» Comodo Firewall Pro / Comodo Internet Security (4)

В версии 4.0.138377.779 исправлен ранее упоминавшийся баг (по крайней мере, был замечен на XP SP2) с "провалом" теста Impersonation: Coat после использования и последующего отключения песочницы. Также, теперь при использовании песочницы (с отключенными виртуализациями ФС и реестра) "провал" наблюдается только в 8. Invasion: FileDrop и 24. Impersonation: DDE. У предыдущей версии при тех же условиях "провалов" было гораздо больше.

Ujinnee

Цитата:

Добавил в защищённые COM-интерфейсы LocalSecurityAuthority.Shutdown - стали появляться алерты на всё семейство sss.

Спасибо за совет. Добавление данного интерфейса также решило проблему с ранее упомянутым мной тестиком System Shutdown Simulator. Хотелось бы прогнать четверку на тестах Матусек, но все никак руки не доходят...

forser выложи русский на обменник

Информация для томичей: Неофициальный сервер обновления Comodo Internet Security в Томске без "внешки" - http://ittomsk.ru/

Ограничения и инструкция как настроить находится здесь http://ittomsk.ru/projects.html

Есть ли еще по России (неофициальные) сервера обновлений комодного?

fr3st1l3r
Честно говоря даже не знаю как это может помочь.
Просмотрев настройки файрвола, я пришел к выводу, что "доверенная локальная сеть" это набор правил разрешающий любую активность внутри зоны локальной сети на уровне IP протокола. Но ARP это не относится к семейству IP протоколов, он ниже по уровню... т.е. "доверение" на него никак влиять не должно.


Еще одна странная вещь. Сомодо на работе нашел локальную сеть и сразу предложил сделать ее довереннной, а дома, в сети провайдера, на локалку никаких доверений не ставил и даже не заикнулся об этом. В принципе правильно сделал, но на основании чего он пришел к такому решению ?


P.S.: Я в комодо новичок, использовал ранее только системный фаервол, подскажите куда курить чтобы въехать во все настройки и правильно закрыть систему.

Ujinnee


Цитата:

Добавил в защищённые COM-интерфейсы LocalSecurityAuthority.Shutdown - стали появляться алерты на всё семейство sss.

Тыкни пальцем как добавить.

Установил последнюю версию 4.0.1.138977.779, методом тыка пришел к настройкам при которых проходит тесты CLT 340/340 и упоминавшийся здесь проваленый тест filedel2 (Level 1) из набора ssts matousec. фаервол и проактивка в безопасном режиме. Пробовал на двух виртуалках, конфиги перенес с одной на другую, результат повторился. Хотелось бы чтоб кто-нибудь еще потестировал. Есть желающие?

AlViS, выложил здесь.

Добавлено:
ikar2006

Цитата:

Тыкни пальцем как добавить.

В четверке (т. к. у меня четверка):
Защищенные COM интерфейсы > Группы > Псевдо COM интерфейсы - Привилегии

23W
Цитата:

Сомодо на работе нашел локальную сеть и сразу предложил сделать ее довереннной, а дома, в сети провайдера, на локалку никаких доверений не ставил и даже не заикнулся об этом.

Для локальной сети предопределены 3 диапазона (правда, не все их придерживаются):
# 10.0.0.0—10.255.255.255;
# 172.16.0.0—172.31.255.255;
# 192.168.0.0—192.168.255.255
(источник...)
а в сети провайдера, скорее всего диапазон другой.

Ujinnee
Level 5: kernel2.exe - (судя по всему, пытается запустить драйвер как службу)
Сегодня получил устойчивый результат:


Код: E:\=TEST=\ssts\bin\Level 5>kernel2
Security Software Testing Suite - Kernel2
Copyright by www.matousec.com, Different Internet Experience Ltd.
http://www.matousec.com/


ERROR: Unable to create/open driver's service.
Error code: 5
Error message: Отказано в доступе.

YOUR SYSTEM PASSED THE TEST!

