Firefox mit eingeschränkten Rechten starten

    Hallo,

    ich hatte mir überlegt, ob es Sinn macht, Firefox (und u.a. auch Thunderbird) mit eingeschränkten Rechten und nicht mehr mit Admin-Rechten zu starten, um auch evtl. Schadprogrammen keine Admin-rechte zu geben. Dazu wollte ich noch allen Ordnern, in die Firefox Daten laden könnte, nur mit Gast-rechten "ausrüsten".

    Geht das mit Firefox zu machen?
    Hat das Sinn oder überschätze ich das ganze? Vielleicht sehr leicht "auszuhebeln", z. B. wenn dazu externe Software nötig ist?
    Welche Ordner sollten denn neben den normalen DL-Ordner eingeschränkt werden? Gibt doch da eine Art Temp-Ordner.

    Äh, ja!
    Es macht sehr Sinn im Internet nur mit eingeschränkten Rechten unterwegs zu sein, auch wenn einige hier das wieder völlig anders sehen werden... :wink:
    Dazu legst du dir einen neuen Benutzer mit eingeschränkten Rechten an und surfst los!
    Das ist aber weniger bis gar kein Firefox und/oder Thunderbird "Problem" sondern eher eins des Betriebssystems.
    Nach dem Computerstart als eingeschränkter Nutzer anmelden und starten!
    Trotzdem den gesunden Menschenverstand nicht ausblenden und die vielzitierte BRAIN.exe immer hübsch mitarbeiten lassen. Ein Virenscanner und eine Firewall sollten installiert sein. Eine Sicherheitssuite a la Kaspersky etc. etc. macht schon mal Probleme!
    Soweit erst mal....

    Zitat von Boersenfeger

    Dazu legst du dir einen neuen Benutzer mit eingeschränkten Rechten an und surfst los!
    Das ist aber weniger bis gar kein Firefox und/oder Thunderbird "Problem" sondern eher eins des Betriebssystems.

    Du meinst jetzt aber einen neuen Benutzer im Windows, kein neues Profil im Firefox, oder?

    Genau das wollte ich ja nicht - weiß schon, dass es besser wäre, sein XP a la Linux nur als eingeschränkter Benutzer anstatt als Admin zu betreten. Ich wollte lieber Windows als Admin betreiben (also eine stinknormale WinInstallation ohne zusätzliche Benutzerkonten) und nur Firefox mit eingeschränkten Rechten betreiben.

    Hab sowas mal in einem Artikel über den LUA-Ansatz gelesen (auch wenn da gleich der Hinweis kam, dass das nicht wirklich dem LUA-Ansatz entspricht).

    btw.
    Firewall und Virenscanner sowie die Brain.exe ist aktiv, ich hatte bisher so gut wie keinen (bemerkten) Virenbefall - und wenn, dann nicht über's www, sondern über ausgetauschte Datenträger.

    Zitat

    Genau das wollte ich ja nicht - weiß schon, dass es besser wäre, sein XP a la Linux nur als eingeschränkter Benutzer anstatt als Admin zu betreten.


    Das ist ja schon mal löblich
    :klasse:

    Zitat

    und nur Firefox mit eingeschränkten Rechten betreiben.


    keine Ahnung, ob das geht... :-???
    sorry!

    Ubuntu 7.10 Gutsy Gibbon, ausprobieren ;) Ich hab auch lange gebraucht aber inzwischen find ich es genial, vor allem wenn jemand meint Aero sei was unglaublich tolles.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

    Myer erfragte Folgendes:

    Zitat

    [...]Genau das, [die Konten-Verfügungen über das jeweils eingesetzte OS] wollte ich ja nicht - weiß schon, dass es besser wäre, sein XP a la Linux nur als eingeschränkter Benutzer anstatt als Admin zu betreten. Ich wollte lieber Windows als Admin betreiben (also eine stinknormale WinInstallation ohne zusätzliche Benutzerkonten) und nur Firefox mit eingeschränkten Rechten betreiben.


    a.Ist definitiv so nicht möglich. Der FF ist als separater Browseraufsatz (auf API-Level) stets auch vom eingesetzten OS-System abhängig, was letztendlich auch seinen Sinn darstellt. Der FF ist daher nicht System selber - das ist eigentlich nur der IE - und selbst dieser ist individuell abhängig von der jeweilis zum Einsatz kommenden Systemkonten-Konfiguration des Windows-OS.

