wie käme zum Ausdruck, dass sich diese "restricted"-Einträge nur auf die Opera-Sandbox und nicht auf die Default-Box beziehen sollen? Muss ich dafür noch etwas hinzufügen? Oder lassen sich diese Restriktionen nur für alle Sandboxen gemeinsam vornehmen?

Der Versuch einer Erklärung anhand einer Sandboxie.ini (nur die relevanten Teile) mit zwei Sandboxen mit Namen FirefoxBox und OperaBox.

----------------------------------------------------------------------
[GlobalSettings]

ProcessGroup=<InternetAccess_FirefoxBox>,firefox.exe
ProcessGroup=<InternetAccess_OperaBox>,opera.exe
ProcessGroup=<restricted1>,firefox.exe,Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe
ProcessGroup=<restricted2>,opera.exe,Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe

[FirefoxBox]

ClosedFilePath=!<restricted1>,*
ClosedIpcPath=!<restricted1>,*
ClosedKeyPath=!<restricted1>,*

[OperaBox]

ClosedFilePath=!<restricted2>,*
ClosedIpcPath=!<restricted2>,*
ClosedKeyPath=!<restricted2>,*

----------------------------------------------------------------------
Für die [GlobalSettings]
InternetAccess_ - und der exakte Name der Sandbox, also hier FirefoxBox und OperaBox für den Internetzugriff.
Rot - die Gruppe von Anwendungen, die in der FirefoxBox starten dürfen.
Blau - die Gruppe von Anwendungen, die in der OperaBox starten dürfen.

Für die Sandboxen [FirefoxBox] und [OperaBox]
Die restricted1 Gruppe der GlobalSettings gilt für die FirefoxBox.
Die restricted2 Gruppe der GlobalSettings gilt für die OperaBox.
Ist doch einfach und logisch, jede Anwendungsgruppe gehört zu einer Sandbox.

Was bedeuten nun diese ClosedFilePath/ClosedIpcPath/ClosedKeyPath=!<restricted1>,*
und ClosedFilePath/ClosedIpcPath/ClosedKeyPath=!<restricted2>,* Befehle?

ClosedFilePath=!<restricted1>,* heißt, alle Programme die nicht in der Gruppe restricted1 sind, haben auf Dateien außerhalb der Sandbox keinen Zugriff.

ClosedIpcPath=!<restricted1>,* heißt, alle Programme die nicht in der Gruppe restricted1 sind, dürfen keine Daten im Speicher austauschen.

ClosedKeyPath=!<restricted1>,* heißt, alle Programme die nicht in der Gruppe restricted1 sind, erhalten keine Daten aus der Registrierung.

Auf die FirefoxBox bezogen heißt das: nur die firefox.exe, Start.exe, SandboxieDcomLaunch.exe und SandboxieRpcSs.exe dürfen in der Sandbox laufen, Dateien anfordern usw.

Analog gilt das natürlich für die OperaBox und die restricted2 Gruppe.

Die Einstellungen entsprechen einem sehr hohen Sicherheitslevel, aber zumindest ClosedFilePath sollte man davon verwenden.

- SbieSvc.exe
- SbieCtrl.exe
Müssten die nicht auch in diese restricted-Liste aufgenommen werden?

Du brauchst nur die Beschränkungen ProcessGroup=<restricted... aus der Sandbox rausnehmen und dann öfter mal das Sandboxie Fenster aufmachen

 SBanw.png ( 20.88KB ) Anzahl der Downloads: 22


Wenn du SbieSvc.exe oder SbieCtrl.exe findest, dann kannst du sie mit in die Liste nehmen.
Normal laufen aber beide nur außerhalb der Sandbox.

MfG

[X1-1970]

Besten Dank, für dieses aufschlussreiche Thema!

Hab ich doch die letzten 3 Jahre mit einer völlig unsicheren Sandboxi meine Malware geöffnet....

ok, konnte sie dann zwar jedesmal löschen, aber sie hatte halt Internetzugriff
und scheinbar auch zu meinen restl. 750GB (Texte, Fotos un was man eben so alles auf FPs liegen hat)
was mir nicht bewusst war

[rolarocka]

Echt super erklärt, vielen Dank .
Hab ne etwas andere Frage. Wie stelle ich den die DefaultBox so ein das überhaupt kein Programm ins Internet darf. Es soll so eine art Testbox werden. Bei "Internet Access" kann ich ja ne dummy programm eingeben, ist aber nicht sehr elegant. Danke schon mal.

edit: Ok habs gefunden. bei "Internet Access" gibts ein dickes Button namens "Block All" das bringts

Der Beitrag wurde von rolarocka bearbeitet: 21.07.2008, 23:46

[subset]

Hab ich doch die letzten 3 Jahre mit einer völlig unsicheren Sandboxi meine Malware geöffnet....

