» Comodo Internet Security

my999 23:02 25-10-2015
Цитата:

Есть способ запуска в песочнице без стола?

Да


Цитата:

ее надо только заново инсталлировать вне песочницы?

Да.


Цитата:

Как инсталлировать программу не в песочнице?

Самый надежный способ — через расширение контекстного меню
Можно просто добавить установщик в доверенные, но какой-нибудь дочерний процесс может виртуализироваться, и установка пойдет некорректно.


Цитата:

Как запретить доступ в интернет любой программе из песочницы?

Достаточно не давать. Включить фаервол — в безопасный или пользовательский режим; показ оповещений либо разрешить, либо выбрать «не показывать оповещения: блокировать запросы».

Цитата:

Я сделал правило в фаерволе: папки сандбокс - заблокированное приложение. Это работает?

Если оповещения фаервола настроены на «не показывать: разрешать», то это сработает только для программ, созданных виртуально, но не для тех, что расположены в реальной среде.


Цитата:

Если файл доверяемый, но я делаю правило блокировки - правило работает?

Да.


Цитата:

То есть приоритетно правило или рейтинг файла?

Правило.
См. порядок работы HIPS
При этом правила автопесочницы и HIPS'а «накладываются» друг на друга.


Цитата:

Можно ли как-то сортировать файлы в списке по рейту, не понятно почему они там в одной куче.

Кликом по полям таблицы можно сортировать по пути, поставщику, дате обнаружения, репутации. И фильтровать по дате и/или репутации. Также можно экспортировать список в xml-файл и работать с ним, как заблагорассудится.


Цитата:

На что вообще влияет присвоение файлу признака неопознанного?

Практически на все. От репутации зависит работа антивируса, Auto-Sandbox, HIPS'а, фаервола, Viruscope

Добавлено:
emhanik 23:52 25-10-2015
Цитата:

но для тех, что расположены в реальной среде

Поправка: «но не для тех, что расположены в реальной среде»

И доступ к системному интерфейсу DNS, если беспокоит, понадобится блокировать отдельно

emhanik
Спасибо огромное! Занес ваш ответ вмемориз.

my999

Цитата:

1) Я установил программу в песочницу комодо. <...> Есть способ запуска в песочнице без стола?
...
2) Как вытащить программу из песочницы? Или ее надо только заново инсталлировать вне песочницы?

В последнее время ставлю программы исключительно в песочнице. Затем перетаскиваю установленную в песочнице программу в отведенное ей место. Запускаю либо через контекстное меню "Запустить в COMODO Sandbox", либо через созданный ярлык для виртуального стола (непосредственно виртуальным столом не пользуюсь, а ярлык создается и на обычном десктопе). Единственное неудобство - после очистки песочницы при виртуальном запуске нужно заново инициализировать настройки запускаемой программы.
В результате получаю работающее приложение, не гадящее в систему и реестр.
Вариант не прокатывает с msi-установщиками.

Хаха сударь, для этого есть Uninstall Tool.

XenoZ 07:09 26-10-2015
Цитата:

Единственное неудобство - после очистки песочницы при виртуальном запуске нужно заново инициализировать настройки запускаемой программы.

Можно прописать исключения для конфигурационных файлов и веток реестра. Конечно, тогда уже будет слегка «гадить»)

Цитата:

Вариант не прокатывает с msi-установщиками.

Собственно установка возможна. Можно ли потом выполнить перенос в реальную среду и работать после очистки песочницы — не проверял.

XenoZ
Спасибо большое, способ с переносом работает.

Есть вопрос еще. Использую программу виртуальной клавиатуры. Она кроме собственно очень удобной клавиатуры показывает набор спецкнопок для каждой запущенной программы при работе в ней. Соответственно лезет в память всего. Если включить журнал, то HIPS выдает 300 сообщений в минуту о блокировке вторжения - попытка доступа в память процесса cis.exe.

Как решить эту проблему? Правило разрешающее доступ программе к памяти cis.exe HIPS игнорирует. Можно их как-то подружить, в крайнем случае, хотя бы убрать это событие из логирования.

my999 14:58 26-10-2015
Цитата:

Можно их как-то подружить, в крайнем случае, хотя бы убрать это событие из логирования.

Увы, логирование можно убрать только полностью. Можно настроить логирование только в системный журнал вместо комодовского (хотя у меня как-то сомнительно сработало).
Можно разрешить утилите доступ к памяти CIS, хотя этот вариант мне не очень нравится. (То же самое — 9-й вопрос в шапке)

emhanik

Цитата:

Можно прописать исключения для конфигурационных файлов и веток реестра. Конечно, тогда уже будет слегка «гадить»)

Нет уж лучше ручками, чтоб не гадило
В принципе, если позволяет программа, можно делать экспорт конфигурации в Shared Space, тогда еще проще.

