[How-To] Endlich sicher mit Windows - Sandboxie

    • crt32
      crt32
      Bronze
      Dabei seit: 17.02.2007 Beiträge: 15.895
      Inhalt
      1. Was ist dieses Sandboxie und wozu brauche ich es?
      2. Die grundlegenden Funktionen von Sandboxie
      2.1 Das Hauptfenster von Sandboxie
      2.2 Das Sandbox Kontextmenü
      3. Programme mit Sandboxie verwenden - aber richtig
      3.1 Welche Programme sollten permanent in der Sandbox laufen?
      3.2 Sandboxie konfigurieren
      3.3 Einstellungen und Downloads automatisch behalten - Quick Recovery und Direct File Access
      3.3a Heruntergeladene Dateien
      3.3b Einstellungen, Bookmarks, etc
      3.3c Was es zu beachten gilt
      3.4 Mehrere Sandboxen verwenden
      4. Die Sandbox löschen


      1. Was ist dieses Sandboxie und wozu brauche ich es?

      Sandboxie ist ein Sandbox Programm für Windows. Eine Sandbox ist eine Art nach außen abgesicherter Bereich, in dem man Programm laufen lassen kann, ohne dass System Dateien verändert werden können. Dazu überwacht Sandboxie die in der Sandbox gestarteten Programme und leitet alle Dateizugriffe auf ein virtuelles Dateisystem um. Alle Änderungen, die dort vorgenommen werden, sind ausschließlich in der Sandbox wirksam. Die tatsächlichen Dateien auf der Festplatte bleiben dabei unberührt.

      Beispiel: Man startet notepad außerhalb der Sandbox und schreibt dort "Hallo Welt" in die Datei C:\test.txt. Dann startet man notepad in der Sandbox, öffnet C:\test.txt und ändert den Text in "xxxxxx". Innerhalb der Sandbox steht in der Datei jetzt "xxxxxx", während auserhalb immer noch "Hallo Welt" zu finden ist.

      Analog dazu verfährt Sandboxie mit der Windows Registry.
      Viren, Trojaner und ähnliche "bösartige Software" ist deshalb schädlich, weil sie sich "ins System einnisten", d.h. sie verändern beispielsweise Systemdateien, was bewirkt, dass der Trojaner bei jedem Systemstart ausgeführt wird, oder sie löschen einfach wahllos irgendwelche Dateien. Vorallem Trojaner verändern das System oft auch derart, dass die mitgebrachten Dateien vom User bei laufendem Betriebssystem nicht eingesehen werden können.
      Werden solche Programme in der Sandbox ausgeführt, können sie nun keinen Schaden mehr anrichten, da alle Veränderungen durch die Sandbox abgefangen werden und die tatsächlichen Dateien nicht verändert werden können.
      Solange man veränderte Dateien allerdings in der Sandbox startet, startet man selbstverständlich jedes mal den Trojaner oder Virus. Deshalb ist es notwendig, die Inhalte der Sandbox regelmäßig zu löschen. Dadurch werden alle Veränderungen verworfen und die Dateien in der Sandbox sind wieder mit den ursprünglichen identisch.

      Eine Sandbox schützt daher nicht gegen Keylogger, da diese trotzdem ausgeführt werden können und ungehindert eure Daten raussenden. Erst ein Neustart und das Löschen der Sandbox bereinigt eurer System von solchen Programmen. Daher sollte trotz allem auf einen Virenscanner und eine Firewall nicht verzichtet werden

      Anmerkung: Sandboxie blockt standardmäßig einige Low-Level-Zugriffe, welche einerseits verhindern, dass Windows Services und Treiber installiert werden, und andererseits auch vielen Keyloggern das Handwerk legen. Allerdings bietet dies keinen 100%igen Schutz.


