Sandboxie und Defense+

[Guest]

[Viper94]

Hallo liebe Comodo Gemeinschaft,
Ich nutze "Sandboxie 3.60 (32Bit)" um z.b. seltsame Programme oder auch manchmal Malware auszutesten.
Wenn ich nun unbekannte Programme in dieser Sandbox starte, meldet sich immer wieder Defense+, wenn das Programm versucht etwas zu ändern (natürlich in der Sanbox).
An der Meldung ist auch erkenntlich, dass die Pfade in der Sandbox bzw. Sandbox-Registrie liegen.

Jetzt meine Fragen:
Nutzt von euch jemand Sandboxie??
Wie kann man Defense+ sagen, dass die Sandox-Umgebung nicht kontrolliert werden soll, sondern nur mein richtiges System??
Wer Ideen, Vorschläge oder Lösungen hat, immer raus damit!!

Vielen Dank schonmal                         

[Brummi]

Du könntest bei Defense+ -> Computer-Sicherheitsrichtlinie -> Reiter "Geschützte Dateien und Ordner",
dann rechte Seite Button "Gruppen" eine Gruppe anlegen und z.B. Sandboxie nennen.
Diese Gruppe über den Button "Hinzufügen" -> Dateigruppen -> Sandboxie in die Liste einfügen.
In der Liste sollte die Gruppe Sandboxie ganz unten stehen, da ein Rechtsklick drauf und Hinzufügen wählen.
Du wählst dann den Ordner von Sandboxie (meist C:\Sandbox) und fügst ihn hinzu.
Das Ganze mit OK bestätigen. Dann wieder in die Computer-Sicherheitsrichtlinie -> Defense+-Regeln und auf Hinzufügen. In der erscheinenden Dialogbox mit Wählen -> Dateigruppen -> Sandboxie auswählen und dann eine Richtlinie festlegen, z.B. "eigene Richtlinie benutzen" wählen und über den rechts daneben stehenden Link kannst Du dann festlegen was genau die Anwendungen im Ordner Sandbx dürfen und was nicht.

Nicht unerwähnt lassen möchte ich, das es möglich ist ausfürbare Dateien auch per Rechtsklick in der Comodo-Sandbox zu starten.

[Viper94]

Vielen Dank Brummi
Ich bin gespannt ob sich diese Idee in den nächsten Tagen bewähren wird.

Nicht unerwähnt lassen möchte ich, das es möglich ist ausfürbare Dateien auch per Rechtsklick in der Comodo-Sandbox zu starten.

Ich muss sagen, ich hab noch nie wirklich die Comodo Sandbox genutzt. Nicht weil sie schlecht ist, aber ich brauche manchmal manche Programme zwischendurch die mein System zerwürfeln würden. Deshalb nutze ich gerne ein komplettes Virtualisierungsprogramm (wie z.b. Sandboxie).

Nochmals Danke dir 

[Viper94]

Also es hat nicht ganz funktioniert...
Durch deine Idee, können ja alle Programme die IN der Sandbox gestarten werden, frei arbeiten.
Soweit so gut!
Allerdings wenn ich jetzt z.b. ein Programm runterlade und es dann mit Sandbxie starte, dann wird das Programm praktisch ja AUßERHALB der Sandbox gestartet.
So sieht es wohl Comodo! D.h. Ich müsste C:\Sandbox aus den "geschützten Dateien und Ordnern" rauskriegen.
Aber C:\Sandbox ist dort nicht aufgeführt. Kann ich also irgendeine Regel/Ausnahme erstellen, wo C:\Sandbox nicht mehr ein geschützter Ort ist??

Für jede Idee dankbar 

[Brummi]

Die Programme arbeiten schon in der Sandbox von Sandboxie, Comodo hat mit Sandboxie ja eigentlich nichts zu tun und erlaubt dann alles was im Sandboxie-Ordner gestartet wird, aber darum kümmert sich Sandboxie und lenkt entsprechende Zugriffe auf das System um, hab es eben mal getestet und funktioniert auch.

Allerdings wenn ich jetzt z.b. ein Programm runterlade und es dann mit Sandbxie starte, dann wird das Programm praktisch ja AUßERHALB der Sandbox gestartet.

Ausserhalb der Sandbox von Comodo ja, ausserhalb von Sandboxie nein.
Man muss schon etwas krumm denken wenn man einen Virtualisierer virtualisiert, darum auch mein Hinweis auf die Comodo-Sandbox.

Wenn Du Dinge testest die das System kaputtmachen können, mach ich auch manchmal, dann würde ich eher eine richtige Virtualisierung empfehlen.

Da ginge Virtual-PC oder vielleicht besser Virtualbox, beide frei verfügbar.
Für Virtualbox existiert die Möglichkeit es portabel zu starten, die zugehörigen Dienste müssen dann nicht immer mitlaufen. Und wenn das virtuelle System mal hin ist, einfach das Image zurückkopiert und gut ist.

