» Jetico Personal Firewall

Redisych

Цитата:

Сигналящих правил совсем немного, может и несколько минут висеть на одной позиции.

Так может в этот момент выводить нечего, нет срабатывающих правил? Тут система такая: по указанному пути (Опции -> Лог -> Директория логов), создаётся определённое (указанное в Опции -> Лог -> Хранить последние) количество лог-файлов, с определённым (указанным в Опции -> Лог -> Макс. размер лог-файла, КВ) размером. По мере заполнения каждого файла, Джетика переходит на запись логов в следующий и отображение лога начинается с пустого окна, соответственно, если при переходе на отображение с пустого пока файла, нет сработавших правил с включённым логированием - окно будет пустым. При перезапуске вероятно подхватывается и отображается, предыдущий файл. Не оно?
Другой вопрос, если ты уверен, что срабатывают правила с включённым логом, а в окне нет отображения - то нет, такого не встречал ни в одной версии.

Dimitr1s
Ты меня замучил Когда записей нет, это видно, и легко проверяется, например, Configuration updated.

Цитата:

Другой вопрос, если ты уверен, что срабатывают правила с включённым логом, а в окне нет отображения

Именно. Дело в том, что лог пишется! Перезагружаешь фаер, все записи появляются.

Добавлено:
Вот сейчас опять лог пропал. Курсор позиционируется, есть полоса прокрутки справа. Перезагрузил, появился лог. Первая запись 11.24. Последняя запись 11.43. Системное время 11.46

тоже наблюдал такое, когда логи как бы пишутся, но не наблюдаются
было такое как бы после вирусной активности.

очень склоняюсь к тому, что это были вирусы

честно признаюсь что на этом форуме (в нете долго колупался) не пытался найти ответ на свой вопрос в виду того, что считаю свою ситуацию весьма списфийской.

имею дома вянду XP Pro + JPF2
на работе Ubuntu + VLAN (т.е. ходяю в сеть через виртуальную сеть)
так вот, пока JPF2 находится в оптимальном режиме работы (с включенной обучалкой) из дому вообще не вижу рабочий комп и наоборот, как только в таблице Сеть разрешаю пропуск необработанных пакетов, тут же все отлично вижу.
Вопрос: проход каких пакетов необходимо разрешить, что бы JPF видел виртуальные сети?

Redisych

Цитата:

Именно. Дело в том, что лог пишется!

Вот теперь ясно, а то ты как то не очень уверенно до этого писал . Баг Джетики или нет, но факт не правильной работы гуя на лицо. Отсюда прошлый вопрос, получилось корректно переинсталировать? Ну и на всякий случай, исключи стандартные "помехи", проверь добавлена ли папка с логами в исключение проверки антивируса (если есть), chkdsk /F /R и т.п., всяко бывает.

Aluminium

Цитата:

Вопрос: проход каких пакетов необходимо разрешить, что бы JPF видел виртуальные сети?

Включить логирование на правило "Запретить необработанные пакеты", да посмотреть какие. Возможно необходимо разрешить GRE протокол (он же PPTP) и входящие/исходящие (TCP) на удалённый:1723.

Dimitr1s

Цитата:

получилось корректно переинсталировать

Да, всё по-новой.

Цитата:

Ну и на всякий случай, исключи стандартные "помехи", проверь добавлена ли папка с логами в исключение проверки антивируса (если есть), chkdsk /F /R и т.п., всяко бывает.

Займусь этим...

Вопрос назрел по структуре таблиц. К примеру, хочу создать группу приложений (наподобие System Services). Приложения туда записать можно. Где теперь прописать всей группе правила?

И ещё, группы адресов. Насоздавались сами куча групп.
Local network
Trusted adress
Local adress

В чём их отличие? Какие системные, по умолчанию, а какие пользовательские?

Redisych

Цитата:

Где теперь прописать всей группе правила?