      2. Die grundlegenden Funktionen von Sandboxie

      Sandboxie kann man zwar kostenlos verwenden, allerdings empfiehlt es sich die Software zu kaufen (für gerade mal 22€), da man in der kostenlosen Version nur eine Sandbox verwenden kann und nach 30 Tagen zudem ein nag screen erscheint.

      2.1 Das Hauptfenster von Sandboxie



      Die beiden Ansichten können über View->Programs bzw View->Files and Folders aufgerufen werden.

      In der "Programs" Ansicht (1. Bild) werden alle Programme aufgelistet, welche gerade in der Sandbox laufen. Vorallem, nachdem man irgendwelche verdächtigen Programme in der Sandbox gestartet hat, sollte man hier mal einen Blick reinwerfen und überprüfen, ob nicht gerade das eine oder andere dubiose Programm gestartet wurde. Per Rechtsklick->Terminate Program kann man die einzelnen Programme beenden.

      In der "Files and Folders" Ansicht (2.Bild) kann man alle Dateien, die entweder innerhalb der Sandbox erzeugt oder innerhalb der Sandbox verändert wurden, einsehen. Da dies im Normalfall nicht besonders viele sind (normalerweise nur Dateien wie die Caches von Webbrowsern und sonstige temporäre Dateien), kann man auch hier von Hand überprüfen, ob irgendwelche Dateien verändert oder erzeugt wurden, die dort nicht hingehören.
      Dateien, welche man behalten möchte, kann man hier per Rechtsklick->Recover.. ins Dateisystem kopieren. Dadurch behalt man diese Dateien auch nachdem man die Sandbox gelöscht hat. Andernfalls gehen diese Daten beim Löschen verloren! (mehr hierzu beim Punkt "Programme mit Sandboxie verwenden")


      2.2 Das Sandbox Kontextmenü



      "Run Sandboxed": Hier habt ihr die Möglichkeit, Programme in der Sandbox laufen zu lassen. Gleichzeitig findet ihr diese Funktion im Kontextmenü des Windows Explorers bzw dem Dateiverwaltungsprogramm eurer Wahl. (Rechtsklick auf eine ausführbare Datei -> "Run Sandboxed")

      "Quick Recovery": Öffnet einen Dialog, in welchem alle Dateien, welche in den Quick Recovery Pfaden verändert bzw erzeugt wurden, aufgelistet werden, und wo ihr diese ins System kopieren könnt. Mehr dazu später.

      "Delete Contents": Mit dieser Option könnt ihr sämtliche Dateien innerhalb der Sandbox löschen und zum Anfangszustand zurückkehren. Vorher kommt ihr noch in den Quick Recovery Dialog, wo ihr wichtige Dateien sichern könnt.

      "Sandbox Settings": Öffnet die Einstellungen der Sandbox. Mehr dazu später.

      Die restlichen Funktionen sind denke ich selbsterklärend. Die wichtigsten werden im Folgenden besprochen.


      3. Programme mit Sandboxie verwenden - aber richtig

      Bevor ihr jetzt drauflos rennt und sämtliche Programme in der Sandbox startet, solltet ihr wissen, wie man Sandboxie richtig für die verschiedenen Programme konfiguriert. Macht ihr das nicht, kann es unter Umständen zu Problemen bzw Datenverlust kommen.

      3.1 Welche Programme sollten permanent in der Sandbox laufen?

      Im Allgemeinen sollten das alle Programme sein, die auf das Internet zugreifen und somit eine Angriffsfläche für mögliche Angreifer bieten.
      Entsprechend sind das Webbrowser, E-Mail Programme, Messenger usw.
      Um ganz sicher zu sein, sollte man auch die Pokersoftware in der Sandbox laufen lassen. Da aber viele Seiten massive Sicherheitsvorkehrungen gegen Bots und ähnliches haben, welche ähnlich einem Trojaner arbeiten, kann es zu Abstürzen führen, wenn man Pokersoftware in der Sandbox laufen lässt. Hier gilt es einfach auszuprobieren, bei welchem Anbieter das klappt und bei welchem nicht. Außerdem sollte man Pokersoftware in einer eigenen Sandbox laufen lassen, damit diese bestmölgich vom Rest des Systems isoliert wird.

