14
Sandboxie vs. virt. Ubuntu
Hallo,
um die PC der Kollegen sicherer zu machen überlege ich mir einen abgespeckten Linux als VirtualBox-App. einzusetzen oder eventuell Sandboxie zu installieren.
Hat jemand eigene Erfahrungen mit beiden Lösungen?
Mir geht es darum eine einfach bedienbare Lösung zu haben, die sicher, auch für Non-IT-Leute zu verstehen ist bzw. weniger Ressourcen verbraucht.
Auf den PC laufen überall Windiows 7 Ultimate 32bit.
Danke für die Erfahrungen bzw. ggf. für die Alternativlösungen.
Gr. I.
um die PC der Kollegen sicherer zu machen überlege ich mir einen abgespeckten Linux als VirtualBox-App. einzusetzen oder eventuell Sandboxie zu installieren.
Hat jemand eigene Erfahrungen mit beiden Lösungen?
Mir geht es darum eine einfach bedienbare Lösung zu haben, die sicher, auch für Non-IT-Leute zu verstehen ist bzw. weniger Ressourcen verbraucht.
Auf den PC laufen überall Windiows 7 Ultimate 32bit.
Danke für die Erfahrungen bzw. ggf. für die Alternativlösungen.
Gr. I.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 181719
Url: https://administrator.de/contentid/181719
Printed on: April 23, 2024 at 19:04 o'clock
14 Comments
Latest comment
Hallo istike2,
wissen deine Kollegen schon von ihrem "Glück" oder ist das ein Freitagsposting?
Falls die Frage wirklich ernst gemeint ist dann beschreibe doch mal was die bestehenden Problem sind die du so lösen willst.
Grüße vom it-frosch
wissen deine Kollegen schon von ihrem "Glück" oder ist das ein Freitagsposting?
Falls die Frage wirklich ernst gemeint ist dann beschreibe doch mal was die bestehenden Problem sind die du so lösen willst.
Grüße vom it-frosch
Probleme: noch keiner. 
Es ist bei uns natürlich ein allgmeines Bestreben das Sicherheitsniveau zu erhöhen, da wir im Rechts- und Finanzbereich tätig sind. Wenn ich daher eine intuitive Lösung finde, schlage ich vor.
Ein automatisch startenden VirtualBox-Fenster oder Sandboxie scheinen mir - auf ersten Blick - ziemlich DAU-sicher zu sein. Ich poste allerdings gerade deshalb weil ich damit keine praktische Erfahrungen habe. Wenn es blödsinn wäre, lass uns schnell abklären
I.
Es ist bei uns natürlich ein allgmeines Bestreben das Sicherheitsniveau zu erhöhen, da wir im Rechts- und Finanzbereich tätig sind. Wenn ich daher eine intuitive Lösung finde, schlage ich vor.
Ein automatisch startenden VirtualBox-Fenster oder Sandboxie scheinen mir - auf ersten Blick - ziemlich DAU-sicher zu sein. Ich poste allerdings gerade deshalb weil ich damit keine praktische Erfahrungen habe. Wenn es blödsinn wäre, lass uns schnell abklären
I.
Moin
da wir im Rechts- und Finanzbereich
tätig sind.
dann sollte es ja mit Knete nicht so klamm sein ^^
Einen ESX-Cluster, auf denen W7 - VMs (resp. ein W2k8R2 TS [ggf. als Cluster / Farm]) laufen, und für die lieben Kollegen thin Clients, mit denen sie sich auf die Clients verbinden.
Da hast Du schon mal 50 % des Unfugs eingebremst....
das ordentlich abgesichert, dann kommst Du sowohl auf ne hohe Sicherheit wie Verfügbarkeit.
Gruß
24
da wir im Rechts- und Finanzbereich
tätig sind.
dann sollte es ja mit Knete nicht so klamm sein ^^
Einen ESX-Cluster, auf denen W7 - VMs (resp. ein W2k8R2 TS [ggf. als Cluster / Farm]) laufen, und für die lieben Kollegen thin Clients, mit denen sie sich auf die Clients verbinden.
Da hast Du schon mal 50 % des Unfugs eingebremst....
das ordentlich abgesichert, dann kommst Du sowohl auf ne hohe Sicherheit wie Verfügbarkeit.
Gruß
24
Klar... Aber wozu? Bei 4 Notebooks wäre es etwas zu viel des Guten... Bei 4 PCs kriege es noch hin alles manuell einzurichten bzw. den Beteiligten alles zu erklären...