Выбираешь таблицу в которой хочешь создать правило для группы, при создании нового правила под Приложением (или Источником угрозы в Контроле процессов, к примеру), выбираешь свою созданную группу:

Если на запрос активности какого то приложения из группы не найдётся подходящее правило для этой группы, то произойдёт стандартный запрос для отдельного приложения.
Цитата:

В чём их отличие? Какие системные, по умолчанию, а какие пользовательские?

По умолчанию - какие создаются сразу по окончании работы Configuration Wizard.
Системные - генерируются Джетикой, в зависимости от активности твоих сетевых интерфейсов, определяются не возможностью удалить (пункт Удалить группу, не активен), сбрасываются после перезапуска программы (опять же в зависимости от активности и настройки сетевых интерфейсов).
Пользовательские - по видимому, какие сам создал .

Объясните мне, каков великий смысл в отдельных таблицах "Доступ к сети" и "Косвенный доступ...". Не проще ли и не нагляднее ли сделать их сквозными, а в каждое правило для приложений включать соответствующие пункты? Ломает каждый раз при изменении пути или имени файла править несколько таблиц. Можно заносить путь только в "Сетевая активность", а в правилах по ссылкам путь, собственно, не нужен, ведь туда попадёт только приложение из вышестоящей таблицы.

Redisych

Цитата:

Объясните мне, каков великий смысл в отдельных таблицах "Доступ к сети" и "Косвенный доступ...".

Два разных модуля, мониторящих определённую активность программ, отдельно, смысл таблицы "Косвенный доступ", обсуждали очень подробно и со ссылками на первоисточник, почитай.
Цитата:

Не проще ли и не нагляднее ли сделать их сквозными, а в каждое правило для приложений включать соответствующие пункты?

Если сделать как ты описал, активность новых приложений (допустим деструктивных), попадающая под правила этих таблиц, отслеживаться не будет. Кроме того, ни как не означает, что приложение проявляющее активность попадающую под правила одной из таблиц: "Доступ к сети", "Косвенный доступ", "Сетевая активность", попадёт в другую из этого списка. Так или иначе, всё равно придётся добавлять приложения, активность которых попадает под правила какой-либо одной таблицы.
Цитата:

Можно заносить путь только в "Сетевая активность", а в правилах по ссылкам путь, собственно, не нужен, ведь туда попадёт только приложение из вышестоящей таблицы.

Ну во первых - и здесь и на оф. форуме, есть сообщения, что без указания путей, приложения путались (активность одного, принималась как другого). Во вторых - тем более если есть возможность, указать полный путь до исполняемого файла, лишним никогда не будет, особенно в защитной программе, где любая путаница может привести к неприятным последствиям.
Цитата:

Ломает каждый раз при изменении пути или имени файла править несколько таблиц.

Так функционал позволяет, отключи любые таблицы, которые считаешь не нужными, поместив на самый верх правило с вердиктом "разрешить". Если совсем "ломает", есть альтернативы, где достаточно поставить одну "галку", и беспокоить вопросами перестанет, и распределится всё молча, само.

Dimitr1s

Цитата:

Если сделать как ты описал, активность новых приложений (допустим деструктивных), попадающая под правила этих таблиц, отслеживаться не будет.

Почему? Если разрешить всё, приложения ловятся в "Сетевая активность".

Цитата:

Так или иначе, всё равно придётся добавлять приложения, активность которых попадает под правила какой-либо одной таблицы.

В этом-то и состоит идея. Завести в правилах, что одному приложению то да сё, другому только то или только сё...
Цитата:

здесь и на оф. форуме, есть сообщения, что без указания путей, приложения путались (активность одного, принималась как другого).

Это, вообще-то, некомильфо. Становится неприминимым принцип деления по категориям приложений. К примеру, создать таблицу приложений "Веб браузер" и отнести к нему Firefox, Opera, Chrome и т.д. (у меня сейчас 16 программ попадают под определение "Веб браузер"). Получается, что я должен создавать что-то вроде "Веб браузер Firefox" "Веб браузер Opera" "Веб браузер Chrome " и т.д. Что-то мне такой подход как-то не очень...
Цитата:

Во вторых - тем более если есть возможность, указать полный путь до исполняемого файла, лишним никогда не будет, особенно в защитной программе, где любая путаница может привести к неприятным последствиям.

