» Comodo Internet Security

dedmazai1870

Цитата:

Если знаешь, объясни, что ещё Comodo надо?

Чтобы она (подпись) присутствовала в доверенных у Комода.

Цитата:

С лисой такая штука.

Не вижу противоречий. Возможно, информация об обновлении хранится не в профиле. Об этом лучше спрашивать в топике по Фоксу.

Цитата:

А как показывает случай у emhanik, в CIS7 остались проблемы 5-ки.

Какие именно? Пока вижу только сообщение о том, что при обновлении флэша скачался инсталлер без ЭЦП.

XenoZ
А я проблемы вижу. Один файл, набор батников, написанных мной и скомпилированных в exe. Может быть добавлен в доверенные и при выполнении иметь статус "Приложение считается Доверенным" или "Приложение считается Доверенным/Программой установщиком". Запущенное из автозагрузки или так, в рабочем порядке, может выполняться по разному. Почему для одного и того же файла у Comodo постоянно разные непредсказуемые критерии? Та же фигня и с подписями - почему один и тот же файл раз срабатывает, другой нет - подпись видите ли неверная. У меня файрвол стоит, никаких обновлений, правила раз выставлены и не меняются.
Так что внутренние глюки присутствуют. Дискутировать не буду. Я их вижу - Вы нет. Каждому своё.
P.S. И кто сказал, что инсталлятор флеша был без ЭЦП? Вы верите, что компания Adobe выложила стабильный релиз в публичный доступ для многомиллионной аудитории файл без ЭЦП?

dedmazai1870

Цитата:

при выполнении иметь статус "Приложение считается Доверенным" или "Приложение считается Доверенным/Программой установщиком"

Известные мне признаки установщика: запрос административного доступа при запуске или размер >40MB

Кстати, exe-шник, скомпилированный из батника, может являться тупо содержащим его архивом (возможно, имеющим встроенный интерпретатор или типа того...) По крайней мере, поигравшись с парой конвертеров, я сделал такой вывод.
Из этого следует, что сами батники тоже надо заносить в доверенные; одного exe-шника недостаточно. Исключение — если exe-шник опознается как «установщик», то достаточно.


Цитата:

Запущенное из автозагрузки или так, в рабочем порядке, может выполняться по разному

Тут подробности не помешают...


Цитата:

И кто сказал, что инсталлятор флеша был без ЭЦП?

Я. ОС с необновленным флешем запакована. Распаковывалась неоднократно (могу хоть сейчас повторить), и результат был один. Именно инсталлятор для автообновления был не подписан: FlashPlayerInstaller.exe. Инсталляторы для ручного обновления подписаны, CIS их не блокировал.

Странность, повторю, еще и в том, что родительское приложение FlashPlayerUpdateService.exe имеет признак установщика, поэтому даже без ЭЦП файл FlashPlayerInstaller.exe должен был свободно запуститься и выполниться (конфигурация наподобие Proactive Security).
Однако файл FlashPlayerInstaller.exe запустился, но выполнение вызвало алерты.
Кстати, если бы FlashPlayerUpdateService.exe не имел признака установщика, то запуск тоже бы вызвал алерт.
Т.е. произошло ни то ни се. Легче всего сказать, что CIS работает с установщиками непредсказуемо... Хотя какие-то шаткие закономерности и есть

Меняю сообщение, так как изменил статью

Картина такая: процесс FlashPlayerUpdateService запускает FlashPlayerInstaller в момент своего закрытия.
Учитываем замечание:
Цитата:

наследование политики «Установка или обновление» не обязано выполняться, если данное приложение запускает дочерний процесс в момент своего завершения

В этом смысле поведение CIS'а было нормальным.

Если бы защита осуществлялась автопесочницей, а не HIPS'ом, то блокировки бы никакой не было

emhanik
Обязательно отвечу, чуть позже. Замотался и запарился, а прочитать ссылки надо внимательно.

