Windows Apps separieren

Lindblad · 18. Januar 2025 um 18:26

Hallo,
inspiriert von dem Artikel Windows-Apps isolieren mit Sandboxie Plus
würde ich am liebsten meine Programme alle voneinander seperieren, also so ähnlich wie das bei Android umgesetzt ist.
Einerseits aus Datenschutzgründen um zielgerichtet Rechte zuerteilen, aber ich finde Windows auch unübersichtlich z.B. ist der Ordner „AppData“ versteckt. Die Benutzerkontentrennung auf meinem Rechner hat das Chaos noch weiter vergrößert.
Bevor ich jetzt mein Betriebssystem auf den Kopf stelle, würde ich gerne eine Einschätzung haben, inwieweit meine Wünsche überhaupt realisierbar sind. Konkret habe ich folgende Fragen:

Könnt ihr das Installieren von Programmen unter einem anderen Pfad als dem üblichen „C:\Programme“ empfehlen oder lasse ich lieber die Finger davon? Ist es für Funktionsweise/Datenschutz überhaupt relevant wo die Programme gespeichert werden?
Ich möchte die Programme zwar gerne seperieren aber trotzdem, dass meine erzeugten Daten „normal“ auf der Festplatte abgespeichert werden können und zwar wahlweise in dem Programmspezifischen Teilbereich aber bei Bedarf auch ganz woanders z.B. sortiert nach Arbeit/privat/etc. Bin ich dann mit Sandboxie (oder ähnliches) gut aufgehoben oder was für einen Typ von Software brauche ich dafür?
Sollte ich Änderungen an meinem Rechner wie z.B. Einrichtung von Sandboxie, das Umsetzen des Leitfadens Windows Systeme Privat verwenden - Linux Datenschutzniveau] oder andere Änderungen zugunsten des Datenschutzes in einer bestimmten Reihenfolge angehen oder ist das egal?

Ich interessiere mich zwar für Datenschutz aber verstehe leider nichts von Betriebssystemen und den Hintergrundprozessen. Klärt mich gerne auf!

anon · 19. Januar 2025 um 05:14

Hi,
zu 1. es hat m.M.n. keine wirklichen Datenschutzvorteile. Unter Sandboxie wird das ganze (wenn man es in einer Sandbox installiert) allerdings in einem anderen Ordner gespeichert damit es die Kontrolle über diese Dateien und Ordner hat und von den normalen auf dem System installierten unterscheiden kann.

Bei Sandboxie kannst du spezifisch einstellen ob das Programm zugriff hat und die bearbeitete Version auf dem Host gespeichert wird, die bearbeitete Version nur für die Sandbox gespeichert werden soll oder der Zugriff darauf verboten werden soll.
Sandboxie kannst du nach dem alles Datenschutzfreundlich eingerichtet ist installieren. Du musst selber entscheiden ob du weitere Programme in einer Sandbox installieren willst, oder auf dem Host.

Lindblad · 19. Januar 2025 um 09:36

Ah, die Punkte 1 und 3 sind gut zu wissen.
Aber bei 2. weiß ich nicht genau, wie ich das einstellen kann. Also welche der Einträge muss ich anpassen wenn ich zwischen den Varianten Änderung …

nicht speichern
in Sandbox speichern
auf Host speichern
will? Wenn ich die dritte Option wähle, wo werden die Daten dann abgelegt und wie kann ich das kontrollieren?
Und wie sorge ich dafür, dass eine Anwendung standardmäßig in ihrer Sandbox startet wenn ich auf das Symbol in der Taskleiste klicke?
Weiß vielleicht jemand, wie man einen Packet-Manager wie Scoop so über eine Sandbox laufen lassen kann, dass hinterher nicht die Ordnerstruktur total durcheinander ist?

anon · 19. Januar 2025 um 18:06

In den Einstellungen einer Sandbox unter Ressourcenzugriff kannst du Ordner oder Dateien auswählen und fogendes einstellen:

Normal: Die Datei oder Verzeichnis kann gelesen werden und wenn geschrieben wird, wird die Datei in die Sandbox kopiert und die Kopie bearbeitet
Geöffnet: Die Datei oder Verzeichnis auf dem Host wird bearbeitet
Für alle geöffnet: ähnlich zu Geöffnet
blockiert: Datei oder Verzeichnis darf nicht gelesen oder geschrieben werden und es wird auch keine Kopie erzeugt
Nur lesen: selbsterklärend
Nur Box (nur schreiben): Wird vor der Sandbox verborgen

Wenn du geöffnet auswählst dann wird die Datei so bearbeitet und gespeichert wie wenn du das Programm nicht in einer Sandbox hättest.

