» Kaspersky Internet Security - KIS

delamer
это всё правильно и красиво, но
Цитата:

что там говорить в инет непускают проги чтоб трафик лишнего не сожрали и чтоб в бан не попасть, а щас дырка получается.

и противоречит с
Цитата:

Не совсем так. Если при запросах жмакать на пункт, помеченный как "рекомендуется"- то никаких проблем не будет. Рекомендуемое совпадает с позицией КИС в случае если бы режим обучения не был бы включен.

поэтому эта рекомендуемая фича в данном случае дырка.

delamer
Цитата:

Если при запросах жмакать на пункт, помеченный как "рекомендуется"- то никаких проблем не будет. Рекомендуемое совпадает с позицией КИС в случае если бы режим обучения не был бы включен

Ну так для этого есть автожмакалка - "Автоматический выбор действия" (в принципе, выхолащивающая смысл режима обучения). Во всём остальном +1

NothingAnother
chogo
Опять же, не совсем так. Если вы знаете (хотя бы частично), что хотите от режима обучения, то можете ответить по своему усмотрению на ряд знакомых вопросов, а в остальном поступить как рекомендуется. Если и с этим проблемы, то конечно режим обучения использовать не стоит. Но ведь раньше никаких проблем не было? Не должно быть и сейчас.

delamer
Цитата:

Если вы знаете (хотя бы частично), что хотите от режима обучения, то можете ответить по своему усмотрению на ряд знакомых вопросов, а в остальном поступить как рекомендуется

Не согласен. Если я знаю, что хочу - так мне и рекомендации заненадом. А вот если обращать внимание на рекомендации - это означает мнимое знание, которое хуже незнания, т.к. в этом случае чревато нанесением вреда самому себе...

P.S. мы съехали на теоретизирование по общим вопросам, что по правилам форума есть оффтоп

NothingAnother
Ну- это уже философия пошла
Я всего лишь хотел сказать, что идеологических противоречий между автожмакалкой и режимом обучения нет. Как использовать обучение, кому и в каких случаях- это уже каждый для себя.

delamer
Цитата:

Как использовать обучение, кому и в каких случаях- это уже каждый для себя

+1

Без философии: умом я понимаю, что 8 должен быть лучше 7, но нет времени на его изучение и детальную настройку. А в процессе тестирования убедился, что режим блонди не всегда адекватно действует. Да и интерактивный - то же.

По-поводу детальной настройки 8-ки, вот 3 моих правила для "молодых техноманьяков", юзать сразу после установки сабжа:
1. Юзать интерактивный режим;
2. В HIPS для всех групп в колонке "Сети" выставить "Запрос действия" (в т.ч. для Доверенных) и проследить, чтобы для всех подгрупп и приложений был выставлен режим наследования (команда "Наследовать" в контекстном меню);
2. Для всех групп приложений в HIPS нужно изменить правило доступа к группе ресурсов "Параметры автозапуска". Для этого нужно выбрать каждую из групп, нажать ссылку "Изменить..." внизу окна, в новом окне перейти на вкладку "Правила" и в выпадающем списке выбрать "Файлы, системный реестр".
Нужно напротив строки "Параметры автозапуска" выставить "Запрос действия" в колонках "Запись", "Удаление и "Создание", в колонке "Чтение" оставить как было - Разрешить. Проследить, чтобы для всех приложений и подгрупп был выставлен режим наследования.
Режим наследования выставляется для каждой программы и группы в главном окне HIPS, глубоко лезть уже не нужно. Группе Kaspersky Lab и Microsoft можно разрешить полный доступ к "Параметрам автозапуска".
Это все нужно проделать для групп Доверенные и Слабые ограничения, для двух остальных групп все уже правильно выставлено по-умолчанию.
Так мы закрываем потенциальные дырки в защите KIS, получаем практически полный контроль над сетью (вроде svchost.exe сидит в исключениях и пойдет мимо правил, но ему можно) и над автозапуском приложений.
С остальным можно разбираться в процессе работы.

lucky_Luk
Ну, вот так более-менее понятно.

Еще одна схема для коллекции, от "золотого" бета-тестера Miсhel с форума ЛК

1. По умолчанию в группах «Доверенные» и «Слабые ограничения» реакция на любое действие приложения — выдается баллун (Запрос действия).
2. По умолчанию в группах «Недоверенные» и «Сильные ограничения» реакция на любое действие приложения — запрет.
3. Для подгрупп «Microsoft» и «Kaspersky Lab» — полное доверие.
4. Для всех остальных приложений/подгрупп поступаем по такому принципу:
— если приложение не использует сеть/инет, то все разрешаем, а сеть запрещаем;
— если приложение использует сеть (браузер, ИМ, скайпи), то разрешаем ему все.
5. В настройках ОС/Автозагрузка для всех групп поставить запрет, нечего ставить себя в автозагрузку, такие вещи должны допускаться лишь самим пользователем.