Beim Malewaretesten ist das immer Einstellungssache.
- Will man sehen, was ein Trojaner aus dem Internet nachläd, dann muss man logischerweise den Internetzugriff offen lassen.
- Wenn nicht, dann eben den Internetzugriff verweigern.

Daneben ist bei der Ausführung von Malware wichtig, dass keine Open... Anweisungen für diese Sandbox vorhanden sind, wie OpenFilePath, OpenPipePath, OpenKeyPath, OpenIpcPath oder OpenWinClass.
Sonst bestünde die Gefahr, dass die Malware aus der Sandbox heraus das echte System verändern kann.

MfG

[Peter 123]

Ja, wirklich toll von dir erläutert, subset. Auch wenn ich noch weit davon entfernt bin, tatsächlich zu durchschauen was dabei abläuft. (Du wirst es auch an meiner Frage unten sehen.) Aber ich habe mich jetzt einmal ganz an dein "Kochrezept" gehalten, eine zweite Sandbox namens "Operabox" angelegt und "streng" konfiguriert.

Bei der Default-Box habe ich vorerst einmal diese Restriktionen nicht vorgenommen, sondern bei ihr nur den Internetzugriff auf Firefox, Internet Explorer und die drei Messenger beschränkt. Insofern ist die Default-Box derzeit nicht ganz nach deinen hohen Sicherheitsstandards konfiguriert.

Zunächst meine Bitte:
Könntest du dir ansehen, ob (mit diesen eben genannten Prämissen) meine Einstellungen - vor allem unter Sicherheitsgesichtspunkten - in Ordnung sind? Ich kopiere zu diesem Zweck den Inhalt meiner Sandbox.ini-Datei herein. Damit haben ja vielleicht auch andere so eine Art Muster, was in dieser drinnenstehen sollte/könnte. Das, was du uns als sicherheitsrelevant erläutert hast, habe ich in roter Farbe hervorgehoben:

[GlobalSettings]

ProcessGroup=<InternetAccess_DefaultBox>,firefox.exe,iexplore.exe,skype.exe,msnmsgr.exe,yahoomessenger.exe
ProcessGroup=<InternetAccess_Operabox>,opera.exe
ProcessGroup=<restricted>,opera.exe,Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe

[DefaultBox]

ConfigLevel=4
AutoRecoverIgnore=.jc!
AutoRecoverIgnore=.part
RecoverFolder=%Personal%
RecoverFolder=%Favorites%
RecoverFolder=%Desktop%
LingerProcess=trustedinstaller.exe
LingerProcess=wuauclt.exe
LingerProcess=devldr32.exe
LingerProcess=syncor.exe
LingerProcess=jusched.exe
LingerProcess=acrord32.exe
Enabled=y
BoxNameTitle=n
AutoDelete=y
NeverDelete=n
CopyLimitKb=250000
AutoRecover=y
ClosedFilePath=!<InternetAccess_DefaultBox>,\Device\RawIp
ClosedFilePath=!<InternetAccess_DefaultBox>,\Device\Ip*
ClosedFilePath=!<InternetAccess_DefaultBox>,\Device\Tcp*
ClosedFilePath=!<InternetAccess_DefaultBox>,\Device\Afd*

[UserSettings_ ..........]

SbieCtrl_UserName= ..........
SbieCtrl_ShowWelcome=N
SbieCtrl_NextUpdateCheck=...........
SbieCtrl_UpdateCheckNotify=Y
SbieCtrl_WindowLeft=52
SbieCtrl_WindowTop=-1
SbieCtrl_WindowWidth=660
SbieCtrl_WindowHeight=450
SbieCtrl_Hidden=N
SbieCtrl_ActiveView=40021
SbieCtrl_BoxExpandedView_DefaultBox=Y
SbieCtrl_AutoApplySettings=N
SbieCtrl_HideWindowNotify=N
SbieCtrl_EnableLogonStart=N
SbieCtrl_EnableAutoStart=Y
SbieCtrl_AddDesktopIcon=N
SbieCtrl_AddQuickLaunchIcon=N
SbieCtrl_AddContextMenu=Y
SbieCtrl_AddSendToMenu=Y
SbieCtrl_ColWidthProcName=250
SbieCtrl_ColWidthProcId=70
SbieCtrl_ColWidthProcTitle=310
SbieCtrl_BoxExpandedView_Operabox=Y

[Operabox]