    Deine obige Anfrage könnte somit stets bloss über die zum Einsatz kommenden und zugrundeliegenden OS-Systemrechte selber realisiert werden, da der FF in Bezug auf seine Möglichkeiten von solchen OS-Systemrechten zur Basis hin stets auch immer abhängig sein wird. Es gibt somit keine eigenen Firefox-Rechte, sondern definitiv bloss die allg. OS-Systemrechte, auf die der FF dann letztendlich in Folge aufbauen darf. (Die sog. Hirachie-Verfügungen - in Bezug auf die jeweils eingesetzten OS-Systemkonten-Verfügungen, denen sich der FF (und andere Programme auch) letztendlich immer beugen müssen)).

    Selbst einige "verbogene" (also manipulierte) API-Rückmeldungen durch bereits komprometierte OS-Systeme gegenüber der Anwendungsschnittstelle der Betriebssysteme (z.B. über diverse Rootkits), vermag der FF stets bloss ohne "Eigenkontrolle" vorbehaltlos weiterzuverarbeiten und den Anwender somit in Unklarheit bezüglich Fehlinformationen zu lassen.

    b.Was spricht eigentlich dagegen Dein obiges Anliegen über die Systemmöglichkeiten selber zu regeln?


    O.T. Ganz Naiv ausgedrückt: Sofern Du - hier bloss als Beispiel - vielleicht einmal eine Armee anführen solltest, so wirst Du die "Macht" stets den Generälen vorbehalten müssen und Dich weitgehendst auch über solche Fakultäten informieren müssen, da diese über mehr Wissen und Kenntnisse Deiner Planung selber verfügen - Du wirst dagegen die Entscheidungsfindung Deiner Planung vermutlich niemals in die Hand eines einzelnen Feldwebels legen können - und sei er noch so gut...

    Das genau ist, im übertragenen (hinkenden) Sinne, der Unterschied zwischen den zugrundeliegenden Betriebssystemen und dem Firefox.


    Oliver

    Zitat von Myer


    Genau das wollte ich ja nicht - weiß schon, dass es besser wäre, sein XP a la Linux nur als eingeschränkter Benutzer anstatt als Admin zu betreten. Ich wollte lieber Windows als Admin betreiben (also eine stinknormale WinInstallation ohne zusätzliche Benutzerkonten) und nur Firefox mit eingeschränkten Rechten betreiben.



    Aber genau das geht ja:     Du musst einen weiteren Benutzer anlegen, der nur eingeschränkte Rechte besitzt. An Windows meldest Du Dich weiterhin mit deinem normalen Account mit Admin-Rechten an. Wenn Du Firefox (oder irgendein anderes Programm) nun mit eingeschränkten Rechten starten möchtest, dann klicke mit der rechten Maustaste auf die Verknüpfung zum Programm. Dort müsstest Du (zumindest unter XP Pro) einen Menueintrag "Ausführen als ..." finden. Damit kannst Du das Programm unter anderen Benutzerrechten starten.

    Gruß
    IceMaster

    Gruß
    IceMaster

    [XP Pro SP2/Firefox 2.0.x]

    Zitat

    Dort müsstest Du (zumindest unter XP Pro) einen Menüeintrag "Ausführen als ..." finden.


    Auch unter XP Home...

    Aber ob dann trotzdem der Firefox kein Zugriff auf System-Dateien nehmen kann, wenn er so gestartet wird?
    Ich verstehe nicht, warum der Thread-Ersteller nicht mit eingeschränkten Rechten surfen will und ggf. auf obige Art und Weise andere Programme startet....?

    Boersenfeger

    Zitat


    Auch unter XP Home...


    Danke für den Hinweis!

    Zitat

    Aber ob dann trotzdem der Firefox kein Zugriff auf System-Dateien nehmen kann, wenn er so gestartet wird?


