Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Browserjail

Frage Microsoft Windows Userverwaltung

Mitglied: python

python (Level 1) - Jetzt verbinden

07.05.2011 um 00:51 Uhr, 3042 Aufrufe, 14 Kommentare

Webbrowser als sicherheitstechnisches Scheunentor entschärfen

Hi,

Ich betreue sowohl Windows- als auch Ubuntu-Maschinen. Da der Webbrowser auf jedem Betriebssystem ein beträchtliches Sicherheitsrisiko darstellt, habe ich geplant, etwas dagegen zu unternehmen. In einem mittlerweile bereits mehrere Monate andauernden "Pilotversuch" auf meinem eigenen Arbeitsrechner laufen alle Webbrowser in einer "Sandbox", die ein Übergreifen auf das restliche System (inklusive persönliche Dateien) verhindert. Implementiert ist diese Sandbox auf der Basis der GNU-Benutzerverwaltung von Ubuntu. De-facto laufen die Browser mit den Rechten eines eigenen Benutzers, der über keinerlei Sonderrechte besitzt und insbesondere keine Schreibrechte auf Dateien außerhalb der Sandbox. Das isoliert zwar den Browser bis zu einem gewissen Grad vom restlichen System, bringt aber ein gewaltiges Plus an Sicherheit. Da ich glaube, dass gesamt gesehen die Vorteile überwiegen, würde ich gerne eine derartige Sandbox auch auf Windows-Systemen einrichten. Allerdings fehlt mir dafür das nötige Wissen, wie ich das mit Windows 7 umsetzen könnte und bitte daher um euren Rat, wie man sowas einrichten kann!

LG
Christian
Mitglied: danielfr
07.05.2011 um 09:33 Uhr
Hallo,
damit: http://www.sandboxie.com/
Gruß Daniel
Bitte warten ..
Mitglied: SarekHL
07.05.2011 um 11:08 Uhr
http://www.kace.com/products/freetools/secure-browser/

Den Link habe ich aus der aktuellen Com-Ausgabe. Getestet habe ich das Programm noch nicht ...
Bitte warten ..
Mitglied: python
07.05.2011 um 11:23 Uhr
Hallo Daniel, danke für den Link!! Find ich cool dass es sowas schon gibt! Ich vertraue zwar üblicherweise mehr meiner eigenen Handwerkskunst, wenn es um das Thema Sicherheit geht, aber Sandboxie schaut schonmal recht verlässlich aus. Werde das mal testen!!
Bitte warten ..
Mitglied: python
07.05.2011 um 11:26 Uhr
Hallo, danke auch dir!! Das sehe ich mir ebenfalls an!
Bitte warten ..
Mitglied: python
07.05.2011 um 11:27 Uhr
Vielen Dank für eure bisherigen Antworten. Falls es weitere Vorschläge noch gibt, nur her damit, sie sind auf jeden Fall willkommen!

Ich melde mich dann, wofür ich mich entschieden habe.
Bitte warten ..
Mitglied: infowars
07.05.2011 um 11:36 Uhr
Ich habe im Laufwerk C: eine .bat in der steht:
runas /user:inet /savecred "C:\Program Files (x86)\Mozilla Firefox\firefox.exe"
und erstelle eine Verknüpfung auf dem Desktop und ändere das Icon.
Das gleiche für den IExplore.exe
Bitte warten ..
Mitglied: python
07.05.2011 um 11:41 Uhr
Vielen Dank, das hat große Ähnlichkeit mit meiner Konfiguration auf Ubuntu, hier gibt es dafür auch einen von mir angelegten Benutzer namens inet! Hast du dann das Standard-Startsymbol mit der BAT-Datei ersetzt?
Bitte warten ..
Mitglied: DerWoWusste
07.05.2011 um 11:54 Uhr
Hi.
Das Thema ist auch von Microsoft schon mehrfach behandelt worden. Dropmyrights hieß deren Ansatz für xp: http://blogs.msdn.com/b/michael_howard/archive/2007/08/13/update-on-dro ...
Unter Vista und 7 läuft der Internet Explorer per default in einem geschützten Modus und macht sich die zusätzliche (unter xp nicht vorhandene) Schicht der Integrity Levels zu Nutze: http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2329.h ...

Andere Browser konnten dies bislang noch nicht nachbilden. Versuche, beispielsweise den Firefox manuell mit IL:low zu starten müssen ohne Brokerprozess (siehe z.B. unter http://msdn.microsoft.com/en-us/library/bb250462(v=vs.85).aspx ) auskommen und werden wohl an Grenzen stoßen, was die Funktionalität angeht, siehe https://wiki.mozilla.org/Mozilla_2/Protected_mode

So ginge es (auf x64):
01.
icacls "%appdata%\Mozilla\Firefox\Profiles\DeinProfil.default" /setintegritylevel (OI)(CI)low 
02.
icacls "%appdata%\Mozilla\" /setintegritylevel (OI)(CI)low 
03.
icacls "C:\Program Files (x86)\Mozilla Firefox" /setintegritylevel (OI)(CI)low 
04.
icacls "%temp%" /setintegritylevel (OI)(CI)low 
05.
icacls "DeinCacheordner" /setintegritylevel (OI)(CI)low 
Bitte warten ..
Mitglied: DerWoWusste
07.05.2011 um 12:08 Uhr
Hallo Infowars.

Es stellt sich unter Vista/Win7 die Frage, wozu Du das für den IE brauchst - siehe mein Beitrag.
Bitte warten ..
Mitglied: python
07.05.2011 um 12:13 Uhr
Danke, der Ansatz gefällt mir besonders gut, da er vom Hersteller des Betriebssystems stammt. Zugleich ein Pluspunkt für den Internet-Explorer! (viele hat er ja nicht, bei frustrierten Webdesignern jedenfalls )
Bitte warten ..
Mitglied: python
07.05.2011 um 12:16 Uhr
Bitte warten ..
Mitglied: infowars
07.05.2011 um 12:35 Uhr
Ja, die Orginal-Verknüpfung lösche ich, und setze eine Verknüpfung zu C:\firefox.bat und C:\iexplore.bat und ändere das Icon wieder (Zwecks der Optik).
Bitte warten ..
Mitglied: DerWoWusste
07.05.2011 um 13:22 Uhr
Da ich mich sehr mit dem Thema befasst habe, noch ein Tipp:
Der Browser ist natürlich ein Angriffspunkt. Wichtiger ist jedoch die Frage, ob die Rechner nicht ganz vom Internet entkoppelt werden könnten, indem man ihnen nur einen Remotezugriff auf einen Browser ermöglicht, der auf einem anderen System läuft (beispielsweise eine VM, die täglich zurückgesetzt wird). So kannst Du sicherstellen, dass lokale Schädlinge keine Daten ins Internet abführen können.

Sowohl Remote Desktop unter 2008 ("RemoteApp"), als auch X-Server wie FreeNX auf Linux zusammen mit nomachine (auch für Windows) bieten einen komfortablen Zugriff auf einzelne Remoteanwendungen im seamless-Mode.
Bitte warten ..
Mitglied: python
07.05.2011 um 21:17 Uhr
Stimmt! Das wäre eine feine Lösung. In meinem Fall ist das nicht so gut geeignet, da die Geräte für den Außendienst als Laptops zur Verfügung stehen müssen. D.h. die Benützer müssten immer den VM-Server mit sich herumtragen

Was aber sehr interessant zu wissen wäre ist, ob es Schadprogramme gibt, die so gebaut sind, dass sie erfolgreich aus der Sandbox ausbrechen können.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...