Die Frage wie du Programme von der Taskleiste in einer Sandbox starten kannst wurde kürzlich erst gefragt:

Die Frage verstehe ich allerdings nicht so richtig. Könntest du mir das etwas genauer erklären?

Lindblad · 19. Januar 2025 um 18:29

Ah, danke! Den Reiter Ressourcenzugriff hatte ich nicht richtig verstanden.
Und Entschuldigung für die Frage mit der Taskleiste.
Vielleicht klärt sich die Frage mit der Ordnerstruktur auch wenn selbst wenn ich den Ressourcenzugriff konfiguriere, ich melde mich nochmal.
Auf jeden Fall schonmal vielen lieben Dank für dein Tutorial und die Antworten!

Also ich habe Sandboxie auf jeden Fall langsam besser verstanden. Meine .ini-Datei sieht zwar etwas anders aus als deine im Tutorial, viel ärgerlicher ist aber, dass ich mit strikten Einstellungen keinen Installer ausführen kann.
Ich möchte gerne LocalSend installieren, das hier ist meine .ini. Ich musste erst Admin-Rechte und „BlockScreenCapture“ zulassen, um den exe-Installer ausführen zu können. Warum ist das so?

Enabled=y
#------------------------------------------------------------------------------------------------
#'Generelle Optionen'\Boxoptionen\Erscheinung
BorderColor=#000000,on,6
#'Generelle Optionen'\Restriktionen\Druckerbeschränkungen:
ClosePrintSpooler=y
#Generelle Optionen\Restriktionen\'Andere Beschränkungen'\'Öffne systemgeschützten Speicherort'
#Template=OpenProtectedStorage
#Generelle Optionen\Restriktionen\'Andere Beschränkungen'\Lesezugriff auf Zwischenablage
OpenClipboard=n
#Generelle Optionen\Restriktionen\'Andere Beschränkungen'\Erstellung von Screenshots verhindern
BlockScreenCapture=y
#------------------------------------------------------------------------------------------------
#Dateioptionen\Dateiwiederherstellung
RecoverFolder=C:\Users\lenovo\Desktop
#Dateioptionen\'Box Löschoptionen'
AutoDelete=y
#------------------------------------------------------------------------------------------------
#Sicherheitsoptionen\Sicherheitsverbesserung\Erhöhungsbeschränkungen
DropAdminRights=y
FakeAdminRights=y
#Sicherheitsoptionen\Job-Objekt\Andere Isolation
AllowBoxedJobs=y
#------------------------------------------------------------------------------------------------
#Programmkontrolle\erzwungene Programme
#ForceProcess=LocalSend-1.16.1-windows-x86-64.exe
#------------------------------------------------------------------------------------------------
#Ressourcenzugriff\Dateien
OpenFilePath=C:\Users\lenovo\Desktop\Sandbox-Programme\Sandbox_Nutzerdaten\
OpenPipePath=C:\Users\lenovo\
#Ressourcenzugriff\Dateien -> Block USB-Ports:
ClosedFilePath=A:\
ClosedFilePath=B:\
ClosedFilePath=D:\
ClosedFilePath=E:\
ClosedFilePath=F:\
ClosedFilePath=G:\
ClosedFilePath=H:\
ClosedFilePath=I:\
ClosedFilePath=J:\
ClosedFilePath=K:\
ClosedFilePath=L:\
ClosedFilePath=M:\
ClosedFilePath=N:\
ClosedFilePath=O:\
ClosedFilePath=P:\
ClosedFilePath=Q:\
ClosedFilePath=R:\
ClosedFilePath=S:\
ClosedFilePath=T:\
ClosedFilePath=U:\
ClosedFilePath=V:\
ClosedFilePath=W:\
ClosedFilePath=X:\
ClosedFilePath=Y:\
ClosedFilePath=Z:\
ClosedFilePath=!<InternetAccess>,InternetAccessDevices
#------------------------------------------------------------------------------------------------
#Netzwerkoptionen\'Andere Optionen'
Template=BlockPorts
Template=BlockDNS
BlockNetworkFiles=y
BlockNetParam=y
#------------------------------------------------------------------------------------------------
#Verschiedene Optionen
#DLLs&Erweiterungen
#------------------------------------------------------------------------------------------------
#'Erweiterte Optionen'\Prozesse
HideNonSystemProcesses=y
#'Erweiterte Optionen'\Privatsphäre
HideFirmwareInfo=y
RandomRegUID=y
HideDiskSerialNumber=y
HideNetworkAdapterMAC=y
#------------------------------------------------------------------------------------------------
#Programmvorlagen
#------------------------------------------------------------------------------------------------
#Templates:
Template=Local_SharedTemplate
Template=SkipHook
Template=FileCopy
Template=LingerPrograms
#Template=AutoRecoverIgnore
#Templates\some Security stuff:
Template=BlockTelemetry
Template=BlockAccessWMI

anon · 20. Januar 2025 um 15:54

Ich hab es auch mal ausprobiert. Versuche mal folgendes:

dupliziere die DefaultBox
stelle sie so sicher wie möglich ein, achte darauf das die Option Sicherheitoptionen > Lässt Programme denken, sie würden mit erhöten rechten laufen
versuche es nochmal

dann hat es bei mir auch mit der aktivierten Funktion „BlockScreenCapture“ geklappt. Ich bin mir unsicher woran es liegt. Es könnte allerdings sein das das Virtualisierungsschema das Problem auslößt.