Цитата:

Собственно установка возможна.

Ты про [more=это]Установка в виртуальной среде может дать сбой в случае использования Windows Installer. Решение:

открыть вкладку «HIPS» > «Группы HIPS» > «COM-группы» и раскрыть группу «Псевдо COM-интерфейсы - Привилегированные»;
изменить строку LocalSecurityAuthority.Shutdown, например, на xxxLocalSecurityAuthority.Shutdown и нажать «Ok»;
выполнить установку программы в виртуальной среде;
аналогично вернуть в прежний вид строку LocalSecurityAuthority.Shutdown.
[/more]? Я пробовал несколько иначе: строку LocalSecurityAuthority.Shutdown просто удалял. Правда, установщик еще затребовал доступ к LocalSecurityAuthority.Debug, удалил и эту строку.
После установки восстановил, но у Комода слегка снесло крышу: перестал показывать в виджете кол-во "файлов, ожидающих рассмотрения" и, вдобавок, они же перестали отображаться в списке неопознанных. Вылечил переустановкой Комода, старые настройки подхватились без проблем. И, пока комодцы не починят глюк с msi, решил больше не экспериментировать (твой баг-рапорт на оффоруме видел).

XenoZ 15:21 26-10-2015
Цитата:

но у Комода слегка снесло крышу: перестал показывать в виджете кол-во "файлов, ожидающих рассмотрения"и, вдобавок, они же перестали отображаться в списке неопознанных

Во дела...


Цитата:

И, пока комодцы не починят глюк с msi

В 9-ке баг не проявился. При том, что и попытка произвести выключение через песочницу в ней блокируется.

Цитата:

Можно ли потом выполнить перенос в реальную среду и работать после очистки песочницы — не проверял.

Таки можно.

XenoZ 15:21 26-10-2015
Цитата:

Правда, установщик еще затребовал доступ к LocalSecurityAuthority.Debug

Кстати, какой именно установщик? На тех, что я проверял, было достаточно отключить LocalSecurityAuthority.Shutdown

emhanik

Цитата:

Кстати, какой именно установщик?

Autodesk 123D Design 32bit

XenoZ
Тема короче такая.
В CIS 8.2, CIS 9 в конфигурации Proactive Security по умолчанию нет LocalSecurityAuthority.Debug среди защищенных псевдо COM-интерфейсов. Есть в 5.10, на других не проверял.
Можно добавить LocalSecurityAuthority.Debug вручную — тогда в CIS 8.2 для виртуальной установки MSI-пакетов приходится временно отключать защиту LocalSecurityAuthority.Shutdown и LocalSecurityAuthority.Debug. Попробовал еще раз на Win7x64 с CIS 8.2 установить 7z — метод с временным снятием защиты LocalSecurityAuthority.Shutdown и LocalSecurityAuthority.Debug работает.
Также проверил CIS 9 с добавленным LocalSecurityAuthority.Debug — 7z установился виртуально безо всяких плясок с бубном.

Наконец, проверил установку «Autodesk 123D Design 32bit» на WinXP с CIS 8.2. Добавил в защищенные LocalSecurityAuthority.Debug и запустил виртуальную установку. Когда появилось сообщение об ошибке, убрал защиту LocalSecurityAuthority.Shutdown и LocalSecurityAuthority.Debug. Установка продолжилась как бы корректно... Потом вернул LocalSecurityAuthority.Shutdown и LocalSecurityAuthority.Debug под защиту и попробовал запустить Autodesk — облом.
Однако запись с неопознанным файлом из списка никуда не пропала. В списке отправленных на проверку изначально ничего не было.
Все на видео. Длинновато, конечно...

Всем спасибо за помощь, но в итоге я все равно снес CIS. Слишком много проблем создал:
1) Стала тормозить блютуз мышь.
2) Стал тормозить просмотр видео.
3) Тормознутый запуск программ.
4) Долгая загрузка компьютера.
5) Фризы клавиатуры.
6) Не понятные спонтанные блокировки выхода рабочей программы в инет.
7) Микроблокировки с роутером.

После удаления все прошло.
В общем геморой это. На старых компах стоят древние версии и все работает четко, понятно и без тормозов. Вердикт - монструозная хрень. Вернусь на старую связку - Sandboxie + ClamAV для новых программ и игр.

emhanik

Цитата:

В CIS 8.2, CIS 9 в конфигурации Proactive Security по умолчанию нет LocalSecurityAuthority.Debug среди защищенных псевдо COM-интерфейсов. Есть в 5.10, на других не проверял.

Хм... Возможно у меня эта запись перекочевала с 5-й версии при обновлении.

Цитата:

попробовал запустить Autodesk — облом

123D на хрюше не запускается, нужна минимум Win7.