Плюс этой схемы в том, что мы получаем минимум баллунов (у меня кол-во баллуно равно 0), те приложения, которые я знаю и доверяю не иметю никаких ограничений, а значит и их рбота не тормозиться и нет конфликтов.

Те приложения, которые только попали на мой ПК и которые я еще не успел изучить/обработать автоматически попадают в режим запроса подтверждения и при этом не важно, есть ли у них подпись или нет и в какую группу они попали, если это не приложение от того поставщика, которому я уже доверился, то любое его действие будет блокироваться до тех пор, пока я не дам добро.

Тем приложениям, которые КИС отнес к «Недоверенным» и «Сильным ограничениям» по умолчанию запрещается все до тех пор, пока я не разберусь в чем дело.

Вот и вся стратегия.

delamer

Цитата:

Untrusted

Цитата:

High Restricted

Это в нерусском фейсе, что ли?

Nthnsq

Цитата:

Это в нерусском фейсе, что ли?

Опс- пардон, сейчас подправлю. Да, человек не отсюда

delamer
Пасиб. Начинаю врубаться. Да, это не для средних умов А мне надо - просто и надежно. Но разбираться - буду, люблю прогресс.
ЗЫ. Если не влом - добавь еще к 5 пункту картинки.

что такое Режим наследования, поподробней можно и смешанное состояние, типа значка мерса, как он работает? еще у меня была папка с дровами (разные) там был драйвер на геймпад, ему уже лет 5, никогда проблем небыло, установил 8 кис, и он нашол трояна в архиве и выличил, (доверие к восмерке приподнялось) но вот проблема, он сделал это автоматом, полез в настройки, том стоит автомат, и можно выбрать лечить и если не лечится удалять, можно ли настороить, чтоб был выбор действий как в семерке?

А мусор-то он зачем пихает? Типа инсталляторов? И всю эту помойку как - руками чистить?

Nthnsq

Цитата:

добавь еще к 5 пункту картинки

Пожалуйста.

delamer
Спасибо. И вот: сколько бы раз я не запускал прогу Cdi2Mp3, столько раз КИС запускает свой обнюхиватель. Несмотря на то, что прога в доверенных и ей все разрешено. А вы говорите - на автомат ставь. Да он такого натворит без присмотра

Добавлено:
И интересно: если прога в Доверенной зоне, что приоритетнее - правила или зона?

Nthnsq


Цитата:

А мусор-то он зачем пихает? Типа инсталляторов? И всю эту помойку как - руками чистить?

Не надо, он сам вычистит со временем.Сейчас уже не помню всех деталей, попробую поискать первоисточник. Но суть такова. Те приложения, которые в системе уже не присутствуют- со временем вычищаются. Те, которые запускались из папки TEMP- тоже. Если приложение давно не запускалось, а правила для него создавались КИС самостоятельно (без правки пользователем)- нафик. Ну и так далее

xxToaDxx

Цитата:

что такое Режим наследования, поподробней можно

Открываем справку,
Контроль приложений/фильтрация активности/Работа компонента/наследование прав.


Цитата:

мешанное состояние, типа значка мерса, как он работает

На приведенном примере видно, что правило состоит из одного разрешения, и трех наследований прав. Это формирует суммарно смешанное состояние.


Цитата:

можно ли настороить, чтоб был выбор действий как в семерке?

Можно, но для этого нужно перевести антивирус в интерактивный режим, а он у Вас сейчас стоит в автоматическом.
Заходим в настройки, и там в секции Защита жмем Восстановить. Дальше выбираем что восстановить и ставим режим Интерактивный.


Добавлено:
Nthnsq

Цитата:

И интересно: если прога в Доверенной зоне, что приоритетнее - правила или зона?

Правило. Зона определяет параметры по-умолчанию для новых приложений, которые попадают в эту зону.
И еще одно. Обнюхиватель может периодически перетаскивать приложения из одной группы в другую, опираясь на изменения в базах ПО или на проявившуюся ранее неизвестную активность приложения. Несмотря на перемещение в другую группу, правила, скорректированные пользователем, останутся неизменными. Разумеется- если Вы сами не установили для правила режима наследования.