Ребят вопрос по настройке.
//--
Все сетевые соединения обрабатываются (фильтруются) следующим образом:
• Исходящие соединения (зелёный цвет) сначала обрабатываются правилами Application Rules, а потом Global Rules.
• Входящие соединения (красный цвет) сначала обрабатываются правилами Global Rules, а потом Application Rules.
//--
У меня ситуация такая, есть несколько торговых точек и на них надо запретить http трафик кроме 2-3 сайтов.
вопроса 2
1. Если не задавать явные правила для приложений (так как могут иметь месть портейбл браузеры торренты и прочее) как должен отработать этот фаер? У меня что то лажа. Если правило приложения не заданно он тупо пропускает.
2. Как отключить режим уведомлений. Чтобы настроил правила ручками и забыл. А фаер бы не задавал вопросы продавцам.

Piligr1m
Если у юзеров на торговых точках нет доступа к настройкам (Комод защищен паролем, например), то:
Фаервол - пользовательский режим; не показывать оповещения - блокировать запросы.
Для разрешенных браузеров задать необходимые разрешения.
Все остальное будет молча блокироваться, в том числе и всевозможные портейблы, т.к. для них нет явно заданных разрешений.
По п.2 см. выше.

Сайты придется разрешать по IP, с доменными именами Комод по факту не работает.

XenoZ
спс, буду пробовать.

Добрый день. А можете проконсультировать как поднять обновление CIS 7 в сети? Возможно придется поднимать веб сервер?

bl1nch1k
COMODO Offline Updater
Изучить до конца: в процессе развития сменился разработчик.

Piligr1m
Создать "белый список" с нужными адресами, все, что не внесено в него, будет заблокировано. Проверено!
[more=Более подробно]------------------------------------------------------------------------------------------
Логика работы данного "фильтра" такова, что разрешена "работа" только с доменами (IP-адресами/Зонами) внесенными в "Белый список", а со всеми остальными - запрещена.

1. В сетевых зонах (Сетевые политики безопасности) создается сетевая зона под именем "Белый список" (в соответствии с описаными ниже правилами).
2. В данную сетевую зону вносятся домены (или целые IP-адреса/Зоны), доступ к которым будет разрешен.
3. Далее создаются правила в самом верху GR (Global Rules, Глобальные Правила):

1. Разрешить TCP Исходящие с IP любого в IP [Белый список], где порт источника 1025-65535 и порт получателя [http_ports]
При этом в "белый список" нужно не забыть включить сервера обновлений нужных программ и Windows.
2. Блокировать TCP Исходящие с IP любого в IP любой, где порт источника 1025-65535 и порт получателя [http_ports]

Не забудьте поднять это правило в самый верх списка правил ( правила в файерволле обрабатываются сверху вниз).

Возможно, следующим в списке правил нужно поставить правило "Запретить все сайты":
------------------------------------------------------------------------------------------[/more]

bl1nch1k, XenoZ
По идее, для обновления в локальной сети любой кэширующий прокси годится... Или нет?

Я не вникал в работу программы COMODO Offline Updater, но тревожит ее зависимость от Comodo. Стоит измениться процедуре обновления (новый каталог на сервере появится и т.п.) — и программа станет непригодной, понадобится срочно обновлять...

emhanik

Цитата:

Я не вникал в работу программы COMODO Offline Updater, но тревожит ее зависимость от Comodo. Стоит измениться процедуре обновления (новый каталог на сервере появится и т.п.) — и программа станет непригодной, понадобится срочно обновлять...

