[English]David Xanatos hat mich bereits im Juni 2022 darüber informiert, dass er ein Update für Sandboxie in der Version v1.0.22 / 5.55.22 fertiggestellt und auf Githib freigegeben hat. Damit ist diese Version so "richtig final", wie er sich ausdrückte. Zudem gibt es noch ein Sandboxie Plus mit einigen neuen Funktionen. Hier einige Informationen dazu.
Anzeige
Die Historie
Sandboxie wurde von Sophos zur Anwendungsvirtualisierung entwickelt und später als Open Source freigegeben (siehe auch Sandboxie ist nun Open Source und dieses GitHub-Projekt). Das Unternehmen erwarb Sandboxie von Invincea, das sie zuvor von dem ursprünglichen Autor Ronen Tzur erworben hatte. Es handelt sich um eine Sandbox-basierte Isolationssoftware für 32- und 64-Bit Windows NT-basierte Betriebssysteme. David Xanatos hat den freigegebenen Quellcode übernommen und als Fork weiter entwickelt. Das Projekt ist auf der GitHub-Sandboxie-Seite abrufbar.
Sandboxie v1.0.22 / 5.55.22
David schreibt zur Version 1.0.22: Dieser Build bringt ein paar Korrekturen sowie ein paar kleine Funktionen, vor allem Unterstützung für das neue Windows 11 Explorer-Kontextmenü. Um es zu aktivieren, muss die Einstellung manuell auf Windows 11 umgeschaltet werden. Ein späteres Installations-Update wird dies für Win 11 automatisieren. Hier die Erweiterungen:
- added auto update download and silent install option to sandman.exe #917
- trace monitor mode can now also save to file #1851
- trace log now shows ipc object type information
- added support for windows 11 context menus
Zudem gibt es einige Korrekturen:
- fixed sandman crash issue #1846
- fixed issue with windows server 2022 build 20348
- fixed translation switching issues #1852
Die Classic-Versionen von Sandboxie lässt sich auf der GitHub-Seite herunterladen.
Anzeige
Sonstige Neuigkeiten zu Sandboxie Plus
Auf der Homepage Sandboxie-Plus.com hat David zudem die neuen Plus-Features vorgestellt. Hier die englischen Neuerungen:
Rule Specificity -> data protection *
- With this option rules are prioritized based on their specificity (see changelog/docs for details) this way sub paths can be readable/writeable while parent parts are still protected. With this applying a preset rule collection all locations potentially containing personal data can be protected. Applications running in boxes with personal data protection will see an empty PC with no user data on it.
Compartment Mode *
- This mode is intended to optimize compatibility at the cost of security, here sandboxie's token-based isolation scheme is not used. Isolation is limited to the FS minifilter as well as registry and object callbacks. This has the potential to greatly improve compatibility with variouse applications.
WFP (Windows Filtering Platform) support
- With this feature Sandboxie can be like an application firewall which applies the rules on a per box bases allowing the same application access to the internet in one box while blocking it in another.
Windows 11 context menu integration
Process/Thread handle filtering (obCallbacks)
- Using this mechanism greatly improves on isolation of processes and provides enhanced security.
Win32 syscall hooking
- With this feature win32 sys calls can get the same treatment as NT sys calls which helps with graphics and hw acceleration.
New UI with dark mode and much more
- Sandboxie-Plus bring an entirely new Qt based UI sandman.exe
- Customizable per box run menu
- Global hotkey to terminate all boxes
- INI section editor for easy configuration of advanced options
- Box event triggers/scripts
- Ability to stop selected applications from running globally, regardless of box presets
Snapshots
- Sandboxie-Plus can create box snapshots, with them it is possible to easily revert a box to a defined previous state.