Может быть...
Хочется предельной наглядности, а нынешняя структура несколько не способствует этому.
Я бы ещё принял нутром, если "Сетевая активность" поставить перед "Доступом" с "Косвенным доступом". Тогда в те таблицы попадёт только то, чему не нужны расширенные правила. Службы там системные или ещё чего. Сейчас же там оседает всё подряд, хотя тем же браузерам я эти доступы разрешил в правилах.
В качестве проверки идеи на скорую руку (понимаю несерьёзность) я запустил FireWallTest. Как и ожидалось, даже если я разрешаю "доступы", приложение благополучно отбивается равнодушием (галка на вопросе снята) в "Сетевой активности".

Ещё один вопрос. Я "выкусил" переключатели про обучение из .xml после <summary name="Политика безопасности для повседневного использования." />, потому что не пользуюсь. Ничего страшного не случиться?

И ещё, сообщаю. Удалось путём правки .xml произвести миграцию на новый конфиг. Таблицы приложений и правила с путями до них (приложений) благополучно переехали, потребовалось лишь поправить id. Заметил, что с прошлого года формат записи конфига незначительно изменили почему-то. Раньше была последовательность action, id, name. Теперь id, name, action.

Добавлено:
Ещё в догонку. Если делать так, как я предлагаю, придётся увеличить уровень вложенности, добавив таблицу "приложения", потому что в таблицу "Сетевая активность" не пускает корневое правило "Не доступ в сеть, не косвенный доступ сеть".
Спрашивается, нафига козе баян, зачем 3 таблицы разных видов взаимодействия приложения с сетью? Каждому приложению описать, что можно, а что нельзя. А для "особых" вынести в отдельную таблицу, где группам назначаются права. К примеру, этим "Косвенный доступ в сеть", а этим ещё и "Доступ в сеть".
Хочется концентрации реальных приложений в одной таблице, а не кучу клонов по всем. Надо будет подумать над этим и попробовать реализовать.

Redisych

Цитата:

Почему? Если разрешить всё, приложения ловятся в "Сетевая активность".

Ты не путай, вид активности (вызов определённых функций с той или иной целью) приложений, если разрешить всем "Косвенный доступ в сеть", то этот вид активности ни в какой другой таблице отслеживаться не будет!
Цитата:

В этом-то и состоит идея. Завести в правилах, что одному приложению то да сё, другому только то или только сё...

Не понял о чём ты... Сейчас так и реализовано. Повторю, если ты не прочёл предыдущий пост, ещё раз, касательно этих трёх таблиц: активность приложений, не попадает (и не может попадать) сразу подо все правила этих трёх таблиц. Как ты хочешь, цитирую:
Цитата:

а в каждое правило для приложений включать соответствующие пункты?

не получится.
Цитата:

Получается, что я должен создавать что-то вроде "Веб браузер Firefox" "Веб браузер Opera" "Веб браузер Chrome " и т.д. Что-то мне такой подход как-то не очень...

Не должен конечно, но вопрос в другом: почему бы и не создать? По факту: чем больше общих (без прямого указания пути к исполняемому файлу) правил и приложений, чья активность под них попадает - тем ты больше утрачиваешь контроль над ситуацией и тем выше шанс, что этими правилами воспользуется (так или иначе) деструктивная программа.
Цитата:

Хочется предельной наглядности, а нынешняя структура несколько не способствует этому.

Извини, но LOL.
Цитата:

Я бы ещё принял нутром, если "Сетевая активность" поставить перед "Доступом" с "Косвенным доступом". Тогда в те таблицы попадёт только то, чему не нужны расширенные правила. Службы там системные или ещё чего. Сейчас же там оседает всё подряд, хотя тем же браузерам я эти доступы разрешил в правилах.