      Ausführbare Dateien, welche aus zweifelhaften Quellen stammen, sollte man ebenfalls in der Sandbox starten. Erst, wenn man sich ganz sicher ist, dass das jeweilige Programm vertrauenswürdig ist, sollte man es außerhalb starten.
      Wer ganz sicher sein will, sollte ebenso mit sämtlichen heruntergeladenen Dateien, wie zB WinRAR Archiven, Musikdateien, Bildern etc. verfahren. Der Grund hierfür ist, dass die jeweiligen Programme, die für das Öffnen der Dateien zuständig sind, Sicherheitslücken haben können, wodurch durch speziell präparierte Dateien beliebiger Code ausgeführt werden kann und etsprechend Trojaner eingeschleußt werden können.
      In der näheren Vergangenheit gab es solche Sicherheitslücken beispielsweise im "Windows Bild- und Faxanzeige" Programm oder auch in Winamp.


      3.2 Sandboxie konfigurieren

      Um ein Programm immer in der Sandbox zu starten, gibt es zwei Möglichkeiten.

      Zum einen könnt ihr die Desktop-Verknüpfung bzw den Startmenü Eintrag so ändern, dass das Programm in der Sandbox gestartet wird.
      Dazu müsst ihr lediglich vor die Verknüpfung "C:\Programme\Sandboxie\Start.exe" setzen.
      Dh. aus "C:\Programme\Skype\Phone\Skype.exe" wird "C:\Programme\Sandboxie\Start.exe C:\Programme\Skype\Phone\Skype.exe".
      Falls ihr Sandboxie nicht in C:\Programme\Sandboxie installiert habt, müsst ihr den Pfad entsprechend anpassen.
      Aber Achtung: Das Programm wird mit dieser Methode nur dann in der Sandbox ausgeführt, wenn ihr die entsprechende Verknüpfung startet.

      Abhilfe schafft hier Methode 2, welche allerdings nur mit einer registrierten Version von Sandboxie funktioniert.
      Dazu geht ihr in die Einstellungen eurer Sandbox (siehe 2.2) und öffnet dort Programm Start->Forced Programs.
      Dort könnt ihr eine Liste mit allen Programmen anlegen, welche jedesmal, wenn sie gestartet werden, automatisch in der Sandbox gestartet werden.
      Ist ein Programm einmal dort eingetragen, braucht ihr keine extra Verknüpfung anzulegen, sondern könnt alles so lassen wie es ist.

      Beispielhafte Konfiguration:



      3.3 Einstellungen und Downloads automatisch behalten - Quick Recovery und Direct File Access

      Soweit so gut, jetzt starten also alle "gefährdeten" Programme in der Sandbox. Die Probleme fangen allerdings an, sobald wir jetzt die Sandbox löschen: Auf einmal sind alle Einstellungen und heruntergeladenen Dateien weg!

      3.3a Heruntergeladene Dateien
      Hierbei hilft das Feature "Quick Recovery", welches ich vorher schon erwähnt habe. Konfigurieren kann man dieses in den Einstellungen unter Recovery->Quick Recovery:



      Hier solltet ihr alle Pfade eintragen, in welche ihr gewöhnlich Dateien herunterladet. Bei mir sind das beispielsweise auf jedem Laufwerk das \Temp Verzeichnis, sowie vereinzelte andere.
      Die hier eingetragenen Verzeichnisse bewirken zwei Dinge. Zum einen werden diese (und nur diese) im Quick Recovery Dialog sowie im Delete Sandbox Dialog angzeigt, wo man dann bequem die einzelnen Dateien ins System kopieren kann.