Цитата:

сколько бы раз я не запускал прогу Cdi2Mp3, столько раз КИС запускает свой обнюхиватель. Несмотря на то, что прога в доверенных и ей все разрешено.

Это значит, что прога отсутствует в базе ПО на сайте ЛК, либо при запуске Вы не имеете соединения с интернетом. В этом случае обнюхиватель проявляет параноидальную подозрительность
Кстати- в одной из ранних сборок, когда интерфейс еще не был готов, процесс обнюхивания сопровождался надписью- Обнюхиваем

Цитата:

Кстати- в одной из ранних сборок, когда интерфейс еще не был готов, процесс обнюхивания сопровождался надписью- Обнюхиваем

, надо будет скиноделов попросить, чтобы вернули эту надпись.

MrThief

Цитата:

Исходные условия:
есть файл с вирусом keygen.exe, есть папка со свалкой вирусов (держу для теста антивирусов), в которой уже есть файл keygen.exe.vir.
Баг:
пытаюсь тоталом переместить keygen.exe в ту папку, одновременно приделывая к нему расширение .vir. КИС вываливает алерт на keygen.exe.vir в папке со свалкой, но тотал одновременно с ним вываливает свой алерт, что файл с таким именем уже существует. Говорю касперу "заблокировать", тоталу - дописать к имени файла пару букв чтобы имена не совпадали, и жму "ок". Файл успешно записывается под именем, допустим, keygen(1).exe.vir, и теперь каспер вообще не обращает на него внимания: я могу этот новый файл просмотреть по F3, (наверное) запустить, скопировать куда угодно - алерты не появляются. Хотя в файле, естественно, вирус как был так и остался.

Спасибо за образец- проверил.
Ложная тревога. Файл вирусом не заражен, он просто подозрителен ввиду отсутствия цифрровой подписи. Файл не тормозился антивирь-монитором, так как ему там ловить было нечего
Его просто обнюхал хипс, и после вынесения резюме от пользователя- успокоился

помогите на счет наследования, прочитал справку, но там намудрено, смысл вроде понял (в справке желтым выделен принцып работы), не могу понять как он работает и его настройки. lucky_Luk написал: Проследить, чтобы для всех приложений и подгрупп был выставлен режим наследования. где это? не могу понять что именно правило наследует, при нажатии выставляется пораметр, который выставлен для всей группы, типа как по умолчанию, что-то я совсем запутался(???

Прошу помощи, может кто сталкивался!
IE7 отказывается открывать страницы при запущенном KIS:
внизу пишет "Соединение с узлом ...", доходит до середины и дальше "тишина".
Опера при этом работет без замечаний.
Пытался отключать различные модули KIS и по отдельности и все вместе -
результат тот же, но стоит только выгрузить KIS, как IE7 открывает странички "на ура".
В правилах для приложений разрешил этому IE все, что он хотел, но это не помогает.
Кто что посоветует?

xxToaDxx

Цитата:

lucky_Luk написал: Проследить, чтобы для всех приложений и подгрупп был выставлен режим наследования.

Как включить механизм наследования.



Есть две разновидности наследования. Наследование прав из групп (1) и наследование ограничений родительского процесса (2).

Что касается наследования прав из групп. Делать, как сказал lucky_Luk и как показано на рисунке (позиция 1), но учитывать при этом выдержку из справки. "В текущей версии продукта механизм наследования прав не применяется для сетевой активности приложений" То есть если в фильтре (3) выбрать Сетевые правила, то там варианта наследования не будет. Это будет реализовано в МП1.

Наследование прав из групп- это просто передача прав из группы в приложение. При этом: (в настоящий момент информация может быть не точной)
-Если наследование выставлено :
1. Приложение будет обладать правами родительской группы.
2. При переносе приложения (по инициативе ХИПС) в другую группу, его фактические права могут поменяться в соответствии с правами новой группы-усыновителя (само правило наследования естественно останется прежним, но наследоваться будет другое).
-Если наследование не выставлено :
1. Приложение будет обладать собственными правами, независимыми от группы.
2. При переносе приложения (по инициативе ХИПС) в другую группу, его права останутся неизмененными.
-Для обоих случаев.
1. Смена прав для группы приводит к выставлению таких же прав для всех подчиненных приложений.
2. Новые приложения, помещаемые в группу, всегда изначально будут иметь права родительской группы.
3. При переносе приложения (по инициативе пользователя) в другую группу, его права поменяются в соответствии с правами новой группы.
Другими словами, наследование прав из групп определяет, будет ли приложение менять свои права в соответствии с правилами новой группы или нет, а также будет ли обладать индивидуальностью вообще- при смене группы по инициативе ХИПС.