Enabled=y
ConfigLevel=4
AutoRecover=y
AutoRecoverIgnore=.jc!
AutoRecoverIgnore=.part
RecoverFolder=%Personal%
RecoverFolder=%Favorites%
RecoverFolder=%Desktop%
LingerProcess=trustedinstaller.exe
LingerProcess=wuauclt.exe
LingerProcess=devldr32.exe
LingerProcess=syncor.exe
LingerProcess=jusched.exe
LingerProcess=acrord32.exe
CopyLimitKb=250000
AutoDelete=y
NeverDelete=n
ClosedFilePath=!<restricted>,*
ClosedIpcPath=!<restricted>,*
ClosedKeyPath=!<restricted>,*

Und jetzt hätte ich noch ein praktische Frage dazu:

Deinen Erläuterungen zufolge geht es doch bei all diesen Maßnahmen vor allem auch darum, dass möglichst wenig Prozesse bzw. Programme in der Sandbox laufen bzw. auf das Internet Zugriff haben.

Folgende Merkwürdigkeit ist mir aber bei Benützung der Sandboxen mit obigen Einstellungen aufgefallen:
a) WindowsMediaPlayer 11 (zum Öffnen und Abspielen eines Videoclips aus dem Browser heraus):
funktioniert sowohl in der DefaultBox als auch in der (streng konfigurierten ) Operabox (!)
D.h.: Der Player öffnete sich (zum Glück in der Sandbox) und konnte die Datei abspielen.

b) Adobe Reader 9 (zum Öffnen einer pdf-Datei aus dem Browser heraus):
funktioniert zwar in der Default Box, nicht aber in der Operabox *

c) RealPlayer (zB. zum Abspielen einer kleinen Musikdatei auf amazon.de):
funktioniert weder in der DefaultBox noch in der Operabox *

*) [Es kommt die Fehlermeldung: "Anwendung konnte nicht richtig initialisiert werden."]

Drei Programme - drei Varianten.
Ist es also mehr oder weniger "Glückssache", welches Programm bei einer bestimmten Sandbox-Konfiguration funktioniert?
Und noch wichtiger:
Hat es seine Richtigkeit, dass der Windows Media Player sogar bei der ganz strengen Konfiguration der Sandbox läuft? Immerhin muss der ja zu diesem Zweck auch Verbindung mit dem Internet aufnehmen.
Um nicht falsch verstanden zu werden: Je mehr Programme funktionieren, umso lieber ist es mir natürlich. Aber ich möchte sichergehen, dass es damit kein Sicherheitsproblem gibt.

Der Beitrag wurde von Peter 123 bearbeitet: 22.07.2008, 02:44

[rolarocka]

Ein kleines Problem habe ich wenn ich diese starken sicherheitseintellungen benutze. Ich kann aus Opera oder Firefox nicht drucken. Wie krieg ich jetzt raus welche Dateien da in die Sandbox geladen werden müssen um erfolgreich zu drucken? Eine Datei habe ich schon rausgefunden (hpzstw07.exe - hp Drucker), krieg aber zwei Fehlermeldungen und dann druckt er. Danke.

[subset]

@ Peter 123

Wegen der Sandboxie.ini

CopyLimitKb=250000

Das ist auf fast 250 MB gesetzt, das Kopieren von Dateien dieser Größe in die Sandbox hinein dauert normal etwas.
Wenn es nicht unbedingt anders erforderlich ist, dann reicht normal die Voreinstellung mit 48 MB (CopyLimitKb=49152).
Zumal Dateien dieser Größe (über 48 MB) meist ohnehin nicht verändert werden, sondern nur gelesen.

Bei deiner [Operabox] fehlen diese Eintäge:
----------------------------------------------------------------------------

ClosedFilePath=!<InternetAccess_Operabox>,\Device\RawIp
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Ip*
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Tcp*
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Afd*

----------------------------------------------------------------------------
Die verhindern die Internetzugriffe für alle Programme die nicht zur InternetAccess_Operabox Gruppe gehören. Normal erzeugt diese Einträge Sandboxie aber automatisch.

Wegen Media Player, Adobe Reader und Real Player

Starten hier tatsächlich die Programme, oder werden die über die Browser Plug-Ins aufgerufen?
Als Browser Plug-In würden sie quasi im Browserprozess laufen und nicht als verbotene Anwendung.
Das wäre für jeden Browser zu ermitteln.
- Bei Firefox: Extras > Add-ons > Plugins, dort kann man sie einfach testweise deaktivieren.
- Beim IE: Extras > Internetoptionen > Programme > Add-Ons verwalten, auch hier die Fraglichen testweise deaktivieren.
- Bei Opera: opera:plugins in die Adresszeile eingeben. Wie man die testweise deaktivieren kann, weiß ich leider nicht.


