Wer die Fenster sauber hält, leidet weniger unter Windows. Kurzserie zur PC-Hygiene. Teil III: Sandkasten für Programmtests.

Im ersten Teil dieser Serie habe ich versucht zu zeigen, wie mit einer soliden Strategie zur Speicherung der Daten auf einem Windows-PC spätere Wartungsarbeiten extrem vereinfacht werden können.
Im zweiten Teil ging es um die Erstellung eines Sicherungsabbildes, anhand dessen jederzeit das gesamte System im gewünschten Ursprungszustand wieder hergestellt werden kann.
Jetzt befassen wir uns damit, wie man neue Programme vom Rest des Systems abschottet, bis sichergestellt ist, dass sie keine negativen Auswirkungen haben.

Kostenlose Helferlein, Beta-Versionen oder auch nur eine Shareware, die nur mal eben für eine einzige Aufgabe schnell installiert werden soll: Sie alle bergen Gefahren für ein stabil laufendes Windows-System.

Irgendwann gerät der bestgewartete Rechner plötzlich aus der Balance und spielt verrückt – worauf Windows häufig vorschlägt, das zuletzt installierte Programm oder die neuste Hardware zu entfernen.

Nur: Welches war denn das zuletzt installierte Programm? Und was, wenn die Kiste sich nicht vollständig davon reinigen lässt? Oder wenn das Programm sein Unheil schon angerichtet und alle Lesezeichen, Cookies und Passwörter aus Firefox gelöscht hat?

Soweit lasse ich es nicht mehr kommen. Auf meinem Hauptrechner wird jedes, und ich wiederhole: jedes Programm, ob kommerziell oder Shareware oder zwielichtige Adware, zuerst in einem abgeschlossenen Sandkasten installiert.

Was ist das denn? Wie der Name sagt: Ein Sandkasten, englisch Sandbox, ist eine vom restlichen «Erdreich» des PC sauber abgegrenzte Umgebung. Verschiedenste Anwendungen können solche Sicherheitsabteile im «Hirn» des Rechners erschaffen, und die Zahl der Hersteller nimmt, wie ich mich anlässlich der RSA-IT-Sicherheitsmesse in San Francisco vergangene Woche überzeugen konnte, rapide zu.

Für uns Normalsterbliche ohne Corporate-IT-Budget liegen allerdings viele der Programme ausserhalb der finanziellen Reichweite. Zumindest eines allerdings versieht seine Aufgabe wunderbar und kostet – nichts. Jedenfalls nicht für Privatanwender.

Nutze den Saft!

«Altiris Juice Software Virtualization Solution» ist eine kleine, schörkellose und leider nur auf Englisch vorliegende Applikation des gleichnamigen Business-Sicherheitsunternehmens, die jedes Programm gnadenlos in seine Schranken verweist. Das grossartige daran: Weder das Programm noch das System merken etwas von diesen Schranken. Wird das Programm beendet und die Umgebung «ausgeschaltet», dann weiss das System nichts mehr von der Applikation, von den Parametern, die sie während der Installation verändert hat, nicht einmal die Bibliotheken (DLLs) und Treiber-Dateien, die fast jede Software irgendwo in den Windows-Ordner klatscht, sind mehr auffindbar. Selbst die gespeicherten Dateien sind, sofern sie auf dem Laufwerk «C» abgelegt wurden, bis zum nächsten Start der «Umgebung» verschwunden. Spurlos!

Im täglichen Gebrauch heisst das für mich: Vor der Installation einer eben heruntergeladenen Software starte ich Altiris Juice, eröffne eine «leere Umgebung» und installiere das Programm. Juice erkennt den Abschluss der Installation automatisch und beendet auch die Aufzeichnung der Umgebung.

Wenn ich eins dieser «eingezäunten» Programme benutzen will, starte ich zuerst die gleichnamige Umgebung aus Juice, worauf das Programmicon überhaupt erst wie von Zauberhand an dem Ort (Desktop, Startmenu) erscheint, wo ich es während der Installation gespeichert habe. Nach getaner Arbeit werden Software und Umgebung abgeschaltet.

