ComputerBase Menü
Aktuelles

Lesezugriff auf Verzeichnis für Programme verbieten

tidus1979 schrieb:
Ich kann das Anliegen schon nachvollziehen. Es wäre durchaus praktisch, Freigaben so frei je nach Anwendung konfigurieren zu können. Es gibt dem User das Gefühl, selbst die Kontrolle zu haben.

Bei macOS gibt es das ja rudimentär, zumindest für Apps, die nicht aus dem App-Store kommen. Da würde ich mir auch wünschen, dass man das bei Bedarf noch feiner steuern kann.

Anhang anzeigen 1176354
Zum Vergrößern anklicken....
Danke für das Verständnis :)
Bei dem Whitelisting-Ansatz gefällt mir die Einfachheit.

Ich habe mich auch etwas mit Hardcore-Trojanern wie Emotet beschäftigt und in dem Kontext wurde Whitelisting ebenfalls von Beratern empfohlen. Unveränderbare Backups sind aber besser, aber das führt zu weit weg jetzt.
 
Ist mehr ein Schuss ins Blaue, aber GPOs sollten das vermutlich können:
https://www.lepide.com/how-to/assign-permissions-to-files-folders-through-group-policy.html
Ich finde dein Anliegen übrigens sehr nachvollziehbar, ich kann keinen Grund sehen, warum alle Programme auf die ganze Festplatte zugreifen können sollten.

Abe81 schrieb:
Mit Linux wärst du da besser aufgestellt…
Zum Vergrößern anklicken....
Da müsste er das doch genau so machen wie unter Windows, also einen neuen Benutzer erstellen und die Rechte seines Dateisystems anpassen (z.B. o-r bzw. 640 o.ä. setzen).

Ich kann mir vorstellen, dass sich das Problem mit Windows GPOs besser lössen lässt, leider kenne ich mich nicht gut damit aus.
 
BeBur schrieb:
Ist mehr ein Schuss ins Blaue, aber GPOs sollten das vermutlich können:
https://www.lepide.com/how-to/assign-permissions-to-files-folders-through-group-policy.html
Ich finde dein Anliegen übrigens sehr nachvollziehbar, ich kann keinen Grund sehen, warum alle Programme auf die ganze Festplatte zugreifen können sollten.


Da müsste er das doch genau so machen wie unter Windows, also einen neuen Benutzer erstellen und die Rechte seines Dateisystems anpassen (z.B. o-r bzw. 640 o.ä. setzen).

Ich kann mir vorstellen, dass sich das Problem mit Windows GPOs besser lössen lässt, leider kenne ich mich nicht gut damit aus.
Zum Vergrößern anklicken....
Ja, im Grunde geht es nur darum die Angriffsfläche zu minimieren.
Die radikalste Idee dazu ist vielleicht Qubes OS.

Vielen Dank für den Hinweis, ich werde dem Ansatz mit GPOs mal nachgehen!
 
UPDATE:
Nachdem ich nun einige Ansätze getestet habe, hat bisher nur einer zum Erfolg geführt:
  • Panda Dome ab Version Advanced hat einen "Data Shield" mit dem ich den Lesezugriff verzeichnisbezogen und dateiendungsbezogen wie gewünscht einstellen konnte, d.h. nur gewünschte Programme erhalten den Lesezugriff
Folgende Ansätze blieben bislang erfolglos :
  • bordeigene ältere Mittel von Windows (hängen vom Benutzer ab, nicht vom Programm)
  • Controlled Folders von Windows ermöglichen u.a. nicht die gewünschte Auswahl an Programmen
  • Comodo Internet Security hat zwar "Protected Data" usw, ließ sich aber nicht passend konfigurieren
  • Trend Micro hat einen "Folder Shield", entscheidet aber selbst, welche Programme es blockt (s.a. https://helpcenter.trendmicro.com/en-us/article/tmka-09867)
  • Avast One Essential 21.11.2500 (Build 21.11.6809.528) erlaubt zunächst unter Ransomware alles wie gewünscht zu konfigurieren, verhindert aber keinen Lesezugriff (Schreibzugriffe aber gut)
  • Malwarebytes 4.5.2.157: Ransomeware-Schutz nicht wie gewünscht konfigurierbar
Folgende Ansätze verliefen nicht ganz zufriedenstellend :
  • AVG Internet Security 21.11.3215: Über den Punkt "Ransomware-Schutz" konnte ich zwar grundsätzlich alles wie gewünscht erreichen, im Betrieb zeigte sich aber leider häufiger, dass AVG Programme blockiert ohne nachzufragen und obwohl diese noch nicht als "blockierte Apps" definiert wurden. Ich musste dann mühsam manuell nachbessern.
 
