» Comodo Internet Security

Цитата:

Чтоб убить двух зайцев, сразу показываю пример версии CIS 5.10. Выбрана конфигурация Proactive Security, только фаервол переведен в «Пользовательский» режим.
Как видите, что с опцией СПБР, что без нее одинаково идут алерты на активность доверенного IExplorer'а:

У себя проделал всё то же самое: алерты срабатывают в обоих случаях.
Даже не знаю, что сказать. Раньше я сидел на CIS и конфигурации "COMODO - Internet Security". Теперь где-то год сижу на чистом фаере и конфигурации "COMODO - Proactive Security (FIREWALL MOD)" (HIPS заводской + все секции предустановок фаервола перелопачены на ужесточение).
Но точно помню, что без галки «Создавать правила для безопасных приложений» не было алертов, а значит безопасные приложения гуляли по сети сами по себе, как кошки Скорее всего я экспериментировал в Безопасном режиме.
Признаю ошибку. Пользовательский набор правил инициирует алерты для любых приложений, игнорируя опцию «Создавать правила для безопасных приложений» Никогда бы не подумал...

Цитата:

Только в журнале полно записей о блокировках доверенных программ, в т.ч. системных

Вот примерно такая фигня у меня и происходит. Только у меня идут аллерты на запись файлов в Temp.

emhanik

Цитата:

Между прочим,если вдруг не знаете значение режимов:

Да, вижу, слегка промахнулся. Вообще использую комодовский фаерволл дома уже много лет, хотя глубоко в его работу не лез и не разбирался, и, настроив его когда-то давно, с тех пор просто импортировал/экспортировал настройки при переустановке системы. Сейчас заглянул в настройки домашнего - действительно, стоит "Безопасный режим". Ну просто он задает вопросы при обнаружении новых соединений, и я чего-то подумал, что это "Режим обучения". Спасибо, что обратили на это внимание.

Что касается скринов - выложу завтра, когда буду на работе. Но вообще там ничего этакого - почти все по умолчанию, и настроено в соответствии с инструкцией, на которую Вы ссылались.

emhanik
Вот скрины.



Единственное замечание: поскольку это скрины с антивируса, установленного на той же машине, что и COU, то в настройках антивируса вписано имя компьютера. На других компьютерах сети, как я и писал уже, я вбиваю IP-адрес.

P.S. Ах, да!.. По поводу опции "Минимизировать трафик". Я ее выключил, ибо с ней обновление других компьютеров сети идет в час по чайной ложке. Вероятно, он там то ли пакует каждый пакет и распаковывает на клиенте, то ли еще что... Но с установленной галкой где-то 1,5% обновления шло около 10 минут, а с выключенной - остальные 98,5 - минут за 5. Я так понял, что эта опция оптимизирует трафик внутри сети, и если к зеркалу подключены не сотни компов, то лучше этого не делать.

P.P.S. Удаленные папки определяются автоматом после первого обращения антивируса. Ну это Вы и так знаете.

Вроде бы никто ещё не писал. Вышло обновление, через автообновление:



Цитата:

Version 8.2.0.4703
7 September 2015

Fixed
− Compatibility with Google Chrome 45.x issue

Цитата:

Version 8.2.0.4703
Fixed
Compatibility with Google Chrome 45.x issue

Да, это очень важный хотфикс - подставить костыль Хромому.
А внутренние баги CIS - побоку, их можно исправлять годами, или просто делать вид.

kaijosta
Цитата:

Да, это очень важный хотфикс - подставить костыль Хромому.
А внутренние баги CIS - побоку, их можно исправлять годами, или просто делать вид.

Показатель того что в группе разработчиков много хромо-поклонников. Были бы фаерфоксеры, наверняка бы что-то другое исправили.

Цитата:

Показатель того что в группе разработчиков много хромо-поклонников. Были бы фаерфоксеры, наверняка бы что-то другое исправили

Chrome в рунете самый популярный http://www.liveinternet.ru/stat/ru/browsers.html
В остальном интернете, насколько знаю, еще популярнее.

