Hallo allerseits,

ich suche etwas ähnliches wie Sandboxie.
Sandboxie funktioniert zwar eigentlich relativ gut, bzw. noch, da es nicht so aussieht, wie wenn Sophos/Invincea noch viel Entwicklungsinteresse daran hat. Man kann auch seit Monaten keine Lizenz mehr dafür kaufen, es werde aber daran gearbeitet...

Jedenfalls, mit Windows 10 kann das keine .MSI Installer mehr sandboxen, siehe https://www.sandboxie.com/KnownConflicts#Installing%20programs. Die Problemlösung sieht vor Sandboxie einfach während der Installation nicht zu benutzen. Ja klasse, dann kann ichs mir auch gleich sparen.

Effektiv suche ich also etwas, was folgende Schutzziele erfüllt:

Confidentiality: A sei eine nutzergegebene Menge von Dateipfaden. Für jeden Pfad a in A soll gelten: Der Inode für a wird vollständig auf das Sandbox-Dateisystem umgelegt. Jeder Read-Zugriff, der in a liegt, kann daher ausschließlich die Daten im Sandbox-Dateisystem lesen.
Das wäre das gleiche Feature, wie unter Sandboxie "Resource Access > File access > Write-Only Access"

Integrity: Jeder Write-Zugriff auf eine beliebige Datei x wird gesandboxt. Das heißt, dass der Zustand der Datei x auf dem Host-Dateisystem vor und nach dem Zugriff gleich ist. Der neue Zustand befindet sich im Sandbox-Dateisystem.
Das wäre das Kernfeature von Sandboxie, welches für jede Sandbox an ist.

Ich weiß, dass ich das alles mit Virtualisierung bekommen könnte, aber das ist natürlich mit Kosten im Sinne von Performance (auch wenn mein System VT-x und VT-d kann) und Speicherplatz für die VM und Hypervisor verbunden. Wäre auch einfach umständlicher in der Bedienung. Leider gibts bei Windows soweit ich weiß nichts in Richtung OS level virtualization, (also im Sinne von lxc, Docker, Solaris zones usw.) das wäre zumindest ein bisschen leichtgewichtiger.

Vielleicht hat ja jemand einen Tipp, ich freu mich aber auch über Antworten im Sinne von "da wirst du kein Glück haben".

Windows 10 hat doch jetzt eine eigene Sandboxlösung. Inwieweit die deinen Anforderungen entspricht, kann ich aber nicht sagen, da ich keine Erfahrung damit habe.

Sandbox Software verfolgen wir im TB schon seit Jahren nicht mehr wirklich. Auch von sowas wie Sandboxie kann ich nur noch abraten, das Teil erzeugt fast nur noch Probleme, Programme funktionieren nicht richtig etc. pp.

Was soll denn überhaupt der Sinn und Zweck sein, ein Setup in einer Sandbox auszuführen??
Hast du etwa eine Mordsangst vor dieser MSI-Datei hat das damit auch was zu tun, dass du uns deswegen nicht sagen willst, was für ein Installer für welche Software das ist und aus welcher Quelle diese stammt?

@Yatagon
Stimmt, von der hatte ich sogar gelesen und die ist sogar aufgrund von Code-sharing mit dem Host ziemlich leichtgewichtig. Leider erlaubt die halt keine dauerhaften Installationen, sondern startet immer frisch. Ist also höchstens zum Ausprobieren gut.

@Cosinus
Erster Kandidat für sowas wäre der Epic Games Launcher. Das Ding hat sich in der Vergangenheit mehrfach an fremden Dateien vergriffen und kann daher nur als Spyware durchgehen. Aktuell benutze ich ihn nicht, würde es aber mit entsprechender Isolation tun. Epic hat halt einige Exklusivtitel.

Was den Sinn davon generell angeht: Das ist der gleiche Sinn wie der Sinn dahinter, dass es schon so lange Memory Isolation in Betriebssystemen gibt, wie es Betriebssysteme selbst gibt. Schon immer gab es Confidentiality und Integrity als Schutzziele zwischen verschiedenen Adressräumen. Oft gibt es Softwarepannen, wie Buffer Overflows, selten Hardware-Pannen wie Meltdown und Spectre. Jedesmal werden aber penibel Gegenmaßnahmen ergriffen, wenn sowas gefunden wird, denn es verletzt Confidentiality und Integrity.
Wenn es seit Anfang an etwas ähnliches für Dateisysteme gäbe und routinemäßig für alle Programme eingesetzt werden würde, dann würde sich vermutlich die Daseinsberechtigung für die komplette "Malware entfernen" Sektion hier erübrigen.