Итого имеем очень неплохие результаты...
XenoZ, Ujinnee, acro
Good Job

Добавлено:
Кстати, форум бажить перестал...

forser скачал, гляну что получилось

AlViS
Правда, в последней версии они кое-что уже подправили...

XenoZ
спасибо, конечно вы правы... я как-то забыл про заразервированные диапазоны

Цитата:

Дело в том, что в политиках безопасности у группы "Все приложения" в правах доступа на Завершение приложений действительно стоит "Спросить". Но, нажав кнопку Изменить, видим, что в Разрешённых приложениях стоит звёздочка.

Нету у меня звездочки. Следовательно любым приложениям требуется запрос на завершение приложений. Но эксплорер убивается сам по себе (с перезапуском)
При этом если на эксплорер поставлена защита ( в кнопке рядом с правами, активировать на завершение приложения) то даже алертов нет. Эксплорер неубиваем

Цитата:

А sss2.exe и sss.exe проверили, всё в порядке?

Все нормально, алерты появляются, на блокировку работают адекватно.

acro
Цитата:

Нету у меня звездочки.

Наличие/отсутствие звездочки зависит от активной конфигурации. Она (звездочка), в частности, присутствует в конфигурации Internet Security и отсутствует в Proactive Security.

Цитата:

Следовательно любым приложениям требуется запрос на завершение приложений.

Кроме тех, у кого это разрешение уже есть.

Блин, чего я делаю не так?

Как только поставил CIS - перестал запускаться SquidNT. Причем успевает мигнуть в списке задач таскменеджера и сразу закрывается, ничего не успев написать в своем логе.

CIS стоит в режиме файрвола, проактивка выключена, бинарник SquidNT добавлен как доверенное приложение и в файрволе и на всяк случай в проактивке.

Снимаю CIS - SquidNT начинает работать. Что за фокусы, елки палки?

Почитал тут форум и решил свой комп проверить с помощью тестов matousecа.
Скачал тесты matousec.
В файле ssts.zip присутствуют папки Level1-Level10 как проверить свой комп с помощью файлов находящихся в этих папках ?

ikar2006
модифицируеш под свои нужды файл ssts.conf в корне папки bin ;
в конце этого файла обязательно должно быть agreement=I DO agree иначе тесты не запустятся ;
запускаеш distribute.cmd - он раскидывает твой конфиг по папкам Level 1..10 ;
переходиш к тестам - все тесты запускать в командной строке;

можеш почитать еще здесь http://www.matousec.com/projects/proactive-security-challenge/faq.php

SlayerT

Цитата:

модифицируеш под свои нужды файл ssts.conf в корне папки bin

Понятней не стало. Нельзя ли по подробней.
И вопрос систему сохранять нужно. Не умрет после тестов.
У меня win7/x64.

ikar2006

Цитата:

Понятней не стало. Нельзя ли по подробней.
И вопрос систему сохранять нужно. Не умрет после тестов.

Почитайте мой пост на предыдущей странице, особенно "Настройки конфигурации тестов".
Если не станет яснее (плюс то, что написАл Вам SlayerT), imho не стоит Вам вообще этого делать

ikar2006
1. SSTS предназначен для WinXP SP3 + IE8. Достоверность результатов на других системах не гарантируется...
2. The further development will focus on implementing new testing suite for Windows 7 on 64-bit platform.
3. по ссылке, указанной SlayerT, все доступно и понятно. Нелады с английским - онлайн-переводчик в помощь.
4. прежде, чем что-то делать, нужно четко представить, что именно собираешься делать, иначе убитая система, как результат, вполне реально.

Ujinnee, XenoZ
Спасибо, рисковать пока не буду.
Проверил свой комп Comodo Leak Test результат по моему плачевный 210/330. Проактивка про запущенный файл даже не заикнулась. Только фаер сработал отправил в заблокированные.
Почему проактивка никак не реагирует на запуск данного файла.
Конфигурацию перенес с версии 3.14. (проходила 340/340) странно почему в моем случае сейчас 330.
Перед запуском файла clt.exe удалил его из Политики безопасности компьютера.

