14
Browserjail
Webbrowser als sicherheitstechnisches Scheunentor entschärfen
Hi,
Ich betreue sowohl Windows- als auch Ubuntu-Maschinen. Da der Webbrowser auf jedem Betriebssystem ein beträchtliches Sicherheitsrisiko darstellt, habe ich geplant, etwas dagegen zu unternehmen. In einem mittlerweile bereits mehrere Monate andauernden "Pilotversuch" auf meinem eigenen Arbeitsrechner laufen alle Webbrowser in einer "Sandbox", die ein Übergreifen auf das restliche System (inklusive persönliche Dateien) verhindert. Implementiert ist diese Sandbox auf der Basis der GNU-Benutzerverwaltung von Ubuntu. De-facto laufen die Browser mit den Rechten eines eigenen Benutzers, der über keinerlei Sonderrechte besitzt und insbesondere keine Schreibrechte auf Dateien außerhalb der Sandbox. Das isoliert zwar den Browser bis zu einem gewissen Grad vom restlichen System, bringt aber ein gewaltiges Plus an Sicherheit. Da ich glaube, dass gesamt gesehen die Vorteile überwiegen, würde ich gerne eine derartige Sandbox auch auf Windows-Systemen einrichten. Allerdings fehlt mir dafür das nötige Wissen, wie ich das mit Windows 7 umsetzen könnte und bitte daher um euren Rat, wie man sowas einrichten kann!
LG
Christian
Ich betreue sowohl Windows- als auch Ubuntu-Maschinen. Da der Webbrowser auf jedem Betriebssystem ein beträchtliches Sicherheitsrisiko darstellt, habe ich geplant, etwas dagegen zu unternehmen. In einem mittlerweile bereits mehrere Monate andauernden "Pilotversuch" auf meinem eigenen Arbeitsrechner laufen alle Webbrowser in einer "Sandbox", die ein Übergreifen auf das restliche System (inklusive persönliche Dateien) verhindert. Implementiert ist diese Sandbox auf der Basis der GNU-Benutzerverwaltung von Ubuntu. De-facto laufen die Browser mit den Rechten eines eigenen Benutzers, der über keinerlei Sonderrechte besitzt und insbesondere keine Schreibrechte auf Dateien außerhalb der Sandbox. Das isoliert zwar den Browser bis zu einem gewissen Grad vom restlichen System, bringt aber ein gewaltiges Plus an Sicherheit. Da ich glaube, dass gesamt gesehen die Vorteile überwiegen, würde ich gerne eine derartige Sandbox auch auf Windows-Systemen einrichten. Allerdings fehlt mir dafür das nötige Wissen, wie ich das mit Windows 7 umsetzen könnte und bitte daher um euren Rat, wie man sowas einrichten kann!
LG
Christian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 165827
Url: https://administrator.de/contentid/165827
Printed on: April 24, 2024 at 07:04 o'clock
14 Comments
Latest comment
http://www.kace.com/products/freetools/secure-browser/
Den Link habe ich aus der aktuellen Com-Ausgabe. Getestet habe ich das Programm noch nicht ...
Den Link habe ich aus der aktuellen Com-Ausgabe. Getestet habe ich das Programm noch nicht ...
Hallo Daniel, danke für den Link!! Find ich cool dass es sowas schon gibt! Ich vertraue zwar üblicherweise mehr meiner eigenen Handwerkskunst, wenn es um das Thema Sicherheit geht, aber Sandboxie schaut schonmal recht verlässlich aus. Werde das mal testen!!
Hallo, danke auch dir!! Das sehe ich mir ebenfalls an!
Vielen Dank für eure bisherigen Antworten. Falls es weitere Vorschläge noch gibt, nur her damit, sie sind auf jeden Fall willkommen!
Ich melde mich dann, wofür ich mich entschieden habe.
Ich melde mich dann, wofür ich mich entschieden habe.
Ich habe im Laufwerk C: eine .bat in der steht:
runas /user:inet /savecred "C:\Program Files (x86)\Mozilla Firefox\firefox.exe"
und erstelle eine Verknüpfung auf dem Desktop und ändere das Icon.
Das gleiche für den IExplore.exe
runas /user:inet /savecred "C:\Program Files (x86)\Mozilla Firefox\firefox.exe"
und erstelle eine Verknüpfung auf dem Desktop und ändere das Icon.
Das gleiche für den IExplore.exe
Vielen Dank, das hat große Ähnlichkeit mit meiner Konfiguration auf Ubuntu, hier gibt es dafür auch einen von mir angelegten Benutzer namens inet! Hast du dann das Standard-Startsymbol mit der BAT-Datei ersetzt?
Hi.
Das Thema ist auch von Microsoft schon mehrfach behandelt worden. Dropmyrights hieß deren Ansatz für xp: http://blogs.msdn.com/b/michael_howard/archive/2007/08/13/update-on-dro ...
