Geschützter Modus für Firefox & Co.

Windows-NT-basierende Systeme boten auch schon bisher eine Vielzahl von Möglichkeiten, um die Rechte von Benutzern und damit der gestarteten Anwendungen zu beschränken. In Windows Vista hat Microsoft mit Mandatory Integrity Control (MIC) einen weiteren Mechanismus eingebaut, der unerwünschte Zugriffe verhindern soll. Beim IE 7 kennen wir ihn als „Geschützten Modus". Sie können den Mechanismus aber für jeden Browser und auch für andere Anwendungen nutzen.

Komfort oder Sicherheit? Das war bei Windows XP eine Frage, die viele Anwender zugunsten des Komforts entschieden haben. Wer häufig neue Software ausprobieren oder am System basteln möchte, will dazu nicht ständig in einen administrativen Kontext wechseln. Arbeitet der Anwender aber ständig als Administrator, sind gerade neue Programme ein Sicherheitsrisiko. Der Ausweg aus diesem Dilemma führt über die Zuweisung eingeschränkter Rechte zu bestimmten Anwendungen und Ordnern. Für Internet Explorer 7 unter Vista ist diese bereits realisiert. Das Programm läuft in einem geschützten Modus, der Schreibzugriffe nur in bestimmten Ordnern erlaubt, beispielsweise in das Temp-, Cache- und Cookies-Verzeichnis. Damit ist es nicht mehr ohne weiteres möglich, über Web-Seiten Sicherheitslücken auszunutzen und unerwünschte Software ohne Zustimmung des Anwenders zu installieren. Für einzelne Sicherheitszonen lässt sich der Schutz bei Bedarf deaktivieren. Die Einstellungen nehmen Sie im IE 7 über „Extras, Internetoptionen" auf der Registerkarte „Sicherheit" vor. Für die Zonen „Internet", „Lokales Intranet" und „Eingeschränkte Sites" ist die Klickbox vor „Geschützten Modus aktivieren" standardmäßig ausgewählt.

So funktioniert der geschützte Modus: Der geschützte Modus des IE 7 wird im Dateisystem über den Integrity Level (deutsch: „Verbindlichkeitsstufe") realisiert. In Vista sind vier Levels definiert: Low, Medium, High und System. Eine Anwendung kann sich immer nur innerhalb ihres Levels und der darunterliegenden bewegen. Läuft ein Programm mit dem Level Low, kann es in Ordner schreiben, die diesen Level ebenfalls besitzen. Da der Standard auf Medium gesetzt ist, sind Zugriffe auf andere Ordner nicht möglich. Gleiches gilt entsprechend auch für andere Objekte, etwa Registry-Schlüssel, Prozesse und Threads.

Weniger Rechte für andere Programme: Das Integrity Level lässt sich auf der Kommandozeile über das Tool Icacls einsehen oder verändern. Darüber lassen sich dann auch andere Browser oder Mailprogramme absichern. Für Firefox verwenden Sie etwa die Zeile

Damit das Programm danach noch auf seine Arbeitsverzeichnisse zugreifen kann, müssen Sie auch noch

eingeben. Das Gleiche wiederholen Sie entsprechend für die Verzeichnisse „%userprofile%\AppDataocal\temp", „%userprofile%\appdata\roaming\mozilla\firefox" und „%userprofile%\downloads\firefox". die parameter „(oi)(ci)" bewirken, dass neu angelegte dateien und ordner den integrity level vom übergeordneten objekt erben. ein datei-download ist danach nur noch in das verzeichnis „%userprofile%\downloads\firefox" möglich, das sie anlegen müssen und in firefox über „extras, einstellungen" auf der registerkarte „allgemein" als speicher-ziel definieren können.

Icacls per Batchdatei anwenden: Auf unserer Web-Site finden Sie unter dem Namen pcwIcacls mehrere Batch-Dateien, die Ihnen den Umgang mit Icacls erleichtern können und einige zusätzliche Funktionen demonstrieren. SecureFirefox.BAT dient zur Absicherung von Firefox und enthält die bereits erwähnten Programmzeilen. Mit CheckAcls.bat prüfen Sie die gesetzten Rechte, mit SaveAcls.BATlassen sich die aktuellen Rechte in Dateien sichern und mit RestoreFirefox.BAT wiederherstellen. Wenn Sie Firefox in einem anderen Verzeichnis installiert haben oder unsere Beispiele auf andere Programme anwenden wollen, müssen Sie die Batch-Dateien entsprechend anpassen.