Всем бы хотелось обновлений а-ля Доктор веб или старый каспер...
COU позволяет вручную задать набор файлов и папок откуда будут качаться обновления и новые версии модулей CIS, и, насколько я помню, имея в наличии этот список, CIS на инетовской машине можно и не ставить

Установлен Comodo Firewall [7.0.317799.4142]. ОС - Windows 8.1. Не могу найти опцию включения автозапуска GUI программы с Windows. После загрузки системы в памяти висят следующие процессы, относящиеся к Comodo: cmdagent.exe и cavwp.exe. Я так понял должен быть ещё CisTray.exe. Раньше пользовался другим ПО, решил вот попробовать бесплатный. Или я что-то упустил, или такое поведение для него норма? Вообще в таком случае не понятно, работает ли он по назначению.

laprad
Цитата:

COU позволяет вручную задать набор файлов и папок откуда будут качаться обновления и новые версии модулей CIS

О том и речь, что нужно знать этот набор файлов, а он может меняться. Это я и назвал «зависимостью от Comodo»

Цитата:

насколько я помню, имея в наличии этот список, CIS на инетовской машине можно и не ставить

Скорее всего. Но не об этом речь

Однако если тупо поставить кэширующий прокси, то после того, как обновится одна машина, другие должны стянуть обновления из кэша. И никакой специфической настройки с указанием «набора файлов и папок» не потребуется.
И вроде как COU не нужен. Вопрос: где я ошибаюсь?

Добавлено:
presentRU
Не скажу за 8.1, но в Win7 этот модуль запускается через реестр (автозагрузка всех пользователей):

Код: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"COMODO Internet Security"="C:\\Program Files\\COMODO\\COMODO Internet Security\\cistray.exe"

presentRU

Цитата:

Я так понял должен быть ещё CisTray.exe

В реестре:

Код: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"COMODO Internet Security"="C:\\Program Files\\COMODO\\COMODO Internet Security\\cistray.exe"

emhanik

Цитата:

Однако если тупо поставить кэширующий прокси, то после того, как обновится одна машина, другие должны стянуть обновления из кэша. И никакой специфической настройки с указанием «набора файлов и папок» не потребуется.
И вроде как COU не нужен. Вопрос: где я ошибаюсь?

COU просто НЕОБХОДИМ, когда есть локалка без выхода в инет и отдельная инетовская машина. Если компы твоей локалки могут и имеют право юзать кэширующий прокси (я так понимаю, думаешь про HandyCache?) - бог в помощь, очень может быть все заработает. Лично меня раздражает не размер обновлений (кстати, COU умеет скачивать сжатые версии), а их долгое интегрирование в файл базы сигнатур

Цитата:

Опции включения/выключения нет.

Дикость какая-то на мой взгляд. Пока этот процесс не запущен, работают ли вообще правила?

laprad
Цитата:

про HandyCache?

Необязательно. Про любой кеширующий.

Цитата:

COU просто НЕОБХОДИМ, когда есть локалка без выхода в инет и отдельная инетовская машина

Вариант без COU: ограничить прокси доступом только к серверам Comodo. Другой вариант: на клиентских машинах запретить запросы к данному прокси всем приложениям, кроме CIS.

Цитата:

долгое интегрирование в файл базы сигнатур

Не понял: COU решает эту проблему???

Проблема, которую я сам предполагаю, — битые файлы. Есть опасение, что обычный кеширующий прокси не станет их перекачивать...
А COU проверяет целостность?

presentRU
Цитата:

Дикость какая-то на мой взгляд. Пока этот процесс не запущен, работают ли вообще правила?

«Дикость» — то, что у вас не грузится CisTray.
Как там с реестром: есть указанная запись? Если нет, то кем или чем она удалилась?

Без данного процесса защита неполноценна.
Есть опция «Блокировать неизвестные запросы, если приложение не запущено», но крайне не рекомендуется ее включать.

emhanik
Цитата:

Как там с реестром: есть указанная запись? Если нет, то кем или чем она удалилась?

В реестре ничего не было. Абсолютно без понятия, каким образом её там не оказалось. Параметр строковый по вашему совету создал. Спасибо, всё заработало. Я этой проблемой озадачился собственно после того, как нежелательное приложение постфактум вылезло в интернет, хотя должно было сидеть по файером. Т.е. я поставил файервол, настроил правило для приложения. Всё было в норме, пока я не перезагрузил комп. Досадно, что у Comodo на такой случай нет никакой самопроверки что ли.

XenoZ
Благодарю, буду изучать

Цитата:

Проблема, которую я сам предполагаю, — битые файлы. Есть опасение, что обычный кеширующий прокси не станет их перекачивать...
А COU проверяет целостность?