Цитата:

Всем спасибо за помощь, но в итоге я все равно снес CIS. Слишком много проблем создал:
1) Стала тормозить блютуз мышь.
2) Стал тормозить просмотр видео.
3) Тормознутый запуск программ.
4) Долгая загрузка компьютера.
5) Фризы клавиатуры.
6) Не понятные спонтанные блокировки выхода рабочей программы в инет.
7) Микроблокировки с роутером.
 
После удаления все прошло.
В общем геморой это. На старых компах стоят древние версии и все работает четко, понятно и без тормозов. Вердикт - монструозная хрень. Вернусь на старую связку - Sandboxie + ClamAV для новых программ и игр.

Приветствую!

Вы делали "Рейтинговое" и "Полное" сканирование?

my999

Цитата:

На старых компах стоят древние версии и все работает четко, понятно и без тормозов. Вердикт - монструозная хрень.

Есть такая машинка: MS-6714 со встроенным видео, Celeron 1,7GHz, RAM 512MB, WinXP SP3 + Комод 8.2 (проактивка и фаевол). Никаких тормозов, глюков и заеданий. Может, ты "просто не умеешь его готовить"?

Цитата:

Вы делали "Рейтинговое" и "Полное" сканирование?

Делал. А на что это влияет? Опасных подозрительных и прочих зловредных обьектов не нашлось.

Цитата:

WinXP SP3 + Комод 8.2 (проактивка и фаевол). Никаких тормозов, глюков и заеданий. Может, ты "просто не умеешь его готовить"?

Может дело в WinXP, у меня Win10. Насчет готовить не знаю, почему я его должен готовить для нормальной работы с мышью, клавиатурой и посмотреть кино. Или вот еще - у меня два роутера с разным нетом - покрывают всю квартиру. В обычном состоянии при переходе с одной комнаты в другую - переключается с одной сети в другую, я этого и не замечаю. С комодо это невозможно, вроде настроил все, но он все равно при переключении все блокирует или частично начинает блокировать процессы в оси, отвечающие за связь с роутером.

my999

Цитата:

А на что это влияет?

В первую очередь - на работоспособность системы. Если ОС - патченая/твиканая/ломаная, то при рейтинговом сканировании будет довольно большой список неопознанных файлов. И, если есть желание и дальше работать на такой ОС, то имеет смысл все подмененные (неопознанные) файлы перенести в доверенные.

Цитата:

Может дело в WinXP, у меня Win10.

Речь шла, если не ошибаюсь, о древней машине. Ставить на раритет Win10, по меньшей мере, - несерьезно. Касательно Win10 в общем... Хотя поддержка и была заявлена, тем не менее именно на Win10 еще возможны всяческие глюки; достаточно вспомнить заявленную в свое время поддержку Win8 и реальное на тот момент положение вещей.

Цитата:

Насчет готовить не знаю, почему я его должен готовить

Любой инструмент, для его безупречной работы, нужно настраивать.

такая ситуация, Комодо сам переодически создает файл в папке темп, с расширением exe и ругается на него как на вирус, но если не успеть нажать "лечить", этот exe файл сам пропадает. что это и как лечится?

Drorli
Вероятнее то, что файл пытается создать не Комод, а какой-то левый процесс. Комод лишь детектит вредоносный, с его точки зрения, файл.
Отловить, какой процесс создает эти файлы. Проверить на легитимность. Вытащить файл из карантина. проверить на том же вирустотале.
Проверить систему CureIt'ом.

Цитата:

Отловить, какой процесс создает эти файлы. Проверить на легитимность. Вытащить файл из карантина. проверить на том же вирустотале.
Проверить систему CureIt'ом

А как отловить какой процесс создает файлы?

Что-то песочница в Комоде только половина песочницы. В AppData и ProgramData файлы пишутся в системе, а не в виртуале и после очистки песочницы не удаляются сами.

Pantalone 20:07 29-10-2015
Цитата:

Что-то песочница в Комоде только половина песочницы. В AppData и ProgramData файлы пишутся в системе, а не в виртуале и после очистки песочницы не удаляются сами.

Доказательства?
Пошаговое описание (в идеале видео), экспорт конфигурации, журналов...

Интересное дело, о ваших комментариях не всегда приходят уведомления. И даже на ответы им. То ли у ру-борда вы в немилости, то ли у моей почты...
Может, временный баг.

All
Кому-нибудь еще не доходили почтовые уведомления пару недель назад?

Pantalone 01:46 20-10-2015
Цитата:

Может на Хипс полностью положиться, а песочницу отключить?

Если хотите контролировать установщики (и особенно ложные установщики) — автопесочница необходима, причем в усиленной конфигурации.
Если вы настолько круты, что не считаете угрозой отсутствие контроля над программами, которые созданы/запущены браузером, скайпом, архиватором и черт-те чем еще — можно обойтись хипсом вместо автопесочницы.
Кстати, контроля не будет даже при параноидальном режиме хипса
В CIS 9 beta эта угроза устранена и можно более-менее спокойно отказаться от автопесочницы. Однако до релиза далека песня.

