"Abgeschottetes" XP?!

  • Was halten die "Fuchs-Experten" hiervon?

    "Windows abgeschottet

    Virtueller Spielplatz: Sandboxie.
    Ob Viren, Spyware oder Hacker-Attacken – Surfen im Internet birgt etliche Gefahren. Zum Glück gibt es sichere, nach außen abgeschottete Arbeitsumgebungen innerhalb eines Betriebssystems. Die Freeware Sandboxie bringt eine solche Umgebung im kleineren Stil auf Windows-Rechner. Optimal, um etwa unbekanntes Internet-Terrain über den Webbrowser zu erkunden oder ein neues, aus dem Netz heruntergeladenes Programm zu testen.

    Windows hinter Panzerglas
    Nach dem Start von Sandboxie lassen sich über ein eigenes Startmenü der verwendete Browser, Mailprogramm und Co als isolierter Prozess starten. Auch wer mal eine neue Anwendung ausprobieren möchte, kann dies innerhalb des virtuellen Sandkastens tun und das Programm anschließend einfach wieder löschen. Beendet man Sandboxie, bleiben keinerlei Spuren auf dem eigentlichen System zurück. Wer seinen Browser außerhalb des Sandkastens betreibt, kann ihn mit einfachen Mitteln absichern."

    Ist das brauchbar und/oder empfehlenswert?

    iMac 20", 2.4 GHz, Intel Core 2 Duo, 2 GB 667 MHz

  • Sandboxen sind schön und gut, aber es ist ein Trugschluss anzunehmen, mit denen würde man ein XP absichern. Damit kann man einzelne Programme absichern. Da es aber selbst auf dem eigentlichen OS aufsetzen, haben sie immer noch die unter Umständen unsichere Basis auf der sie arbeiten, die auch weiterhin angegriffen werden kann.

  • Hallo.
    Warum nicht schlicht und einfach mit Windows XP mit
    Eingeschränkten Rechten ins Internet.
    Das ist 50% der Miete.?? oder?? :lol:
    Gruss
    Lothar.

    Die Sprache ist die Quelle aller Missverständnisse.

  • Zitat von Lothar Hacker

    Hallo.
    Warum nicht schlicht und einfach mit Windows XP mit
    Eingeschränkten Rechten ins Internet.
    Das ist 50% der Miete.?? oder?? :lol:
    Gruss
    Lothar.

    naja... also ehrlich gesagt ich bin auch immer mit Admin-Rechten unterwes, weil ich eben auch alle Programme nutzen können muss weil ich während dem surfen oft noch viele andere Sachen mache, neue Programme installiere und teste und auch mal nen bissle war drin rumschreib und so... also ganz so einfach ist das nicht immer ich hab einfach schlicht keine lust mich alle 10. Min auf ein anderes XP-Konto anzumelden...
    aber ich glaube nicht, dass so ein Programm wirklich größere Sicherheit reinbringt. Damit lässt sich ein einzelnes Programm vllt gut abschotten aber nicht wirklich mehr...

    Firefox Firefox 3.6.x den festen und den zum Reisen,
    Win. 7 SP1

    Der IE ist wirklich sehr wichtig! Man benötigt ihn, um sich einen Browser zu besorgen!

  • Zitat von Freak416


    naja... also ehrlich gesagt ich bin auch immer mit Admin-Rechten unterwes, weil ich eben auch alle Programme nutzen können muss weil ich während dem surfen oft noch viele andere Sachen mache, neue Programme installiere und teste und auch mal nen bissle war drin rumschreib und so... also ganz so einfach ist das nicht immer ich hab einfach schlicht keine lust mich alle 10. Min auf ein anderes XP-Konto anzumelden...


    Du kennst offenbar "Ausführen als ..." nicht. :wink: Besser noch ist Aaron Margosis' MakeMeAdmin Ansatz bzw. die Weiterentwicklung der c't. Ich würde heute darauf nicht mehr verzichten.

  • Wenn man bedenkt was ein normaler Nutzer unter Windows oft noch so machen darf, ist ein Sandbox Ansatz doch keine schlechte Idee für mehr Sicherheit.
    IMHO läuft der IE7 auf Vista auch in einer Sandbox :)
    Die absolute Sicherheit wird es eh nicht geben.

  • Hallo.
    Freak 416.
    Ok.Aber bei Dir denke ich und an Deinem Beitrag setzte ich voraus,das Du weisst was Du tust.
    Es gibt aber unendlich viele User die das nicht wissen und auf alles klicken was bei drei nicht auf den Bäumen ist.
    Für die ist mit Admin rechten zu surfen grob fahrlässig.
    :twisted:

    Gruss Lothar.

    Die Sprache ist die Quelle aller Missverständnisse.

