Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
News Microsoft: Windows 10 erhält im Jahr 2019 eine schnelle Sandbox
- Ersteller Jan
- Erstellt am
- Zur News: Microsoft: Windows 10 erhält im Jahr 2019 eine schnelle Sandbox
M
Mickey Cohen
Gast
kann hyper-v eigentlich mittlerweile ton?
nein, beide erlauben grds. kein direktes schreiben in das host-dateisystem vom gast aus.
Ergänzung ()
13579 schrieb:@Bagbag
Danke, also eine VM ist von der Sicherheit gesehen also besser als eine Sandbox?
nein, beide erlauben grds. kein direktes schreiben in das host-dateisystem vom gast aus.
@13579
Ja. Wenn die Prozess-Isolation Bugs beinhaltet, werden u.U. ohne weiteres Zutun des isolierten Prozesses sensible Informationen frei. Wenn ein VM-Hypervisor Bugs beinhaltet, müssen diese i.d.R. aktiv von der darin laufenden Anwedung ausgenutzt werden.
Wenn bspw. ein Exploit ein Sicherheitsleck im Kernel öffnet oder ein System-Crash herbeiführt, so kann das mit einem Container nicht verhindert werden und ermöglicht das Auslesen des Speichers anderer Prozesse oder reist den Host und alle anderen Container mit in den Tod. Bei einer VM betrifft das lediglich die VM selbst, der Host und andere VMs darauf bekommen nichts mit.
Ja. Wenn die Prozess-Isolation Bugs beinhaltet, werden u.U. ohne weiteres Zutun des isolierten Prozesses sensible Informationen frei. Wenn ein VM-Hypervisor Bugs beinhaltet, müssen diese i.d.R. aktiv von der darin laufenden Anwedung ausgenutzt werden.
Nur ist das Dateisystem eben nicht das einzige, das isoliert werden muss.Mickey Cohen schrieb:nein, beide erlauben grds. kein direktes schreiben in das host-dateisystem vom gast aus.
Wenn bspw. ein Exploit ein Sicherheitsleck im Kernel öffnet oder ein System-Crash herbeiführt, so kann das mit einem Container nicht verhindert werden und ermöglicht das Auslesen des Speichers anderer Prozesse oder reist den Host und alle anderen Container mit in den Tod. Bei einer VM betrifft das lediglich die VM selbst, der Host und andere VMs darauf bekommen nichts mit.
Zuletzt bearbeitet:
KarlKarolinger
Lieutenant
- Registriert
- Nov. 2008
- Beiträge
- 728
h00bi schrieb:Schön dass die W10 Pro Version auch endlich mal einen Vorteil bietet, abseits einer Domäne.
DocWindows schrieb:Und Abseits von Bitlocker
Und abseits von virtuellen Maschinen, der Möglichkeit, Updates zu verzögern....
Klingt ganz interessant, sofort vertrauen würde ich dem aber nicht. Ich denke mal in bestimmten Unternehmensumfeldern könnte das sehr nützlich sein, um Programme zu testen, etc.
Compu-Freak
Banned
- Registriert
- Dez. 2018
- Beiträge
- 705
Gut, habe ich schon geärgert, dass ich nur Windows 10 pro habe.
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.443
Vorneweg: Also erstmal ist es gut, dass Microsoft sich endlich(!) und als so ziemlich letzter Betriebssystemhersteller entschließt sowas wie einen allgemein zugänglichen Sandbox-Mechanismus in Windows einzubauen.
Eine einfache und zugleich äußerst wirksame Sicherheitsmaßnahme, wo man sich schon (gerade bei einer von Schadsoftware gebeutelten Plattform) fragt: Warum erst jetzt?
Aber Schwamm drüber. Besser spät als nie.