Ребята, кто хорошо знаком с CIS прошу помочь. Есть доступ в инет по ADSL через ноут (Wifi Qualcomm Atheros AR9485WB-EG встроен) на Win8.1x64 (подключён по Ethernet кабелю к модему ZTE ZXDSL831AII). Хочу периодически подключать к нему Aндрофон (версия оси 4.4.2) через WiFi (чтобы через ноут выходить в инет). Нашёл прогу Virtual WiFi 9.2, установил на ноут. При запуске прога коннектится с Андрофоном, в списке "Сетевые подключения" на ноуте появляется, хорошую связь отображает, но с Андрофона выйти в инет всё равно не получается (пишет: нет подключения к сети). Сегодня понял, что дело в фаерволе CIS (отключил его на время и сразу удалось выйти в инет на андрофоне), обычно фаервол в позиции "Безопасный режим". В настройках фаервола Comodo Internet Security Premium 8.2.0.4703 выставлял Virtual WiFi 9.2 как "Разрешённое приложение", нет эффекта. Потом копировал наборы правил от "Система", "Системные приложения Windows", торрента. Всё без толку. Как подружить фаервол CIS с Virtual WiFi 9.2 не вырубая фаервол? Иными словами как добиться, чтобы андрофон мог выходить в инет через ноут, но при этом не выключать фаервол на ноуте совсем?

unyqUm
Навскидку 2 варианта:
1. поставить между модемом и ноутом Wi-Fi роутер. Цена вопроса - 1,5-2 т.р.
2. изучить журнал событий фаервола и настроить прохождение транзитных пакетов. (анализировать события Windows Operating System)

Цитата:

изучить журнал событий фаервола

как его найти? Где он расположен по умолчанию? Чем (какой программой) смотреть?

Заходить в настройки фаервола и там искать журнал событий (логи), оттуда же и открывается, изучаете записи о заблокированных соединениях- какой процесс, по какому порту, на какой адрес пытался выйти и пр. Делаете выводы, применяете их в правилах.

Читаю ветку. Появилась пара вопросов.
Предположим имеется:
-ос windows (любая);
-браузер (любой или несколько);
-почтовый клиент (любой или несколько).
-пользователь хранит пароли от нескольких учетных записей и соц.сетей в браузере, либо просто пару раз посещал почтовые сервера через броузер.
КАК программа "шпион" может узнать e-mail пользователя? И как защитить себя от этого?
(важное условие - эта программа "шпион" случайно оказалась в списке доверенных, с доступом в сеть, либо шпионом является сама ОС).

Предположу, что такая информация может храниться в куках браузеров. Имеет ли смысл защитить папки с куками от чтения?, и можно ли это сделать таким образом, чтобы при этом каждый браузер мог читать только свою папку с куками и не имел доступа к кукам других браузеров?
---
Аналогично интересно было бы почитать про скрытие следующих параметров:
мак-адрес, hwid, volume id, всякие мелочи системы вроде имени пользователя и имени компа.
---
Добавлю еще:
заметил, что периодически, после обновлений CIS, пропадают некоторые группы файлов в настройках, в частности у меня была сформирована группа "Блокировать доступ в сеть", в которой числилось несколько десятков программ, после обновления - она пропала.

unyqUm
Все находится в самом Комоде:

Вышла 9.0.0.4725 https://cdn.download.comodo.com/cis/download/installs/beta_updates/release/inis_5000/release_notes.html
скачать оффлайн-установщик https://cdn.download.comodo.com/cis/download/installs/5000_beta/xml_binaries/cis/cis_setup_x86.msi

laprad (20:28 17-09-2015)
Цитата:

Вышла 9.0.0.4725 https://cdn.download.comodo.com/cis/download/installs/beta_updates/release/inis_5000/release_notes.html

Цитата:

Заходить в настройки фаервола и там искать журнал событий (логи), оттуда же и открывается, изучаете записи о заблокированных соединениях- какой процесс, по какому порту, на какой адрес пытался выйти

Хм, тут такое дело: при включённом фаерволе у меня VirtualWifi вообще не запускается и в Журнале событий на вкладке События Фаервола тоже ничего, а вот что я заметил на вкладке События Защита+ в то время, когда я пытался запустить VirtualWifi что это значит и как победить?

unyqUm
В глобальных правилах у тебя что?