Das ganze funktioniert nach dem Schichten-Prinzip: Die «Umgebung» für das Programm besteht namentlich aus Einträgen in die ach so heikle Windows-Registry-Datenbank, wo alle Variablen des Systems gespeichert und bei jedem Windows-Start geladen werden. Wenn da was schief geht, kracht das System meistens zusammen. Juice verhindert das, indem es einzelne «Schichten» (Layer) der Registry nachträglich lädt und der Anwendung eine ergänzte Registry vorgaukelt. Nach dem Gebrauch des Programms wird die Schicht wieder vollständig aus dem Arbeitsspeicher entfernt.

Die Schichten oder, wie ich sie oben genannt habe, «Umgebungen» lassen sich gewissermassen «stapeln». Einziger kleiner Zusatzaufwand für den Benutzer ist, dass er vor Programmstart die jeweilige Schicht aus Juice laden muss. Das ist namentlich bei Programmen, die aus andern heraus aufgerufen oder immer wieder benutzt werden, lästig. Ich bin deshalb dazu übergegangen, nach einer Testphase von vielleicht zwei Wochen die fragliche Applikation noch einmal, diesmal aber fix im System, zu installieren. Für selten gebrauchte Programme mag sich der kleine Umweg über die Schaltknöpfe in Juice aber lohnen, weil damit die Registry von Windows schlank bleibt und der Start des Systems nicht durch das Einlesen völlig überflüssiger Programminformationen ausgebremst wird.

Juice kann aber noch mehr: Es lassen sich auch mitten im Betrieb von Windows Daten-Schichten eröffnen, mit denen sich beispielsweise Dateien vor den Normalanwendern des Systems verstecken lassen. Während Installationen hat der Benutzer die Wahl, entweder nur gerade jene Veränderungen in die Schicht, Umgebung oder eben das Layer einbauen zu lassen, welche das zu installierende Programm verursacht, oder auf einen selber zu bestimmenden Zeitraum hinaus sämtliche Systemanpassungen, also auch die, welche der Benutzer nebenbei noch vornimmt (Neuorganisationen des Startmenus, zum Beispiel, so dass dieses nach dem Laden der entsprechenden Schicht völlig anders aussieht, etc). Damit liesse sich ein frisch aufgesetzter Rechner für verschiedene Tasks einrichten: Mit einer kompletten Umgebung nur für die Grafik- und Bildbearbeitung und einer anderen Schicht für alle andern Tasks. Der Vorteil: Die Basis-Registry kann so schlank gehalten werden, dass der Rechner für die Grafik-Aufgaben sämtliche Ressourcen zur Verfügung hat, die in einem typischen Rechnersystem von den unzähligen Nebenprogrammen belegt werden. Das ist vorerst Theorie, die ich mir aber demnächst mal genauer ansehen muss (was i Fall der Umsetzung mal wieder eine komplette Neuinstallation nötig machen würde – ich glaub nicht, dass ich mir das nächstens antue…)

Bisher bin ich von Juice als reiner Sicherheitsbox begeistert, auch wenn ich vorgestern eine Schrecksekunde erleben musste, als 80 soeben in der Beta-Version von «Adobe Lightroom» (Alternative zu Apples «Aperture», Besprechung folgt später) bearbeitete Fotos von der Hochzeit eines Freundes aus dem Ordner auf dem Desktop verschwunden waren – bis ich kapierte, dass ich die Juice-Schicht von Lightroom laden musste, worauf auch die Bilder sofort wieder verfügbar waren. Das lässt sich vermeiden, indem Daten aus Juice-Programmen nicht auf dem Laufwerk C: (zu dem der Desktop gehört), sondern woanders gespeichert werden (siehe Teil I der Serie) – dort bleiben Sie nämlich auch verfügbar, wenn die zugehörige Programmschicht ausgeschaltet wird.

Auf der Juice-Webseite ist übrigens neben dem Programm selber eine ganze Reihe von fertig in «Umgebungen» (oder Schichten oder Layer…) installierten Programmpaketen zu finden. Sie lassen sich herunterladen, in Juice starten und sogleich – ohne installation – benutzen, ohne dass das System irgendwie davon beeinflusst würde.