Vistas Integrity Level, Teil 2
Seite 3: Firefox tiefergelegt
Firefox tiefergelegt
Integrity Levels lassen sich auf beliebige Programme anwenden, die man aus irgendwelchen Gründen für angreifbar oder weniger vertrauenswürdig hält. Um beispielsweise den Web-Browser Firefox "tieferzulegen", öffnen Sie eine Eingabeaufforderung mit Administratorrechten und wechseln in das Programmverzeichnis von Firefox, standardmäßig "C:\Program Files\Mozilla Firefox". Der Befehl
icacls firefox.exe /setintegritylevel low
ändert den Integrity Level der Programmdatei. Um Verzeichnisse für Firefox beschreibbar zu machen, setzt man mit
icacls Verzeichnisname /setintegritylevel (oi)(ci)low
ebenfalls den Integrity Level herunter, wobei die Angabe "(oi)(ci)" die Vererbung auf Dateien und Unterverzeichnisse aktiviert. Firefox benötigt für seine Benutzereinstellungen Schreibzugriff auf das Verzeichnis C:\Users\Name\AppData\Local\Mozilla\Firefox sowie C:\Users\Name\AppData\Roaming\Mozilla\Firefox. Außerdem nutzt Firefox beim Download das temporäre Verzeichnis C:\Users\Name\AppData\Local\Temp. Wenn Sie diesen Verzeichnissen mit Icacls den Integrity Level Low verpassen, läuft der tiefergelegte Firefox reibungslos.
Heruntergeladene Dateien dürfen Sie jetzt natürlich nicht mehr ohne weiteres überall speichern. Es ist daher zweckmäßig, sich ein Download-Verzeichnis mit Integrity Level Low anzulegen und Firefox anzuweisen, alle Downloads dort abzuspeichern (unter Einstellungen auf der Seite Allgemein).
Leider zeigt Vista nach dieser Konfiguration bei jedem Start des Firefox eine Sicherheitswarnung "Möchten Sie diese Datei ausführen?" an, deren Ursache wir noch nicht finden konnten. Durch den Klick auf "Ausführen" startet der Browser aber wie gewünscht mit dem Integrity Level Low.
Ausblick
Das Sicherheitsmodell von Windows Vista bietet interessante neue Möglichkeiten, die Zugriffe wenig vertrauenswürdiger Programme zum Schutz vor Sicherheitslücken auf einfache Weise zu beschränken. Die Zeit wird zeigen, ob und wie es Schädlingen in Zukunft vielleicht doch wieder gelingt, die neu errichteten Hürden zu überwinden.
Tools zum Artikel
- Process Explorer im Software-Verzeichnis
Sysinternals/Microsoft-Tool, das detaillierte Informationen zu allen Prozessen im System anzeigt. - Windows XP Service Pack 2 Support Tools im Software-Verzeichnis
Enthält unter anderem das im Artikel erwähnte Kommandozeilenprogramm whoami.exe - AccessChk im Software-Verzeichnis
Tool von Mark Russinovich zum Überprüfen von Zugriffsrechten, insbesondere zur Anzeige von Integrity Levels. - chml von Mark Minasi im Software-Verzeichnis
Ein Utility zum Umgang mit Integrity Levels.
(bo)