Hi.
Stell bitte eine Frage.
Also: nur nicht maulfaul werden, gerade, wenn Du Hilfe suchst.
Stell bitte eine Frage.
Hat jemand eigene Erfahrungen mit beiden Lösungen?
Setzt voraus, dass wir erraten, WAS Du damit lösen willst. Du hast doch gar nicht erläuterst WAS Du WOGEGEN schützen möchtest. Nur allein der Name Sandboxie oder virtualbox app, lässt nur entfernt ahnen, was es sein könnte.Also: nur nicht maulfaul werden
, gerade, wenn Du Hilfe suchst.
Naaaa gut .... Ich verrate mal DAS Geheimnis.
Es geht natürlich um Surfen und E-Mail-Anwendungen: gegen Viren, Trojaner, Botnetzen usw.
Neben dem Einsatz von OpenDNS denke ich mir, dass auch so eine Sandbox - mit wenig Aufwand - die allgemeine Sicherheit erweitern könnte.
Nachdem wir es einmal eingerichtet haben und die Kollegen wissen wie sie damit umgehen sollen, könnte es schon eine zusätzliche Sicherheit bieten ohne die tägliche Arbeit groß zu stören.
Es ist den Kollegen ja egal, ob sie Firefox auf dem Desktop oder in einem Linux-Fenster starten. Sie müssen lediglich beim Download aufpassen in welches Verzeichnis sie speichern. Bei Sandboxie wäre es wohl noch intuitiver.
I.
.... Ich verrate mal DAS Geheimnis.Es geht natürlich um Surfen und E-Mail-Anwendungen: gegen Viren, Trojaner, Botnetzen usw.
Neben dem Einsatz von OpenDNS denke ich mir, dass auch so eine Sandbox - mit wenig Aufwand - die allgemeine Sicherheit erweitern könnte.
Nachdem wir es einmal eingerichtet haben und die Kollegen wissen wie sie damit umgehen sollen, könnte es schon eine zusätzliche Sicherheit bieten ohne die tägliche Arbeit groß zu stören.
Es ist den Kollegen ja egal, ob sie Firefox auf dem Desktop oder in einem Linux-Fenster starten. Sie müssen lediglich beim Download aufpassen in welches Verzeichnis sie speichern. Bei Sandboxie wäre es wohl noch intuitiver.
I.
Deine Beschreibung bleibt mini-mini.
Du verschweigst u.a.
-gegen wen Du absicherst - willst Du Daten vor Viren schützen? Mit Sicherheit nicht, sondern doch vor Einsicht durch Dritte.
-was Du absicherst (lokal gespeicherte Daten vorhanden?)
-ob die Rechner selbst (nicht die virtuellen) direkten Internetzugang behalten sollen
Wir machen z.B. eine klare Trennung: PCs haben keinen Zugang zum internet, sondern lediglich RDP-Zugang zu einem TS, der einen Browser als RemoteApp stellt. Hauptschutz auf dem TS: Applocker. Diese Lösung halte ich für sehr gut und in ähnlicher Weise praktizieren wir sie seit ca 9 Jahren.
Edit: Übrigens kann win7 (wie auch Vista) über Integritylevels einen schönen Schutz bieten, Stichwort "no read up". Siehe http://www.minasi.com/apps/ - damit kannst Du Prozessen unabhängig von den Userrechten Zugriff auf ordner verwähren - das muss man sich auf der Zunge zergehen lassen.
Du verschweigst u.a.
-gegen wen Du absicherst - willst Du Daten vor Viren schützen? Mit Sicherheit nicht, sondern doch vor Einsicht durch Dritte.
-was Du absicherst (lokal gespeicherte Daten vorhanden?)
-ob die Rechner selbst (nicht die virtuellen) direkten Internetzugang behalten sollen
Wir machen z.B. eine klare Trennung: PCs haben keinen Zugang zum internet, sondern lediglich RDP-Zugang zu einem TS, der einen Browser als RemoteApp stellt. Hauptschutz auf dem TS: Applocker. Diese Lösung halte ich für sehr gut und in ähnlicher Weise praktizieren wir sie seit ca 9 Jahren.
Edit: Übrigens kann win7 (wie auch Vista) über Integritylevels einen schönen Schutz bieten, Stichwort "no read up". Siehe http://www.minasi.com/apps/ - damit kannst Du Prozessen unabhängig von den Userrechten Zugriff auf ordner verwähren - das muss man sich auf der Zunge zergehen lassen.