Наследование ограничений родительского процесса (2)
Тут все как в справке.
Рассмотрю на примере.
Имеется родительский системный процесс, проводник виндоуз, и картинка сомнительного содержания, очень ценная. Мы хотим на нее смотреть без ограничений, но никому больше не дать такой возможности.

Читаем справку. Разрешено имеет наивысший приоритет, запрет- наименьший, запрос действия стоит посередине. При наследовании из двух действий выбирается то, что имеет наименьший приоритет.

Что мы делаем?
-Даем проводнику максимальные права на запуск картинок
-Даем системному процессу запрос на действие при запуске картинок.

Что произойдет?
1. Если наследование в проводнике не выставлено.
-Мы с помощью проводника просматриваем картинку свободно.
-Злоумышленник с помощью системного процесса берет контроль над проводником, и с помощью проводника тоже просматривает картинку свободно.
Почему? Наследование для проводника не выставлено, поэтому ограничения родительского системного процесса на проводник не переходят. Все, нас поимели.

2. Если наследование в проводнике (от родителя) выставлено.
-Злоумышленник с помощью системного процесса пытается взять контроль над проводником, и нарывается на алерт.
На запуск проводником картинки на просмотр
Почему? Родителю-системному процессу запускать картинки без запроса нельзя, а проводнику- можно. Выбирается то, что имеет наименьший приоритет (запрос ниже разрешения)- и получаем запрос.
-Мы с помощью проводника просматриваем картинку свободно.
Почему? Системному процессу запускать картинки нельзя, а проводнику- можно. Но так как проводник мы запускаем собственными руками, без помощи системного процесса, системный процесс нас не интересует.

Пример разумеется вымышленный.

Добавлено:
Arximed2008

Цитата:

IE7 отказывается открывать страницы при запущенном KIS:
внизу пишет "Соединение с узлом ...", доходит до середины и дальше "тишина".
Опера при этом работет без замечаний.
Пытался отключать различные модули KIS и по отдельности и все вместе -
результат тот же, но стоит только выгрузить KIS, как IE7 открывает странички "на ура".

Попробуйте сделать так.
1. Выгрузите КИС
2. Запустите эксплорер.
3. Через минуту запустите КИС
4. Попробуйте открыть проблемные страницы.
Работать будет?
Если да- какая ось в наличии? Название (виста, хрюша...), сервис пак, битность (32/64)

lucky_Luk

Цитата:

HIPS для всех групп в колонке "Сети"

Что такое HIPS ?

zhuchella

Цитата:

Что такое HIPS ?

В интерфейс ХИПС можно попасть, нажав на


Подробнее о ХИПС можно почитать тут.
http://forum.kaspersky.com/index.php?s=&showtopic=67146&view=findpost&p=620288

delamer
Спасибо.
ToALL
У меня настройки сети часто меняются и каждый раз КИС предлагает выбрать, какая у меня сеть: Публичная, Локальная или Доверенная. Задалбывает каждый раз выбирать. Как можно один раз зажать, какая у меня сеть (чтобы потом сабж уже не спрашивал) ?

zhuchella

Цитата:

Как можно один раз зажать, какая у меня сеть (чтобы потом сабж уже не спрашивал) ?

Я уже описывал способы настройки, нужно поискать на предыдущих страницах.

delamer спосибо за разьяснение, вроде понял, но хочу уточнить на счет второго пункта, т.е. если я поставлю для приложения все разрешить, а внизу будет стоять галка, наследования ограничения родительского процеса, то запуск этого приложения и его управление из вне или другой программой, будет не возможен?

xxToaDxx

Цитата:

delamer спосибо за разьяснение, вроде понял, но хочу уточнить на счет второго пункта, т.е. если я поставлю для приложения все разрешить, а внизу будет стоять галка, наследования ограничения родительского процеса, то запуск этого приложения и его управление из вне или другой программой, будет не возможен?

Это две несвязанные между собой вещи. Сможет ли родитель запустить дочерний процесс или нет определяется только правами, имеющимися у родительского процесса.

Наследование ограничений надо понимать буквально. Если дочерний процесс запускается родительским, то ему предоставляются минимальные права из имеющихся у родителя и дочернего процесса.

delamer
Ты это.... ликбез наш не бросай, может, хоть с твоей помощью разберемся в этом звере из лабаратории К.