- Box set to auto delete will when available auto revert to the last snapshot allowing to benefit from a fresh clean box each time but with some preset configuration
Enhanced debug/trace monitor
Fake admin privileges
- Allows to make all processes in a box think thay have admin permissions and act accordingly, without the potential draw backs of granting them admin permissions
A lot of security fixes
- FIXED: memory of unsandboxed processes can no longer be read, exceptions can be configured
- FIXED: NtCreateSymbolicLinkObject was not filtered (thanks Diversenok)
- FIXED: in certain cases, a sandboxed process could obtain a handle on an unsandboxed thread with write privileges
- FIXED: Hard link creation was not properly filtered (thanks Diversenok)
- FIXED: when starting COMSRV unboxed, the returned process handle had full access
- FIXED: the HostInjectDll mechanism allowed for local privilege escalation (thanks hg421)
- FIXED: elevated sandboxed processes could access volumes/disks for reading (thanks hg421)
- FIXED: a race condition in the driver allowed to obtain an elevated rights handle to a process (thanks typpos)
- FIXED: "\RPC Control\samss lpc" is now filtered by the driver (thanks hg421)
- FIXED: "\Device\DeviceApi\CMApi" is now filtered by the driver (thanks hg421)
- FIXED: the registry isolation could be bypassed, present since Windows 10 Creators Update
- FIXED: a Sandboxed process could start sandboxed as system even with DropAdminRights in place
- FIXED: Sandboxie now strips particularly problematic privileges from sandboxed system tokens
- FIXED: added print spooler filter to prevent printers from being set up outside the sandbox
- FIXED: processes could spawn processes outside the sandbox (thanks Diversenok)
- FIXED: bug in the dynamic IPC port handling allowed to bypass IPC isolation
- FIXED: CVE-2019-13502 "\RPC Control\LSARPC_ENDPOINT" is now filtered by the driver (thanks Diversenok)
- FIXED: fixed permission issues with sandboxed system processes
- FIXED: fixed missing SCM access check for sandboxed services (thanks Diversenok)
- FIXED: sandboxed processes could obtain a write handle on non-sandboxed processes (thanks Diversenok)
Bei wilderssecurity.com gibt es jetzt ein Unterforum für Sandboxie.
Hintergrund zu Sandboxie
Sandboxie ist ein Programm zur Anwendungsisolierung, welches einem ermöglicht, andere Software unter Windows in einer kontrollierten Umgebung ablaufen zu lassen. Dazu übernimmt Sandboxie bei der Installation der Anwendung die Kontrolle und isoliert alle Datei- und Registrierungszugriffe und leitet diese in separate Dateien um. Xanatos schreibt dazu:
Es schafft eine Sandbox-ähnliche isolierte Betriebsumgebung, in der Anwendungen ausgeführt oder installiert werden können, ohne dass das lokale oder zugeordnete Laufwerk dauerhaft geändert werden muss. Eine isolierte virtuelle Umgebung ermöglicht das kontrollierte Testen von nicht vertrauenswürdigen Programmen und das Surfen im Internet.
Die von Sandboxie verwendet Isolationstechnologie trennt die so installierten Programme vom darunter liegenden Betriebssystem. Das verhindert, dass unerwünschte Änderungen an persönlichen Daten, Programmen und Anwendungen, die sicher auf der Festplatte liegen, vorgenommen werden. Sandboxie ermöglicht daher, Software zu testen und später rückstandsfrei vom System zu deinstallieren.
Ähnliche Artikel:
Sophos gibt Sandboxie 5.31.4 als Tool frei
Sandboxie ist nun Open Source
DiskCryptor-Nachfolger von David Xanatos
Sandboxie Build 0.3/5.42 verfügbar
Anzeige
Irgendetwas mit den Versionsnummern stimmt, meiner Meinung nach, nicht.
Habe die Plus mit 1.1.3, einfach ist 5.56.3
Hat noch jemand seit Sandboxie-Plus-x64-v1.1.3 ein Problem mit Outlook (2016), dass statt der Konfiguration der "Welcome to Outlook…"-Grundkonfigurationsassistent geladen wird?
Bis einschliesslich Sandboxie-Plus-x64-v1.0.22 funktionierte Outlook (ausser Indizierung) auf meinem System problemlos mit Sandboxie Plus.
(Seit 12 Tagen) ganz aktuell ist Version 1.2.0 Pre-release
Bei Fehlern einfach einen Hinweis an David geben. Der ist immer bemüht, das schnell zu lösen…
Das stimmt so nicht!
Er ist nicht einmal bemüht, ehemals funktionierende Templates wieder funktionsfähig zu machen, die seit einem Update der zugrunde liegenden Software nicht mehr funktionieren!
Ich mag schon die ressourcenfressende Plus-Version nicht, die er ja einzig mit dem Ziel geschaffen hat, Bezahlfunktionen einzuführen. Gut, man muss sie nicht nutzen und das tue ich auch nicht.
