Windows Apps separieren

Betriebssysteme
1

Hallo,
inspiriert von dem Artikel Windows-Apps isolieren mit Sandboxie Plus
würde ich am liebsten meine Programme alle voneinander seperieren, also so ähnlich wie das bei Android umgesetzt ist.
Einerseits aus Datenschutzgründen um zielgerichtet Rechte zuerteilen, aber ich finde Windows auch unübersichtlich z.B. ist der Ordner „AppData“ versteckt. Die Benutzerkontentrennung auf meinem Rechner hat das Chaos noch weiter vergrößert.
Bevor ich jetzt mein Betriebssystem auf den Kopf stelle, würde ich gerne eine Einschätzung haben, inwieweit meine Wünsche überhaupt realisierbar sind. Konkret habe ich folgende Fragen:

  1. Könnt ihr das Installieren von Programmen unter einem anderen Pfad als dem üblichen „C:\Programme“ empfehlen oder lasse ich lieber die Finger davon? Ist es für Funktionsweise/Datenschutz überhaupt relevant wo die Programme gespeichert werden?

  2. Ich möchte die Programme zwar gerne seperieren aber trotzdem, dass meine erzeugten Daten „normal“ auf der Festplatte abgespeichert werden können und zwar wahlweise in dem Programmspezifischen Teilbereich aber bei Bedarf auch ganz woanders z.B. sortiert nach Arbeit/privat/etc. Bin ich dann mit Sandboxie (oder ähnliches) gut aufgehoben oder was für einen Typ von Software brauche ich dafür?

  3. Sollte ich Änderungen an meinem Rechner wie z.B. Einrichtung von Sandboxie, das Umsetzen des Leitfadens Windows Systeme Privat verwenden - Linux Datenschutzniveau] oder andere Änderungen zugunsten des Datenschutzes in einer bestimmten Reihenfolge angehen oder ist das egal?

Ich interessiere mich zwar für Datenschutz aber verstehe leider nichts von Betriebssystemen und den Hintergrundprozessen. Klärt mich gerne auf!

1 „Gefällt mir“
2

Hi,
zu 1. es hat m.M.n. keine wirklichen Datenschutzvorteile. Unter Sandboxie wird das ganze (wenn man es in einer Sandbox installiert) allerdings in einem anderen Ordner gespeichert damit es die Kontrolle über diese Dateien und Ordner hat und von den normalen auf dem System installierten unterscheiden kann.

  1. Bei Sandboxie kannst du spezifisch einstellen ob das Programm zugriff hat und die bearbeitete Version auf dem Host gespeichert wird, die bearbeitete Version nur für die Sandbox gespeichert werden soll oder der Zugriff darauf verboten werden soll.

  2. Sandboxie kannst du nach dem alles Datenschutzfreundlich eingerichtet ist installieren. Du musst selber entscheiden ob du weitere Programme in einer Sandbox installieren willst, oder auf dem Host.

3

Ah, die Punkte 1 und 3 sind gut zu wissen.
Aber bei 2. weiß ich nicht genau, wie ich das einstellen kann. Also welche der Einträge muss ich anpassen wenn ich zwischen den Varianten Änderung …

  1. nicht speichern
  2. in Sandbox speichern
  3. auf Host speichern
    will? Wenn ich die dritte Option wähle, wo werden die Daten dann abgelegt und wie kann ich das kontrollieren?
    Und wie sorge ich dafür, dass eine Anwendung standardmäßig in ihrer Sandbox startet wenn ich auf das Symbol in der Taskleiste klicke?
    Weiß vielleicht jemand, wie man einen Packet-Manager wie Scoop so über eine Sandbox laufen lassen kann, dass hinterher nicht die Ordnerstruktur total durcheinander ist?
4

In den Einstellungen einer Sandbox unter Ressourcenzugriff kannst du Ordner oder Dateien auswählen und fogendes einstellen:

  • Normal: Die Datei oder Verzeichnis kann gelesen werden und wenn geschrieben wird, wird die Datei in die Sandbox kopiert und die Kopie bearbeitet
  • Geöffnet: Die Datei oder Verzeichnis auf dem Host wird bearbeitet
  • Für alle geöffnet: ähnlich zu Geöffnet
  • blockiert: Datei oder Verzeichnis darf nicht gelesen oder geschrieben werden und es wird auch keine Kopie erzeugt
  • Nur lesen: selbsterklärend
  • Nur Box (nur schreiben): Wird vor der Sandbox verborgen

Wenn du geöffnet auswählst dann wird die Datei so bearbeitet und gespeichert wie wenn du das Programm nicht in einer Sandbox hättest.

Die Frage wie du Programme von der Taskleiste in einer Sandbox starten kannst wurde kürzlich erst gefragt:

Die Frage verstehe ich allerdings nicht so richtig. Könntest du mir das etwas genauer erklären?

1 „Gefällt mir“
5

Ah, danke! Den Reiter Ressourcenzugriff hatte ich nicht richtig verstanden.
Und Entschuldigung für die Frage mit der Taskleiste.
Vielleicht klärt sich die Frage mit der Ordnerstruktur auch wenn selbst wenn ich den Ressourcenzugriff konfiguriere, ich melde mich nochmal.
Auf jeden Fall schonmal vielen lieben Dank für dein Tutorial und die Antworten!