  • Zitat von Lothar Hacker

    Hallo.
    Freak 416.
    Ok.Aber bei Dir denke ich und an Deinem Beitrag setzte ich voraus,das Du weisst was Du tust.
    Es gibt aber unendlich viele User die das nicht wissen und auf alles klicken was bei drei nicht auf den Bäumen ist.
    Für die ist mit Admin rechten zu surfen grob fahrlässig.

    Sehe ich auch so. Das Problem ist nur, dass diese User i.d.R. auch nicht wissen, wie sie ein eineschränktes Benutzerkonto einrichten bzw. damit zurecht kommen. :cry:

    Wenn man in auf Sicherheitsfragen spezialisierten Foren wie z.B. http://www.wilderssecurity.com erleben muss, dass ein Großteil dieser "Experten" alle möglichen Sicherheitsprogramme (sog. HIPS etc.) installieren, aber dennoch permanent als Administrator arbeiten, weil angeblich viele Programme ansonsten nicht funktionieren, kann man nur den Kopf schütteln. Insofern befürchte ich, dass viele Benutzer die neuen Sicherheitsfeatures von Vista (die laut c't durchaus einen erheblichen Sicherheitsgewinn bringen) zumindest teilweise abschalten werden, weil sie einfach "stören".

  • Zitat von tlu

    Sehe ich auch so. Das Problem ist nur, dass diese User i.d.R. auch nicht wissen, wie sie ein eineschränktes Benutzerkonto einrichten bzw. damit zurecht kommen. :cry:

    Wenn man in auf Sicherheitsfragen spezialisierten Foren wie z.B. http://www.wilderssecurity.com erleben muss, dass ein Großteil dieser "Experten" alle möglichen Sicherheitsprogramme (sog. HIPS etc.) installieren, aber dennoch permanent als Administrator arbeiten, weil angeblich viele Programme ansonsten nicht funktionieren, kann man nur den Kopf schütteln. Insofern befürchte ich, dass viele Benutzer die neuen Sicherheitsfeatures von Vista (die laut c't durchaus einen erheblichen Sicherheitsgewinn bringen) zumindest teilweise abschalten werden, weil sie einfach "stören".


    najagut aber der jenige der das dann tut sollte entweder wissen was er tut oder er ist "selbst schuld" und dann ist er nunmal gefährdeter das sollte er dann eben begreifen...

    also ich hatte damals nur ein Problem:
    ich habe leider nur Win. XP Home Edition. Ich habe ewigkeiten versucht dem eingeschränkten benutzerkonto, das ich damals dann neu angelegt hatte bestimmte Rechte zu zu weisen und nicht einfach nur ein Eingeschränktes Konto. Ich ja Admin aber es ging trotzdem nicht. Unter XP Professional ginge es so war damals mein Stand aber unter XP Home schlechte Karten... Wenn ihr mir verratet, wie ich (ohne Firewall über die kann ich das natürlich auch machen will ich aber eigentlich nicht) für das eingeschränkte Benutzerkonto auch das ausfürhren jedes Programmes und Dienstes erlauben und unterbinden könnte würde, dann wär mir geholfen aber ich habs halt nie hinbekommen und ich meine jetzt nicht einfach Ausführen als... ich will praktisch in meinem eingeschränkten Benutzerkonto z.B. auch ein einzelnes Programm wie Word (also jetzt nicht word das war nur ein Beispiel) verbieten können bzw. erlauben können vom Admin-Konto aus.

    Firefox Firefox 3.6.x den festen und den zum Reisen,
    Win. 7 SP1

    Der IE ist wirklich sehr wichtig! Man benötigt ihn, um sich einen Browser zu besorgen!

  • crazy5170 frage:

    Zitat

    Virtueller Spielplatz: Sandboxie.
    Ob Viren, Spyware oder Hacker-Attacken – Surfen im Internet birgt etliche Gefahren. Zum Glück gibt es sichere, nach außen abgeschottete Arbeitsumgebungen innerhalb eines Betriebssystems. Die Freeware Sandboxie bringt eine solche Umgebung im kleineren Stil auf Windows-Rechner. Optimal, um etwa unbekanntes Internet-Terrain über den Webbrowser zu erkunden oder ein neues, aus dem Netz heruntergeladenes Programm zu testen.


    Dein Vorschlag setzt zwar Richtig an - würde ihn dennoch nicht unterstützen wollen...

    Sandboxes sind i.d.R. Test- und keine Surf-Umgebungen - daher eher für jene User geeignet, die genau wissen was sie tun - nur das wissen die meisten leider nicht, was uns bedauerlicherweise hier jeden Tag (bis auf die Fähigen innerhalb dieser Community) aufs Neue bewiesen wird. Darüberhinaus schränken VM´s meiner Erfahrung nach die System-Performance selbst auf Quad-Core-Prozessoren, unverhältnismässig stark ein.