Wie so oft schwächelt aber Microsoft einmal mehr bei der Umsetzung. Das fängt schon damit an, dass es nicht für alle Windows-Editionen verfügbar ist. Das hat mich schon bei Software-Restriction-Policies genervt. Auch eine im Grunde sinnvolle Funktion. Auch hierwieder unnötige Beschneidung. Da stellt sich schon die Frage, wie ernst Microsoft denn die Sicherheit der Nutzer tatsächlich nimmt.
Das hier Virtualisierungsfunktionen benutzt werden und mit Images hantiert wird, da schwant mir ja schon wieder Übles. Die Lösung klingt sehr komplex. Lösungen (insbesondere Sicherheitslösungen) sollten aber immer möglichst einfach sein. Komplizierte Software hat auch immer mehr Bugs. Mehr Bugs bedeuten mehr Sicherheitsprobleme. Und Windows 10 ist eh schon zuu komplex. Und jetzt will man die Sicherheitsproblematik mit noch mehr Komplexität erschlagen. Wie gut das funktioniert, kann sich jeder lebhaft vorstellen.
Aber gut. Man wird sehen, wie gut es in der Praxis funktioniert. Vermutlich wird es wieder das "sicherste Windows aller Zeiten" und einmal mehr wird es vermutlich auch schnell auf den Boden der Tatsachen aufprallen.
Eine einfache und zugleich äußerst wirksame Sicherheitsmaßnahme, wo man sich schon (gerade bei einer von Schadsoftware gebeutelten Plattform) fragt: Warum erst jetzt?
Aber Schwamm drüber. Besser spät als nie.
Wie so oft schwächelt aber Microsoft einmal mehr bei der Umsetzung. Das fängt schon damit an, dass es nicht für alle Windows-Editionen verfügbar ist. Das hat mich schon bei Software-Restriction-Policies genervt. Auch eine im Grunde sinnvolle Funktion. Auch hierwieder unnötige Beschneidung. Da stellt sich schon die Frage, wie ernst Microsoft denn die Sicherheit der Nutzer tatsächlich nimmt.
Das hier Virtualisierungsfunktionen benutzt werden und mit Images hantiert wird, da schwant mir ja schon wieder Übles. Die Lösung klingt sehr komplex. Lösungen (insbesondere Sicherheitslösungen) sollten aber immer möglichst einfach sein. Komplizierte Software hat auch immer mehr Bugs. Mehr Bugs bedeuten mehr Sicherheitsprobleme. Und Windows 10 ist eh schon zuu komplex. Und jetzt will man die Sicherheitsproblematik mit noch mehr Komplexität erschlagen. Wie gut das funktioniert, kann sich jeder lebhaft vorstellen.
Aber gut. Man wird sehen, wie gut es in der Praxis funktioniert. Vermutlich wird es wieder das "sicherste Windows aller Zeiten" und einmal mehr wird es vermutlich auch schnell auf den Boden der Tatsachen aufprallen.
luckysh0t
Commander
- Registriert
- Nov. 2007
- Beiträge
- 2.295
Ob man hier dann auch mit einem Skript das ganze automatisieren kann ?
Ich habe z.B meinen FF lange in Sandboxie laufen lassen, nur seit einigen Versionen ist es ein Glücksspiel geworden ob der FF startet, vor allem nach einem FF update.
Spezielle Verknüpfung auf dem Desktop und schon lief der FF immer in der SB - ohne ihn extra reinziehen zu müssen.
Ich habe z.B meinen FF lange in Sandboxie laufen lassen, nur seit einigen Versionen ist es ein Glücksspiel geworden ob der FF startet, vor allem nach einem FF update.
Spezielle Verknüpfung auf dem Desktop und schon lief der FF immer in der SB - ohne ihn extra reinziehen zu müssen.
FranzvonAssisi
Admiral
- Registriert
- Dez. 2013
- Beiträge
- 7.412
Also bei manchen Kommentaren hier kriege ich die Pimpanellen...
Hauptsache meckern. Microsoft dies, Microsoft das, Microsoft hier, Microsoft dort.