Übrigens hast du die Option AutoDelete aktiviert. Ich weiß nicht ob du das willst, wenn du ein Programm installierst.

Lindblad · 21. Januar 2025 um 11:28

Also ich habe die Box jetzt so verändert, dass Internet-Zugriff und Admin-Rechte geblockt sind. Daraufhin kommt bei so eine komische Meldung wenn ich einen exe-Installer ausführe:

Was sagt mir diese Fehlermeldung??
SumatraPDF konnte ich trotzdem installieren, da gab es keine solche Meldung.

Was ist eigentlich der Effekt, wenn bei " ClosedFilePath=!,InternetAccessDevices" das Ausrufezeichen steht vs. es wird weggelassen?

anon · 23. Januar 2025 um 07:06

Ich würde schätzen das es ein Verzeichnis nicht erstellen kann.

Das ! sorgt für die Umkehrungen also das Internet-Zugriff wieder zugelassen ist.

Lindblad · 1. März 2025 um 17:48

Zwischendurch wurde es mir zu viel, aber jetzt habe ich mir Sandboxie wieder vorgenommen und es geschafft meinen Browser darüber laufen zu lassen.
Insofern bin ich schon einen großen Schritt weiter (siehe meine Konfiguration unten), aber ein paar Baustellen gibt es noch .
Meine Hauptfrage ist, welche Ressourcen die Programme benötigen, also welche Dateipfade+Berechtigungen+Netzwerkverbindungen nötig sind. Konkret würde ich es gerne für Thunderbird wissen, aber es wäre hilfreich das auch generell zu verstehen.
Wenn „automatisch Löschen“ an ist und die nötigen Dateipfade freigegeben sind, dann werden meine Änderungen wie Lesezeichen und Updates von uBlock-Origin aber übernommen, oder? Wo werden die Daten von Addons eigentlich gespeichert, im Browser-Profil?
Ansonsten hatte ich noch das Problem, dass mein gesandboxter Librewolf nicht auf die Kamera zugreifen konnte, aber auf das Mikro.
Außerdem hatte ich so eine komische Meldung „librewolf.exe: SBIE2308 Konnte das IPC Objektverzeichnis nicht erstellen: [41 / C0000024]“.
Unter Ressourcenzugriff gibt es die Reiter „Registry“, „IPC“ oder „COM“. Was sind das für Sachen und sollte/braucht ein Programm darauf Zugriff? Ist der Zugriff auf diese Dinge automatisch blockiert oder muss ich noch etwas unternehmen?
Unter https://sandboxie-plus.com/sandboxie/resourceaccesssettings/ gibt es zwar eine ausführliche Auflistung der verschiedenen Einstellungen, aber ich kann nicht einschätzen welche davon für mich sinnvoll ist (habe kein besonderes Threat Model+ ich schätze praktikable Lösungen).