Zuletzt bearbeitet:
Führt halt dazu, dass du jetzt ein externes closed source Tool einsetzt, welches sich zwischen alle Applikationen und dem Filesystem einklinkt. Somit hast du jetzt ein Programm, das absolut alles mitliest und dem du jetzt blind vertraust.

Die zweifelhaften Geschäftspraktiken der Pandy Security kannst auf Wikipedia Nachlesen.
Ich halte das was du jetzt hier machst für ziemlich fragwürdig. Du wiegst dich selbst in falscher Sicherheit mMn.
 
  • Gefällt mir
Reaktionen: Abe81
Deswegen auch meine Empfehlung, bei diesem etwas paranoisch anmutenden Vorhaben, Linux zu nutzen. Durch FOSS weiß man genau, was man macht und was man bekommt - man kann es ja überprüfen.
 
  • Gefällt mir
Reaktionen: rg88
rg88 schrieb:
Führt halt dazu, dass du jetzt ein externes closed source Tool einsetzt, welches sich zwischen alle Applikationen und dem Filesystem einklinkt. Somit hast du jetzt ein Programm, das absolut alles mitliest und dem du jetzt blind vertraust.

Die zweifelhaften Geschäftspraktiken der Pandy Security kannst auf Wikipedia Nachlesen.
Ich halte das was du jetzt hier machst für ziemlich fragwürdig. Du wiegst dich selbst in falscher Sicherheit mMn.
Zum Vergrößern anklicken....
Für Deine Aussagen
  • "absolut alles mitliest"
  • "blind vertraust"
  • "falsche Sicherheit"
liegen mir keine Belege vor. Und es ist wohl sinnvoll zumindest etablierten Firmen, die sich mit Sicherheit beschäftigen zu vertrauen. Falls nicht einmal denen, wird es wirklich Paranoia.
Ergänzung ()

Abe81 schrieb:
Deswegen auch meine Empfehlung, bei diesem etwas paranoisch anmutenden Vorhaben, Linux zu nutzen. Durch FOSS weiß man genau, was man macht und was man bekommt - man kann es ja überprüfen.
Zum Vergrößern anklicken....
Ja, wie bereits von mir angemerkt, halte ich Linux prinzipiell auch für eine gute Idee. Wird auch von mir verwendet, aber ich kann leider nicht alles einfach migrieren.

Wegen Paranoia: der Aufwand sollte natürlich vom Nutzen abhängen.
Ich perfektioniere aber auch recht gern :)
Und da ist mir aufgefallen, dass ein Spähprogramm, das sich die neueste Trojaner-Technologie zunutze macht, ein Problem darstellen könnte.
 