Чепуха какая то... В таблице "Сетевая активность", отслеживается непосредственно сетевая деятельность приложений, в таблицах "Доступ к сети" и Косвенный доступ", отслеживаются предшествующие ей (сетевой активности), попытки получения доступа к оной, теми или иными способами (если коротко). Как возможно и главное зачем их менять местами, неясно. Отдельно:
Цитата:

Сейчас же там оседает всё подряд

Не всё подряд, а чётко те приложения, чья активность попадает под определение данного модуля.
Цитата:

Ничего страшного не случиться?

Если не нарушишь структуру XML, то нет конечно, я эти переключатели то же сразу выкусил, в остальном, по тому же принципу.
Цитата:

Спрашивается, нафига козе баян, зачем 3 таблицы разных видов взаимодействия приложения с сетью? Каждому приложению описать, что можно, а что нельзя. А для "особых" вынести в отдельную таблицу, где группам назначаются права. К примеру, этим "Косвенный доступ в сеть", а этим ещё и "Доступ в сеть".

Мы об одном и том же, в сотый раз: "Нафига козе баян" - это к кодерам, пишущих код и составляющих структуру исполняемых файлов. В средствах защиты реализуется попытка, так или иначе отловить деятельность (проявляемую активность) написанного кода. Поэтому извини - если сделать просто и удобно, отключив (или перемешав, в последствии непонятно как даже для себя) функционал фаервола, придётся пожертвовать достаточным контролем, той активности, что происходит у тебя на машине. Это я к чему: в одной-двух таблицах не получится разместить все приложения, проявляющие активность, попадающую под разные определения. Или делай по уму, разделяй приложения по таблицам попадающим под определённые правила или отключай "мешающие" спокойной жизни таблицы.

Dimitr1s
Видно, я опять недосказал что-то, раз возникли непонятки.
Я не предлагаю отказаться от контроля доступа и косвенного доступа. Предложение перенести их непосредственно к описаниям самих приложений. Например, так (кликабельно для увеличения):


Добавлено:
Просканировал с пристрастием. По Bluetooth поднял одноранговую сеть, на нетбуке поставил LanSpy. Включил все опции сканирования, с полным диапазоном портов. Определяется только MAC адрес сервера и 21, 80, 1080 порты. На машине крутятся апач с двумя сайтами на борту, ещё один HTTP сервер, Файлзилла и сокс для нетбука. Я благополучно захожу на сайты и подключаюсь по ФТП, кроме того, пишу сюда с него же. Сервер не откликается даже на пинг. Если же открыть фаер, видны все кишки системы (каюсь, работаю под администратором). Система Windows Server 2003 SP2 Rus. В общем, я доволен

Redisych

Цитата:

Видно, я опять недосказал что-то, раз возникли непонятки.

Ну, я процитировал на что отвечал. Как проще и по нормальному, ответил сразу в первом сообщении. Как сейчас я понял построение таблиц на скрине: сверху есть таблица "Известные приложения", с перечислением доверенных приложений, из которой браузеры, почтовики, "качалки, направляются в свои таблицы с набором правил. Именно как на скрине, ты предлагаешь создать по два дополнительных правила в каждой из таблиц с правилами: "Веб-браузер", "Почтовая программа", Download manager" - итого шесть. Не проще, "спустить" таблицу "Известные приложения" вниз и сделать на неё всего две разрешающих ссылки (из "Косвенного доступа" и "Доступа к сети"), как собственно я и посоветовал? В чём преимущество? Приложения то доверенные. Плюс, располагать таблицу на самом верху, не очень хороший выбор по ряду причин.
Если не трудно, исправь картинку на "поменьше".

Dimitr1s

Цитата:

Не проще, "спустить" таблицу "Известные приложения" вниз и сделать на неё всего две разрешающих ссылки...