      Zum anderen gibt es die Funktion "Immediate Recovery", welche ihr in den Einstellungen direkt unter "Quick Recovery" findet. Diese Funktion bewirkt, dass, sobald eine neue Datei in einem der Quick Recovery Verzeichnisse erzeugt wurde, ein Dialog erscheint, in welchem ihr diese Dateien direkt ins System kopieren könnt. Das ist bei Downloads sehr praktisch, da ihr dann den heruntergeladenen Dateien nicht "hinterher rennen" müsst, sondern ihr diese dann immer gleich ins System kopieren könnt (aber nicht müsst).
      In der Konfiguration dieser Funktion findet ihr außerdem einen Filter, welcher dazu da ist, dass euch diese Funktion nicht alle 100kb bei einem laufenden Download nervt. Mit diesem Filter werden angefangene Dateien von der Immediate Recovery Funktion ausgeschlossen, sodass Downloads erst dann auslösen, wenn sie fertig sind.
      Die Standardkonfiguration deckt hierbei die gängigsten Browser und Downloadmanager ab.

      Beispiel: Der Download unseres ps.com Logos wurde gerade fertig:



      3.3b Einstellungen, Bookmarks, etc
      Theoretisch könnten wir jetzt einfach die Pfade, in denen die Programmeinstellungen und die ganzen anderen Sachen, die wir gerne behalten würden, gespeichert werden, zu den Quick Recovery Pfaden hinzufügen. Dann würde bei jeder neuen Einstellung etc der Immediate Recovery Dialog erscheinen und unsere Einstellungen werden dauerhaft gespeichert.
      Wer gerne klickt, kann dies tun, ich bevorzuge aber eine weitaus bequemere Methode: Direct File Access.

      Bevor ich genauer darauf eingehe, möchte ich noch einen Blick auf den "Applications" Abschnitt in den Einstellungen werfen, welcher vieles erleichtern kann.



      Hier findet ihr vorgefertigte Einstellungen für einige gängige Programme, wo ihr mit einem einzigen Mausklick ("Add") sämtliche Einstellungen für direkten Dateizugriff sowie direkte Registry Zugriffe übernehmen könnt, welche bewirken, dass Einstellungen, im Beispiel auch E-Mails, usw. nicht in die Sandbox geschrieben werden, sondern direkt ins Dateisystem.
      Sollte das gewünschte Programm hier zu finden sein, könnt ihr den nächsten Abschnitt überspringen, denn dort erkläre ich, wie ihr das von Hand macht.


      Kommen wir also zur Einstellung "Direct File Access". Diese findet ihr in den Einstellungen jeweils unter Resource Access->File Access.
      Dort findet ihr Listen, in die ihr einzelne Dateien oder Ordner eintragen könnt, auf die bestimmte (oder - nicht empfehlenswert! - alle) Programme direkten Zugriff bekommen. Das heißt, statt wie vorher beschrieben, Änderungen nur in der Sandbox vorzunehmen, werden die Daten hier direkt ins System geschrieben.
      Kurz: Wer hier falsche Einstellungen macht, kann sich massive Löcher in die Sandbox machen!

      Beispiel: Konfiguration für google chrome, um Einstellungen und Bookmarks zu behalten.


      Bevor ihr diese Einstellungen machen könnt, müsst ihr herausfinden, welche Dateien bzw Ordner die jeweiligen Programme benutzen, um Einstellungen zu speichern. Das findet ihr heraus, indem ihr das Programm in der Sandbox laufen lasst und dann schaut, welche Dateien verändert bzw erzeugt wurden (siehe 2.1).
      Es empfiehlt sich immer, so wenig wie möglich an direktem Zugriff zu vergeben. Jede vergebene Berechtigung stellt im Grunde eine weitere Angriffsfläche dar.

      Neben Direct File Access gibt es noch Full File Access. Dies ist im Grunde dasselbe, mit der Ausnahme, dass die mit Full File Access vergebenen Berechtigungen auch für in die Sandbox heruntergeladene, sprich: in der Sandbox erzeugte, Dateien übernommen werden.
      Dies ist absolut nicht empfehlenswert und auch in den allermeisten Fällen gar nicht nötig und sollte somit vermieden werden.