[Viper94]

Danke Brummi,
Aber bei mir ist die Comodo-Sandbox deaktiviert. D.h. die ständigen Anfragen kommen von Defense+, und die ist immer, dass ein unbekanntes Programm auf eiine geschützte Stelle schreiben will. Diese geschützte Stelle ist ja die Sandbox (C:\Sandbox)....gibt es keine Möglichkeit, Comodo zu sagen, dass jedes Proggramm dort reinschreiben kann wie es will???
Wenn mir nämlich die Anfragen zu viel werden, schalte ich manchmal mein Defense+ ab. Die beste Lösung wäre natürlich, dass sich Defense+ nur dann meldet, wenn die Software z.b. versucht "auszubüchsen" und auf mein richtiges System schreiben will.

Und es ist wohl war, das Sandboxie nicht ein richtiges Virtualisierungsprogramm ist. Trotzdem nutze ich es oft und gerne, da ja wirklich keine Veränderung an meinem System geschieht, ich aber trotzdem alle möglichen Programme ausprobieren kann.
Von Sicherheitslücken in Sandbxie oder dass Programme in der Sandbox es schaffen Spuren auf meinem Rechner zu hinterlassen habe ich noch nicht gehört!
Lediglich für tiefe Programme, die Treiber installieren wolllen und so, ist Sandbxie nicht geeignet, weil es nicht funktioniert!

Ich hab mal versucht Virtualbox in Sandboxie zu installieren und zu nutzen.....

Achso, und ein Link von der portablen Version von Virtualbox, wäre echt korrekt von dir!
Die portable Version würde ich wirklich gern mal ausprobieren 

[Brummi]

Sicher kein Problem, hier der Link http://stadt-bremerhaven.de/portable-virtualbox-4-0 (Google findet die Seite auch).

.gibt es keine Möglichkeit, Comodo zu sagen, dass jedes Proggramm dort reinschreiben kann wie es will???

Ja gibt es, genau das habe ich in der ersten Antwort beschrieben, Du kannst dort festlegen was alle Programme im Sandbox-Ordner dürfen und was nicht, dort kannst Du dann auch alles erlauben und D+ fragt nicht mehr nach. Natürlich muss Sandboxie Defense+ als Vertrauenswüedige Anwendung bekannt sein.

[clockwork]

Ich würde es so machen, und mache es auch so :
Starte sandboxie, erlaube was nötig ist für das Programm an sich.

Wenn jetzt Anfragen kommen, die spezifisch auf bestimmte immer wiederkehrende Aktionen folgen, würde ich etwas suchen, dass all die Aktionen gemeinsam haben.

Als Beispiel:
Sandboxie tries to modify a protected folder "C: sandboxie, default box, 12345 ....."
Jetzt nur noch die sich leicht verändernden Parameter suchen, welche NICHT auf andere Situationen außerhalb der Sandboxie passen können, und diese durch ein * ersetzen.

Das sähe zum Beispiel so aus (natürlich vereinfacht):
Modify protected folders Eintrag in der defense+ Sandboxie Application Regel:

C: Sandboxie, default box, *

Versuche soviele Eigenschaften des Paths beizubehalten, die NUR auf sandboxie zutreffen. Und verallgemeinere (*) die Änderungen, die immer wieder vorkommen würden in Fragen.

Dies geht am einfachsten, wenn man zuerst einmal ein paar solcher Fragen beantwortet, und sie "speichert". Dann geht man in die Anwendungsliste von defense+. Dort wählt man Sandboxie mit Rechtsklick, ändern. Dort sind nun einige Abteilungen mit gespeicherten Antwort Bereichen. Da schaut man nach dem was immer wiederkehrte, und versucht etwas zu finden, dass alle diese Anfragen gemeinsam haben. * . Fertig.
Nur keine Fehler machen

Das kann auch ungefähr so aussehn, nur ein Beispiel für die Position des *  :
C: sandboxie, default box, *, folders, parameter

[Honigbienchen]

Sollte es nicht reichen, Sandboxie und dem mit Sandboxie ausgeführten Programm genügend Berechtigungen zu geben bzw. auf die Ausnahmeliste zu setzen?

Im Normalfall reicht das doch, um Programme wieder zum laufen zu kriegen, die von der FW blockiert wurden

Bei Fragen bzgl. Sandboxie würde ich mich beim Techfacts - Sicherheitsforum umsehen

[Viper94]

Ja, das geht auch, jedoch sind es ja oft mehrere Programme in der Sandbox und die Berechtigungen so zu geben, das sie nur in der Sandbox arbeiten dürfen gestaltet sich schwierig.
Aber vor kurzem ist ein Update von Sandboxie rausgekommen und im release steht dass jetzt auch Comodo Internet Security unterstützt wird. Also ich werd mal sehen, in wiefern das jetzt integriert ist.

[Tags:]