Если принять тот факт, что действительно, с приложениями бывает путаница и их надо прописывать непосредственно с путями везде, то получается, что да, возможно, и проще.
Я пока голову в песок засунул и верю в то что достаточно ссылаться на таблицы приложений из "Известные приложения". Надо погонять в такой конфигурации, посмотреть, что получится.
По поводу двигать вверх-вниз это не окончательно. Я сейчас пытаюсь придумать, как очеловечить вопросы балунов, чтобы на ходу создавались жизнеспособные правила, потому что по опыту не получается вообще и никак. Какие-то цепочки бессмысленных реакций пользователя на каждый пакет по нескольким таблицам, поэтому приходилось прописывать вручную по логам.
Сейчас в конце таблицы поставил вопрос "К какой категории отнести приложенние (по шаблону)?" с реагированием только на приложение (без событий). Если временно сделать сквозными "Доступ к сети" и "Косвенный доступ к сети", получается очень даже адекватный мастер раскидывания приложений! Просто указываешь — Браузер, почтовик, качалка, FTP клиент, DC клиент и т.д., и таблица мигом набивается программами, после чего можно перейти к доступам. Т.е. в "Известных приложениях" снимаем вопрос, перенастраиваем доступы и ловим там.

P.S. Про "мешающие" спокойной жизни таблицы повеселил

Redisych

Цитата:

P.S. Про "мешающие" спокойной жизни таблицы повеселил

Под мешающими жить таблицами, имелось ввиду перевод некоторых таблиц Джетики в режим "разрешить", разместив вверху таблицы аналогичное правило. Не знаю весело это или грустно, но обычно кого "ломает" необходимость править вручную правила или, там, слишком частые "ненужные" запросы, так и поступают.

Dimitr1s
Я понял.
Сам стойко держусь, но вот этот "Косвенный доступ" порой вымораживает. Почти каждое никчемное приложение, каждая новая утилита просится.

Кстати, вот вопрос. При первом старте визардом забиваются таблицы. По какому критерию? Он смотрит, что запущено, или берёт стандартный набор?

Redisych

Цитата:

Почти каждое никчемное приложение, каждая новая утилита просится.

Ты задумайся как следует, что "никчёмное" приложение, может оказаться очень толково написано (или дописано, или хитро упаковано/закриптовано и т.д.) и не палиться сигнатурами антивирусов и случись так, всё твоё нажитое_непосильным_трудом улетит в сеть. Если проактивная защита работает в полном объёме и настроена "без ломок" - ты как минимум будешь предупреждён о подозрительной (несвойственной) активности и выбор останется за тобой.
Цитата:

Он смотрит, что запущено, или берёт стандартный набор?

Обрати внимание на: %ProgramFiles%\Jetico\Jetico Personal Firewall\Config\jpfConfig.tmpl

Почему нельзя в конце каждой таблицы приложения поставить по умолчанию "Запретить"?
Какой русский аналог "Stateful TCP Inspection"?

Redisych

Цитата:

Какой русский аналог "Stateful TCP Inspection"?

В "Таблице IP" правило "Анализируем общение по TCP". У себя давно переименовал (дурацкий перевод) в
Цитата:

"Stateful TCP Inspection"

HarDDroN
Во! А я всё косо поглядывал на этот "Анализируем общение по TCP", хотел взяться за него, но не знал, с какого боку и чем мне это грозит

Поймёт ли Jetico environment variables вида %SYSTEMROOT%, %PROGRAMFILES% в путях приложений? Правильно это или нет, другой вопрос.

---upd
Сам себе отвечаю: поймёт. Только зачем-то переделает всё в абсолютный путь...
Хотелось создать темплейт...

Добавлено:
Dimitr1s
Я изучил jpfConfig.tmpl. Вопросов меньше не стало.
Например,
[more=wizard_indirect_access_to_network]<label name="wizard_indirect_access_to_network" />

