Gibt es die Möglichkeit unter Windows XP Programme in einer Software Sandbox
laufen zu lassen? Wenn ja, wie und mit welcher Software?

VMWare oder VurtualPC beides kommerzielle Programme.

beides emuliert einen kompletten PC inkl. Hardware. Mehr Sandbox wirst du nicht bekommen :smile: . Es läuft nicht die Software in einer Sandbox sondern ein kompletter PC wodurch die Anforderungen an den Host natürlich etwas steigen, vor allem Hardware. Ausserdem ist die virtualisierung nicht völlig transparent, es "fühlt" sich so an als ob man per VNC oder RDP auf einen anderen Rechner zugreift.
Ich arbeite nur mit VMWare, kann VirtualPC mangels erfahrung nicht wirklich beurteilen.
VMware gibt es schon seit einer weile und kann so ziemlich jedes OS hosten, Virtual PC ist auf MS OS beschränkt. Außerdem ist VMWare schon weit länger auf dem Markt und IMO in diesem Sektor Marktführer, im Bereich der Servervirtualisierung auch am ausgereiftesten.

Es gibt für registrierte User von VMWare ein ausgezeichnetes Forum und Knowledgebase.

Falsch, VirtualPC kann auch jedes beliebige OS hosten.

solche pauschalen aussagen würde ich nicht mal für vmware stehen lassen. :biggrin:
du hast aber recht inoffiziell läuft auch Linux wird aber (im Gegensatz zu VMWare) nicht supported. OS/2 ist offiziell supported von MS für VirtualPC
Und bevor ich an meiner anderen aussage festgenagelt werde, virtualpc gibt es unter einem anderen Namen auch schon länger und wurde von MS aufgekauft.

Auf jeden Fall gibt es von beiden demo versionen zum testen.

MacOS, Zeta, BeOS, AmigaOS, usw kann keiner... 'Jedes beliebige OS' ist etwas übertrieben...

Sandbox hat man wenn man als Normalbenutzer unterwegs ist oder andersrum, einige Programme selektiv mit 'ausführen als...' degradiert.

Edit: Kerio4 bietet 'Application Behavior Blocking' als Softwarelösung.

ich gehe immer davon aus, dass jemand der eine Sandbaox haben möchte, eine vollständige Trennung der Systeme möchte und vorher alle "normalen" Windows mittel (eingeschränkte Benutzerrechte sollten Standard sein) ausgereizt hat.

Virtualisierung hat so ihre Tücken und ist natürlich nicht immer das erste Mittel der Wahl. Aber die eigene Paranoia bzgl. Aushorchen aud Ausspionieren kann man damit schon bekämpfen, bzw. befriedigen. :biggrin:

ich gehe immer davon aus, dass jemand der eine Sandbaox
haben möchte, eine vollständige Trennung der Systeme möchte und vorher alle
"normalen" Windows mittel (eingeschränkte Benutzerrechte sollten Standard
sein) ausgereizt hat.

Virtualisierung hat so ihre Tücken und ist natürlich nicht immer das erste Mittel
der Wahl. Aber die eigene Paranoia bzgl. Aushorchen aud Ausspionieren kann
man damit schon bekämpfen, bzw. befriedigen. :biggrin:

Exakt, genau diese Paranoia will ich damit befriedigen ;-).

Danke für eure Antworten bisher.

Unter Windows XP (Pro) und 2003 muss man keine "RunAs"-Spielchen betreiben, um Programme mit normalen Benutzerrechten auszuführen. Über die Gruppenrichtlinien (Softwareeinschränkung) kann man dauerhaft festlegen, dass z.B. Firefox immer mit eingeschränkten Rechten läuft - selbst wenn man als Admin angemeldet ist. Das läuft über eine "Pfadregel"... Allerdings muss man vorher noch einen Wert in die Registry schreiben. Da ich momentan auf dem Sofa sitze (mit einem PDA), habe ich den Reg-Key momentan nicht zur Hand. Ich poste morgen früh nochmal Einzelheiten zum Vorgang...

Wer es eilig hat, kann aber schonmal mit Google nach "DropMyRights Safer Policies" suchen und sich dann selbst durchsclagen... :)

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure01182005.asp

Das ist der Link, wo alles genau erklärt wird. Falss noch Fragen offen sind: Her damit! :-)

ja mag ja sein, diese policy kenne ich persönlich nicht.
bleibt aber trotzdem der falsche ansatz. bis auf einige ausnahmen kann mann (und sollte man) IMMER mit eingeschränkten Rechten arbeiten und nur bei BEDARF (weil es eben nicht anders geht) mit Adminrechten arbeiten. Jeder hobby Admin unter Linux kriegt das gebacken aber unter Windows sind die Leute echt begriffsstutzig. Einige Programmierer sind leider etwas kontraproduktiv und boykottieren diesen Ansatz, aber diese kann man ja auch wiederum boykottieren ,zumindest im professionellen Bereich. Software, die nicht ohne adminrechte läuft wird bei uns generell nicht eingesetzt. Und runas sind keine Spielchen wenn man das Prinzip einmal kapiert hat, sondern leider (immer noch) ein notwendiges Übel.

Man muss den Gaul ja nicht immer falschrum aufzäumen :smile:

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/secure01182005.asp

Das ist der Link, wo alles genau erklärt wird. Falss noch Fragen offen sind: Her damit! :-)

diese Anleitung gilt für Admins, die auf grund ihrer Arbeit mit Adminrechten arbeiten müssen (was sie eigentlich auch nicht bräuchten) und wenigstens den Browser einschränken wollen. Peinlich, dass MS so was veröffentlicht.

Das Hauptproblem sind nicht die begriffstutzigen User, sondern die Abwärtskompatibilität von Windows und die schlecht programmierte Software (z.B. Winamp), die rumzickt wenn es keine Adminrechte gibt... Du hast natürlich recht: Ideal wäre "nur User" - aber nur, wenn man Masochist ist.

Wenn ich das richtig verstehe kann man nur die Rechte einschränken. Wie aber kann ich ein Programm mit Administratorrechten (als Benutzer) versehen?
Ich habe nur diese 5 Regeln freigeschaltet bekommen. Keine davon scheint die Rechte erweitern zu können.

http://img80.imageshack.us/img80/6555/rules4sm.gif

Nach so einer Regel habe ich auch (vergeblich) gesucht. Das ist typisch M$: Wenn etwas gemacht wird, dann halbherzig - und nur wenn es dem eigenen Interesse dient. :)

Mal im Ernst: Es war M$ bestimmt zu gefährlich, denn im "normalen" Gebrauch werden Berechtigungen vererbt. Wenn ein Programm erstmal Adminrechte hat, bekommt jedes andere (von diesem Programm) aufgerufene sie auch - es sei denn, sie sind explizit nicht erwünscht.

Ich habe eben "Xsudo" entdeckt, kann es aber hier auf dem Sofa nicht testen. :) Vielleicht ist es ja genau das, was du suchst.

http://www.lancode.de/