Цитата:

В глобальных правилах у тебя что?

unyqUm
Последнее правило удали и попробуй. (и кстати, фаервол не может блокировать запуск приложения в принципе, он контролирует только сетевую активность)

Цитата:

он контролирует только сетевую активность

это я понимаю, но описал ситуацию по факту: фаервол включён - VirtualWifi не запускается, отключаю фаервол - VirtualWifi запускается и работает без проблем.
Убрал последнее глобальное правило. Вроде работает, правда подтормаживает, но работает с включённым фаерволом. Продолжу тестировать.
Спасибо.
P.S.: а что это за правило было (удалённое)? Его что, в стандартном наборе правил нет?

unyqUm
Правило стандартное, для обычной ситуации. В случае же работы с транзитными пакетами в глобальных правилах не должно быть блокировок общего плана.

XenoZ Понятно. Надеюсь этим действием я не открыл брешь в "электронных доспехах" CIS для вирусов и хакерских атак.
Кстати, а как восстановить это правило обратно, если мне понадобится?

unyqUm
1. Если чрезмерно волнует безопасность, можешь усложнить себе жизнь: определи диапазон адресов, порты и протоколы, с к-рыми работает твой вайфай, задай для них конкретные разрешения, а в конце напиши ранее удаленное правило, блокирующее все входящие.
2. Если понадобится - написать по-новой.

Доброго времени. Уважаемые, подскажите пожалуйста по проблеме. Установлен САБЖ. Последняя версия на Win 10 Pro. Вот ушел я от машины за чайком. В этот момент, выплывает сообщение о том, что энная программа хочет выйти в интернет или изменить ключ реестра, это не важно, важно то, что пока я отсутствую, сообщение висит некоторое время, а потом сабж сам принимает решение, блокирует программу и создает правило Мне не понятно, почему если опция показывать сообщение столько то времени отключена, сабж сам принимает решение и создает правило, очень не удобно. Можно как то сделать так, что бы сообщение висело до тех пор, пока я не приду, хоть двое суток. ???

Господа, расскажите какие у вас стоят правила Firewall для приложений:
Windows Operating System
(стучится по UDP с порта 0 на порт 0; стучится по ICMP)
System
(стучится по ICMPv6 с порта Neighbor Solicitation на порт Neighbor Solicitation)
Что это такое вообще?
Стоит ли разрешать ICMP траффик?

Shandera
Если вариант просматривать иногда журнал - оповещения - фильтр по ответам вам не подходит, попробуйте так:
1) общие настройки - конфигурации - пкм на включенной конф. - экспорт;
2) открываете файл блокнотом, находите строки " AlertTimeout=" и правите значения, скажем на 172800 (2 суток);
3) импортируете конфу назад в комод.
Отпишитесь если получится, удачи! P.S. Опцию таки включите.

Shandera
В настройках есть параметр "Время показа оповещений на экране", по умолчанию - 120сек. Включи и выстави, в пересчете на секунды, хоть неделю.
А чтобы не попадать в подобные ситуации, настрой Комод в режиме "блокировка без оповещений".

Farik90
Windows Operating System - это не приложение, это - пакеты "без хозяина". Создавать для них правила не совсем разумно, за исключением, пожалуй, варианта с ICS, когда транзитные пакеты нужно разрешать.

Цитата:

(стучится по ICMPv6 с порта Neighbor Solicitation на порт Neighbor Solicitation)
Что это такое вообще?

Neighbor Solicitation
Разрешать ICMP или нет - по вкусу и потребностям.

XenoZ 14:02 26-09-2015
Цитата:

Включи и выстави, в пересчете на секунды, хоть неделю.

Нет, только трехзначное число
Farik90 10:09 26-09-2015
Цитата:

открываете файл блокнотом, находите строки " AlertTimeout=" и правите значения, скажем на 172800 (2 суток)

Можно, но при изменении конфигурации это значение обрежется до первых трех цифр

В связи с этим только что обнаружил баг: если время показа оповещений HIPS превышает 2 минуты, а правило автопесочницы исключает из изоляции дочерние процессы какой-либо программы, то исключение не сработает при ответе на оповещение о запуске этой программой какого-либо неопознанного файла позже чем через 2 минуты

Цитата:

Нет, только трехзначное число

Опередили, увы это так. Мне вообще не понятно, почему так происходит. Если я не устанавливал галочку на показывать алерт столько то, то ИМХО он должен висеть до покоса и ни каких решений приниматься не должно.

Farik90
Цитата:

Стоит ли разрешать ICMP

Если ты запретишь ICMP, ты не сможешь пинговать отдаленные узлы (т.е. другие компы и сервера). Возможно, это повлияет еще на что-то, например, его исп. программы мониторинга сети. Разрешай.