В ручную в Политику безопасности компьютера добавил clt.exe как Заблокированное приложение результат теста 320/330 не проходит
15. Injection: KnownDlls    Vulnerable

Совсем забыл
Конфигурация COMODO - Internet Security

Режим антивируса - Кумулятивный
Режим фаервола - Пользовательский
Режим проактивной защиты - Безопастный
Режим SandBox - Не активен

Немного разобрался если запускаю файл clt.exe из Total Commander то проактивка молчит. Если через Мой компутер отрабатывает но тест 15. Injection: KnownDlls Vulnerable я так понимаю не проходит, что нужно сделать что бы пройти данный тест.

И как заставить работать проактивку на запуск файлов из ТС.

Продолжу свои изыскания.
Удалил Total из Политики безопасности компьютера. Запуск Totalcmd.exe Проактивка молчит.
Сохранил конфигурацию. В cfgx фафле нашел что Totalcmd.exe значится в разрешенных %windir%\system32\rundll32.exe определенное у меня как Installer или Updater. Выбрал режим править -> Использовать пользовательские политики обнаружил в списках разрешенных -> Запуск приложений -> C:\Progra...\Totalcmd.exe.
Вот и не пойму ни как что и где настроить что бы при запуске например clt.exe срабатывала проактивка ?

ikar2006
Для начала я посоветовал бы Вам перевести проактивку в параноидальный режим.

Перевел проактивку в параноидальный режим. При запуске clt.exe из Total Commander проактивка сработала. И тест почти пройден 320/330. Странно на 3.14 проактивка работа и в Режиме безопасный. Но тест 15. Injection: KnownDlls Vulnerable не пройден. Не подскажите где копать ?

ikar2006

Вот как понимать такой алерт "приложение System хочет принять входящее подключение с IP 77.45.19.100 на порт 135" ?
И варианты выбора действия,хотя для WOS и для System стоят правила запрета всех входящих!!!
Жаль скрин не догадался сделать
Комод последний четвёртый.

Ujinnee
У меня в защищенных COM компонентах \KnownDlls\* пристутсвует. Но такого алерта у себя не видел.
В общем мистика встал с утра запустил тест результат 15. Injection: KnownDlls Vulnerable.
Зашел в настройки защищенных COM компонентов открыл группы нашел \KnownDlls\* нажал ОК вышел из защищенных COM компонентов. Удалил из Политики безопасности clt.exe запустил тест и успешно его прошел 330/330. Не знаю что и думать.

Поставил CIS 4.0.138377.779 на чистую Win7 32bit
CLT Результат 340/340 Конфигурация - Comodo Proactive Security
В Настройках Sandbox отключил ''автоматический запуск не известных программ в Sandbox''
Режим фаервола=безопасный
Режим проактивки=безопасный
http://s002.radikal.ru/i198/1003/f7/f4b47ae910c9.jpg

Добрый день, уважаемые!

У меня такой вопрос. Сегодня установил CIS 4.0.138377.779 (точнее, только файерволл), и столкнулся с непонятной для меня проблемой. Не удалось импортировать конфигурацию от предыдущей "четверки". Пишет "Не удалось импортировать настройки из заданного файла". При этом без проблем "скушала" конфигурационный файл, завалявшийся от "тройки".

Есть еще у кого такая ерунда? Теоретически, файл настроек не должен быть поврежден, т.к. не так давно я с него импортировал конфигурацию, и все было в порядке.

uctopuk, у 4.0.138377.779 отличаются пути и соответствующие ветки реестра, относящиеся к песочнице. Точнее - сама папка песочницы и ветка реестра теперь имеют другое название - VritualRoot. Ранее, если не ошибся в регистре, соответственно, назывались - Sandbox.

Возможно, причина в этом...