Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Browserjail

Mitglied: python

python (Level 1) - Jetzt verbinden

07.05.2011 um 00:51 Uhr, 3079 Aufrufe, 14 Kommentare

Webbrowser als sicherheitstechnisches Scheunentor entschärfen

Hi,

Ich betreue sowohl Windows- als auch Ubuntu-Maschinen. Da der Webbrowser auf jedem Betriebssystem ein beträchtliches Sicherheitsrisiko darstellt, habe ich geplant, etwas dagegen zu unternehmen. In einem mittlerweile bereits mehrere Monate andauernden "Pilotversuch" auf meinem eigenen Arbeitsrechner laufen alle Webbrowser in einer "Sandbox", die ein Übergreifen auf das restliche System (inklusive persönliche Dateien) verhindert. Implementiert ist diese Sandbox auf der Basis der GNU-Benutzerverwaltung von Ubuntu. De-facto laufen die Browser mit den Rechten eines eigenen Benutzers, der über keinerlei Sonderrechte besitzt und insbesondere keine Schreibrechte auf Dateien außerhalb der Sandbox. Das isoliert zwar den Browser bis zu einem gewissen Grad vom restlichen System, bringt aber ein gewaltiges Plus an Sicherheit. Da ich glaube, dass gesamt gesehen die Vorteile überwiegen, würde ich gerne eine derartige Sandbox auch auf Windows-Systemen einrichten. Allerdings fehlt mir dafür das nötige Wissen, wie ich das mit Windows 7 umsetzen könnte und bitte daher um euren Rat, wie man sowas einrichten kann!

LG
Christian
Mitglied: danielfr
07.05.2011 um 09:33 Uhr
Hallo,
damit: http://www.sandboxie.com/
Gruß Daniel
Bitte warten ..
Mitglied: SarekHL
07.05.2011 um 11:08 Uhr
http://www.kace.com/products/freetools/secure-browser/

Den Link habe ich aus der aktuellen Com-Ausgabe. Getestet habe ich das Programm noch nicht ...
Bitte warten ..
Mitglied: python
07.05.2011 um 11:23 Uhr
Hallo Daniel, danke für den Link!! Find ich cool dass es sowas schon gibt! Ich vertraue zwar üblicherweise mehr meiner eigenen Handwerkskunst, wenn es um das Thema Sicherheit geht, aber Sandboxie schaut schonmal recht verlässlich aus. Werde das mal testen!!
Bitte warten ..
Mitglied: python
07.05.2011 um 11:26 Uhr
Hallo, danke auch dir!! Das sehe ich mir ebenfalls an!
Bitte warten ..
Mitglied: python
07.05.2011 um 11:27 Uhr
Vielen Dank für eure bisherigen Antworten. Falls es weitere Vorschläge noch gibt, nur her damit, sie sind auf jeden Fall willkommen!

Ich melde mich dann, wofür ich mich entschieden habe.
Bitte warten ..
Mitglied: infowars
07.05.2011 um 11:36 Uhr
Ich habe im Laufwerk C: eine .bat in der steht:
runas /user:inet /savecred "C:\Program Files (x86)\Mozilla Firefox\firefox.exe"
und erstelle eine Verknüpfung auf dem Desktop und ändere das Icon.
Das gleiche für den IExplore.exe
Bitte warten ..
Mitglied: python
07.05.2011 um 11:41 Uhr
Vielen Dank, das hat große Ähnlichkeit mit meiner Konfiguration auf Ubuntu, hier gibt es dafür auch einen von mir angelegten Benutzer namens inet! Hast du dann das Standard-Startsymbol mit der BAT-Datei ersetzt?
Bitte warten ..
Mitglied: DerWoWusste
07.05.2011 um 11:54 Uhr
Hi.
Das Thema ist auch von Microsoft schon mehrfach behandelt worden. Dropmyrights hieß deren Ansatz für xp: http://blogs.msdn.com/b/michael_howard/archive/2007/08/13/update-on-dro ...
Unter Vista und 7 läuft der Internet Explorer per default in einem geschützten Modus und macht sich die zusätzliche (unter xp nicht vorhandene) Schicht der Integrity Levels zu Nutze: http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2329.h ...

