» Comodo Firewall Pro / Comodo Internet Security (4)

qwefgh
ну знаешь при желания хакер хорошый и комод я думаю обойдёт)ну при очень силном желании)
3)в приложении для которого создано правило создать ещё одно блокировать все IP в глобалном правиле так же но я не пользуюсь так что не уверен. в WOS тоже добавить правило блокировки и в system...взгляни мои правила на предыдущей странице хотя бы глазком)
2) я бы не стал hips отключать так как на мой взгляд это очень хорашя защита(раньше сидел тоже на всяких кис нис) но защита всех главых веток реетсра системных файлов и контроль запуска всего это очень хорошо..а осбенно санбокс в нём можно даже вирус запустиь ))

qwefgh
Витая пара - понятие весьма расплывчатое.
1. На Win7, насколько мне известно, неплох встроенный фаервол.
2. Отключать в Комоде HIPS крайне не рекомендуется, т.к. в нем (Комоде) отсутствует контроль целостности файлов, используется метод распределения прав доступа, за к-рый как раз и отвечает HIPS.
К любому продукту, отвечающему за безопасность системы, надо приложить руки (с включенной головой, естественно ), т.к. в подавляющем большинстве настройки по умолчанию - весьма и весьма демократичны.
3. В настройках, при установке пароля.

Цитата:

ну знаешь при желания хакер хорошый и комод я думаю обойдёт)ну при очень силном желании)

Что же делать? Так не охото вешать на систему кис или нис :\


Цитата:

я бы не стал hips отключать так как на мой взгляд это очень хорашя защита

Да мне защита внутри не нужна, если б не фаерволл, то и не ставил бы ничего.


Цитата:

На Win7, насколько мне известно, неплох встроенный фаервол.

Тоесть его будет достаточно для защиты "из вне" при постоянном обновлении?

Всё таки я крайне неопределен

qwefgh

Цитата:

Что же делать? Так не охото вешать на систему кис или нис :\

http://www.matousec.com/projects/proactive-security-challenge/results.php

Цитата:

Да мне защита внутри не нужна, если б не фаерволл, то и не ставил бы ничего.

Учите матчасть... Или прочтите хотя бы справку к CIS (http://forum.ru-board.com/topic.cgi?forum=5&topic=32483&start=0&limit=1&m=3#1) - в ней найдете ответы на многие вопросы...

qwefgh

Цитата:

Что же делать? Так не охото вешать на систему кис или нис :\

зачем кис нис..а как же комод))на мой взгляд лучше) и + антиврус какой нить там доктор или авира..

Цитата:

Да мне защита внутри не нужна, если б не фаерволл, то и не ставил бы ничего.

а почему же не нужна?всякое бывает..запустил что не то...флешку вставил..не ту..на сайт зашёл не тот и уже кто то пролез..особенно смс какая нибудь.ну это конечно решать тебе...все познаёться на своём опыте.лично у меня редко вирус может потому что комод может хипс комода может расширения стоят блокирующие скрипты на мозиле а может просто не лажу особо по гадастям...но эфект один все гуд
лучше посидеть с денёк или 2 для настройки комода и все)если что подсказать всегда сможем

Цитата:

а почему же не нужна?

Это осознанное и уверенное решение человека, который на ты с отладчиком был еще лет десять назад Просто никогда я не сталкивался именно с проблемой сетевой защиты против атак из вне.


Цитата:

Учите матчасть... Или прочтите хотя бы справку к CIS

Спасибо, будем читать.

qwefgh

Цитата:

Это осознанное и уверенное решение человека, который на ты с отладчиком был еще лет десять назад

Тогда высказанное мнение о ненужности HIPS - удивляет вдвойне...

Цитата:

на ты с отладчиком был еще лет десять

отладчик это вы про хипс или что?

mahtanoronra

Цитата:

отладчик это вы про хипс или что?

- см. хотя бы здесь: http://ru.wikipedia.org/wiki/Отладчик

Отладчики это когда на ассемблере программы писали (:
Да не, спасибо, но защита изнутри не нужна, рецепт - в интернете только проверенные ресурсы, обновленная опера, флеш (наверно только на ютубе) и ява, плюс скрипты и активные элементы только на самых нужных ресурсах и не отвлекает и безопасно. А вот вопрос атаки сетевыми червячками в локальной сети провайдера напрягает

to ALL
подскажите а какие правила у установки и обновления?а то их нету в политике...и можно ли их ставить на разные приложения?к примеру запускал 5 или 6 приложения и везде была рекомендация на правило "установку и обновление"

mahtanoronra

Цитата:

подскажите а какие правила у установки и обновления?