    Das hängt von den jeweiligen Verzeichnis- bzw. Dateiberechtigungen der Systemverzeichnisse bzw. Systemdateien ab. Diese lassen sich ja analysieren. Nach der Systeminstallation sind diese Berechtigungen aber grundsätzlich sinnvoll vergeben, so dass hier keine Probleme auftreten dürften. Grundsätzlich macht es aber Sinn, die Verzeichnisberechtigungen manuell zu überarbeiten. Z.B. das "C:\Programme" Verzeichnis, aber auch andere, sollten so eingestellt werden, dass einem Nutzer ohne Administrator-Berechtigungen Schreibzugriffe verweigert werden. Allerdings sind viele Programme leider so dilettantisch geschrieben, dass sie Konfigurations- oder Datendateien im "Programme" Verzeichnis anstatt im entsprechenden "Benutzer"-Verzeichnis ablegen.


    Zitat


    Ich verstehe nicht, warum der Thread-Ersteller nicht mit eingeschränkten Rechten surfen will und ggf. auf obige Art und Weise andere Programme startet....?


    Erklären kann ich mir das schon. Es gibt einfach Programme bzw. Arbeiten am PC, die Administrator-Rechte erfordern. Teils berechtigt, teils aber auch unberechtigt (s.o.).

    LG
    IceMaster

    Gruß
    IceMaster

    [XP Pro SP2/Firefox 2.0.x]

    Zitat

    Erklären kann ich mir das schon. Es gibt einfach Programme bzw. Arbeiten am PC, die Administrator-Rechte erfordern. Teils berechtigt, teils aber auch unberechtigt (s.o.).


    Das ist mir schon klar, :wink:
    Genau diese Programme kann er ja dann so

    Zitat

    Dort müsstest Du (zumindest unter XP Pro) einen Menueintrag "Ausführen als ..." finden.


    starten!

    IceMaster stellte Folgendes dar:

    Zitat

    [...]Aber genau das geht ja: [Anm. Firefox-Anmeldung mit eingeschränkten Rechten]. Du musst einen weiteren Benutzer anlegen, der nur eingeschränkte Rechte besitzt.[...] Dort müsstest Du (zumindest unter XP Pro) einen Menueintrag "Ausführen als ..." finden. Damit kannst Du das Programm unter anderen Benutzerrechten starten


    Eine einschränkende RunAs-Verfügung (wie Du sie oben erwähntest), in Bezug auf den FF und zwar mit liberal offen gehaltenen System-Admin-Rechten ist, meiner Ansicht nach, unter XP ungefähr vergleichbar mit einem Tor auf einer Wiese - nur ohne Zaun...

    Bezüglich Deiner Version wird ja jeder Task, der auf Deinem Rechner zur Ausführung gebracht werden kann, somit auch die gleichen Rechte wie der angemeldete Nutzer erhalten (also Admin). Somit werden dann bloss nur die FF-Rechte selber eingeschränkt werden können - was definitiv bezüglich des Surfens im I-Net unter XP mehr als eine schlechte Idee darstellt.

    Eine u.U. ausnutzbare Sicherheitslücke des FF´s würde somit nach Deiner (IceMasters) Darstellung stets auch immer systemübergreifend kompromittierend wirken können.

    IceMaster erklärte darüberhinaus Folgendes:

    Zitat

    [...]Grundsätzlich macht es aber Sinn, die Verzeichnisberechtigungen manuell zu überarbeiten. Z.B. das "C:\Programme" Verzeichnis, aber auch andere, sollten so eingestellt werden, dass einem Nutzer ohne Administrator-Berechtigungen Schreibzugriffe verweigert werden[...]


    Ist das nicht ein bisschen umständlich? Welche Ordner willst Du denn genau absichern? Trojaner schreiben i.d.R. auch nicht in die Programm-Ordner. Wie verhälst Du Dich darüberhinaus, sofern ein eingeschleustes Rootkit über unautorisierte Registry-Zugriffe auf Deinem System ein verstecktes Verzeichniss anzulegen vermag?

    Nochmal - den FF bloss innerhalb einer RunAs Arbeitsumgebung auszuführen - ist meiner Ansicht nach - mehr als eine schlechte Idee.


    Oliver

    Ich will nun das Problem einmal genauer erklären. Das ganze soll auf meinem Notebook eingerichtet werden, welches ich sowohl privat als auch dienstlich im Außendienst nutze. Wir haben für den vertrieb der Produkte ein Programm, welches gelinde ausgedrückt eine Zumutung ist, aber auf das wir nicht verzichten können. Neben der Handhabung ist auch das Ausführen in einem nicht-Admin-Konto ein Problem. Selbst "Ausführen als" Admin in einem beschränkten Konto läuft nicht.

    Hintergrund: Mein AG hat einen Exklusivvertrag mit einem Softwareunternehmen. Wir stellen gerade einen riesigen Teil der IT auf neue Software um und das IT-Unternehmen hat da ca. 80% der Mitarbeiter konzentriert. Die restlichen 20% sind u.a. für o.g. Programm zuständig - diese 20% sind nun schon durch die einfache Anzahl der Ändeurngsvorschläge überfordert - außerdme wurden logischerweise die besten für das große Projekt eingeplant. Folge: Es wird sich nichts ändern.

    Zitat von Oliver222

    b.Was spricht eigentlich dagegen Dein obiges Anliegen über die Systemmöglichkeiten selber zu regeln?

    siehe oben.

    Zitat von IceMaster

    Aber genau das geht ja: Du musst einen weiteren Benutzer anlegen, der nur eingeschränkte Rechte besitzt. An Windows meldest Du Dich weiterhin mit deinem normalen Account mit Admin-Rechten an. Wenn Du Firefox (oder irgendein anderes Programm) nun mit eingeschränkten Rechten starten möchtest, dann klicke mit der rechten Maustaste auf die Verknüpfung zum Programm. Dort müsstest Du (zumindest unter XP Pro) einen Menueintrag "Ausführen als ..." finden. Damit kannst Du das Programm unter anderen Benutzerrechten starten.

    Diese Möglichkeit hatte ich noch nicht bedacht, werde ich mal versuchen. Über Ausführen als ist es wohl nur dann möglich, Fx mit eingeschränkten Rechten zu starten, wenn auch ein solches eingeschränktes Konto in XP eingerichtet wurde, auch wenn es derzeit nicht aktiv ist? Dachte mit einer Admin-Anmeldung wäre es auch möglich, ein Programm "einfach so" mit eingeschränkten rechten zu starten.

    edit:
    Den heutigen Beitrag von Oliver hab ich noch gar nicht gelesen, muss ich dann mal machen, hoffe er hat jetzt meinen Ausführungen hier nicht schon widersprochen.

    Zitat von Oliver222

    Eine einschränkende RunAs-Verfügung (wie Du sie oben erwähntest), in Bezug auf den FF und zwar mit liberal offen gehaltenen System-Admin-Rechten ist, meiner Ansicht nach, unter XP ungefähr vergleichbar mit einem Tor auf einer Wiese - nur ohne Zaun...

    Bezüglich Deiner Version wird ja jeder Task, der auf Deinem Rechner zur Ausführung gebracht werden kann, somit auch die gleichen Rechte wie der angemeldete Nutzer erhalten (also Admin). Somit werden dann bloss nur die FF-Rechte selber eingeschränkt werden können - was definitiv bezüglich des Surfens im I-Net unter XP mehr als eine schlechte Idee darstellt.

    Eine u.U. ausnutzbare Sicherheitslücke des FF´s würde somit nach Deiner (IceMasters) Darstellung stets auch immer systemübergreifend kompromittierend wirken können.

    Mir ist noch nicht ganz klar, was du meinst: Zielst du darauf ab, dass ein FF mit eingeschränkten Rechten, der ein Schadprogramm durchlässt absolut nichts bringt, weil wenn das Programm auf dem rechner ist, dieses genauso wie der Benutzer Admin-Rechte hat?

    Wenn ich jetzt z. B. alle Downloads (und über sowas würde ja ein Schadprogramm ins System gelangen) in einen bestimmten Ordner speichere und diesem Ordner nur Gast-Rechte einräume, sollte doch auch das Virs lediglich Gast-Rechte haben oder liege ich hier falsch?

    Myer erfragte:

    Zitat

    [...]Zielst du darauf ab, dass ein FF mit eingeschränkten Rechten, der ein Schadprogramm durchlässt absolut nichts bringt, weil wenn das Programm auf dem Rechner ist, dieses genauso wie der Benutzer Admin-Rechte hat?

    Genau richtig erkannt...

    Myer fragte darüberhinaus:

    Zitat

    Wenn ich jetzt z. B. alle Downloads (und über sowas würde ja ein Schadprogramm ins System gelangen) in einen bestimmten Ordner speichere und diesem Ordner nur Gast-Rechte einräume, sollte doch auch das Virs lediglich Gast-Rechte haben oder liege ich hier falsch?

    Teilweise richtig, was infizierte Programm-Downloads angeht, sofern sie in diesem Ordner verbleiben und Du genau weisst was Du tust (Keine aut. Installation solcher Programme). Es gilt jedoch trotzdem die letzte noch mögliche Instanz auszuschalten, über die Dein System im Endeffekt infiziert werden könnte. Dein OS müsste somit dahingehend abgesichert sein, dass ein von aussen "einwirkendes Programm" (über einen wie auch immer gearteten Browser / (also durch infizierte Webseiten - oder auch über infizierte Programm-Downloads) nicht schreibend auf Dein lokales Betriebssystem zugreifen darf. Ein Download-Ordner mit blossen Gast-Rechten könnte - meiner Ansicht nach - dem dagegen nicht gerecht werden, da Du Dir eigentlich niemals sicher sein kannst, wo sich genau ungewollt eingeschleuste Malware auf Deinem System "verewigen" könnte. Es gilt somit immer, das zugrundeliegende Betriebssystem selber abzusichern.

    Meyer erklärte in der Vergangenheit (Mi, 06. Feb 2008 16:51):

    Zitat

    Hintergrund: [...]Wir stellen gerade einen riesigen Teil der IT auf neue Software um und das IT-Unternehmen hat da ca. 80% der Mitarbeiter konzentriert. Die restlichen 20% sind u.a. für o.g. Programm zuständig - diese 20% sind nun schon durch die einfache Anzahl der Änderungsvorschläge überfordert - außerdem wurden logischerweise die besten für das große Projekt eingeplant. Folge: Es wird sich nichts ändern.

    Ich kenne Euer Incident-Respond-Team (Notfall-Plan) zwar nicht, aber erkläre uns doch noch einmal in kurzen Worten, wo die Problematik bei Euch wirklich liegt, denn aus Deinem Gesagtem wird - meiner Ansicht nach - ganz bestimmt keiner der hier virtuell Anwesenden so richtig schlau...

    Sofern sich Euer(e) Programm(e) nicht innerhalb einer "Run-As-Verfügung" aus einer reduzierten Arbeits-Umgebung heraus starten lässt/lassen, könnte es sich u.U. auch als hilfreich erweisen, diese(s) Programm(e) in den allg. Ordner Gemeinsame Dokumente zu installieren (C:\Dokumente und Einstellungen\All Users\Dokumente\"Name von Programm"). Den Pfad schon während der Installation im InstallShield Assistenten abändern. Anschliessender erstmaliger Start mit Admin-Rechten.


    Oliver

    Zitat von Oliver222

    Teilweise richtig, was infizierte Programm-Downloads angeht, sofern sie in diesem Ordner verbleiben und Du genau weisst was Du tust (Keine aut. Installation solcher Programme). Es gilt jedoch trotzdem die letzte noch mögliche Instanz auszuschalten, über die Dein System im Endeffekt infiziert werden könnte. Dein OS müsste somit dahingehend abgesichert sein, dass ein von aussen "einwirkendes Programm" (über einen wie auch immer gearteten Browser / (also durch infizierte Webseiten - oder auch über infizierte Programm-Downloads) nicht schreibend auf Dein lokales Betriebssystem zugreifen darf. Ein Download-Ordner mit blossen Gast-Rechten könnte - meiner Ansicht nach - dem dagegen nicht gerecht werden, da Du Dir eigentlich niemals sicher sein kannst, wo sich genau ungewollt eingeschleuste Malware auf Deinem System "verewigen" könnte. Es gilt somit immer, das zugrundeliegende Betriebssystem selber abzusichern.

    1.) Ich entnehme mal deinem geschriebenen, dass ein Schadprogramm, welches der Firefox in einen Ordner mit Gast-Rechten schreibt erstmal nichts kaputt machen kann, solange es unangetastet in diesem Ordner verbleibt.
    2.) Nun sollte sich doch ermitteln lassen, in welche Verzeichnisse FF normalerweise (also in der Standardkonfiguartion) Daten schreibt. Diese Ordner (zusammen mit dem "Download-Ordner") erhalten Gast-Rechte. Wie kann es denn nun passieren, dass sich ein Schafprogramm in einen Ordner schreibt, in Firefox normalerweise nicht nutzt? Hier könnte man doch das entsprechende Benutzerkonto, über welches FF gestartet wird (Ausführen als ...), so anpassen, dass es nur Schreibrechte in die entsprechenden für FF wichtigen Ordner hat (Profile-Ordner, Download-Ordner).

    Dann dürfte meinem Verständnis nach nichts mehr passieren. Wenn ich mich irre, bitte ich um Aufklärung.

    Zitat von Oliver222

    ... erkläre uns doch noch einmal in kurzen Worten, wo die Problematik bei Euch wirklich liegt ...

    Wir nutzen ein für die Firma wichtiges Programm, welches unzureichend programmiert wurde und dadurch nur mit Admin-Rechten läuft. Auch start mit Ausführen als ... über ein Konto mit Admin-Rechten geht nicht. Die Gründe liegen im Zeitdruck, unter dem das Programm geschrieben wurde, begründet. Personal, das Problem zu beheben stehen keine zur Verfügung (weil halt 80% der Programmierer für andere Projekte abgezogen wurden und der Rest hoffnungslos überfordert ist). Aus diesem Grund, muss zwingend ein Konto mit Admin-Rechten laufen. Alle Systeme die besagtes Programm nicht nutzen, haben keine Admin-Rechte.

    Meyer stellte in der Vergangenheit dar: (Do, 31. Jan 2008 17:23)

    Zitat

    [...] Ich wollte lieber Windows als Admin betreiben (also eine stinknormale WinInstallation ohne zusätzliche Benutzerkonten) und nur Firefox mit eingeschränkten Rechten betreiben.

    Myer erklärte später anschliessend: (Do, 14. Feb 2008 18:29)

    Zitat

    [...]Alle Systeme die besagtes Programm nicht nutzen, haben keine Admin-Rechte.

    Ist das nicht ein Wiederspruch? Ich kenne kein einziges System, welches es dem Nutzer aus einer bereits aktiven Admin-Umgebung heraus ermöglicht, einzelne Programme mit reduzierten Rechten zur Anwendung zu bringen. Umgekehrt wird eigentlich eher ein Schuh daraus - aber ich lerne auch nicht aus ;)

    Soweit ich Dich richtig verstanden hatte, kommt bei Euch der FF innerhalb eines dezentralen Firmen-Netzwerks (VPN) zur Anwendung. In so einem Falle müssten bei Euch somit eigentlich auch "übergeordnete" administrative Regeln dahingehend greifen, dass bereits im Vorfeld eingeschleuste Malware nicht aus dem Netzwerk heraus "wirken" und somit Schaden anrichten könnte. (z.B. durch Firewall/Router/Block-Selektoren, etc.).

    Myer stellte Folgendes dar:

    Zitat

    [...]ich entnehme mal deinem geschriebenen, dass ein Schadprogramm, welches der Firefox in einen Ordner mit Gast-Rechten schreibt erstmal nichts kaputt machen kann, solange es unangetastet in diesem Ordner verbleibt.


    Richtig soweit - Vergesse dabei jedoch nicht, dass in Deinem/Eurem speziellen Falle der FF u.U. genau dann als ein Einfallstor für Malware fungieren könnte, wenn dieser (und andere Browser auch) über einen bewussten Integer-Overflow (also z.B. durch manipulierte Programm-Routinen innerhalb infizierter Webseiten) zum Absturz gebracht werden könnte, und es somit in Konsequenz möglich wäre, durch so ein indirektes "Push-Verfahren" schadhaften Programm-Code in Dein/Euer System/Netzwerk einzuspeisen. In so einem Fall wäre es auch unerheblich, ob Du die FF-Ordner im Vorfeld bereits "tiefergelegt" hattest, da stets das zugrundeliegende Betriebssystem als letzte Instanz dafür verantwortlich wäre, solche "schreibenden Verfügungen" durch "fehlerhafte" Anwendungen zu verhindern. Eigentlich dürfte das jedoch in Eurer Firma kein Thema sein...


    Oliver