@ rolarocka

Zuerst die hpzstw07.exe in die Gruppe der erlaubten Anwendungen:
ProcessGroup=<restricted>,Start.exe,hpzstw07.exe,...

Dann den Zugriff auf den HP Druckertreiber erlauben.
OpenFilePath=hpzstw07.exe,C:\WINDOWS\system32\drivers\HP.sys
HP.sys ist natürlich nur ein Platzhalter.

Sollte das mit OpenFilePath nicht reichen, auch mal mit OpenPipePath versuchen.
OpenPipePath=hpzstw07.exe,C:\WINDOWS\system32\drivers\HP.sys

MfG

[Peter 123]

Wieder mal danke, subset.

Das mit den 250 MB habe ich bewusst so eingestellt - einfach damit ich nicht verwirrt bin, wenn doch einmal etwas Größeres zum Herunterladen ist und dann eine Fehlermeldung kommt. Wenn es nur eine Geschwindigkeitsfrage ist (und keine der Sicherheit) würde ich das daher gerne beibehalten (oder nur auf eine Größenordnung zB. um die 100 MB reduzieren).

Und jetzt zu den heikleren Punkten:

Bei deiner [Operabox] fehlen diese Eintäge:
----------------------------------------------------------------------------

ClosedFilePath=!<InternetAccess_Operabox>,\Device\RawIp
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Ip*
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Tcp*
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Afd*

----------------------------------------------------------------------------
Die verhindern die Internetzugriffe für alle Programme die nicht zur InternetAccess_Operabox Gruppe gehören. Normal erzeugt diese Einträge Sandboxie aber automatisch.

Ich sag's ja: Ich bin mit all diesen Einstellungen intellektuell überfordert.

Ich dachte nämlich, die neuen (von dir empfohlenen) ClosedFilePath-Einträge wären Ersatz für die standardmäßig vorhandenen. Die hatte ich daher bewusst gelöscht. Dann müssen die also wieder rein.
D.h. für meine Operabox muss das dann so aussehen:

ClosedFilePath=!<InternetAccess_Operabox>,\Device\RawIp
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Ip*
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Tcp*
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Afd*
ClosedFilePath=!<restricted>,*
ClosedIpcPath=!<restricted>,*
ClosedKeyPath=!<restricted>,*

Richtig so?

Und beim Folgenden wird es überhaupt schwierig:

Wegen Media Player, Adobe Reader und Real Player

Starten hier tatsächlich die Programme, oder werden die über die Browser Plug-Ins aufgerufen?
Als Browser Plug-In würden sie quasi im Browserprozess laufen und nicht als verbotene Anwendung.
Das wäre für jeden Browser zu ermitteln.
[....]

Ich weiß es nicht, wie die Programme laufen (ob sie tatsächlich starten oder über die Browser Plug-Ins aufgerufen werden). Normalerweise klicke ich auf das Fenster mit der Option "Öffnen mit ..." und die betreffende pdf-Datei + Adobe bzw. der betreffende Player (WMP, RealPlayer) öffnet sich. Vielleicht sehe ich es mir anhand deiner Erläuterung einmal an, aber im Moment lasse ich es mal auf sich beruhen - es ist mir einfach zu aufwendig und zeitraubend. Ich habe den Eindruck, man kann eine Frage klären und gleichzeitig tauchen fünf neue auf.

Der Beitrag wurde von Peter 123 bearbeitet: 22.07.2008, 15:13

[subset]

Das mit den 250 MB habe ich bewusst so eingestellt - einfach damit ich nicht verwirrt bin, wenn doch einmal etwas Größeres zum Herunterladen ist und dann eine Fehlermeldung kommt.

Der CopyLimitKb Eintrag betrifft heruntergeladene Dateien überhaupt nicht.
Das Limit gilt nur für Dateien, die vom echten System in die Sandbox kopiert werden.

Der Rest stimmt so.

MfG

[Peter 123]

Der CopyLimitKb Eintrag betrifft heruntergeladene Dateien überhaupt nicht.
Das Limit gilt nur für Dateien, die vom echten System in die Sandbox kopiert werden.

Ach so. Da war ich wieder einmal ahnungslos. Na dann gehe ich auf die Standardeinstellung zurück.

Jetzt würde ich gerne noch etwas Prinzipielles wissen:

Du hast uns in deinen Beiträgen der letzten Tage vor allem erklärt, wie man in der Sandboxie.ini Einstellungen vornehmen soll, um die Sicherheit zu erhöhen, insbesondere mit diesen "ClosedFilePath"-Einträgen.