    Es ist auch richtig, dass der IE 7.0 in einer abgesicherten Umgebung seinen Dienst tut (Protected Mode) - nur schützt das leider keinen Neuling vor seinen persönlichen Einschätzungen die wirklich notwendige Anwendungen dauerhaft in das System zu integrieren - bzw. diese im Vorfeld richtig einzuschätzen zu können. Eine hirachische OS-Kontenverwaltung (unter XP) wird daran leider auch nichts ändern können. In der Regel stellen frustierte, ahnungslose Nutzer dann eher den Systemauslieferungszustand über die firmeneigene Recovery-CD des Rechners wieder her und "schaden" sich damit langfristig nur selbst.

    Ein ausgereinigtes, optimiertes und damit stetig insich positiv wachsendes inkrementelles Image des OS´s incl. seiner Anwendungen wäre eine Lösung auf Dauer - nur dazu bedarf es meiner Ansicht nach nach mehr: Ansätzen, Erklärungen und Schulungen...


    Oliver

  • Zitat von Freak416

    also ich hatte damals nur ein Problem:
    ich habe leider nur Win. XP Home Edition. Ich habe ewigkeiten versucht dem eingeschränkten benutzerkonto, das ich damals dann neu angelegt hatte bestimmte Rechte zu zu weisen und nicht einfach nur ein Eingeschränktes Konto. Ich ja Admin aber es ging trotzdem nicht. Unter XP Professional ginge es so war damals mein Stand aber unter XP Home schlechte Karten... Wenn ihr mir verratet, wie ich (ohne Firewall über die kann ich das natürlich auch machen will ich aber eigentlich nicht) für das eingeschränkte Benutzerkonto auch das ausfürhren jedes Programmes und Dienstes erlauben und unterbinden könnte würde, dann wär mir geholfen aber ich habs halt nie hinbekommen und ich meine jetzt nicht einfach Ausführen als... ich will praktisch in meinem eingeschränkten Benutzerkonto z.B. auch ein einzelnes Programm wie Word (also jetzt nicht word das war nur ein Beispiel) verbieten können bzw. erlauben können vom Admin-Konto aus.

    Sorry- so ganz verstehe ich dich jetzt nicht. Es geht doch zunächst darum, dass man sich durch das Benutzen eines eingeschränkten Benutzerkontos selbst Rechte wegnimmt, damit "Malware" (oder auch man selbst versehentlich) nicht durch Schreibzugriff auf das Windows- und Programmverzeichnis und auf den größten Teil der Registry (incl. der meisten der fast 50 Autostart-Lokationen) den Rechner kompromittieren kann, weil die meisten Angriffe dadurch in's Leere laufen.

    Das kannst du in XP Home genauso wie in der Pro-Version. Und das Ausführen von Anwendungen mit Admin-Rechten ist ebenfalls mit "Ausführen als ..." und MachMichAdmin möglich. Das einzige, was in der Home-Version schmerzlich fehlt, ist der Reiter "Sicherheit" im Explorer, so dass man für das Managen der Zugriffsrechte für einzelne Objekte umständlich das Kommandozeilenprogramm cacl.exe benutzen muss. Der erwähnte Reiter kann aber nachgerüstet werden - am einfachsten über das Tool Fajo XP SE von http://www.fajo.de/portal/index.p…&id=6&Itemid=47 .

  • so jetzt hab ich noch mla ne Frage:
    wie kann ich die Energieoptionen des eingeschränkten Benutzerkonstos ändern? Im Eingeschränkten User selbst kommt immer Zugriff verweigert also muss das ja vom Admin-Konto aus gehen. Und da find ich keine möglichkeit für?! (es ist wichtig weil ich einen Laptop hab bei nem Desktop-PC ist das vllt nicht ganz so wichtig....)

    Firefox Firefox 3.6.x den festen und den zum Reisen,
    Win. 7 SP1

    Der IE ist wirklich sehr wichtig! Man benötigt ihn, um sich einen Browser zu besorgen!