Unter Vista und 7 läuft der Internet Explorer per default in einem geschützten Modus und macht sich die zusätzliche (unter xp nicht vorhandene) Schicht der Integrity Levels zu Nutze: http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2329.h ...
Andere Browser konnten dies bislang noch nicht nachbilden. Versuche, beispielsweise den Firefox manuell mit IL:low zu starten müssen ohne Brokerprozess (siehe z.B. unter http://msdn.microsoft.com/en-us/library/bb250462(v=vs.85).aspx ) auskommen und werden wohl an Grenzen stoßen, was die Funktionalität angeht, siehe https://wiki.mozilla.org/Mozilla_2/Protected_mode
So ginge es (auf x64):
Das Thema ist auch von Microsoft schon mehrfach behandelt worden. Dropmyrights hieß deren Ansatz für xp: http://blogs.msdn.com/b/michael_howard/archive/2007/08/13/update-on-dro ...
Unter Vista und 7 läuft der Internet Explorer per default in einem geschützten Modus und macht sich die zusätzliche (unter xp nicht vorhandene) Schicht der Integrity Levels zu Nutze: http://www.winfaq.de/faq_html/Content/tip2000/onlinefaq.php?h=tip2329.h ...
Andere Browser konnten dies bislang noch nicht nachbilden. Versuche, beispielsweise den Firefox manuell mit IL:low zu starten müssen ohne Brokerprozess (siehe z.B. unter http://msdn.microsoft.com/en-us/library/bb250462(v=vs.85).aspx ) auskommen und werden wohl an Grenzen stoßen, was die Funktionalität angeht, siehe https://wiki.mozilla.org/Mozilla_2/Protected_mode
So ginge es (auf x64):
icacls "%appdata%\Mozilla\Firefox\Profiles\DeinProfil.default" /setintegritylevel (OI)(CI)low
icacls "%appdata%\Mozilla\" /setintegritylevel (OI)(CI)low
icacls "C:\Program Files (x86)\Mozilla Firefox" /setintegritylevel (OI)(CI)low
icacls "%temp%" /setintegritylevel (OI)(CI)low
icacls "DeinCacheordner" /setintegritylevel (OI)(CI)low
Hallo Infowars.
Es stellt sich unter Vista/Win7 die Frage, wozu Du das für den IE brauchst - siehe mein Beitrag.
Es stellt sich unter Vista/Win7 die Frage, wozu Du das für den IE brauchst - siehe mein Beitrag.
Danke, der Ansatz gefällt mir besonders gut, da er vom Hersteller des Betriebssystems stammt. Zugleich ein Pluspunkt für den Internet-Explorer! (viele hat er ja nicht, bei frustrierten Webdesignern jedenfalls 
)
)
Ja, die Orginal-Verknüpfung lösche ich, und setze eine Verknüpfung zu C:\firefox.bat und C:\iexplore.bat und ändere das Icon wieder (Zwecks der Optik).
Da ich mich sehr mit dem Thema befasst habe, noch ein Tipp:
Der Browser ist natürlich ein Angriffspunkt. Wichtiger ist jedoch die Frage, ob die Rechner nicht ganz vom Internet entkoppelt werden könnten, indem man ihnen nur einen Remotezugriff auf einen Browser ermöglicht, der auf einem anderen System läuft (beispielsweise eine VM, die täglich zurückgesetzt wird). So kannst Du sicherstellen, dass lokale Schädlinge keine Daten ins Internet abführen können.
Sowohl Remote Desktop unter 2008 ("RemoteApp"), als auch X-Server wie FreeNX auf Linux zusammen mit nomachine (auch für Windows) bieten einen komfortablen Zugriff auf einzelne Remoteanwendungen im seamless-Mode.
Der Browser ist natürlich ein Angriffspunkt. Wichtiger ist jedoch die Frage, ob die Rechner nicht ganz vom Internet entkoppelt werden könnten, indem man ihnen nur einen Remotezugriff auf einen Browser ermöglicht, der auf einem anderen System läuft (beispielsweise eine VM, die täglich zurückgesetzt wird). So kannst Du sicherstellen, dass lokale Schädlinge keine Daten ins Internet abführen können.
Sowohl Remote Desktop unter 2008 ("RemoteApp"), als auch X-Server wie FreeNX auf Linux zusammen mit nomachine (auch für Windows) bieten einen komfortablen Zugriff auf einzelne Remoteanwendungen im seamless-Mode.
Stimmt! Das wäre eine feine Lösung. In meinem Fall ist das nicht so gut geeignet, da die Geräte für den Außendienst als Laptops zur Verfügung stehen müssen. D.h. die Benützer müssten immer den VM-Server mit sich herumtragen 
Was aber sehr interessant zu wissen wäre ist, ob es Schadprogramme gibt, die so gebaut sind, dass sie erfolgreich aus der Sandbox ausbrechen können.
Was aber sehr interessant zu wissen wäre ist, ob es Schadprogramme gibt, die so gebaut sind, dass sie erfolgreich aus der Sandbox ausbrechen können.