Ich sehe ja viele Punkte für die man Microsoft kritisieren kann, aber hier?!
@andy_m4
Du kritiskerst auf der einen Seite , dass es nur für die aktuelle Version ausgeliefert wird und auf der anderen, dass es mehr Komplexität reinbringt.
Wie sähe das denn dann bitte aus, wenn sie es auch für andere Versionen einbauen?! Reduziert das die Komplexität?
Außerdem:
Microsoft hat den Produkten von VORNHEREIN einen Lifecycle gegeben und diesen auch auf ihrer Webseite veröffentlicht!!
Der Mainstream-Support (Feature Updates) ist bereits eingestellt für Windows 7 und 8.1.
Die Sandbox ist zwar sicherheitsrelevant, allerdings KEIN UPDATE sondern ein neues FEATURE!!!
PS: Achso, du meintest Editionen -
Hier liegt das einfach an Hyper-V. Ohne Hyper-V kein Emulieren / Sandbox...
Ich frage mich auch immer, wie ernst Routerhersteller Sicherheit nehmen, weil sie nicht die gleichen Funktionen integrieren, wie die in den 2000€ Systemen...
Mehr Komplexität = Mehr Arbeit = braucht mehr Geld
Hauptsache meckern. Microsoft dies, Microsoft das, Microsoft hier, Microsoft dort.
Ich sehe ja viele Punkte für die man Microsoft kritisieren kann, aber hier?!
@andy_m4
Du kritiskerst auf der einen Seite , dass es nur für die aktuelle Version ausgeliefert wird und auf der anderen, dass es mehr Komplexität reinbringt.
Wie sähe das denn dann bitte aus, wenn sie es auch für andere Versionen einbauen?! Reduziert das die Komplexität?
Außerdem:
Microsoft hat den Produkten von VORNHEREIN einen Lifecycle gegeben und diesen auch auf ihrer Webseite veröffentlicht!!
Der Mainstream-Support (Feature Updates) ist bereits eingestellt für Windows 7 und 8.1.
Die Sandbox ist zwar sicherheitsrelevant, allerdings KEIN UPDATE sondern ein neues FEATURE!!!
PS: Achso, du meintest Editionen -
Hier liegt das einfach an Hyper-V. Ohne Hyper-V kein Emulieren / Sandbox...
Ich frage mich auch immer, wie ernst Routerhersteller Sicherheit nehmen, weil sie nicht die gleichen Funktionen integrieren, wie die in den 2000€ Systemen...
Mehr Komplexität = Mehr Arbeit = braucht mehr Geld
Zuletzt bearbeitet:
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.443
Schöner wärs natürlich, wenn Du stattdessen kompetent mitdiskutieren würdest. ;-)))FranzvonAssisi schrieb:Also bei manchen Kommentaren hier kriege ich die Pimpanellen...
Soll Microsoft nicht so viel Quark machen, dann braucht man auch nicht zu kiritisieren. :-)FranzvonAssisi schrieb:Hauptsache meckern. Microsoft dies, Microsoft das, Microsoft hier, Microsoft dort.
Exakt. Steht doch auch so da.FranzvonAssisi schrieb:PS: Achso, du meintest Editionen -
Gut. Das verschiebt das ja bloß. Dann stellt sich halt die Frage, warum Hyper-V nicht in der Home-Edition ist.FranzvonAssisi schrieb:Hier liegt das einfach an Hyper-V. Ohne Hyper-V kein Emulieren / Sandbox...
Übrigens: Die angesprochenen Software-Restriction-Policies gibts ja durchaus auch in der Home-Variante. Nur sind sie halt nicht zugänglich, weil keine Oberfläche mitgeliefert wird. Man muss dann also auf wüste Registry-Hacks zurückgreifen bzw. man ist genötigt auf Drittprogramme zurückzugreifen.