<rule type="7" action="accept">
<event value="0x80000" />
<application value="%SystemRoot%\system32\spoolsv.exe" />
</rule>
<rule type="7" name="Indirect access to network is required to connect to firewall server" action="accept">
<event value="0x80000" />
<application value="%JPF_INSTALL_DIR%\jpf.exe" />
</rule>
<rule type="7" action="accept">
<event value="0x80000" />
<application value="%JPF_INSTALL_DIR%\jpfsrv.exe" />
</rule>
<rule type="7" action="accept">
<event value="0x80000" />
<application value="%SystemRoot%\system32\csrss.exe" />
</rule>
<rule type="7" action="accept">
<event value="0x80000" />
<application value="%SystemRoot%\System32\svchost.exe" />
</rule>
<rule type="7" action="accept">
<event value="0x80000" />
<application value="%SystemRoot%\system32\winlogon.exe" />
</rule>
<rule type="7" action="accept">
<event value="0x80000" />
<application value="%SystemRoot%\system32\smss.exe" />
</rule>
<rule type="7" action="accept">
<event value="0x80000" />
<application value="%SystemRoot%\system32\userinit.exe" />
</rule>
<rule type="7" action="accept">
<event value="0x80000" />
<application value="%SystemRoot%\Explorer.EXE" />
</rule>
<rule type="7" action="accept">
<event value="0x80000" />
<application value="%SystemRoot%\system32\cmd.exe" />
</rule>
<rule type="7" action="accept">
<event value="0x80000" />
<application value="%SystemRoot%\system32\wuauclt.exe" />
</rule>
<rule type="7" action="ask" name="" log="1">
<control id="4" state="0x2" />
<popup value="Indirect access to network detected.\n\nApplication %application%\nmade %parent_event% and probably tries to access the Internet via another application %misc%\n\nIf you block indirect access to network, it may affect other applications.\n\nDo you want to authorize it?" allow="7" block="7" />
</rule>
</table>
<table id="9" name="Ask User" action="continue">
[/more]
Здесь прописаны процессы
spoolsv.exe
jpf.exe
jpfsrv.exe
csrss.exe
svchost.exe
winlogon.exe
smss.exe
userinit.exe
Explorer.EXE
cmd.exe
wuauclt.exe
Т.е. видимо, создатели посчитали просто, что это есть на любой Windows NT5+ машине. А у меня, к примеру, ещё куча всего просится в индайрикт. Получается, что созданное визардом лишь пример, чёткой системы нет, думать опять надо самому.
Точнее, не думать, а методом тыка настраивать...Если это так, то, может быть, разумно создать базу известных файлов, чтобы облегчить жизнь начинающим? Либо после установки Jetico вносить вообще все известные .exe, имеющиеся в наличии на машине, в список косвенного доступа? Веть так или иначе когда-нибудь почти все там оказываются.

Добавлено:
По поводу этого самого косвенного доступа вопрос: как другие фаерволы справляются с этим и не достают пользователя вопросами? На мой взгляд (давно ничего другого не ставил, просто предполагаю):
1. Они позволяют доверенным приложениям быть запущенными из под чего угодно.
2. Они просто не проверяют косвенный доступ.
Склоняюсь ко второму, но хотелось бы реализацию первого. Мне почти всё равно, из под чего запущен, к примеру, Firefox. Я сам его собирал, я сам писал для него правила. Или джаббер-клиент на базе Miranda.
Сейчас же получается, что, поставив какой-нибудь "Сократ персональный портабельный хрен пойми каких лохматых годов" я почему-то получаю неработающую сеть. Это не совсем верно. Я соображаю, что ставлю, я проверяю это на вирусы/трояны. Я хочу, чтобы это поставилось без ущерба для сетевых функций машины.

Насколько я понимаю, оставить простого пользователя наедине с Jetico можно лишь выключив контроль косвенного доступа, приложений и контрольных сумм, сняв галки с вопросов. Уже почти год так делаю, вроде бы результат неплохой, на десятке машин. Единственное неудобство — нужно заранее предусмотреть все приложения, с которыми дозволено работать пользователю в Интернете, иначе будет нытьё о том, что какой-нибудь маилру или квип не работает.

Redisych

Цитата:

Почему нельзя в конце каждой таблицы приложения поставить по умолчанию "Запретить"?

Кликнуть мышью не пробовал? Почему не надо так делать, открой справку, раздел: "Firewall rules processing", там подробно описаны, и структура таблиц, и все действия.
Цитата:

Какой русский аналог "Stateful TCP Inspection"?

Поиск по файлу langfile.txt или проще: Опции -> Язык -> English, не?
Цитата:

Получается, что созданное визардом лишь пример, чёткой системы нет, думать опять надо самому.