Moin,
in den Beschreibungen und Regeln des Forum steht klar drin, dass der TO alle wichtigen, für die Lösung seines Problemes relevanten Daten beizubringen hat.
Naaaa gut face-smile.... Ich verrate mal DAS Geheimnis.
tut mir leid - TO - aber ich verschwende keine Zeit mehr an Dir...
Danke & Tschüß
24
in den Beschreibungen und Regeln des Forum steht klar drin, dass der TO alle wichtigen, für die Lösung seines Problemes relevanten Daten beizubringen hat.
Naaaa gut face-smile.... Ich verrate mal DAS Geheimnis.
tut mir leid - TO - aber ich verschwende keine Zeit mehr an Dir...
Danke & Tschüß
24
Hi !
Freitagsfrage - Freitagsantwort (wenn es auch schon Samstag ist): Mach alle Notebooks platt und installiere ein Linux, dann hat sich zumindest das Thema (Windows) Malware erledigt.... :-P
mrtux
Freitagsfrage - Freitagsantwort (wenn es auch schon Samstag ist): Mach alle Notebooks platt und installiere ein Linux, dann hat sich zumindest das Thema (Windows) Malware erledigt.... :-P
mrtux
Hi,
ich finde euren Reaktionen etwas kindisch:
- meine Frage bezieht sich auf einen Vergleich zwischen Sandboxie und eine virtuelle Linux.. Ich habe die Sache weiter nicht spezifiziert, weil ich einfach zu wenig über diese beide Alternativen weiß. Ich habe die Frage ja deshalb gestellt.
Beiden haben - aus der Sicht des BSs allerdings dieselbe Funktionalität: Die hier laufenden Anwendungen sind von dem normalen System abgeschirmt. Egal welche Anwendungen. Die Beide kann man deshalb schon vergleichen.
Ich habe allerdings geschrieben worum es sich handelt: gegen Viren, Trojaner, Botnetzen. Ganz konkret: Thunderbird, Firefox, Pidgin müssten darin laufen.
DerWoWusste: "gegen wen Du absicherst - willst Du Daten vor Viren schützen? Mit Sicherheit nicht, sondern doch vor Einsicht durch Dritte.
Stimmt nicht. Ich will die Nptebooks der Kollegen - gegen Viren, Trojaner und Botnetze schützen -, die ein Antivirensoftware nicht mehr ausfilter kann. Einfach eine zweite Stufe.
Mrtux: Ich suche natürlich nach Möglichkeiten, die den Wokflow der Kollegen nicht zu sehr ändert. Sandboxie würde doch auch in der gewohnten W7-Umgebung arbeiten.
Danke sonst für die konstruktuven Beiträge wie:
- "Einen ESX-Cluster, auf denen W7 - VMs (resp. ein W2k8R2 TS [ggf. als Cluster / Farm]) laufen, und für die lieben Kollegen thin Clients, mit denen sie sich auf die Clients verbinden."
- "PCs haben keinen Zugang zum internet, sondern lediglich RDP-Zugang zu einem TS, der einen Browser als RemoteApp stellt. Hauptschutz auf dem TS: Applocker. Diese Lösung halte ich für sehr gut und in ähnlicher Weise praktizieren wir sie seit ca 9 Jahren."
- "Übrigens kann win7 (wie auch Vista) über Integritylevels einen schönen Schutz bieten, Stichwort "no read up". Siehe http://www.minasi.com/apps/ - damit kannst Du Prozessen unabhängig von den Userrechten Zugriff auf ordner verwähren - das muss man sich auf der Zunge zergehen lassen."
es geht doch ...
@DerWoWusste: "RDP-Zugang zu einem TS"
Was verstehst du unter "TS"
Danke sehr.
I.
ich finde euren Reaktionen etwas kindisch:
- meine Frage bezieht sich auf einen Vergleich zwischen Sandboxie und eine virtuelle Linux.. Ich habe die Sache weiter nicht spezifiziert, weil ich einfach zu wenig über diese beide Alternativen weiß.
Ich habe die Frage ja deshalb gestellt. Beiden haben - aus der Sicht des BSs allerdings dieselbe Funktionalität: Die hier laufenden Anwendungen sind von dem normalen System abgeschirmt. Egal welche Anwendungen. Die Beide kann man deshalb schon vergleichen.
Ich habe allerdings geschrieben worum es sich handelt: gegen Viren, Trojaner, Botnetzen. Ganz konkret: Thunderbird, Firefox, Pidgin müssten darin laufen.