Und ja, das ist was für jeden: Ich selber schaue nach, woher Software stammt, wer dahinter steckt. Wenn Open-source, dann wird bei Verdacht auch mal selbst kompiliert. Ich hatte noch nie Malware aufgrund von eigenem Verschulden, soweit ich das beurteilen kann.
Dennoch gab es einmal den Fall: 2015 wurden die puush update server gehackt. Dank automatischem Update kam die Malware auch auf mein System. War damals nicht allzu wild, aber das hätte auch anders ausschauen können.

Wenn es dir um Gaming und/oder Bastelei geht, würde ich mir an deiner Stelle überlegen einen zweiten Rechner anzuschaffen.
Dann hast Du Produktiv- und Bastelsystem sauber physikalisch getrennt.
Es gibt keine Sandbox, aus der man nicht potentiell rauskommt. 100%ige Sicherheit gibt es nicht.

Das hab ich sowieso noch nie verstanden. Die Leute machen einen Hallas und Riesenaufriss von Aufwand wo es doch ein einfaches wäre, das alles in normalen günstigen Office-PC oder Notebook und Gaming-Rechner zu trennen. Aber nein man muss ja alles mit Gewalt auf eine Mühle unterbringen.

Tatsächlich habe ich auch einen Laptop im Einsatz, um mobil weiter zu arbeiten. Hier am Desktop habe ich aber schlichtweg die bessere Tastatur, Bildschirm und mehr Rechenleistung.
Ohnehin würde so eine physische Trennung, dann n Rechner für n zu isolierende Programme notwendig machen, wenn ich mein angestrebtes Schutzziel so umsetze/umsetzen würde.

Aber danke für die Antworten bisher, vielleicht reicht mir auch einfach eine parallele Betriebssysteminstallation, dann wahrscheinlich ein Debian-Derivat.

@cosinus: Du ziehst da die falschen Schlüsse, einen riesen Aufwand mache ich nicht. Ich hatte Sandboxie kurz getestet, bin auf das Problem gestoßen, aber das war erstmal ein Vorbild für eine formal spezifizierte Vorstellung, wie das aussehen könnte. Ich hab ja auch fast damit gerechnet, dass ich da kein Glück habe, außer ich implementier sowas selbst. Naja, vermutlich werde ich das nicht anfangen.

Sry, so richtig kann ich Deine Anfrage nicht versatehen. Da musst Du schon mal mehr posten.

Wie groß der Aufwand ist/war, mag vllt jeder anders beurteilen, aber du hast doch schon einige Zeit in Recherche und Versuche gesteckt möchte ich wetten.

Also wenn ich einen deraritigen Daddelrechner mit den heutigen Spielen haben möchte, dann würde ich den auch nur dafür nehmen, wenn der ausfällt oder herumspinnt wäre das nicht weiter schlimm weil ich dann ja nur nicht mehr spielen könnte, aber das wichtige, nämlich meine Arbeit, könnte ich am Office-PC noch erledigen. Und wenn mal was am Gamer-PC nicht geht oder Windows rumspinnt kann ich auch mal eben alles formatieren und neu machen. Trotz Backup hätte ich beim Office-PC damit mehr gedankliche Probleme.

Mir bleibt unklar, was du eigentlich erreichen willst. Wenn man dich weiterdenkt, musst du eigentlich jedes Programm einzeln sandboxen. Der Aufwand dafür stünde mMn in keinem Verhältnis zum Nutzen. Wenn es nicht sogar technisch unmöglich ist. Eine Kompromittierung ist immer denkbar, auch bei Software aus vermeintlich sicherer Quelle. Nur die Wahrscheinlichkeiten dafür variieren.
Wenn du neue Software unbedingt testen willst, mach entweder vorher Backups bzw. Snapshots und mach bei Bedarf einen Rollback oder teste vorher in einer VM.