Ни какой системы нет и быть не может, если нет желания прочесть, хотя бы минимум, про принцип построения и функционала исполняемых файлов, тогда, или тыкать "ОК", или как ты правильно заметил отключать таблицу и первое и второе действия равнозначны.
Цитата:

Если это так, то, может быть, разумно создать базу известных файлов, чтобы облегчить жизнь начинающим?

Прежде чем написать, подумай о чём ты? Попытка организовать подобное, сейчас есть в продуктах Касперского, путём создания нескольких отдельных серверов с базами хешей, результат - многие окончательно отказались от использования продукта, остальные заваливают ТП вопросами: "На кой, он всё время, что то качает?".
Цитата:

По поводу этого самого косвенного доступа вопрос: как другие фаерволы справляются с этим и не достают пользователя вопросами?

Во-первых - "Косвеный доступ", просто названия модуля в Джетике, отслеживающего определённую активность исполняемых файлов, в прочих средствах защиты - своя структура и свои названия. Во-вторых - принцип везде один и тот же и по другому быть не может: или "авто-принятие" решений (примерно то же что: фаервол за тебя бездумно тыкает "ОК"), или "вручную" (то же что: вдумчиво).
Цитата:

Мне почти всё равно, из под чего запущен, к примеру, Firefox..
...поставив какой-нибудь "Сократ персональный портабельный хрен пойми каких лохматых годов" я почему-то получаю неработающую сеть...
Я хочу, чтобы это поставилось без ущерба для сетевых функций машины.

В пятый раз поясню: каждый из модулей проактивной защиты, с помощью работающего на уровне ядра системы драйвера, "пропуская через себя" контролирует определённую активность кода запускаемого/запущенного исполняемого файла (как то: вызов функций из системных библиотек, попытки чтения/записи в секции памяти других приложений и т.д и т.п.), так вот, драйвер, при определении активности, основывается на алгоритм определения, заложенный в коде разработчиком и ему (драйверу) "глубоко без разницы", что за приложение пытается вызвать те или иные функции, будь то: Firefox который ты сам собирал, или калькулятор, или пинч/троян. В итоге (на примере "Косвенного доступа"), ты получаешь информацию, что приложение пытается использовать функционал, с помощью которого возможна передача (в том числе скрытая) данных в сеть. Вся сетевая активность блокируется потому, что до конца цепочку действий подобной активности приложения, отследить не представляется возможной - во избежание утечки данных. По другому на данный момент, по видимому, у разработчика возможности реализовать нет.
Если есть желание, сходи на MSDN, найди и почитай о построении и работе исполняемых файлов, можно скачать файл WIN32.HLP и хотя бы бегло "пробежать". Иначе получается беспредметный разговор.

добавил:
Цитата:

Насколько я понимаю, оставить простого пользователя наедине с Jetico можно лишь выключив контроль косвенного доступа, приложений и контрольных сумм, сняв галки с вопросов. Уже почти год так делаю, вроде бы результат неплохой, на десятке машин.

Если ты, не имея даже начальных знаний, ни о функционале приложений, ни о системе в целом, ставя и "настраивая" на "десятки машин" средство защиты в справку которого, судя по вопросам, ты не заглядывал, рано или поздно можешь попасть под неприятности, а если за это берёшь вознаграждение, то вплоть до уголовной ответственности. Это я к слову, преценденты сплошь и рядом, время сейчас такое .

Dimitr1s
И всё же, не удержусь от самоцитирования:
Цитата:

Насколько я понимаю, оставить простого пользователя наедине с Jetico можно лишь выключив контроль косвенного доступа, приложений и контрольных сумм, сняв галки с вопросов.