DerWoWusste: "gegen wen Du absicherst - willst Du Daten vor Viren schützen? Mit Sicherheit nicht, sondern doch vor Einsicht durch Dritte.
Stimmt nicht. Ich will die Nptebooks der Kollegen - gegen Viren, Trojaner und Botnetze schützen -, die ein Antivirensoftware nicht mehr ausfilter kann. Einfach eine zweite Stufe.
Mrtux: Ich suche natürlich nach Möglichkeiten, die den Wokflow der Kollegen nicht zu sehr ändert. Sandboxie würde doch auch in der gewohnten W7-Umgebung arbeiten.
Danke sonst für die konstruktuven Beiträge wie:
- "Einen ESX-Cluster, auf denen W7 - VMs (resp. ein W2k8R2 TS [ggf. als Cluster / Farm]) laufen, und für die lieben Kollegen thin Clients, mit denen sie sich auf die Clients verbinden."
- "PCs haben keinen Zugang zum internet, sondern lediglich RDP-Zugang zu einem TS, der einen Browser als RemoteApp stellt. Hauptschutz auf dem TS: Applocker. Diese Lösung halte ich für sehr gut und in ähnlicher Weise praktizieren wir sie seit ca 9 Jahren."
- "Übrigens kann win7 (wie auch Vista) über Integritylevels einen schönen Schutz bieten, Stichwort "no read up". Siehe http://www.minasi.com/apps/ - damit kannst Du Prozessen unabhängig von den Userrechten Zugriff auf ordner verwähren - das muss man sich auf der Zunge zergehen lassen."
es geht doch ...
@DerWoWusste: "RDP-Zugang zu einem TS"
Was verstehst du unter "TS"
Danke sehr.
I.
Moin.
Unter einem TS versteht man in Verbindung mit RDP meist einen Terminalserver, den meine ich.
Noch zu meinem zugegebenermaßen provokanten
-ich möchte nicht alle PCs verseucht haben und neu aufsetzen müssen (deren Daten jedoch sind nicht schützenswert)
oder
-ich möchte deren Daten nicht durch Viren ggf. zum Internet abfließen lassen (die Verseuchung an sich ist mir eher egal, wir haben heile Standard-Images in petto)
Das macht schon einen Unterschied für die Beratung
Das Thema Kapselung/Sandboxing ist sehr groß und überall wird es Einwände geben, dass hier oder da doch noch Restunsicherheit besteht. In jedem Fall ist es lohnend, darüber nachzudenken. Oft findest Du bei den Herstellern Genaueres zu Restbedenken.
Wo Du Dir jedenfalls noch die Karten legen musst: willst Du die PCs weiterhin mit Internetzugang ausstatten?
Bedenke, dass jede Software, die Du ausführst, potentiell Daten raus schaffen könnte. Dazu gehören natürlich auch vom Mitarbeiter eingeschleppte mobile Browserinstallationen.
Unter einem TS versteht man in Verbindung mit RDP meist einen Terminalserver, den meine ich.
Noch zu meinem zugegebenermaßen provokanten
willst Du Daten vor Viren schützen? Mit Sicherheit nicht, sondern doch vor Einsicht durch Dritte.
Ich wollte Dir nur zeigen, dass Du noch mehr Infos hättest geben können - das volle Paket. "Ich schütze vor Viren, denn...-ich möchte nicht alle PCs verseucht haben und neu aufsetzen müssen (deren Daten jedoch sind nicht schützenswert)
oder
-ich möchte deren Daten nicht durch Viren ggf. zum Internet abfließen lassen (die Verseuchung an sich ist mir eher egal, wir haben heile Standard-Images in petto)
Das macht schon einen Unterschied für die Beratung
Das Thema Kapselung/Sandboxing ist sehr groß und überall wird es Einwände geben, dass hier oder da doch noch Restunsicherheit besteht. In jedem Fall ist es lohnend, darüber nachzudenken. Oft findest Du bei den Herstellern Genaueres zu Restbedenken.
Wo Du Dir jedenfalls noch die Karten legen musst: willst Du die PCs weiterhin mit Internetzugang ausstatten?
Bedenke, dass jede Software, die Du ausführst, potentiell Daten raus schaffen könnte. Dazu gehören natürlich auch vom Mitarbeiter eingeschleppte mobile Browserinstallationen.
