www.MegaLab.it

[Pulcepiccola]

Carissimi,

avrei bisogno, cortesemente, di un chiarimento

Allora ho provveduto ad "alleggerire" il mio notebook ( SO Windows XP Home SP3 con 512 Mb di Ram) togliendo CIS firewall e Avira e va molto meglio. Ho installato Sandboxie e quando navigo uso al momento Firefox( in attesa di utilizzare un browser più leggero in termini di RAM) sandboxato. La domanda è questa: Se uso Firefox all'interno della sandboxie posso, contemporaneamente, "emetizzare" i relativi processi firefox.exe ed plugin-container.exe? Oppure l'utilizzo di Sandboxie esclude Emet?

mille



Pp

[The Walking Dead]

Ciao.
Sandboxie racchiude l'applicazione desiderata (in questo caso Firefox, personalmente consiglio Chrome, ma non ricordo le specifiche del tuo pc) all'interno di un area virtuale, che successivamente sarà possibile eliminare.

Emet sostanzialmente riduce la superficie di attacco dell'applicazione sotto la sua supervisione.
I due software possono essere usati insieme.

Nel caso un malware tentasse di sfruttare una falla in Firefox sulla quale sia Sandboxie sia EMET possono intervenire, dovrebbe semplicemente accadere questo, in ordine...

1)EMET interviene ed evita l'infezione, per esempio terminando il processo di Firefox.
In questo primo caso, l'area virtuale non conterrà malware.

2) EMET interviene e mitiga solamente gli effetti del malware, senza impedire del tutto l'infezione.
In questo caso, basterà svuotare l'area virtuale.

3) EMET non interviene (per esempio perché bypassato).
In questo caso il malware, sarà all'interno dell'area virtuale creata da Sandoboxie, e il tuo pc sarà comunque protetto, essendo sufficiente svuotare quest'ultima.

In sostanza anche nel caso EMET dovesse fallire, il malware resterebbe comunque confinato all'interno dell'area virtuale.

[nix87]

Confermo quello sopra detto da The Walking Dead.

Anch'io, sotto Windows, uso Sandboxie (anche) per il browser ed allo stesso tempo i processi relativi al browser sono emet-izzati;
il tutto in piena compatibilità

Se posso darti dei consigli, ti suggerirei:
- di impostare Sandboxie in modo tale da impedire l'accesso a directory sensibili del sistema;
- di dotare il browser con qualche estensione per il blocco di siti malevoli.

[Pulcepiccola]

mille Nix87 e The walking dead,

e buon weekend

Pp

[Pulcepiccola]

Confermo quello sopra detto da The Walking Dead.

Anch'io, sotto Windows, uso Sandboxie (anche) per il browser ed allo stesso tempo i processi relativi al browser sono emet-izzati;
il tutto in piena compatibilità

Se posso darti dei consigli, ti suggerirei:
- di

impostare Sandboxie in modo tale da impedire l'accesso a directory sensibili del sistema;

- di dotare il browser con qualche estensione per il blocco di siti malevoli.

Ciao Nix87, dimenticavo,
ma per

impostare Sandboxie in modo tale da impedire l'accesso a directory sensibili del sistema;

qual è la procedura da fare,passo-passo?
Ho appena installato l'ultima versione di Sandboxie e sto imparando adesso ad utilizzarlo. Ho tolto tutto antivirus e firewall perché il mio notebook è abbastanza old( SO Windows XP Home SP3 e 512 Mb di Ram)

ancora e buon fine settimana

Pp

[sampei.nihira]

Qualche consiglio (forzato):

1) Chrome sarà sempre lento in quel pc.
Potrebbe andare un po' meglio usato senza alcuna estensione + parametri riga comando che impostano i processi singoli,tab....ma ci si avventura in terre ignote meglio cambiare browser.

2) Le cose più importanti da fare con sandboxIE è quella di impostare (da subito) poi successivamente si provvederà in un secondo momento:

a) La limitazione dei diritti.
b) Abilitare per alcune specifiche cartelle il recupero veloce (altrimenti diventi matto).
c) Eliminare il contenuto dell'area virtuale in automatico all'uscita.
d) Consentire l'accesso diretto ai segnalibri (anche se quest'impostazione cozza con la sicurezza).
e) Prendere in considerazione la modifica del parametro dei files copiati se si usano files di grandi dimensioni.
f) ma cosa più importante di tutte sarebbe quella di spostare il contenuto dell'area virtuale in una partizione non di sistema....anche perché mi pare di aver letto che con quel pc esegui operazioni di home banking.



p.s. Una cortesia non mi fate l'elenco delle operazioni da eventualmente spiegare per ogni punto che ho evidenziato perché divento matto....

3) Meglio per ora non parlare del 3.5 TP e l'abilitazione di tutte le impostazioni che cozzano con l'uso di alcuni sw.

