Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Browserjail

Frage Microsoft Windows Userverwaltung

Mitglied: python

python (Level 1) - Jetzt verbinden

07.05.2011 um 00:51 Uhr, 3073 Aufrufe, 14 Kommentare

Webbrowser als sicherheitstechnisches Scheunentor entschärfen

Hi,

Ich betreue sowohl Windows- als auch Ubuntu-Maschinen. Da der Webbrowser auf jedem Betriebssystem ein beträchtliches Sicherheitsrisiko darstellt, habe ich geplant, etwas dagegen zu unternehmen. In einem mittlerweile bereits mehrere Monate andauernden "Pilotversuch" auf meinem eigenen Arbeitsrechner laufen alle Webbrowser in einer "Sandbox", die ein Übergreifen auf das restliche System (inklusive persönliche Dateien) verhindert. Implementiert ist diese Sandbox auf der Basis der GNU-Benutzerverwaltung von Ubuntu. De-facto laufen die Browser mit den Rechten eines eigenen Benutzers, der über keinerlei Sonderrechte besitzt und insbesondere keine Schreibrechte auf Dateien außerhalb der Sandbox. Das isoliert zwar den Browser bis zu einem gewissen Grad vom restlichen System, bringt aber ein gewaltiges Plus an Sicherheit. Da ich glaube, dass gesamt gesehen die Vorteile überwiegen, würde ich gerne eine derartige Sandbox auch auf Windows-Systemen einrichten. Allerdings fehlt mir dafür das nötige Wissen, wie ich das mit Windows 7 umsetzen könnte und bitte daher um euren Rat, wie man sowas einrichten kann!

LG
Christian
Mitglied: danielfr
07.05.2011 um 09:33 Uhr
Hallo,
damit: http://www.sandboxie.com/
Gruß Daniel
Bitte warten ..
Mitglied: SarekHL
07.05.2011 um 11:08 Uhr
http://www.kace.com/products/freetools/secure-browser/

Den Link habe ich aus der aktuellen Com-Ausgabe. Getestet habe ich das Programm noch nicht ...
Bitte warten ..
Mitglied: python
07.05.2011 um 11:23 Uhr
Hallo Daniel, danke für den Link!! Find ich cool dass es sowas schon gibt! Ich vertraue zwar üblicherweise mehr meiner eigenen Handwerkskunst, wenn es um das Thema Sicherheit geht, aber Sandboxie schaut schonmal recht verlässlich aus. Werde das mal testen!!
Bitte warten ..
Mitglied: python
07.05.2011 um 11:26 Uhr
Hallo, danke auch dir!! Das sehe ich mir ebenfalls an!
Bitte warten ..
Mitglied: python
07.05.2011 um 11:27 Uhr
Vielen Dank für eure bisherigen Antworten. Falls es weitere Vorschläge noch gibt, nur her damit, sie sind auf jeden Fall willkommen!

Ich melde mich dann, wofür ich mich entschieden habe.
Bitte warten ..
Mitglied: infowars
07.05.2011 um 11:36 Uhr
Ich habe im Laufwerk C: eine .bat in der steht:
runas /user:inet /savecred "C:\Program Files (x86)\Mozilla Firefox\firefox.exe"
und erstelle eine Verknüpfung auf dem Desktop und ändere das Icon.
Das gleiche für den IExplore.exe
Bitte warten ..
Mitglied: python
07.05.2011 um 11:41 Uhr
Vielen Dank, das hat große Ähnlichkeit mit meiner Konfiguration auf Ubuntu, hier gibt es dafür auch einen von mir angelegten Benutzer namens inet! Hast du dann das Standard-Startsymbol mit der BAT-Datei ersetzt?
Bitte warten ..
Mitglied: DerWoWusste
07.05.2011 um 11:54 Uhr
Hi.
Das Thema ist auch von Microsoft schon mehrfach behandelt worden. Dropmyrights hieß deren Ansatz für xp: http://blogs.msdn.com/b/michael_howard/archive/2007/08/13/update-on-dro ...
Unter Vista und 7 läuft der Internet Explorer per default in einem geschützten Modus und macht sich die zusätzliche (unter xp nicht vorhandene) Schicht der Integrity Levels zu Nutze: http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2329.h ...

Andere Browser konnten dies bislang noch nicht nachbilden. Versuche, beispielsweise den Firefox manuell mit IL:low zu starten müssen ohne Brokerprozess (siehe z.B. unter http://msdn.microsoft.com/en-us/library/bb250462(v=vs.85).aspx ) auskommen und werden wohl an Grenzen stoßen, was die Funktionalität angeht, siehe https://wiki.mozilla.org/Mozilla_2/Protected_mode

So ginge es (auf x64):
01.
icacls "%appdata%\Mozilla\Firefox\Profiles\DeinProfil.default" /setintegritylevel (OI)(CI)low 
02.
icacls "%appdata%\Mozilla\" /setintegritylevel (OI)(CI)low 
03.
icacls "C:\Program Files (x86)\Mozilla Firefox" /setintegritylevel (OI)(CI)low 
04.
icacls "%temp%" /setintegritylevel (OI)(CI)low 
05.
icacls "DeinCacheordner" /setintegritylevel (OI)(CI)low 
Bitte warten ..
Mitglied: DerWoWusste
07.05.2011 um 12:08 Uhr
Hallo Infowars.

Es stellt sich unter Vista/Win7 die Frage, wozu Du das für den IE brauchst - siehe mein Beitrag.
Bitte warten ..
Mitglied: python
07.05.2011 um 12:13 Uhr
Danke, der Ansatz gefällt mir besonders gut, da er vom Hersteller des Betriebssystems stammt. Zugleich ein Pluspunkt für den Internet-Explorer! (viele hat er ja nicht, bei frustrierten Webdesignern jedenfalls )
Bitte warten ..
Mitglied: python
07.05.2011 um 12:16 Uhr
Bitte warten ..
Mitglied: infowars
07.05.2011 um 12:35 Uhr
Ja, die Orginal-Verknüpfung lösche ich, und setze eine Verknüpfung zu C:\firefox.bat und C:\iexplore.bat und ändere das Icon wieder (Zwecks der Optik).
Bitte warten ..
Mitglied: DerWoWusste
07.05.2011 um 13:22 Uhr
Da ich mich sehr mit dem Thema befasst habe, noch ein Tipp:
Der Browser ist natürlich ein Angriffspunkt. Wichtiger ist jedoch die Frage, ob die Rechner nicht ganz vom Internet entkoppelt werden könnten, indem man ihnen nur einen Remotezugriff auf einen Browser ermöglicht, der auf einem anderen System läuft (beispielsweise eine VM, die täglich zurückgesetzt wird). So kannst Du sicherstellen, dass lokale Schädlinge keine Daten ins Internet abführen können.

Sowohl Remote Desktop unter 2008 ("RemoteApp"), als auch X-Server wie FreeNX auf Linux zusammen mit nomachine (auch für Windows) bieten einen komfortablen Zugriff auf einzelne Remoteanwendungen im seamless-Mode.
Bitte warten ..
Mitglied: python
07.05.2011 um 21:17 Uhr
Stimmt! Das wäre eine feine Lösung. In meinem Fall ist das nicht so gut geeignet, da die Geräte für den Außendienst als Laptops zur Verfügung stehen müssen. D.h. die Benützer müssten immer den VM-Server mit sich herumtragen

Was aber sehr interessant zu wissen wäre ist, ob es Schadprogramme gibt, die so gebaut sind, dass sie erfolgreich aus der Sandbox ausbrechen können.
Bitte warten ..
Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 6 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 10 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware8 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...