Also ich habe Sandboxie auf jeden Fall langsam besser verstanden. Meine .ini-Datei sieht zwar etwas anders aus als deine im Tutorial, viel ärgerlicher ist aber, dass ich mit strikten Einstellungen keinen Installer ausführen kann.
Ich möchte gerne LocalSend installieren, das hier ist meine .ini. Ich musste erst Admin-Rechte und „BlockScreenCapture“ zulassen, um den exe-Installer ausführen zu können. Warum ist das so?

Enabled=y
#------------------------------------------------------------------------------------------------
#'Generelle Optionen'\Boxoptionen\Erscheinung
BorderColor=#000000,on,6
#'Generelle Optionen'\Restriktionen\Druckerbeschränkungen:
ClosePrintSpooler=y
#Generelle Optionen\Restriktionen\'Andere Beschränkungen'\'Öffne systemgeschützten Speicherort'
#Template=OpenProtectedStorage
#Generelle Optionen\Restriktionen\'Andere Beschränkungen'\Lesezugriff auf Zwischenablage
OpenClipboard=n
#Generelle Optionen\Restriktionen\'Andere Beschränkungen'\Erstellung von Screenshots verhindern
BlockScreenCapture=y
#------------------------------------------------------------------------------------------------
#Dateioptionen\Dateiwiederherstellung
RecoverFolder=C:\Users\lenovo\Desktop
#Dateioptionen\'Box Löschoptionen'
AutoDelete=y
#------------------------------------------------------------------------------------------------
#Sicherheitsoptionen\Sicherheitsverbesserung\Erhöhungsbeschränkungen
DropAdminRights=y
FakeAdminRights=y
#Sicherheitsoptionen\Job-Objekt\Andere Isolation
AllowBoxedJobs=y
#------------------------------------------------------------------------------------------------
#Programmkontrolle\erzwungene Programme
#ForceProcess=LocalSend-1.16.1-windows-x86-64.exe
#------------------------------------------------------------------------------------------------
#Ressourcenzugriff\Dateien
OpenFilePath=C:\Users\lenovo\Desktop\Sandbox-Programme\Sandbox_Nutzerdaten\
OpenPipePath=C:\Users\lenovo\
#Ressourcenzugriff\Dateien -> Block USB-Ports:
ClosedFilePath=A:\
ClosedFilePath=B:\
ClosedFilePath=D:\
ClosedFilePath=E:\
ClosedFilePath=F:\
ClosedFilePath=G:\
ClosedFilePath=H:\
ClosedFilePath=I:\
ClosedFilePath=J:\
ClosedFilePath=K:\
ClosedFilePath=L:\
ClosedFilePath=M:\
ClosedFilePath=N:\
ClosedFilePath=O:\
ClosedFilePath=P:\
ClosedFilePath=Q:\
ClosedFilePath=R:\
ClosedFilePath=S:\
ClosedFilePath=T:\
ClosedFilePath=U:\
ClosedFilePath=V:\
ClosedFilePath=W:\
ClosedFilePath=X:\
ClosedFilePath=Y:\
ClosedFilePath=Z:\
ClosedFilePath=!<InternetAccess>,InternetAccessDevices
#------------------------------------------------------------------------------------------------
#Netzwerkoptionen\'Andere Optionen'
Template=BlockPorts
Template=BlockDNS
BlockNetworkFiles=y
BlockNetParam=y
#------------------------------------------------------------------------------------------------
#Verschiedene Optionen
#DLLs&Erweiterungen
#------------------------------------------------------------------------------------------------
#'Erweiterte Optionen'\Prozesse
HideNonSystemProcesses=y
#'Erweiterte Optionen'\Privatsphäre
HideFirmwareInfo=y
RandomRegUID=y
HideDiskSerialNumber=y
HideNetworkAdapterMAC=y
#------------------------------------------------------------------------------------------------
#Programmvorlagen
#------------------------------------------------------------------------------------------------
#Templates:
Template=Local_SharedTemplate
Template=SkipHook
Template=FileCopy
Template=LingerPrograms
#Template=AutoRecoverIgnore
#Templates\some Security stuff:
Template=BlockTelemetry
Template=BlockAccessWMI
6

Ich hab es auch mal ausprobiert. Versuche mal folgendes:

  • dupliziere die DefaultBox
  • stelle sie so sicher wie möglich ein, achte darauf das die Option Sicherheitoptionen > Lässt Programme denken, sie würden mit erhöten rechten laufen
  • versuche es nochmal

dann hat es bei mir auch mit der aktivierten Funktion „BlockScreenCapture“ geklappt. Ich bin mir unsicher woran es liegt. Es könnte allerdings sein das das Virtualisierungsschema das Problem auslößt.

Übrigens hast du die Option AutoDelete aktiviert. Ich weiß nicht ob du das willst, wenn du ein Programm installierst.

7

Also ich habe die Box jetzt so verändert, dass Internet-Zugriff und Admin-Rechte geblockt sind. Daraufhin kommt bei so eine komische Meldung wenn ich einen exe-Installer ausführe:

image
image508×182 14.9 KB

Was sagt mir diese Fehlermeldung??
SumatraPDF konnte ich trotzdem installieren, da gab es keine solche Meldung.

Was ist eigentlich der Effekt, wenn bei " ClosedFilePath=!,InternetAccessDevices" das Ausrufezeichen steht vs. es wird weggelassen?

8

Ich würde schätzen das es ein Verzeichnis nicht erstellen kann.

Das ! sorgt für die Umkehrungen also das Internet-Zugriff wieder zugelassen ist.