"Установка или Обновление" - это фактически установка максимальных привилегий приложению...

Цитата:

и можно ли их ставить на разные приложения?

А смысл? Если в данном случае приложению будет разрешено все...

Что означает символ | в масках файлов?
Хочу как-то выключить слежение за windows\temp, а то задолбало. Просто "%windir%\*|", я так понимаю, включает в себя все, что есть в папке, в том числе и темп. Можно конечно добавить у конкретного(ых) приложений в разрешенные папки, но лучше бы вырубить темп, что за ним следить-то.

Вообще какая-то не хорошая тенденция наблюдается. 3ий комодо вел себя как-то более предсказуемо, журнал только тормозной был очень. С 4ым начались какие-то странности. Например, при запуске приложений часто вылезал вопрос на разрешение запуска, якобы приложение вызывает запускает само себя.
5ый комодо пару раз в день вылетает с ошибкой, хорошо хоть только гуи, а не драйверы.
Почему-то он стал теперь ругаться на ntvdm (пользуюсь консольным файлменеджером). Или в пред. версиях ntvdm было больше разрешено, или лучше определялось, кто именно обращается к файлам.

forser
то есть даже с разрешением любого запуска приложения как в системных?а то ведь не где даже посомтреть
то есть все что не ставиться можно просто довернное или системное
и тут

можно либо довернное или системное поставить

aksdjghdgw

Цитата:

Что означает символ | в масках файлов?

Я тоже все никак не мог понять для чего же используется этот символ. В справке CIS об этом нет ни одного упоминания. Иногда данный символ в подобных масках используется для создания исключений, но в нашем же случае исключениями и не пахнет...

Запостил данный вопрос на оф. форуме Comodo...

Исходя из ответа на оф. форуме:

Символ "|", добавленный в конце пути к файлу и/или папке "Защищенных файлов и папок", защищает эти файлы или папки от возможных изменений (чтение - разрешено) со стороны приложений, запущенных в Sandbox, приложений, для которых указаны политики "Изолированное приложение" или "Ограниченное приложение", а также приложений, для которых еще не определена политика безопасности.

Отсутствие же данного символа защищает их от возможных изменений только со стороны приложений, для которых указаны политики "Изолированное приложение" или "Ограниченное приложение", а также приложений, для которых еще не определена политика безопасности.

Источник (оф. форум Comodo): https://forums.comodo.com/defense-sandbox-help-cis/using-the-symbol-in-the-wildcardspaths-to-files-or-folders-t63540.0.html

PS При необходимости, для приложений, к которым применяется пользовательская политика, возможно добавление исключений: Права доступа > Защищенные файлы/папки.

Цитата:

Исходя из ответа на оф. форуме - символ "|", указанный в конце пути/файла/маски "Защищенных файлов и папок" защищает их от добавления в Sandbox, отсутствие же данного символа - стандартно, - защищает их от добавления в "Неопознанные файлы".

forser, добавляй. Полезная информация. И ссылку дай на оф.форум.

All
Результаты наблюдений за пятеркой.

1. Особенности работы проактивной защиты:
Изменение файлов, относящихся к категории безопасных, не вызывает никаких дополнительных сообщений/изменений в работе, причем подмена файла не прокатывает.
Изменение всех остальных файлов, даже тех, что вручную занесены в доверенные, приводит к автоматическому запуску измененного файла в песочнице.

2. При установке "только фаервол" замечена периодическая сетевая активность процесса cmdagent, что весьма странно, т.к. все настройки и проверки, требующие интернет, отключены. Тут либо баг в конфигурации, либо вариант "Большой Брат следит за вами" .
На оффоруме по этому вопросу жуют сопли, т.е. ничего конкретного.
Причем при установке полной конфигурации и отключении проверок вышеупомянутый процесс в "неподобающем поведении" замечен не был.

XenoZ

Цитата:

При установке "только фаервол" замечена периодическая сетевая активность процесса cmdagent

И по каким адресам лезет и каков размер обмена данных ?

Цитата:

Причем при установке полной конфигурации и отключении проверок вышеупомянутый процесс в "неподобающем поведении" замечен не был.

Возможно обмен данных происходит во время обновления антивирусных баз ?