Aber mich ärgert gewaltig, dass er den Support für bereits integrierte Funktionen praktisch fallen lässt, wenn man nicht mit einem Abonnement bezahlt! Er lies einem im Forum von Wilderssecurity wissen, dass er mit Sandboxie so viel zu tun hätte, dass man ihn per Patreon-Mitgliedschaft mit 25 oder 50 € pro Monat(!) unterstützten soll, damit man mehr Priorität bekäme. Eigentlich sind es sogar 26,18 € bzw. 51,77 €. Das ist mehr als unverschämt! In seiner Gier mit den kostenpflichtigen Funktionen hat er sich einen Haufen Arbeit aufgehalst und ich vermute, dass sie die wenigsten nutzen.
Also die Vorlagen kann fast jeder mit etwas herum probieren zu laufen bringen, man muss meist nur die richtigen Resourcen in der .ini freigeben die man mit dem Zugriffs Monitor herausfinden kann.
Was nicht jeder kann sind Kern Features / ARM64 Support der gerade in mache ist. Da muss ich einfach etwas Prioritäten Sätzen.
Und mein Grund eine neue ressourcenfressende Qt basiere UI zu schreiben ist ganz einfach der das ich das 10x schneller kann als an einer 20 Jahre alten MFC basierten UI herum zu pfuschen. Qt ist wirklich geil und extrem mächtig.
Da ich nichts von Telemetrie oder Nutzer Bespitzelung halte kann ich leider nicht sagen wie viele Leute die neuen Plus Features benutzen.
Aber es würde mich sehr wundern wenn es so wenige wären.
z.B. erlaubt Sandboxie normalerweise uneingeschränkten lese zugriff auf alle persönlichen Benutzerdaten.
Nicht gut, gar nicht gut wie ich finde, und mit dem altem sandboxie wäre das gar nicht so einfach das zu verhindern, da man keine regeln priorisieren konnte. Es blieb einem nur übrig gezielt alle sensitiven Pfade manuell zu schließen.
Mit der Plus Funktion für Datensicherheit (die blauen boxen) wird ein Mechanismus aktiviert mit dem man regeln priorisieren kann so wie eine Voreinstellung konfiguriert das Prozesse in einer Sandbox nur auf C:\Windows so wie C:\Program Files und C:\Program Files (x86) lesend zugreifen können, alle anderen Verzeichnisse auf C:\ so wie alle anderen Verzeichnisse können nicht mehr gelesen werden, außer irgend ein bestimmter Pfad wird explizit geöffnet.
Ich finde das ungemein nützlich!
Früher konnten Programme in der Sandbox auch uneingeschränkt den speicher von Programmen des selben Benutzers außerhalb lesen, doch eine veritable Katastrophe!
Das ist inzwischen behoben und eine Standard Funktion, kein exklusives Plus Feature.
Ein anderes Feature in das ich eher zu viel zeit gesteckt habe ist die DeleteV2 Funktionalität die den Mechanismus wie Host Dateien von aus der Sandbox heraus als "gelöscht" markiert werden. Mit dem neuem Mechanismus können sie auch als Vershoben markiert werden und das alles funktioniert konsistent.
Im alten sandboxie war virtuelles verschieben von Host Pfaden einfach nicht möglich. Nun ist es das und alles verhält sich korrekt. Ist auch kein Plus Feature.
Ab 1.2.0 kann Sandboxie einen Windows Mechanismus benutzen um Benutzer definierte SID's zu generieren damit erscheinen in einem Task Manager Programme welche in einer Sandbox laufen nicht mehr als Anonyme-Anmeldung sondern also Sandboxie/Nahmen_Der_Box voll geil voll fancy und auch kein plus Feature.
Also klar neue Features machen mir nun mal mehr Spaß als irgendwelche exotischen Fehler zu fixen, das hat nun aber mit Gier absolut gar nichts zu tun.
Und wen jemand unbedingt will das ich etwas mache was er will das mir persönlich aber keinen Spaß macht ist Geld nun mal das Mittel der Wahl in unserer Gesellschaft um dies zu erreichen.