Moin
Danke sonst für die konstruktuven Beiträge wie:
- "Einen ESX-Cluster, auf denen W7 - VMs (resp. ein W2k8R2 TS [ggf. als Cluster / Farm]) laufen, und für die lieben
Ich schreibe extra ganz langsam, damit Du es auch verstehst - auch die Größenordnung ist ein wesentlicher Inhalt - bei 4 Laptops ist das etwas anderes als bei 50 oder 100 Leuten
Gruß
24
Danke sonst für die konstruktuven Beiträge wie:
- "Einen ESX-Cluster, auf denen W7 - VMs (resp. ein W2k8R2 TS [ggf. als Cluster / Farm]) laufen, und für die lieben
Ich schreibe extra ganz langsam, damit Du es auch verstehst - auch die Größenordnung ist ein wesentlicher Inhalt - bei 4 Laptops ist das etwas anderes als bei 50 oder 100 Leuten
Gruß
24
Danke 24
dank deinem besonders langsamen Schreiben, habe ich jetzt kapiert
@DerWoWusste
Ja, die müssten mit den PCs weiterhin im Internet unterwegs sein. Ich würde daher gerne alle Internet-Anwendungen einschließen, damit die produktiven Daten und der Fileserver geschützt bleiben. Ich würde natürlich - angenommen - dass wir bei der Lösung VirtualBox bleiben, jedem Kollegen einen jungfräulichen VM zur Verfügungg stellen. Allen vier denselben, die sie bei Bedarf vom Fileserver herunterladen könnten. Bei Sandboxie könnten sie die "Box" regelmäßig löschen.
Gr. I.
dank deinem besonders langsamen Schreiben, habe ich jetzt kapiert
@DerWoWusste
Ja, die müssten mit den PCs weiterhin im Internet unterwegs sein. Ich würde daher gerne alle Internet-Anwendungen einschließen, damit die produktiven Daten und der Fileserver geschützt bleiben. Ich würde natürlich - angenommen - dass wir bei der Lösung VirtualBox bleiben, jedem Kollegen einen jungfräulichen VM zur Verfügungg stellen. Allen vier denselben, die sie bei Bedarf vom Fileserver herunterladen könnten. Bei Sandboxie könnten sie die "Box" regelmäßig löschen.
Gr. I.
Hallo istike2,
wie arbeiten den deine Kollegen?
Sind Programme lokal installiert die u.U. Verbindungen mit dem Internet benötigen?
Du merkst, dass immer noch viele Infos von dir fehlen.
Denke auch daran, selbst wenn du eine deiner Lösungen eingebaut hast, das, wenn die Notebooks einen Verbindung zum Internet aufbauen können, sie trotzdem gefährdet sind.
Stichwort komprometierte PDF,Doc, u.a. Dateien. Die Viren verstecken sich heutzutage in ZIP, PDF, DOC, RTF und Java Dateien.
D.h. neben den MS Updates und dem Virenscanner musst du auch div. "Einfallstore" Acrobat Reader, JAVA und Flash ständig aktuell halten.
https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Gefaerdungslage/Schwa ...
Unter Umständen wären für euch eine Linux Desktop sinnvoll was aber auch keinen 100%igen Schutz bietet.
Du kannst dich auch mal beim BSI umschauen. Da findest du geprüfte Lösungen, die für dich sicherlich besser sind.
grüße vom it-frosch
PS: Du meintest es also doch ernst.
wie arbeiten den deine Kollegen?
Sind Programme lokal installiert die u.U. Verbindungen mit dem Internet benötigen?
Du merkst, dass immer noch viele Infos von dir fehlen.
Denke auch daran, selbst wenn du eine deiner Lösungen eingebaut hast, das, wenn die Notebooks einen Verbindung zum Internet aufbauen können, sie trotzdem gefährdet sind.
Stichwort komprometierte PDF,Doc, u.a. Dateien. Die Viren verstecken sich heutzutage in ZIP, PDF, DOC, RTF und Java Dateien.
D.h. neben den MS Updates und dem Virenscanner musst du auch div. "Einfallstore" Acrobat Reader, JAVA und Flash ständig aktuell halten.
https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Gefaerdungslage/Schwa ...
Unter Umständen wären für euch eine Linux Desktop sinnvoll was aber auch keinen 100%igen Schutz bietet.
Du kannst dich auch mal beim BSI umschauen. Da findest du geprüfte Lösungen, die für dich sicherlich besser sind.
grüße vom it-frosch
PS: Du meintest es also doch ernst.