Enabled=y
#------------------------------------------------------------------------------------------------
#‚Generelle Optionen‘\Boxoptionen\Erscheinung
BorderColor=#00FFFF,ttl
#‚Generelle Optionen‘\Restriktionen\Druckerbeschränkungen
ClosePrintSpooler=y
#Generelle Optionen\Restriktionen'Andere Beschränkungen’'Öffne systemgeschützten Speicherort’
#Template=OpenProtectedStorage
#Generelle Optionen\Restriktionen'Andere Beschränkungen’\Lesezugriff auf Zwischenablage
OpenClipboard=y
#Generelle Optionen\Restriktionen'Andere Beschränkungen’\Erstellung von Screenshots verhindern
BlockScreenCapture=y
#------------------------------------------------------------------------------------------------
#Dateioptionen\Dateiwiederherstellung
RecoverFolder=%{…}%
RecoverFolder=%Personal%
RecoverFolder=%Desktop%
RecoverFolder=C:\Users<user>\Desktop
#Dateioptionen'Box Löschoptionen’
AutoDelete=y
#------------------------------------------------------------------------------------------------
#Sicherheitsoptionen\Sicherheitsverbesserung\Erhöhungsbeschränkungen
DropAdminRights=y
FakeAdminRights=y
#Sicherheitsoptionen\Job-Objekt\Andere Isolation
AllowBoxedJobs=y
#------------------------------------------------------------------------------------------------
#Programmkontrolle\Gruppierung
ProcessGroup=,thunderbird.exe
ProcessGroup=,tor.exe,librewolf.exe,firefox.exe
ProcessGroup=<Internet_Programs>,,Gruppe: Browser
ProcessGroup=,librewolf.exe,<Internet_Programs>
#------------------------------------------------------------------------------------------------
#Programmkontrolle\erzwungene Programme
ForceProcess=
#------------------------------------------------------------------------------------------------
#Ressourcenzugriff\Dateien
OpenFilePath=C:\Users\user\Desktop\Sandbox-Programme\Sandbox_Nutzerdaten
OpenPipePath=C:\Users\lenovo
OpenFilePath=librewolf.exe,C:\Program Files\LibreWolf
OpenFilePath=librewolf.exe,C:\Users\user\AppData\Local\librewolf
OpenFilePath=librewolf.exe,C:\Users\user\AppData\Roaming\librewolf
OpenFilePath=librewolf.exe,C:\Users\user\Desktop
OpenFilePath=tor.exe,C:\Users\user\Tor Browser
OpenFilePath=thunderbird.exe,C:\Users<user>\AppData\Local\Thunderbird
OpenFilePath=thunderbird.exe,C:Users<user>\AppData\Roaming\Thunderbird

OpenFilePath=firefox.exe,C:\Users<user>\AppData\Local\Mozilla Firefox

OpenPipePath=,C:\Users<user>\Downloads\

#---------------
#Ressourcenzugriff\Dateien → Block USB-Ports:
ClosedFilePath=A:
ClosedFilePath=B:
ClosedFilePath=D:
ClosedFilePath=E:
ClosedFilePath=F:
ClosedFilePath=G:
ClosedFilePath=H:
ClosedFilePath=I:
ClosedFilePath=J:
ClosedFilePath=K:
ClosedFilePath=L:
ClosedFilePath=M:
ClosedFilePath=N:
ClosedFilePath=O:
ClosedFilePath=P:
ClosedFilePath=Q:
ClosedFilePath=R:
ClosedFilePath=S:
ClosedFilePath=T:
ClosedFilePath=U:
ClosedFilePath=V:
ClosedFilePath=W:
ClosedFilePath=X:
ClosedFilePath=Y:
ClosedFilePath=Z:
ClosedFilePath=!,InternetAccessDevices
#------------------------------------------------------------------------------------------------
#Netzwerkoptionen'Prozessbeschränkungen’
PromptForInternetAccess=y
#------------------------------------------------------------------------------------------------
#Netzwerkoptionen'Netzwerk-Firewall’
NetworkAccess=librewolf.exe,Allow;Protocol=Alle
NetworkAccess=,Allow;Protocol=Alle
NetworkAccess=<Internet_Programs>,Block;Port=80;Protocol=Alle
NetworkAccess=<Internet_Programs>,Allow;Protocol=Alle
NetworkAccess=,Block
NetworkAccess=,Block;Port=137,138,139,445;Protocol=Alle
NetworkAccess=librewolf.exe,Allow;Address=172.20.160.1;Protocol=Alle
#------------------------------------------------------------------------------------------------
#Netzwerkoptionen'Andere Optionen’
Template=qWave
Template=AutoRecoverIgnore
Template=BlockPorts
Template=BlockDNS
BlockNetworkFiles=y
BlockNetParam=y
#------------------------------------------------------------------------------------------------
#Verschiedene Optionen
#DLLs&Erweiterungen
#------------------------------------------------------------------------------------------------
#‚Erweiterte Optionen‘\Prozesse
HideNonSystemProcesses=y
#‚Erweiterte Optionen‘\Privatsphäre
HideFirmwareInfo=y
RandomRegUID=y
HideDiskSerialNumber=y
HideNetworkAdapterMAC=y
#------------------------------------------------------------------------------------------------
#Programmvorlagen
#------------------------------------------------------------------------------------------------
#Templates:
Template=Local_SharedTemplate
Template=SkipHook
Template=FileCopy
Template=LingerPrograms
#Template=AutoRecoverIgnore
#Templates\some Security stuff:
Template=BlockTelemetry
Template=BlockAccessWMI
ConfigLevel=10

Seit kurzem (irgendwie gestern) habe ich außerdem das Problem, dass ich viele Websiten im gesandboxten Librewolf nicht aufrufen kann bzw. ein OSCP-Error angezeigt wird, betroffen ist sogar das Forum hier. Ohne Sandbox geht es und im gesandboxten Firefox auch, außerdem betrifft es auch nur manche Seiten. Wie geht man so ein Problem am besten an?