In deinem ersten Beitrag ging es auch schon um die Sicherheit; und zwar um Maßnahmen, die im Sandboxie-Menü unter "Sandboxeinstellungen" zu treffen wären. Da spielte teilweise sogar auch schon das Thema "ClosedFilePath" eine Rolle:

(Wiedergabe der Abbildung vom ersten Beitrag subset's):


(oder in der deutschen Sandbox-Version):



Wären das (im ersten Beitrag) alles Maßnahmen, die man zusätzlich zu den von dir empfohlenen Änderungen in der ini-Datei setzen sollte, oder erübrigt sich davon jetzt manches (oder alles), wenn man in der ini-Datei diese Einträge

ClosedFilePath=!<restricted1>,*
ClosedIpcPath=!<restricted1>,*
ClosedKeyPath=!<restricted1>,*

vorgenommen hat?

Wahrscheinlich ist meine Frage sehr laienhaft. Aber ich blicke nicht mehr durch, welcher Eintrag an welcher Stelle welchen Prozess bzw. Zugriff verbietet oder erlaubt.

Der Beitrag wurde von Peter 123 bearbeitet: 22.07.2008, 20:41

[subset]

Wären das (im ersten Beitrag) alles Maßnahmen, die man zusätzlich zu den von dir empfohlenen Änderungen in der ini-Datei setzen sollte, oder erübrigt sich davon jetzt manches (oder alles), wenn man in der ini-Datei diese Einträge

ClosedFilePath=!<restricted1>,*
ClosedIpcPath=!<restricted1>,*
ClosedKeyPath=!<restricted1>,*

vorgenommen hat?

ClosedFilePath=!<restricted1>,* bezieht sich auf alle Programme, die nicht in der restricted1 Gruppe sind.
Alle Programme der restricted1 Gruppe haben aber theoretisch überallhin Zugriff.
Genau um das zu verhindern habe ich die globalen Zugriffe definiert.

Ein Beispiel:
Firefox und Opera sind in der restricted1 Gruppe, Thunderbird ist mein Email-Programm und ich will nicht, dass Firefox oder Opera auf meine Mailadressen usw. zugreifen dürfen.
Lösung für diese Sandbox:

ClosedFilePath=%AppData%\Thunderbird\
ClosedFilePath=%Local Settings%\Anwendungsdaten\Thunderbird\

Da diese Anweisung für "Alle Programme" gilt, können weder Firefox noch Opera auf meine persönlichen Email-Daten zugreifen.
Diese ClosedFilePath für alle oder einzelne Programme können aber einfach über das Einstellungsmenü von Sandboxie erzeugt werden.
Im ersten Post habe ich mich auf das Einstellungsmenü beschränkt, das wäre sonst zu kompliziert geworden.

Aber zusätzlich würde ich nicht sagen, durch die restricted Gruppen und InternetAccess_ hat man schon ein gutes Maß an Sicherheit, aber natürlich kann man weiter durch ClosedFilePath und OpenFilePath Anweisungen das Ganze noch sicherer bzw. komfortabler machen.

MfG

[Peter 123]

Aber zusätzlich würde ich nicht sagen, durch die restricted Gruppen und InternetAccess_ hat man schon ein gutes Maß an Sicherheit,[...]

Gut, dieser Halbsatz beruhigt mich. Dann beschränke ich mich auf die Änderungen in Sandboxie.ini. Für meine Zwecke (Surfen, Abrufen von emails im Browser, Herunterladen einer Datei; keine Hochrisiko-Aktionen wie Experimentieren mit Malware) ist das dadurch erzielte Sicherheitsniveau ja dann wohl ausreichend.

Ich fasse zur besseren Übersicht zusammen, was ich jetzt entsprechend deiner Anleitungen gemacht habe. Vielleicht kann das ja auch anderen Interessierten als Hilfe dienen:

1. Ich habe eine zweite Sandbox eingerichtet.*

*) (dazu Sandboxie-Control-Fenster öffnen ---> "Sandbox" ---> "Neue Sandbox erstellen")

D.h. es gibt bei mir jetzt:

- a) die Defaultbox (in meinem Fall gedacht für die Benutzung der Browser Firefox und Internet Explorer sowie der drei Kommunikations-Programme Skype, Windows Live Messenger und Yahoo Messenger)
[Diese fünf Programme benütze ich jetzt einmal der Einfachheit und Übersichtlichkeit wegen in einer gemeinsamen Sandbox.]