Pantalone 01:46 20-10-2015
Цитата:

В Комодо она нигде не прописана, но он ей доверяет на 100% и ставит без вопросов, но почему?

Во-первых, могла сработать облачная проверка.
Во-вторых, имеется скрытая база доверенных файлов, в которую чего только ни входит... CIS доверяет входящим в нее файлам даже при отключенном облаке и отключенном доверии к ЦП. По-видимому, эта база интегрирована в антивирусную.

Pantalone 20:28 20-10-2015
Цитата:

Подскажите, в чем опасность давать проводнику права как системному приложению? Ведь упаришься каждый запуск программ из проводника разрешать.

Если у вас безопасный режим хипса — заносите безопасные программы в доверенные, и не придется «упариваться».

Добавлено:
P.S.
Pantalone 00:30 15-10-2015
Цитата:

Подскажите, стоит ли включать облачные проверки, сильно ли понижается эффективность CIS без этих проверок?

Облачная проверка повышает юзабильность, а защиту, скорее, снижает. По крайней мере, на comss.ru пользователи пару раз замечали, как облако заносит в доверенные черт-те что... а через день перестает заносить, и антивирус Comodo начинает детектить угрозу (если конечно, извлечь из доверенных).

Как заблокировать домен 3-го уровня в файерволе?
Например translate.google.ru
Если 3-го уровня домен постоянно разный, например translate1.google.ru, translate2.google.ru, translate3.google.ru ...
Подстановку *.google.ru он не понимает. И если блокировать домен 2 уровня google.ru, то translate.google.ru всё равно доступен.

Vanfear 02:06 31-10-2015
Цитата:

Если 3-го уровня домен постоянно разный, например translate1.google.ru, translate2.google.ru, translate3.google.ru ...

Во-первых блокировка правилами фаервола по имени хоста не допускает символов подстановки: только точное доменное имя. Во-вторых, правила такого рода работают некорректно, и лучше блокировать по IP.

Можно заблокировать контент-фильтром, но не избирательно для приложений (впрочем, избирательно для пользователей).
Формат записей для блокировки, насколько я смог его раскусить, подробно описан.
Конкретно в вашем случае надо создать категорию и правило, запрещающее ее всем пользователям. В категорию добавить строки:
*.google.ru
*.google.ru/*

контент-фильтром - нету такого в предыдущих версиях.
да и всё у меня корректно работает. просто про подстановку не знал. надо другой поставить.

CIS5, WIn7U, подскажите пожалуйста: комодо не запоминает положение окна, т.е. каждый раз открывая с иконки в трее окно открывается где угодно по экрану, как это поправить?

На днях решил от нечего делать поставить официальный KIS2016 и сравнить с CIS 9 beta.
Но что сказать:
- браузеры отзывчее в KIS
- система отзывчевее на KIS
а теперь вкусное - на KIS:
- не работает гугл/ютьюб/дропбокс - пишет ошибки сертификатов в браузере (Firefox)
- сам по себе браузер падал раз 10, из них только два он смог нормально полистать страницы
- Comodo Leak Test - KIS2016 его благополучно завалил: 190 из 340.

Обновился на CIS9 beta, настройки по-умолчанию:
- браузер не падает, все гуляет отлично, по ощущениям нагрузка на систему по сравнению с 8 версией упала и практически соответствует нагрузке KIS2016
- Comodo Leak Test - 340 из 340, на запросы отвечал блокировкой. ИМХО, выбор очевиден.

emhanik

Цитата:

Доказательства? Пошаговое описание (в идеале видео), экспорт конфигурации, журналов...

Прошу прощения, был не прав. Ставил подозрительную прогу "YandexDiskSetupRu.exe", через пункт "Запустить в COMODO Sandbox" она не ставится, просит какую-то службу "Secondary Logon". Удается поставить ее зайдя в виртуальный стол и запустить там установщик от администратора. Не знаю как так случилось, но я видел папку яндекс диска в папках AppData и ProgramData в реальной системе, но при этом папку программы в Program Files не видел, из чего и сделал вывод, что из песочницы (виртуальный стол это ведь тоже она?) что-то просочилось в систему. Повторил сейчас установку и ничего такого не обнаружил. то ли глюк был, то ли смотрел не туда.


Цитата:

Интересное дело, о ваших комментариях не всегда приходят уведомления. И даже на ответы им. То ли у ру-борда вы в немилости, то ли у моей почты... Может, временный баг.

Баг наверное. Совсем недавно на руборд было вообще не зайти.
Благодарю за остальные комментарии.