Wir reden hier über Security-Basics (da ist sogar eher der Defender verzichtbar). Das ist ja nun nix Neues. Andere Betriebssystemhersteller bieten das schon seit Ewigkeiten an.FranzvonAssisi schrieb:Ich frage mich auch immer, wie ernst Routerhersteller Sicherheit nehmen, weil sie nicht die gleichen Funktionen integrieren, wie die in den 2000€ Systemen...
Das wäre genauso, als wenn Microsoft heute ein Auto herausbringen würde aber mit der Ansage:
Knautschzone, Airbag usw. gibts nur gegen Aufpreis.
Die sollen die die Komplexität senken und nicht erhöhen.FranzvonAssisi schrieb:Mehr Komplexität = Mehr Arbeit = braucht mehr Geld
cbtestarossa
Fleet Admiral
- Registriert
- Okt. 2011
- Beiträge
- 10.401
Meist ist es wirklich so dass MS Tools schwierig zu verstehen und zu managen sind.
EMET war da mal eine Ausnahme die ich für bedienbar ansehe.
Ich schätze mal die MS Entwickler haben einfach eine andere Denke als ein normaler Anwender.
Dinge die nicht selbsterklärend sind, sind meiner Meinung nach am Kunden vorbei entwickelt.
p.s. Warum kann man eigentlich noch immer nicht ganz einfach einem Programm gewisse Kerne zuordnen?
EMET war da mal eine Ausnahme die ich für bedienbar ansehe.
Ich schätze mal die MS Entwickler haben einfach eine andere Denke als ein normaler Anwender.
Dinge die nicht selbsterklärend sind, sind meiner Meinung nach am Kunden vorbei entwickelt.
p.s. Warum kann man eigentlich noch immer nicht ganz einfach einem Programm gewisse Kerne zuordnen?
new Account()
Banned
- Registriert
- Mai 2018
- Beiträge
- 7.198
Definiere normaler Anwender (welcher btw. Nicht die Zielgruppe von diesem Feature ist)cbtestarossa schrieb:andere Denke als ein normaler Anwender
Braucht das ein normaler Anwender?cbtestarossa schrieb:Warum kann man eigentlich noch immer nicht ganz einfach einem Programm gewisse Kerne zuordnen?
Zuletzt bearbeitet:
cbtestarossa
Fleet Admiral
- Registriert
- Okt. 2011
- Beiträge
- 10.401
Seh ich auch so. Und vor allem einfach bedienbar und verständlich ohne 100 Seiten RTFM zu lesen.andy_m4 schrieb:Die sollen die die Komplexität senken und nicht erhöhen.
Falls man das überhaupt wo findet auf den MS Servern.
Zielgruppe ist jeder User. Es geht hier um Sicherheit.new Account() schrieb:Definiere normaler Anwender (welcher btw. Nicht die Zielgruppe von diesem Feature ist)
Ob du das brauchst ist irrelevant. Ich brauch es und andere auch.new Account() schrieb:Braucht das ein normaler Anwendungsfall?
Ansosten gäbe es nicht ProzessLasso o.ä.
Es ist einfach lachhaft so etwas nicht in einem OS vorzufinden,
aber dafür sinnlosen Krimskrams reinballern wo es ein normaler Download auch täte.
Zuletzt bearbeitet:
new Account()
Banned
- Registriert
- Mai 2018
- Beiträge
- 7.198
Wenn das aus Sicht Von MS so wäre, wäre es in Der Home Version.cbtestarossa schrieb:Zielgruppe ist jeder User.
EDIT:
Als würde ein 0815 User überhaupt die Intuition haben, die Sandbox sinnvoll zu nutzen.
Kann ich mir jedenfalls in meinem Umfeld nicht vorstellen.
Zuletzt bearbeitet:
y33H@
Fleet Admiral
- Registriert
- Apr. 2006
- Beiträge
- 25.665
"Außerdem muss die installierte Windows-Version zumindest Windows 10 Pro oder Windows 10 Enterprise sein."new Account() schrieb:Golem meinte, dass nur enterprise die Sandbox bekommt würde.