- b) eine eigene Sandbox gedacht für die Benutzung des Browsers Opera (von mir bezeichnet als "Operabox")

2. Damit auch nur diese Programme Zugriff auf das Internet haben, habe ich sie eigens im Menüpunkt "Internetzugriff"* der jeweiligen Sandbox eingetragen**:

*) (zu finden in den "Sandboxeinstellungen" als Unterpunkt zu "Ressourcenzugriff")

**) (zu diesem Zweck auf die Schaltfläche "Datei hinzufügen" klicken und aus dem Verzeichnis C:\Programme im betreffenden Programmordner die exe-Datei auswählen - in meinem Fall also: firefox.exe [zu finden im Programmordner "Mozilla Firefox"], iexplore.exe, skype.exe usw.)

a) Eintrag für die DefaultBox:



b) Eintrag für "Operabox":




3. In der Sandboxie.ini* habe ich die von dir empfohlenen** Eintragungen vorgenommen (nunmehr für beide Sandboxen).

*) (zu finden im Verzeichnis C:\WINDOWS oder über das Sandboxie-Control-Fenster unter "Konfiguration" ---> "Konfiguration bearbeiten")

**) (siehe http://www.rokop-security.de/index.php?s=&...st&p=242319 und http://www.rokop-security.de/index.php?s=&...st&p=242537 )

Sandboxie.ini hat damit bei mir jetzt folgenden Inhalt (die gegenüber den Standardeinstellungen geänderten bzw. neu hinzugekommenen sicherheitsrelevanten Eintragungen sind farblich markiert: jene für die DefaultBox in rot und jene für "Operabox" in dunkelgrün):

[GlobalSettings]

ProcessGroup=<InternetAccess_DefaultBox>,firefox.exe,iexplore.exe,skype.exe,msnmsgr.exe,yahoomessenger.exe
ProcessGroup=<InternetAccess_Operabox>,opera.exe
ProcessGroup=<restricted1>,firefox.exe,iexplore.exe,skype.exe,msnmsgr.exe,yahoomessenger.exe,Start.
exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe
ProcessGroup=<restricted2>,opera.exe,Start.exe,SandboxieDcomLaunch.exe,SandboxieRpcSs.exe

[DefaultBox]

ConfigLevel=4
AutoRecoverIgnore=.jc!
AutoRecoverIgnore=.part
RecoverFolder=%Personal%
RecoverFolder=%Favorites%
RecoverFolder=%Desktop%
LingerProcess=trustedinstaller.exe
LingerProcess=wuauclt.exe
LingerProcess=devldr32.exe
LingerProcess=syncor.exe
LingerProcess=jusched.exe
LingerProcess=acrord32.exe
Enabled=y
BoxNameTitle=n
AutoDelete=y
NeverDelete=n
CopyLimitKb=49152
AutoRecover=y
ClosedFilePath=!<InternetAccess_DefaultBox>,\Device\RawIp
ClosedFilePath=!<InternetAccess_DefaultBox>,\Device\Ip*
ClosedFilePath=!<InternetAccess_DefaultBox>,\Device\Tcp*
ClosedFilePath=!<InternetAccess_DefaultBox>,\Device\Afd*
ClosedFilePath=!<restricted1>,*
ClosedIpcPath=!<restricted1>,*
ClosedKeyPath=!<restricted1>,*

[UserSettings_......]

SbieCtrl_UserName= ......
SbieCtrl_ShowWelcome=N
SbieCtrl_NextUpdateCheck= .......
SbieCtrl_UpdateCheckNotify=Y
SbieCtrl_WindowLeft=162
SbieCtrl_WindowTop=267
SbieCtrl_WindowWidth=660
SbieCtrl_WindowHeight=450
SbieCtrl_Hidden=Y
SbieCtrl_ActiveView=40021

SbieCtrl_BoxExpandedView_DefaultBox=Y
SbieCtrl_AutoApplySettings=N
SbieCtrl_HideWindowNotify=N
SbieCtrl_EnableLogonStart=N
SbieCtrl_EnableAutoStart=Y
SbieCtrl_AddDesktopIcon=N
SbieCtrl_AddQuickLaunchIcon=N
SbieCtrl_AddContextMenu=Y
SbieCtrl_AddSendToMenu=Y
SbieCtrl_ColWidthProcName=250
SbieCtrl_ColWidthProcId=70
SbieCtrl_ColWidthProcTitle=310
SbieCtrl_BoxExpandedView_Operabox=Y

[Operabox]

Enabled=y
ConfigLevel=4
AutoRecover=y
AutoRecoverIgnore=.jc!
AutoRecoverIgnore=.part
RecoverFolder=%Personal%
RecoverFolder=%Favorites%
RecoverFolder=%Desktop%
LingerProcess=trustedinstaller.exe
LingerProcess=wuauclt.exe
LingerProcess=devldr32.exe
LingerProcess=syncor.exe
LingerProcess=jusched.exe
LingerProcess=acrord32.exe
CopyLimitKb=49152
AutoDelete=y
NeverDelete=n
ClosedFilePath=!<InternetAccess_Operabox>,\Device\RawIp
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Ip*
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Tcp*
ClosedFilePath=!<InternetAccess_Operabox>,\Device\Afd*
ClosedFilePath=!<restricted2>,*
ClosedIpcPath=!<restricted2>,*
ClosedKeyPath=!<restricted2>,*