Andere Browser konnten dies bislang noch nicht nachbilden. Versuche, beispielsweise den Firefox manuell mit IL:low zu starten müssen ohne Brokerprozess (siehe z.B. unter http://msdn.microsoft.com/en-us/library/bb250462(v=vs.85).aspx ) auskommen und werden wohl an Grenzen stoßen, was die Funktionalität angeht, siehe https://wiki.mozilla.org/Mozilla_2/Protected_mode

So ginge es (auf x64):
01.
icacls "%appdata%\Mozilla\Firefox\Profiles\DeinProfil.default" /setintegritylevel (OI)(CI)low 
02.
icacls "%appdata%\Mozilla\" /setintegritylevel (OI)(CI)low 
03.
icacls "C:\Program Files (x86)\Mozilla Firefox" /setintegritylevel (OI)(CI)low 
04.
icacls "%temp%" /setintegritylevel (OI)(CI)low 
05.
icacls "DeinCacheordner" /setintegritylevel (OI)(CI)low 
Bitte warten ..
Mitglied: DerWoWusste
07.05.2011 um 12:08 Uhr
Hallo Infowars.

Es stellt sich unter Vista/Win7 die Frage, wozu Du das für den IE brauchst - siehe mein Beitrag.
Bitte warten ..
Mitglied: python
07.05.2011 um 12:13 Uhr
Danke, der Ansatz gefällt mir besonders gut, da er vom Hersteller des Betriebssystems stammt. Zugleich ein Pluspunkt für den Internet-Explorer! (viele hat er ja nicht, bei frustrierten Webdesignern jedenfalls )
Bitte warten ..
Mitglied: python
07.05.2011 um 12:16 Uhr
Bitte warten ..
Mitglied: infowars
07.05.2011 um 12:35 Uhr
Ja, die Orginal-Verknüpfung lösche ich, und setze eine Verknüpfung zu C:\firefox.bat und C:\iexplore.bat und ändere das Icon wieder (Zwecks der Optik).
Bitte warten ..
Mitglied: DerWoWusste
07.05.2011 um 13:22 Uhr
Da ich mich sehr mit dem Thema befasst habe, noch ein Tipp:
Der Browser ist natürlich ein Angriffspunkt. Wichtiger ist jedoch die Frage, ob die Rechner nicht ganz vom Internet entkoppelt werden könnten, indem man ihnen nur einen Remotezugriff auf einen Browser ermöglicht, der auf einem anderen System läuft (beispielsweise eine VM, die täglich zurückgesetzt wird). So kannst Du sicherstellen, dass lokale Schädlinge keine Daten ins Internet abführen können.

Sowohl Remote Desktop unter 2008 ("RemoteApp"), als auch X-Server wie FreeNX auf Linux zusammen mit nomachine (auch für Windows) bieten einen komfortablen Zugriff auf einzelne Remoteanwendungen im seamless-Mode.
Bitte warten ..
Mitglied: python
07.05.2011 um 21:17 Uhr
Stimmt! Das wäre eine feine Lösung. In meinem Fall ist das nicht so gut geeignet, da die Geräte für den Außendienst als Laptops zur Verfügung stehen müssen. D.h. die Benützer müssten immer den VM-Server mit sich herumtragen

Was aber sehr interessant zu wissen wäre ist, ob es Schadprogramme gibt, die so gebaut sind, dass sie erfolgreich aus der Sandbox ausbrechen können.
Bitte warten ..
Neue Wissensbeiträge
Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 12 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

iOS
IOS 11.2.6 verfügbar
Information von sabines vor 18 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 1 TagSicherheit8 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Heiß diskutierte Inhalte
Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server25 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless22 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

SAN, NAS, DAS
Qnap TS-453S Pro - Anbindung Active Directory
Frage von JuckieSAN, NAS, DAS13 Kommentare

Hallo zusammen, ich habe hier eine Qnap TS-453S Pro die sich mal so absolut gar nicht in das Active ...