Gut zu Wissen, dass Pro das Feature auch bekommt.
https://www.golem.de/news/windows-1...rderungen-fuer-sandbox-modus-1812-138323.html
new Account()
Banned
- Registriert
- Mai 2018
- Beiträge
- 7.198
Faust II
Banned
- Registriert
- Okt. 2016
- Beiträge
- 1.170
Wieso wusste ich das?..Vorausgesetzt werden Windows 10 Pro oder Windows 10 Enterprise, Windows 10 Home bekommt die Sandbox nicht
Einfach z.B Comodo Internet Security installieren, da gibts auch ne Sandbox, kostenlos, für jeden.
Rechtsklick "In Sandbox ausführen", keine VM oder irgendwas notwendig.
cbtestarossa
Fleet Admiral
- Registriert
- Okt. 2011
- Beiträge
- 10.401
MS sieht vieles anders als der gemeine User. Darum hagelt es auch ständig Kritik.new Account() schrieb:Wenn das aus Sicht Von MS so wäre, wäre es in Der Home Version.
Und leider sind auch scheinbar Linux oder Firefox Entwickler immunisiert.
Naja wenn das automatisch sinnvoll laufen würde dann bekämen sie das gleich gar nicht mit.new Account() schrieb:Als würde ein 0815 User überhaupt die Intuition haben, die Sandbox sinnvoll zu nutzen.
Kann ich mir jedenfalls in meinem Umfeld nicht vorstellen.
Man könnte ja auch eine Liste anlegen so wie in EMET.
Das bräuchten die User halt dann nur einmal aktivieren und gut ist.
Oder man erstellt eine extra Verknüpfung zusätzlich für.
So wie PortableApps Menü.
Machbar ist vieles.
new Account()
Banned
- Registriert
- Mai 2018
- Beiträge
- 7.198
Und was soll dann alles in Der Sandbox laufen?
Alle Bilder, ausführbaren Dateien, .. ?
Am Ende führt man den Installer Von noch ziemlich beliebten win32 Apps in Der Sandbox aus.
Mit den Problemen einer Whitelist? Blacklist? Will ich gar nicht anfangen...
Sorry seh ich etwas nicht?
Alle Bilder, ausführbaren Dateien, .. ?
Am Ende führt man den Installer Von noch ziemlich beliebten win32 Apps in Der Sandbox aus.
Mit den Problemen einer Whitelist? Blacklist? Will ich gar nicht anfangen...
Sorry seh ich etwas nicht?
cbtestarossa
Fleet Admiral
- Registriert
- Okt. 2011
- Beiträge
- 10.401
Dinge die eben geeignet sind isoliert zu laufen, könnten sie direkt in die Sandbox schieben.
Welche das sind weiß MS wohl am besten selbst.
Und die eigenen Anwendungen kann der User dann ja selber noch zusätzlich verwalten und getrennt starten.
Seh da überhaupt kein Problem dabei. Und falls es Probleme geben sollte dann kann er es noch immer nativ starten.
Oder die Sandbox ist so gut konfigurierbar dass es gleich keine Probleme gibt.
Welche das sind weiß MS wohl am besten selbst.
Und die eigenen Anwendungen kann der User dann ja selber noch zusätzlich verwalten und getrennt starten.
Seh da überhaupt kein Problem dabei. Und falls es Probleme geben sollte dann kann er es noch immer nativ starten.
Oder die Sandbox ist so gut konfigurierbar dass es gleich keine Probleme gibt.
Zuletzt bearbeitet:
Ähnliche Themen
- Antworten
- 78
- Aufrufe
- 6.224
- Antworten
- 149
- Aufrufe
- 24.345
S
- Antworten
- 111
- Aufrufe
- 18.157
- Antworten
- 95
- Aufrufe
- 20.224
- Antworten
- 73
- Aufrufe
- 18.252