Sie klingen wie ein beleidigter 15-Jähriger, der versucht, seine Dreistigkeit zu rechtfertigen, indem er Tatsachen verdreht! Für so etwas haben Sie immer Zeit, wie mir auch schon auf anderen Seiten aufgefallen ist. Es ist offenbar Ihr Marketinginstrument. Seriös ist allerdings anders, aber ich habe das nicht anders erwartet.
Sie mögen in QT besser umsetzen können, was Sie möchten, aber was Sie möchten, ist eben der springende Punkt – und das sind Bezahlfunktionen.
Wie viele Benutzer diese nutzen, lässt sich auch ohne Datenübertragung abschätzen. Sie werden ja wissen, wie viele Benutzer bezahlen. Das ist dann die maximale Anzahl an Benutzern, welche sie nutzen.
Zudem geht es bei der erwähnten Vorlage nicht darum, eine neue Funktion einzuführen, sondern eine kaputte wiederherzustellen.
Aber klar, es geht Ihnen nur um möglichst viel Spaß und die machen nun mal die neuen Bezahlfunktionen. Verantwortungsbewusstsein kennen Sie sicherlich nicht. Ich würde sagen: Sie haben sich hier wunderbar bloßgestellt.
Ich plädiere dafür, diesen persönliche Kleinkrieg an dieser Stelle einzufrieren. Du hast deine Sicht der Dinge aufgezeigt und David Xanatos hat seine Sicht aufgezeigt. Es wird niemand zu Sandboxie-Plus gezwungen – ergo macht weitere Diskussion – speziell, wenn es um Bezahlfunktionen und Verantwortung geht, aus meiner Sicht hier im Blog keinen Sinn. Danke für das Verständnis.
@ Günter Born
Da stimme ich Ihnen zu, aber es ging nur nebenbei um die Bezahlfunktionen, welche niemand nutzen muss.
Wie ich bereits schrieb, ging es um die Dreistigkeit, über 25 € bzw. 50 €/Monat(!) zu verlangen, damit eine bisherige, kostenlose Funktion wieder funktioniert. Soweit ich das gelesen hatte, hat er zwar nicht ausgeschlossen, dass es irgendwann auch so repariert wird, aber das ist ziemlich unrealistisch.
Das wollte ich nur noch einmal zurechtrücken, weil das offensichtlich aus dem Fokus gefallen zu sein scheint. Damit schließe ich hier.
Bei den vorlagen geht es üblicherweise darum etwas zu reparieren was eine Änderung in der betroffenen Software oder in Windows selbst kaputt gemacht hat.
So was erst mal hinten anzustellen während es wichtigeres zu tun gibt hat nichts mit fehlender Verantwortung zu tun.
>
> Sie mögen in QT besser umsetzen können, was Sie möchten, aber was Sie möchten, ist eben der springende Punkt – und das sind Bezahlfunktionen.
>
Das kann ich so wirklich nicht stehen lassen, haben Sie sich die Qt basierte UI überhaupt angeschaut? Das aller meiste darin hat kaum was mit dem Plus Funktionen zu tun. Sondern verbessert die Nutzung aller Sandboxie Funktionen.
z.B. haben sie neuen Einstellungsdialoge einen eingebauten ini Seciton Editor. Es sind viel mehr Optionen in den Menus dazugekommen. Die Snapshot Funktion ist kein Bezahlfeature, die verbesserte Firewall auch nicht. Die möglichkeit belibige programme schnell aus dem Run Menu zu starten in dem man die sich da anpinnt ist auch für alle.
Was ich möchte ist eine UI die es mir Spaas macht sie zu benutzen, das war die alte UI nicht und ich sah auch keinen weg sie in dem sinne zu reparieren.
Wenn sie mir nicht glauben und an meinen motiven zweifeln.
Schauen sie sich doch mein Task Explorer Projekt an das ist im großem und ganzem einfach eine neue Qt Basierte UI für die Process Hacker Library. Da habe ich auch 1 Jahr an Wochenenden rein gesteckt weil ich die alte originale PH UI einfach unbenutzbar fand.
Gibt es irgendwo eine Übersicht, wo mal die Unterschiede zwischen Sandboxie und der in Windows 10 integrierten Windows-Sandbox aufgelistet werden?
Gibt es technische Aspekte, bei denen Sandboxie besser ist?
Der Suchstring »Sandboxie "Windows 10" differences« wirft doch nun wirklich einen Haufen Artikel zu exakt dieser Frage aus.