4. Nicht vorgenommen habe ich hingegen jene Änderungen, die du in deinem ersten Beitrag für folgende Menüpunkte der Sandboxeinstellungen angeregt hast:

"Dateizugriff - Direkter Zugriff" (im ersten Beitrag englisch: "File Access - Direct Access")
"Dateizugriff - Zugriff verweigern" ("Files Access - Blocked Access")
"Dateizugriff - Nur-Lese-Zugriff" ("Files Access - Read Only Access")

In den Feldern der zugehörigen Fenster wurde von mir also nichts eingetragen (gilt für beide Sandboxen). Die Fenster sehen also z.B. bei der Defaultbox so aus:








Habe ich das so richtig und "sicherheitspolitisch" sinnvoll konfiguriert?

Der Beitrag wurde von Peter 123 bearbeitet: 23.07.2008, 13:55

[rolarocka]

"Zugriff verweigern" würde ich schon einstellen. Z.B. dass Opera nicht auf deine private Dateien zugreifen darf. Wenn deine Dateien auf eine andere Festplatte liegen kannst doch den zugriff von deiner Opera Sandbox darauf blockieren. Direkter Zugriff zb für Opera macht auch Sinn wenn du deine Bookmarks änderst dann werden die auch im richtigen System geändert und Sanboxed browser und normaler Browser bleiben synchron. Also erster Post und letztere Posts zusammen machen schon Sinn meiener Meinung nach. Hab ich auch so strikt eingestellt.

Der Beitrag wurde von rolarocka bearbeitet: 23.07.2008, 13:54

[subset]

RecoverFolder=%Personal%
RecoverFolder=%Favorites%
RecoverFolder=%Desktop%

Nur eine Anmerkung wegen der Order für die Wiederherstellung der Downloads.
Du bekommst eine Meldung, wenn die Downloads entweder in den Eigenen Dateien, den Favoriten oder auf dem Desktop landen.
Sollte nun eines der Programme (Firefox, IE, Skype, Opera usw.) ein anderes Downloadverzeichnis verwenden, wie z.B. D:\Downloads, dann geht der Download mit dem Löschen der Sandbox verloren.
In einem solchen Fall muss man nur das Zielverzeichnis für die Downloads zur Sandboxie.ini hinzufügen:

RecoverFolder=D:\Downloads

Natürlich hat rolarocka recht, die ClosedFilePath und OpenFilePath Anweisungen gehören zu jeder Sandbox.
Wie bereits von mir erwähnt, die ClosedFilePath Anweisungen erhöhen die Sicherheit und die OpenFilePath Anweisungen erhöhen den Komfort.
Die für die Operabox sind relativ einfach zu machen.
Nur bei der firefox.exe,iexplore.exe,skype.exe,msnmsgr.exe,yahoomessenger.exe Sandbox habe ich meine Zweifel, ob da etwas Sinnvolles rauskommt, wegen der Vielzahl an unterschiedlichen Programmen.

MfG

[Peter 123]

Nur eine Anmerkung wegen der Order für die Wiederherstellung der Downloads.
Du bekommst eine Meldung, wenn die Downloads entweder in den Eigenen Dateien, den Favoriten oder auf dem Desktop landen.
Sollte nun eines der Programme (Firefox, IE, Skype, Opera usw.) ein anderes Downloadverzeichnis verwenden, wie z.B. D:\Downloads, dann geht der Download mit dem Löschen der Sandbox verloren.

Das ist mir auch völlig Recht so. Bei mir landen ohnehin alle Downloads auf dem Desktop - und genau dort und nirgendwo anders gehören sie für mich auch hin (aus Gründen des Überblicks und der Sicherheit [alles, was am Desktop landet, wird von mir sofort auf Malware geprüft]).

Natürlich hat rolarocka recht, die ClosedFilePath und OpenFilePath Anweisungen gehören zu jeder Sandbox.
Wie bereits von mir erwähnt, die ClosedFilePath Anweisungen erhöhen die Sicherheit und die OpenFilePath Anweisungen erhöhen den Komfort.
Die für die Operabox sind relativ einfach zu machen.
Nur bei der firefox.exe,iexplore.exe,skype.exe,msnmsgr.exe,yahoomessenger.exe Sandbox habe ich meine Zweifel, ob da etwas Sinnvolles rauskommt, wegen der Vielzahl an unterschiedlichen Programmen.