CIS Updater - может проверять по размеру файлов.
Другой момент - как кеширующий прокси будет определять для каких систем нужно выкачивать файлы (х32, х64, linux)? выкачивать разом все папки? ) при смене версии клиентских машин меняются не только названия папок, но и список самих файлов в них. слишком много ручной работы. Наконец, иногда бывает нужно обновлять базу но компах, которые по тем или иным причинам(соображениям) отключены от локальной сети. Не будешь же разворачивать на них очередной прокси. и это только некоторые моменты...

presentRU

Цитата:

нежелательное приложение постфактум вылезло в интернет, хотя должно было сидеть по файером.

Вообще-то такого быть не должно (опираясь опять же на WinXP-Win7). Пока не прогружен GUI, фаервол работает по существующим правилам, все остальные запросы блокируются. HIPS же наоборот: до загрузки GUI не работает.

emhanik

Цитата:

COU просто НЕОБХОДИМ, когда есть локалка без выхода в инет и отдельная инетовская машина
Вариант без COU: ограничить прокси доступом только к серверам Comodo. Другой вариант: на клиентских машинах запретить запросы к данному прокси всем приложениям, кроме CIS.

так может быть в твоей конторе, у меня все решают органы безопасности

Цитата:

долгое интегрирование в файл базы сигнатур
Не понял: COU решает эту проблему???

нет

Цитата:

Проблема, которую я сам предполагаю, — битые файлы. Есть опасение, что обычный кеширующий прокси не станет их перекачивать...
А COU проверяет целостность?

у меня были случаи, когда в результате каких-то сбоев/глюков, основной файл размером около 200 метров скачивался не нормально, а именно, программа "бесконечно" докачивала файл, в результате чего он мог вырасти в размере до 1-2 гигабайт. Проблема решалась удалением файла и полной перекачкой. Но COU развивается, надеюсь в будущем подобных проблем не будет.
А в общем предлагаю уже остановиться на одном из вариантов. CIS один из немногих IS (если не единственный) разрешенных для коммерческого использования, что делает его в некотором роде уникальным, и, если это важно для спокойной работы, придётся смириться с его недостатками и недостатками COU

У сабжа есть возможность использовать коммандную строку? Интересует сохранение конфига.

Skif_off
Цитата:

У сабжа есть возможность использовать коммандную строку? Интересует сохранение конфига.

Все, что знаю
Но насчет вашей команды без понятия

emhanik
Спасибо, но ничего полезного, к сожалению. В саппорте русскоговорящих нет?

Коллеги, как настроить HIPS, чтобы он не обращал внимания на создаваемые системой сборки приложений временные файлы make????-?.bat, где вместо ? случайные числа?

А то при сборке проектов в старой версии QtCreator приходится отключать HIPS.

Gourmet
Не знаком с этой системой, отвечаю наугад

HIPS > Защищенные объекты > Защищенные файлы > контекстное меню > Группы
добавить группу типа «Батники для сборки»
добавить в нее любой файл
изменить путь к этому файлу на что-то типа %temp%\*make????-?.bat

Добавить группу «Батники для сборки» в исключения автопесочницы (для CIS6-7)

На вкладке «Правила HIPS» создать новое:
обзор > группа «Батники для сборки»
«Использовать собственный набор правил» > копировать из «Разрешенное»
«Запуск приложения» > «Изменить» > «Разрешенные» > добавить группу «Батники для сборки» (и, при необходимости, другие приложения, которые запускаются батниками)

Правило HIPS для приложения, которое запускает батники:
«Запуск приложения» > «Изменить» > «Разрешенные» > добавить группу «Батники для сборки»

Цитата:

изменить путь к этому файлу на что-то типа %temp%\*make????-?.bat

еще раз - вместо ???? и ? - случайно генерируемые системой числа, то есть, при каждой компиляции они разные

не вижу, чтобы HIPS где-либо поддерживал wildcard