Быть может, я заблуждаюсь? Вопросы не должны появляться, по-крайней мере, после моего ухода.
Собственно, сейчас так и есть. На виртуалке создана заливка со всеми основными программами, отлажена и отвязана от железа. Всё, входящее в комплект, работает без проблем. И не только, есть "запасные" правила.
И ещё, договори, если не в тягость, своё IMHO, какие отношения с косвенным доступом у других продуктов данного класса. К примеру, тот же Outpost, или Comodo. Что-то мне кажется, что их создатели на это забили, иначе они были бы не менее "трудными".
Уровень своих знаний я оцениваю трезво Доберусь и до "высоких материй", не всё сразу.

Идея "Очеловечивания" Jetico меня не оставляет. Вслед за пользовательскими приложениями можно (нужно) разработать систему, позволяющую подключать опциональность сначала доступа к сети, затем косвенного доступа. Есть идея реализации поэтапного режима обучения, надо ещё обдумать. Ах, да, если не брать во внимание уже оговоренный глюк, заставляющий прописывать пути приложений везде и всегда. Сейчас пытаюсь себя заставить читать басурманский форум.

Redisych

Цитата:

Быть может, я заблуждаюсь? Вопросы не должны появляться, по-крайней мере, после моего ухода.

Браться устанавливать защиту кому-либо, при этом слабо понимая что к чему, не есть хорошо. Обрезать кому-то защитный функционал по своему "разумению" - тем более.
Цитата:

И ещё, договори, если не в тягость, своё IMHO, какие отношения с косвенным доступом у других продуктов данного класса.

Договорил уже постом выше. Есть написанный код, по мере исполнения проявляет активность, задача любой проактивки эту активность отследить и информировать пользователя, предоставив выбор. При разнице в названиях правил, все более-менее приличные проактивные защиты таковую активность определяют в целом одинаково (судя по различным тестам). Выстави в аутпосте или комодо "ручной" режим выбора действий и максимальный уровень детекта активности (или что то в этом роде), и сравни количество запросов на запуск одного и того же исполняемого файла.
Цитата:

Идея "Очеловечивания" Jetico меня не оставляет.

Извини, ничего не понял.

Цитата:

При разнице в названиях правил, все более-менее приличные проактивные защиты таковую активность определяют в целом одинаково

Ага, вот это и хотел услышать. Т.е. выходит, что создатели Jetico посчитали автомат, скажем так, безнадёжным для полной безопасности и не стали развивать это направление... Моего ограниченного понимания всё же хватило для правильного вывода

Цитата:

Идея "Очеловечивания" Jetico меня не оставляет.
Извини, ничего не понял.

Если выйдет пригодное для применения другими, поделюсь.

Как в цифровом виде задать IP "все" или "никакие"? Имеется в виду именно цифра, а не логическая конструкция. Т.е. что-то вроде "0.0.0.0" и "255.255.255.255"

И ещё, какой самый самый простой из известных способ конвертировать конфиг в читаемый текст с абсолютными названиями правил (не по ID, а по-русски)?

Redisych

Цитата:

Как в цифровом виде задать IP "все" или "никакие"? Имеется в виду именно цифра, а не логическая конструкция. Т.е. что-то вроде "0.0.0.0" и "255.255.255.255"

Ну так и задать: 0.0.0.0-255.255.255.255

CaptainFlint
0.0.0.0-255.255.255.255 — все? А "никакие" одними цифрами (без логики "не")?
Хотя, туплю. Можно же не указывать ничего!

Redisych
Если не указывать ничего — это отсутствие фильтра, т.е. как раз соответствие всем адресам. А "никакие" смысла нет задавать, ведь такое правило никогда ничему не сможет соответствовать. Зачем его создавать в таком случае?

Redisych

Цитата:

Как в цифровом виде задать IP "все" или "никакие"?

0
Цитата:

И ещё, какой самый самый простой из известных способ конвертировать конфиг в читаемый текст с абсолютными названиями правил (не по ID, а по-русски)?

Причём здесь эта тема? Ищи тулзы для преобразования/форматирования XML, может чего и получится.
Цитата:

Хотя, туплю. Можно же не указывать ничего!

Если в группу/диапазон IP ничего не вставить правило не создастся.

CaptainFlint

Цитата:

Ну так и задать: 0.0.0.0-255.255.255.255

Нет такого диапазона .