Zuletzt bearbeitet:
fkarger schrieb:
liegen mir keine Belege vor
Zum Vergrößern anklicken....
Wenn ein Programm einen Laser zwischen Filesystem und Zugriff einzieht, dann liest es faktisch alles mit. Solches Vorgehen würde eine Heuristik sogar als potentielle Schadsoftware einstufen, Just saying.
Ergänzung ()

fkarger schrieb:
Und es ist wohl sinnvoll zumindest etablierten Firmen, die sich mit Sicherheit beschäftigen zu vertrauen.
Zum Vergrößern anklicken....
Jo, falsche Sicherheit, weil so eine Software potentiell eigene Sicherheitslücken mitbringt
Ergänzung ()

fkarger schrieb:
Falls nicht einmal denen, wird es wirklich Paranoia.
Zum Vergrößern anklicken....
Wenn du mir jetzt Paranoia vorwirfst, weil ich dir aufzeige, dass du deine Argumentation selbst ziemlich ins absurde führst und einfach willkürlich entscheidest, was sicher ist und was nicht, dann bin ich hiermit raus. Ciao
 
rg88 schrieb:
Wenn ein Programm einen Laser zwischen Filesystem und Zugriff einzieht, dann liest es faktisch alles mit. Solches Vorgehen würde eine Heuristik sogar als potentielle Schadsoftware einstufen, Just saying.
Ergänzung ()


Jo, falsche Sicherheit, weil so eine Software potentiell eigene Sicherheitslücken mitbringt
Ergänzung ()


Wenn du mir jetzt Paranoia vorwirfst, weil ich dir aufzeige, dass du deine Argumentation selbst ziemlich ins absurde führst und einfach willkürlich entscheidest, was sicher ist und was nicht, dann bin ich hiermit raus. Ciao
Zum Vergrößern anklicken....
Ich bin an einer freundlichen Sach-Diskussion interessiert, d.h. insbesondere ohne Wertung der teilnehmenden Personen.
Paranoia werfe ich Dir nicht vor, da ich Dich nicht kenne. Ich will damit nur sagen, dass man ab einem gewissen Punkt nicht daran vorbeikommt zu vertrauen. Die Welt ist zu komplex um alles bis ins Letzte selbst zu durchleuchten. Wenn Du allerdings Dinge wie "blind vertraust" schreibst, unterstellst Du mir etwas und wertest mich als Person. Natürlich vertraue ich nicht blind, denn dann würde ich ja wohl kaum diesen Aufwand unternehmen und einfach Windows installieren und fertig.
An einer Wertung als Person habe ich keinerlei Interesse, es hat keine ausreichende Basis und gehört auch nicht hierher. Erfahrungsgemäß führt das speziell im Netz auch nur zu Ärger ohne Wert.

Für mich beschäftigt sich dieser Thread mit einer reinen Sach-Frage.
 
Es geht in meinem Fall um Texte und einen sehr kleinen Kreis von Programmen (einer handvoll), dem ich den Zugriff erlauben möchte. Der Klau der Texte wäre geistiger Diebstahl, den ich verhindern will.
Zum Vergrößern anklicken....
Warum gehst du nicht her und nimmst die besagten Textdokumente von deinem Windows runter und packst die auf einen USB Stick den du nur dann anschliesst, wenn du mit den Textdokumenten arbeiten willst? Dann sind deine Texte nicht permanent Windows und installierten Programmen "ausgesetzt" sondern nur bei Bedarf für einen relativ kleinen Zeitrahmen wenn du den USB Stick anschliesst.
 
purzelbär schrieb:
Warum gehst du nicht her und nimmst die besagten Textdokumente von deinem Windows runter und packst die auf einen USB Stick den du nur dann anschliesst, wenn du mit den Textdokumenten arbeiten willst? Dann sind deine Texte nicht permanent Windows und installierten Programmen "ausgesetzt" sondern nur bei Bedarf für einen relativ kleinen Zeitrahmen wenn du den USB Stick anschliesst.
Zum Vergrößern anklicken....
Ja, das ist definitiv ein Ansatz, ähnlich wie diese Dokumente zeitweise zu verschlüsseln / zu verstecken.

Was mir nur Bauchschmerzen macht ist, dass der Zeitraum, wo Bedarf besteht, bei mir relativ groß ist, sodass auch viel Zeit für eine "Attacke" besteht. Aber die Idee könnte man evtl mit einer Sperre des Ordners kombinieren.
 