KismetT

Цитата:

И по каким адресам лезет и каков размер обмена данных ?

92.122.190.x
92.123.155.x
94.245.71.x
199.7.x.x
212.247.20.x
по размеру данных не скажу, ибо не разрешал.


Цитата:

Возможно обмен данных происходит во время обновления антивирусных баз ?

Обновление баз у меня через localhost.

XenoZ

Цитата:

2. При установке "только фаервол" замечена периодическая сетевая активность процесса cmdagent, что весьма странно, т.к. все настройки и проверки, требующие интернет, отключены. Тут либо баг в конфигурации, либо вариант "Большой Брат следит за вами"

Да, есть такое дело... За неделю такие адресочки "накопил":
195.27.30.122:80
195.27.30.155:80
195.27.30.185:80
195.27.30.90:80
195.27.30.96:80
217.243.192.8:80
65.54.89.107:80
65.54.89.161:80
65.54.89.72:80
92.123.68.121:80
92.123.69.160:80
92.123.69.186:80
208.116.56.20:4448
208.116.56.21:4448
208.116.56.22:4448
208.116.56.23:4448
208.116.56.24:4448

Добавлено:
KismetT

Цитата:

Возможно обмен данных происходит во время обновления антивирусных баз ?

У меня, к примеру, антивирус CIS вообще не установлен...

Цитата:

KismetT

Цитата:Возможно обмен данных происходит во время обновления антивирусных баз ?


У меня, к примеру, антивирус CIS вообще не установлен...

Это было предположение на замечание XenoZ
о том , что полностью установленный CIS некуда не лезет .

KismetT

Цитата:

Это было предположение на замечание XenoZ
о том , что полностью установленный CIS некуда не лезет .

Понял, дошло...

У меня полностью установленный CIS 2011. Авто обновления и облачная проверка отключены. Глядя на вас решил понаблюдать за cmdagent.exe. За час были две попытки (похожие на попытки обновления) по адресам:
TCP 193.45.3.136 :80
TCP 193.45.3.184 :80
Если "заглушить" cmdagent и попробовать обновить антивирусные базы, то в Просмотре событий (WinXP SP3) появляются ошибки от источника crypt32 ID 8 и ID 11, обычно характерные для неудавшегося обновления. Мне кажется, что так можно определять именно попытки обновления от cmdagent.
Гораздо интереснее другие исходящие попытки, без следов в журнале событий, например:
TCP 208.116.56.23 :4448
UDP 208.116.56.23 :4447

Цитата:

Исходя из ответа на оф. форуме - символ "|", указанный в конце пути/файла/маски "Защищенных файлов и папок" защищает их от добавления в Sandbox, отсутствие же данного символа - стандартно, - защищает их от добавления в "Неопознанные файлы".

Оригинал:

Цитата:

Hello blattida, in "Protected Files and Folders" CIS window, "|" symbol added to the end of the file and folder path strings protects these files and folders from the Sandboxed and unrecognized applications, but files and folders that do not have "|" symbol are protected only from unrecognized applications.

Что-то я не очень понял, причем тут добавление, речь же идет о защите.

Сейчас попробовал создать 2 защищенных файла, с "|" и без. Разницы что-то никакой не заметил.
При попытке доступка к ним от неопозн. программы вылезает вопрос. В песочнице они оба виртуализованы (как и файлы, которых нет в списке защищенных). Это если включена виртуализация, если её выключить, то оба файла можно только читать.

И еще, получается, что исключение не сделать? Если добавлено с:\windows\*, то отдельную папку из этой маски не убрать? Нужно что-то типа "Незащищаемые файлы и папки".
Конкретно, хочу убрать из защиты c:\windows\temp

Судя по оригиналу, точнее будет так:Символ "|", добавленный в конец файла и/или пути к папке, защищает эти файлы и папки от изолированных и недоверенных приложений, но, файлы и папки, которые не имеют в конце символа "|", защищены только от недоверенных приложений.

Все равно как-то не очень понятно. В оригинале говорится про песочницу, я же не заметил разницы. Может это наследие пред. версии?

aksdjghdgw
Sandboxed = изолированных

Да это я догадался. Главное, что я не заметил разницы, когда тестил. Создалось впечатление, что эта палка ни на что не влияет.

как прописать в правилах защищать папку autorun.inf в корне локальных дисков(антиавтозапуск вирусов)?

Добавлено:
forser
может он подозрительные файлы шлет в свою лабораторию? или отчеты?