Hmm. Dann muss ich mir das mit dem Punkt "Zugriff verweigern (ClosedFilePath)" in den Sandboxeinstellungen auch noch anschauen. Ich hatte deinen vorigen Beitrag so verstanden, dass nichts mehr zusätzlich zu den Änderungen in der sandboxie.ini zu tun wäre, um ein ausreichendes Sicherheitsniveau zu erzielen.

Auf OpenFilePath-Anweisungen ("Direkter Zugriff") kann ich damit aber weiterhin verzichten; denn mir geht es nur um die Sicherheit und nicht um den Komfort.
Also z.b. bezogen auf den von rolarocka erwähnten Fall:

Direkter Zugriff zb für Opera macht auch Sinn wenn du deine Bookmarks änderst dann werden die auch im richtigen System geändert und Sanboxed browser und normaler Browser bleiben synchron.

Mir ist bewusst, dass sich Änderungen der Favoriten-Liste nicht dauerhaft auswirken, wenn ich sie nur aus der Sandbox heraus vornehme. Aber das möchte ich auch so beibehalten. Alles, was sich in der Sandbox abspielt, soll (nach meinen Vorstellungen) nur vorläufigen Charakter haben und nur gelten, bis ich die Sandbox wieder schließe. (Automatisches Leeren der Sandbox beim Schließen ist bei mir ja aktiviert.)

Der Beitrag wurde von Peter 123 bearbeitet: 23.07.2008, 14:56

[rolarocka]

Hier gibts noch ein paar interessante .ini settings:
http://hurst-security-blog.blogspot.com/20.../sandboxie.html

also das sieht doch richtig hübsch aus (für Opera/Firefox):

ClosedFilePath=C:\AUTOEXEC.BAT
ClosedFilePath=C:\boot.ini
ClosedFilePath=C:\ntldr
ClosedFilePath=C:\NTDETECT.COM
ClosedKeyPath=HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\
ClosedKeyPath=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\
ClosedKeyPath=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
ClosedKeyPath=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
ClosedKeyPath=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
ClosedKeyPath=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\
ClosedKeyPath=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
ClosedKeyPath=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

ist vielleicht schon redundant aber schaden wirds bestimmt nicht

Der Beitrag wurde von rolarocka bearbeitet: 23.07.2008, 16:14

[Peter 123]

Ich blicke nicht mehr durch.

Und mittlerweile frage ich mich auch, warum der Erfinder von Sandboxie diese Konfigurationsdetails nicht zumindest teilweise in die Standardeinstellungen eingebaut hat, soweit diese Details für die Sicherheit notwendig sind. Sandboxie sollte doch eigentlich dazu dienen, dass man das darin aufgerufene Programm (z.B. einen Browser) gefahrlos benützen kann - und zwar ohne riesigen zusätzlichen Konfigurationsaufwand. Davon bin ich bis vor wenigen Tagen auch ausgegangen. Aufgrund eurer - natürlich durchaus verdienstvollen - Beiträge komme ich jetzt drauf, dass davon offenbar keine Rede ist. Man muss da unzählige zusätzliche Einstellungen und Eintragungen vornehmen, damit ein ausreichender Sicherheitseffekt tatsächlich eintritt. Und wer nicht das Glück hat, durch Zufall auf dieses Forum und den von subset eröffneten Thread zu stoßen, der ist diesbezüglich ohnedies verloren, sofern er nicht Computerexperte ist oder genug Englisch kann, um die Sandboxie-Webseite zu studieren (wobei ich auch nicht weiß, ob das dort alles überhaupt erwähnt bzw. erklärt wird).

So sollte ein Programm, das eigentlich der Sicherheit dienen soll, nicht beschaffen sein. Zusätzlich zu seinen Mängeln in Aufbau und Sprache gibt es offenbar auch beträchtliche Sicherheitslücken in der Standardkonfiguration.

Der Beitrag wurde von Peter 123 bearbeitet: 23.07.2008, 17:08

[rolarocka]

Sandboxie ist in den Standardeinstellungen insofern sicher dass alles was in der sandbox ausgeführt wird keinen Einfluss auf das eigentliche System hat. Aber wie jedes Programm, kann man es feintunen. Ist doch begrüssenswert.
Lass dich davon nicht abschrecken jetzt wo du soweit gekommen bist (ich auch übrigens). Die Standardeinstellung von Sandboxie sind für die meistes User eh vollkommen ausreichend. Ich find es interessant wie sicher man das ganze einstellen kann.

Der Beitrag wurde von rolarocka bearbeitet: 23.07.2008, 17:33