  • Ich surf auch mit Admin Rechten weil erstens ist mir noch nie was passiert(ja ich weiß schlechtes Argument), zweitens ich installier beim surfen auch immer dies modde usw. da kann ich mir nicht jedes tut ausdrucken und erstmal wechseln das behindert mehr als das es hilft und drittens Musik hören usw. wäre dann auch durch das wechseln nicht wirklich möglich.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

  • Zitat von Freak416

    so jetzt hab ich noch mla ne Frage:
    wie kann ich die Energieoptionen des eingeschränkten Benutzerkonstos ändern? Im Eingeschränkten User selbst kommt immer Zugriff verweigert also muss das ja vom Admin-Konto aus gehen. Und da find ich keine möglichkeit für?! (es ist wichtig weil ich einen Laptop hab bei nem Desktop-PC ist das vllt nicht ganz so wichtig....)


    hat dafür keiner ne Lösung?
    Stellt es wieder ein Sicherheitsrisiko da, wenn cih da Konto kurz auf Admin stelle, alles so einstelle, wie ich es brauche und dann wieder auf eingeschränkt zurückstelle, dann dürften doch die Anderungen bleiben, ist dann ncoh i-was von dem Admin da und hab ich dann wieder praktisch diese Sicherheitslücke, die ich mit dem Eingeschränkten Konto weg ham will??

    Firefox Firefox 3.6.x den festen und den zum Reisen,
    Win. 7 SP1

    Der IE ist wirklich sehr wichtig! Man benötigt ihn, um sich einen Browser zu besorgen!

  • Zitat von Freak416


    hat dafür keiner ne Lösung?


    Starte z.B. MachMichAdmin und dann powercfg.cpl

    Andere nützliche Befehle, die man häufiger benötigt, sind etwa "control admintools", "appwiz.cpl" oder "sysdm.cpl".

  • Zitat von tlu


    Starte z.B. MachMichAdmin und dann powercfg.cpl

    Andere nützliche Befehle, die man häufiger benötigt, sind etwa "control admintools", "appwiz.cpl" oder "sysdm.cpl".

    also eigentlich bin ich ja ein guter PC-Kenner, aber i-wie raff ich das jetzt nicht ganz.
    kannst du mir vllt mal step by step beschreiben, wie ich jetzt die Energieeinstellungen des Eingeschränkten Benutzerkontos änder??

    Firefox Firefox 3.6.x den festen und den zum Reisen,
    Win. 7 SP1

    Der IE ist wirklich sehr wichtig! Man benötigt ihn, um sich einen Browser zu besorgen!

  • Zitat von Freak416

    also eigentlich bin ich ja ein guter PC-Kenner, aber i-wie raff ich das jetzt nicht ganz.
    kannst du mir vllt mal step by step beschreiben, wie ich jetzt die Energieeinstellungen des Eingeschränkten Benutzerkontos änder??

    Sorry - hatte ich in einem Posting weiter oben erwähnt. MachMichAdmin ist eine Weiterentwicklung der c't von Aaron Margosis' MakeMeAdmin und hier zu finden: http://www.heise.de/ct/ftp/result.…s=MachMichAdmin

    Nachdem du MachMichAdmin entpackt und konfiguriert (ist in der Konfigurationsdatei selbst erklärt) hast, startest du es. Danach steht dir ein Konsolenfenster für deinen Benutzer zur Verfügung, nun aber mit Administrator-Rechten! In dieses Fenster kannst du nun mit der Maus beliebige Anwendungen ziehen und sie mit Admin-Rechten starten oder eben am Prompt die o.g. Befehle direkt eingeben.

    Noch ein wichtiger Hinweis: Das c't-Paket aus den genannten Link enthält auch das Tool kafu (=kein Autostart für User). Wenn du es im MachMichAdmin-Fenster startest (mit der Maus reinziehen), entziehst du deinem Benutzerkonto die Schreibrechte für alle Autostarts. Sinn des Ganzen: Für fast alle der ca. 50 Autostart-Lokationen in Windows XP hast du eh nur Schreibrechte, wenn du als Admin angemeldet bist. D.h. die meisten Autostarts sind vor Veränderungen durch "Malware" geschützt, wenn du als eingeschränkter Benutzer arbeitest. Durch kafu machst du zusätzlich die Autostarts dicht, für die du als Benutzer Schreibrechte hast, so dass sich z.B. auch keine user-mode Rootkits einnisten können. Damit sind ALLE Autostart-Einträge ohne Ausnahme dicht, solange du als Benutzer angemeldet bist. Kleiner Nachteil: Wenn du als Benutzer ein Programm installierst, das dafür keine Admin-Rechte benötigt (so etwas soll es ja geben :wink: ), aber sich in in die Autostarts einträgt (z.B. in HKCU), so wird das zukünftig nicht mehr funktionieren, da du dafür keine Schreibrechte mehr hast. D.h. du musst solche Programme über MachMichAdmin installieren - kein großer Aufwand, aber eine kleine Unbequemlichkeit, die ich aber der erhöhten Sicherheit wegen gerne in Kauf nehme.

  • thx probier ich nachher gleich mal aus...

    Firefox Firefox 3.6.x den festen und den zum Reisen,
    Win. 7 SP1

    Der IE ist wirklich sehr wichtig! Man benötigt ihn, um sich einen Browser zu besorgen!