[Pulcepiccola]

Qualche consiglio (forzato):

1) Chrome sarà sempre lento in quel pc.
Potrebbe andare un po' meglio usato senza alcuna estensione + parametri riga comando che impostano i processi singoli,tab....ma ci si avventura in terre ignote meglio cambiare browser.

2) Le cose più importanti da fare con sandboxIE è quella di impostare (da subito) poi successivamente si provvederà in un secondo momento:

a) La limitazione dei diritti.
b) Abilitare per alcune specifiche cartelle il recupero veloce (altrimenti diventi matto).
c) Eliminare il contenuto dell'area virtuale in automatico all'uscita.
d) Consentire l'accesso diretto ai segnalibri (anche se quest'impostazione cozza con la sicurezza).
e) Prendere in considerazione la modifica del parametro dei files copiati se si usano files di grandi dimensioni.
f) ma cosa più importante di tutte sarebbe quella di spostare il contenuto dell'area virtuale in una partizione non di sistema....anche perché mi pare di aver letto che con quel pc esegui operazioni di home banking.



p.s. Una cortesia non mi fate l'elenco delle operazioni da eventualmente spiegare per ogni punto che ho evidenziato perché divento matto....

3) Meglio per ora non parlare del 3.5 TP e l'abilitazione di tutte le impostazioni che cozzano con l'uso di alcuni sw.

Caro Sampei,

innanzitutto ti ringrazio per i suggerimenti,

vorrei chiederti,gentilmente, soltanto lumi su questi due punti
1)

ma cosa più importante di tutte sarebbe quella di spostare il contenuto dell'area virtuale in una partizione non di sistema....anche perché mi pare di aver letto che con quel pc esegui operazioni di home banking.

Siccome ho già installato Sandboxie e l'area virtuale di default"DefaultBox" sta proprio nella partizione di sistema C:, si può adesso spostare? e come dovrei procedere? O bisogna cancellare l'area di default e crearne una nuova e posizionarla nella partizione dati? cioè D?

2)
E poi ho installato Emet 3.0 ed emetizzato i seguenti processi:
tra cui:
iexplore.exe (Internet Explorer)
firefox.exe e plugin-container.exe
MSACCESS.EXE, EXCEL.EXE, OUTLOOK.EXE, POWERPNT.EXE, WINWORD.EXE (Microsoft Office)
java.exe (Java Runtime Environment (JRE)).

Inoltre, siccome nella barra vicino l'orologio, compare la notifica (Emet Notifier) ho seguito questo articolo per rimuoverla http://www.MegaLab.it/7942/come-disatti ... t-notifier

Al riavvio non ho trovato la notifica e fin qui tutto ok.

Successivamente ho voluto lanciare Emet seguendo il percorso start -programmi -Emet, ho cliccato sull'icona di emet è partitto l'installer, è comparsa per qualche secondo la schermata nera del prompt dei comandi di Dos, si è aperto Emet ed è ricomparsa l'icona della notifica di Emet nella taskbar vicino l'orologio. Non capisco perché tutto questo, Emet era già installato nel sistema perché viene ripetuta l'installazione e ricompare la notifica se qualche attimo prima avevo provveduto ad eliminarla?( tramite modifica del registro e spunta della voce nel tab "avvio" di msconfig)

Scusami se sono de coccio

mille e buon weekend

Pp

[The Walking Dead]

Ciao.

1)Avvia sandboxie-Area virtuale-Modifica percorso area virtuale.
2) Ti basta reinstallare EMET e non eliminare la notifica (altrimenti dovrai reinstallarlo ancora).

[sampei.nihira]

Ma hai installato EMET 3.0 oppure la 3.5 T.P. ?

Inoltre devi emetizzare anche altro (per esempio il lettore pdf usato nel browser).
Inoltre di java devi emetizzare anche javaw ed javaws.
Tieni presente che EMET non ha un comportamento efficiente con java rispetto alla mitigazione offerta per altri sw.
Quindi meglio avere disattiva a default l'applet java.
Ed abilitarla solo ed esclusivamente per i siti web fidati.

[Pulcepiccola]

Ciao.

1)Avvia sandboxie-Area virtuale-Modifica percorso area virtuale.
2) Ti basta reinstallare EMET e non eliminare la notifica (altrimenti dovrai reinstallarlo ancora).

Ciao The Walking Dead,

1)Avvia sandboxie-Area virtuale-Modifica percorso area virtuale.

ti ringrazio per la procedura che ho eseguito con successo.
Praticamente ho indicato come unità la partizione dati( unità D), il che significa che eventuali aree virtuali che creerò andranno a posizionarsi in D. Invece l'area virtuale di default"DefaultBox" è rimasta in C( nella partizione di sistema).
Io pensavo che tale procedura spostasse anche l'area virtuale di defaul.
Per cui, per maggior sicurezza,specie se si svolgono attività di Home banking, come scrive Sampei, se non ho capito male, dovrei creare per le operazioni di Home banking, un'altra area virtuale? Lasciare quella di default in C e quella per l'home banking in D?
Era mia intenzione spostare anche l'area virtuale di default in D.