      3.3c Was es zu beachten gilt
      Beachten solltet ihr eigentlich nur eine Sache und diese ist sehr wichtig! Gebt niemals Direct/Full File Access auf Ordner, welche ausführbare Dateien enthalten. Solltet ihr das tun, könntet ihr genauso gut ohne Sandbox arbeiten, denn dann öffnet ihr Trojanern und Viren Tür und Tor, um euer System zu infizieren.
      Selbst durch direkten Zugriff auf nicht ausführbaren Dateien kann es (in seltenen Fällen) möglich sein, ein System zu kompromittieren, d.h. auch bei solchen Dateien sollte man immer nur das Nötigste freigeben.

      Diese Funktionen sollte nicht das "missbraucht" werden, um bequem downloaden zu können, da erzeugte Dateien auch ausgeführt werden können(!).

      Außerdem sollten Dateien/Ordner generell nur für ein Programm und nie für alle freigegeben werden.


      3.4 Mehrere Sandboxes verwenden

      In der registrierten Version habt ihr die Möglichkeit, mehr als nur eine Sandbox anzulegen. Dies ist zwar nicht unbedingt nötig, erlaubt aber eine erhöhte Sicherheit, vorallem bei Programmen, welche beliebte Ziele von Agriffen sind (zB Web Browser).

      Eine weitere Anwendungsmöglichkeit ist, eine Sandbox ausschließlich dazu anzulegen, um heruntergeladene Dateien auszuführen. Dadurch werden eventuell noch in der Sandbox bestehende Daten nicht beschädigt, falls ihr euch trotz AV etc mal einen Virus einfangt.
      Hierbei gilt es einfach ausprobieren und die für sich selbst passendste Lösung zu finden.

      Da Sandboxie außerdem über einige Funktionen verfügt, welche die einzelnen Sandboxes so gut wie möglich von einander isolieren, macht es Sinn, die Pokersoftware in einer eigenen Sandbox laufen zu lassen. Dadurch kann verhindert werden, dass ein Trojaner, welcher in Sandbox A ausgeführt wird, trotzdem nicht an eure Poker Account Daten kommt. Sandboxie kann hier zwar keinen 100%igen Schutz bieten, aber auf jeden Fall erhöhte Sicherheit.


      4. Die Sandbox löschen

      Eine Sandbox hat nur dann überhaupt einen Nutzen, wenn man deren Inhalte regemäßig löscht.
      Sandboxie erinnert euch nach 7 Tagen ohne Löschung daran, dass eure Sandbox es mal wieder nötig hat. Außerdem gibt es in den Einstellungen die Option, die Sandbox automatisch zu löschen, sobald kein Programm darin mehr ausgeführt wird (es wird dann der im Folgenden besprochene Dialog aufgerufen).
      Für mich persönlich hat es sich als am praktikabelsten erwiesen, die Sandbox manuell zu löschen, bevor ich den PC herunterfahre.



      Der hier gezeigte Delete Sandbox Dialog ist im Grunde nichts anderes als der Quick Recovery Dialog mit einem Delete Button am unteren Ende.
      Sobald ihr Delete Sandbox anklickt, werden alle Dateien innerhalb der Sandbox gelöscht. Daher solltet ihr vorher sicherstellen, dass alle wichtigen Dateien ins System kopiert wurden.
      In den ersten Tagen mit Sandboxie empfiehlt es sich, zusätzlich noch die Files and Folders Ansicht (siehe 2.1) durchzusehen, damit keine Dateien vergessen werden, und dann entsprechend die Einstellungen zu ändern.




      Ich hoffe, dass ihr durch diesen Guide jetzt mehr mit Sandboxie anfangen könnt.
      Bei Fragen, Feedback und Verbesserungsvorschlägen bitte hier im Thread antworten.
  • 15 Antworten