Wenn du Angst hast, das deine Textdokumente zum Beispiel Opfer einer Ransomware Attacke werden könnten, dann kannst du ganz leicht dagegen steuern: mach auf externen Medien wie USB Sticks oder USB Festplatten Backups dir wichtiger Dateien und wenn du auf mich hörst, auch Backups von Windows 10 mit zum Beispiel damit: https://www.deskmodder.de/blog/2021/12/16/aomei-backupper-pro-kostenlos-fuer-euch/
Und die USB Sticks und USB Festplatten werden nur dann angeschlossen, wenn du mit denen arbeiten musst.
Aber die Idee könnte man evtl mit einer Sperre des Ordners kombinieren.
Zum Vergrößern anklicken....
Glaubst du etwa eine Sperrung eines Ordners würde vor Verschlüsselung durch Ransomware schützen? vergiss es. Genauso wenig schützt ein Verschlüsseln einer Partition oder einer Festplatte auf deinem PC mit Veracrypt oder ähnlichen Programmen vor Ransomware. Die werden trotzdem von der Ransomware mitverschlüsselt und sind dann für dich verloren.
 
Zuletzt bearbeitet:

Anhänge

  • 4D449EF8-73AD-4380-BE7C-846A09230867.jpeg
    4D449EF8-73AD-4380-BE7C-846A09230867.jpeg
    229,5 KB · Aufrufe: 157
purzelbär schrieb:
mach auf externen Medien wie USB Sticks oder USB Festplatten Backups dir wichtiger Dateien
Zum Vergrößern anklicken....
Ja, das mache ich schon.
Bessere Erfahrungen habe ich dabei übrigens mit Veeam und Macrium Reflect gemacht.

purzelbär schrieb:
Glaubst du etwa eine Sperrung eines Ordners würde vor Verschlüsselung durch Ransomware schützen? vergiss es. Genauso wenig schützt ein Verschlüsseln einer Partition oder einer Festplatte auf deinem PC mit Veracrypt oder ähnlichen Programmen vor Ransomware.
Zum Vergrößern anklicken....
Nein, glaube ich nicht. Ich habe den Unfall von heise mit Emotet genau studiert.
Gegen Hardcore-Ransomware helfen derzeit nur Backups und zwar am besten unveränderliche (WICHTIG !).
Daher habe ich auch welche zB auf optischen Medien.

Die Sperrung der Ordner soll mich vor allem gegen geistigen Diebstahl schützen. Ich möchte also den Lesezugriff behindern.
Ergänzung ()

Abe81 schrieb:
Nur mal so als Hinweis:

https://www.computerbase.de/forum/t...es-beitrags-und-vermeidet-fullquotes.1955416/
Zum Vergrößern anklicken....
Danke, wird ab jetzt besser beachtet.
 
fkarger schrieb:
Panda Dome ab Version Advanced hat einen "Data Shield"
Zum Vergrößern anklicken....
Ich hätte ebenfalls Bauchschmerzen damit bzw. würde es nicht einsetzen. Hersteller solcher Software fallen regelmäßig damit auf, dass sie die Sicherheit des Systems verringern (also das Gegenteil von dem, was sie eigentlich machen sollen).
Darüber hinaus machen sie Systeme regelmäßig langsamer und bringen Fehler ein. Speziell bei so einer Funktion hätte ich da große Bedenken. In paar Monaten/Jahren kannst du dann auftretende Probleme nicht mehr darauf zurück führen, zumal sich viele "Sicherheitssoftware" (afaik) nicht vollständig entfernen lässt (im Sinne von: System ist so, wie es ohne die Software gewesen wäre), weil sie eben sehr tief ins System eingreifen (müssen).