Ti basta reinstallare EMET e non eliminare la notifica (altrimenti dovrai reinstallarlo ancora)

In buona sostanza vorrei togliere la notifica di Emet che compare vicino l'orologio, perché ho visto che assorbe un bel po di RAM
ho seguito la procedura indicata nell'articolo http://www.MegaLab.it/7942/come-disatti ... t-notifier però la notifica compare sempre
Non riesco a capire dove sbaglio
Praticamente dopo aver aperto il registro di windows, sono andato sulla chiave HKLM\SOFTWARE\Microsoft\EMET, ho cliccato con il tasto destro in un punto vuoto nell'area di destra e successivamente su Nuovo -> Valore DWORD (32 bit).( nel mio caso c'è scritto solo Valore DWORD ) ho chiamato la voce con questo nome "NotifierLogLevel" il valore era già impostato in questo modo 0x00000000 (0) e poi ho avviato msconfig e tolto la spunta su "Enhanced Mitigation Experience Toolkit".
Affinchè le modifiche al registro diventino effettive bisogna salvare? bisogna fare qualche altra operazione?

Fatto sta che non mi sono sbarazzato della notifica vicino l'orologio che assorbe le mie poche risorse

Non capisco dove sbaglio

mille e buona Domenica

Pp

[Pulcepiccola]

Ma hai installato EMET 3.0 oppure la 3.5 T.P. ?

Inoltre devi emetizzare anche altro (per esempio il lettore pdf usato nel browser).
Inoltre di java devi emetizzare anche javaw ed javaws.
Tieni presente che EMET non ha un comportamento efficiente con java rispetto alla mitigazione offerta per altri sw.
Quindi meglio avere disattiva a default l'applet java.
Ed abilitarla solo ed esclusivamente per i siti web fidati.

Caro Sampei,

scusa ho controllato, ho la versione 3. Quella che ho scaricato da MegaLab, perché non so da dove scaricare la 3.5 T.P.
Che dici la disinstallo e metto la 3.5TP? Ma c'è verso di togliere la notifica di Emet vicino l'orologio, che mangia RAM?
Infatti come ho scritto nella risposta a The Walking Dead, è un po' fastidiosa la notifica di Emet nella taskbar vicino l'orologio.( Sto facendo tanto per risparmiare RAM ed Emet mi inserisce questa notifica... ) il problema è che non se ne vuole andare
Ho disabilitato il servizio di salvataggio degli eventi di EMET, che si occupa di tenere traccia di ogni azione del software, salvando una voce nel Registro Eventi del sistema operativo ( almeno credo di aver eseguito correttamente le istruzioni indicate nell'articolo Come disattivare EMET Notifier
Grazie per i consigli emetizzerò gli altri processi java e navigherò ordinariamente disattivando dalle opzioni di Firefox Javascript, per quanto riguarda il lettore PDF ho emetizzato foxit reader( perché ho tolto Acrobat Reader che è meno affidabile.. almeno credo)

ancora
Buona Domenica

Pp

[The Walking Dead]

Per Pulcepiccola.

Per quanto riguarda Sandboxie io ti consiglierei di lasciare l'area virtuale di default su C, altrimenti rischi di avere problemi di compatibilità con i programmi.

Per quanto riguarda Emet, credo che tu non commetta alcun errore.
Se leggerai i commenti nella discussione da te linkata nel tuo precedente post, noterai un mio intervento proprio su questo punto.
Probabilmente le prossime versioni permetteranno di disattivare notifier, fino ad allora io lascerei tutto come è.

[Pulcepiccola]

Per Pulcepiccola.

Per quanto riguarda Sandboxie io ti consiglierei di lasciare l'area virtuale di default su C, altrimenti rischi di avere problemi di compatibilità con i programmi.

Per quanto riguarda Emet, credo che tu non commetta alcun errore.
Se leggerai i commenti nella discussione da te linkata nel tuo precedente post, noterai un mio intervento proprio su questo punto.
Probabilmente le prossime versioni permetteranno di disattivare notifier, fino ad allora io lascerei tutto come è.

Caro The Walking Dead,

grazie mille per i chiarimenti.

Buona Domenica

Notte

Pp

[sampei.nihira]

Io ho l'area virtuale in D: "da secoli" e non ho alcun problema.

http://www.sandboxie.com/index.php?Dete ... ers#defend

ricordate la struttura di ogni sandbox.

Avere l'area virtuale in una partizione non C: permette una migliore difesa dal furto dei dati sensibili.

[sampei.nihira]

Se vuoi provare la 3.5 TP:

http://www.microsoft.com/en-us/download ... x?id=30424

[Pulcepiccola]

Se vuoi provare la 3.5 TP:

http://www.microsoft.com/en-us/download ... x?id=30424

Caro Sampei,

mille
Buona Domenica
Notte

Pp