So mit eine Nacht drüber schlafen:
Mach einfach einen Extra-Account "Eingeschränkt" für diese Programme. Entziehe diesem Account die Leserechte für die betroffenen Ordner und dann starte diese Programme einfach mit diesem Nutzer - dafür gibt es diverse Möglichkeiten, siehe z.B. hier. Kannst du so einstellen, dass diese quasi automatisch immer mit dem anderen Nutzer gestartet werden.
Jedenfalls denke ich sollte das zum gewünschten Ergebnis führen, falls Rechemanagement bei Windows nicht grundlagend anders funktioniert als unter Linux. Bei Linux wäre das quasi 1:1 der Weg wie man das umsetzen würde.
 
@BeBur
Deine Einwände sind berechtigt und ich bin mir auch noch nicht sicher für welchen Weg ich mich dauerhaft entscheiden werde. 2 Wege zu haben ist aber auch nicht schlecht :)

Zu den Bauchschmerzen: Meine sind aus 2 Gründen nicht sooo groß. Zum einen ist Panda mit seinem "Data Shield" schon einige Jahre (mind. 4) am Markt, was vielleicht auch der Grund ist, dass es in meinen Tests solide funktioniert hat. Panda ist auch schon häufiger getestet worden.
Zum anderen kann ich mir recht gut vorstellen, wie das implementiert wurde. Ich habe mir die Implementation von Programmen, die wie zB Process Monitor arbeiten, angesehen. Daher könnte ich so ein Programm auch selber schreiben, aber da das erfahrunsgemäß dann oft mehr Zeit verschlingt als man gedacht hat...
Andererseits wäre es evtl noch sicherer, weil dann ein für Angreifer unbekannter Gegner vorläge (unten beschriebene Hightech-Trojaner attackieren auch Antivirus- und Backup-Programme).

Die Idee mit dem Extra-Account will ich auf jeden Fall noch genauer untersuchen. Vorteilhaft ist, dass sie sich mit "meinem" Ansatz nicht beißt. Man könnte also beides machen.
Der Grund, warum ich darauf fokussiert habe Programme durch ein anderes abzuhalten ist folgender:
heise hatte mit Emotet zu kämpfen und bei der Analyse kam heraus, dass die moderneren Trojaner kaum aufzuhalten sind. ZB können einige auch über das Rechtesystem die Rechte anderer Nutzer erlangen, zB so:
https://www.zdnet.de/88376129/trickbot-trojaner-hebelt-benutzerkontensteuerung-von-windows-10-aus/
Ein Spähprogramm käme mit der gleichen Technik also auch wieder an alle Daten.
Daher habe ich nach einer Technik gesucht, die explizit mit Whitelisting arbeitet.
Dein Vorschlag gefällt mir aber dennoch, da er mit "meinem" Ansatz kompatibel ist und auf jeden Fall eine weitere Hürde aufbaut und mehr als Hürden aufstellen kann man ja nicht.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

kim88
Leserartikel Gnome-Projekt: Ein Quantensprung in der digitalen Infrastruktur durch die Finanzierung des Sovereign Tech Fund?
Antworten
14
Aufrufe
1.132
netzgestaltung
netzgestaltung
S
[Kaufberatung] Desktop PC für rechenintensive Poker Solver + Multimedia
2
Antworten
22
Aufrufe
2.325
wrglsgrft
wrglsgrft
root@linux
  • Gesperrt
  • Artikel
Leserartikel Alles über Bitcoin-Core & Installation vom Quellcode
2 3 4
Antworten
61
Aufrufe
22.409
aki
aki
Kaito Kariheddo
  • Artikel
Leserartikel Eigene (Arch) Linux ISO erstellen
Antworten
6
Aufrufe
5.556
Kaito Kariheddo
Kaito Kariheddo
merlin123
Adobe Acrobat DC - PDF zu JPEG Konvertierung schlägt fehl
Antworten
4
Aufrufe
1.972
merlin123
merlin123
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz