» Comodo Internet Security

Цитата:

Может с варезников обновлялись, на версию *.1159? ))

не, не.. базы имею ввиду. стоит официальный CIS5, настройки проактивки и песочницы по дефолту.

я просто после того как вылезли эти окна, открыл главное окно CIS и там было написано что базы обновились три минуты назад.

С базами 7002 у меня нет такого. Наверное, вас атакует зловред.

>С базами 7002 у меня нет такого. Наверное, вас атакует зловред.
те же базы, как у вас система? у меня наблюдается на Win7 x64

>Наверное, вас атакует зловред.
не похоже, я все фалы которые блокировал CIS проверил по md5 c оригинальными, расхождений нет, подпись на них так же присутствует.
Причем файлы блокируетсю при первом запуске софта после обновления баз (только что заблокировал ие при запуске и запустил его в песочнице, а при втором запуске уже не блокирует).

Сейчас еще CureIT прогоню, но на 99% уверен что зловреда нет в системе, т.к. система свежая, и ничего подозрительного не запускалось и по сайтам с блекджеком и шлюхами не лазил.

Цитата:

те же базы, как у вас система? у меня наблюдается на Win7 x64

У меня две "чистые" виртуальные WinXP и Win7 x86 с установл. CIS 5. На "живой" XP так же CIS 5 : нет проблем. На "живой" 7 x64 - др. антивирь, поэтому не подскажу.
P.S. Я иногда загрузочной флешкой kav_rescue_10_CD_USB (с on-line апдейтом баз) свои две "живые" Винды прогоняю : после CIS 5 пока ничего не нашлось (ну разве что пару ложных срабатываний на "кряках").
P.P.S. Поаккуратнее с разными антивир. сканерами, запускающимися из Системы ! Могут при наличие "конкурирующего" антивиря натворить делов, насильно установив свои драйвера. Лучше пользоваться загрузочными флешками. Получается сканирование как бы со стороны без вмешательства в Систему.

CureIT тоже ничего не показал..
Такое ощущение, как будто слетели разрешения для доверенных/подписанных приложений.. либо недогрузилось с базами что-то.

AjaX_too
а бекап конфига есть?а то можно откатиться и проверить как будет себя вести..я просто почти каждые 3 дня делаю его

Цитата:

а бекап конфига есть?

нету, к сожалению..

Такое бывает при некорректной установке CIS(плохо удалены предшествующие антивирусы, фаерволы и т.п.).
CIS\CFP, равно как и другие аналогичные продукты, не дружат с остатками "мусора" в системе от аналогичных программ, устанавливаемых на уровне ядра.
До этого какие антивирусы, фаерволы стояли?
__________________________________________

зы: посмотрите еще, не слетели ли в меню: ЗАЩИТА фаервола - ПОЛИТИКА БЕЗОПАСНОСТИ КОМПЬЮТЕРА - Доверенные поставщики

Цитата:

Такое бывает при некорректной установке CIS(плохо удалены предшествующие антивирусы, фаерволы и т.п.).

ставил на чистую систему неделю назад, до этого проблем не было, все настройки по дефолту за исключением фаервола (переведен в пользовательский режим) + некоторые исключения.

Добавлено:

Цитата:

зы: посмотрите еще, не слетели ли в меню: ЗАЩИТА фаервола - ПОЛИТИКА БЕЗОПАСНОСТИ КОМПЬЮТЕРА - Доверенные поставщики

видимо слетели, за исключением первых двух (подобного я ничего не ставил) все остальные политики именно тех рограмм которые сегодня запускались и CIS на них ругался



S e r B
не могли бы вы сравнить со своими настройками? я недавно перешел на CIS и просто не знаю что там должно было быть.

Добавлено:
похоже, что проблема не локальная
http://forums.comodo.com/defense-sandbox-help-cis/comodo-blocking-everything-today-t66120.0.html

AjaX_too, в том топике дали ссылку на другой (с лечением проблемы - нужна регистрация для закачек) : https://forums.comodo.com/bug-reports-cis/trusted-software-vendors-was-lost-t66124.0.html;msg465088#msg465088

vitsat
я уже решил проблему, вернулся чтобы дать ссылку на решение, опередили )
всем спасибо за внимание

Добавлено:

Цитата:

Так что, не все еще доделали

и еще есть такая проблема: если добавить хосты в "Заблокированные зоны", то перестает работать перенаправление через системный файл hosts

Цитата:

Цитата: Может быть стоит добавить в описание указание на то, что при проверке соединения по Global Rules List проверка считается непройденной если есть запрещающее правило, и пройденной - если есть разрещающее правило ИЛИ соответствующего правила нету.

samvg, всё-таки не совсем так происходит. Ещё ведь режим фаера накладывает отпечаток и алерты. Подумаем как добавить... но для начала надо чтобы XenoZ, появился, а то он уже неделю на форуме не отписывался, а описание это в его посте.

XenoZ, но если отключены алерты, то для новых соединений, для которых должен был возникнуть запрос, тоже получается запрет, даже если он ещё нигде не прописан.

WIGF
Цитата:

но если отключены алерты, то для новых соединений, для которых должен был возникнуть запрос, тоже получается запрет, даже если он ещё нигде не прописан.

Какая связь между алертами и GR?
От имени GR никаких алертов нет и не будет в принципе: это пакетный фильтр.

XenoZ, ты не так суть вопроса понял
Алерты связаны с GR в таком виде: если в GR нет запрещающих правил по какому-то соединению, а также запрещающих правил и в AR по данному соединению, но при этом алерты выключены, а фаер, например, в параноидальном режиме, тогда данное соединение молча заблокируется. Вот в этом был весь вопрос.

Аську включи... там дообъясню...

WIGF
По сути, алерт появляется только в случае, если не найдено подходящего правила, неважно, разрешающего или запрещающего.
Если же алерты отключены в настройках, то без разницы, в каком режиме фаервол, запрос на соединение будет молча блокироваться, если не найдено подходящего правила.
И с GR таки алерты никак не связаны, а если точнее, то GR не вызывает появления оных, а совсем наоборот.

Цитата:

но если отключены алерты, то для новых соединений, для которых должен был возникнуть запрос, тоже получается запрет, даже если он ещё нигде не прописан.

Это - режим работы, "Принцип фильтрации пакетов" с ним никак не связан, не надо путать мягкое с теплым.

Ronin666
pytex
прошу прощения, наверное, не очень удачно выразился.
рассеян был, в меню не заметил: Режим Файервола->Неактивен и Режим Проактивной защиты->Неактивен, этого оказалось достаточно.

comrades, подскажите, пожалуйста, к чему вот этот пункт:

и что означают "COMODO - Firewall Security", "COMODO - Internet Security", "COMODO - Proactive Security"?

Skif_off

Цитата:

что означают "COMODO - Firewall Security", "COMODO - Internet Security", "COMODO - Proactive Security"?

А как насчёт того, чтобы САМОСТОЯТЕЛЬНО почитать справку?

там только на английском, творение онлайн-переводчика не понял - спросил.

Skif_off, это "заводские предустановки". Отмеченная галкой конфигурация - ваши текущие настройки. Их и сохраняйте (экспорт) периодически. Позже в случае переустановки проги можно сделать импорт сохранённых ранее настроек в виде новой конфигурации с произвольным названием.

Цитата:

По сути, алерт появляется только в случае, если не найдено подходящего правила, неважно, разрешающего или запрещающего.
Если же алерты отключены в настройках, то без разницы, в каком режиме фаервол, запрос на соединение будет молча блокироваться, если не найдено подходящего правила.

XenoZ, я как раз об этом. Только вот один момент: разве при отключении алертов и включении режима обучения не будет автоматического прописывания правил? Сейчас проверю...


Добавлено:
Проверил: отключил алерты и включил режим обучения для фаера; после этого запустил программу из нового места и она спокойно вышла в интернет, при этом в AR прописались разрешающие правила согласно уровню глубины срабатываний. Аналогичная вещь должна быть и в режиме "Безопасный". Так что не всё блочится при отключении алертов; надо ещё и модули в нужный режим переводить

Добавлено:
А вообще предложение по редактированию описания другого вопроса касалось: там у нас везде слово "соединение" стоит, хотя в каких-то случаях его надо поменять на "пакеты", в частности, надо поменять абзац "Важное замечание" на примерно такой:

"Если входящие пакеты являются ответом на исходящие (т.е. ожидаемым ответом, который идёт внутри одного соединения), то они передаются ожидающему приложению минуя правила в Global Rules.
Т.е. применяется следующий принцип обработки входящих пакетов: входящие пакеты анализируется на ожидаемость (т.е. на то, что они являются частью уже установленного и проанализированного фильтром соединения) и если это ожидаемый ответ, то они (пакеты внутри уже установленного соединения) передаются приложению напрямую, а вот если нет (т.е. если эти пакеты не относятся ни к одному из уже установленных соединений, а являются начальными пакетами нового соединения), тогда анализируются правила в Global Rules.
Следует понимать разницу между терминами "пакет" и "соединение":
• пакет - это отдельный блок данных (часть данных), идущий либо в одну, либо в другую сторону, внутри соединения;
• соединение - это совокупность пакетов, объединённых одной общей целью: передачей всех требуемых данных в конкретном случае. Направление соединения определяется тем, кто его инициирует, т.е. тем, кто посылает первый пакет. Далее все данные идут отдельными пакетами внутри этого соединения, причём пакеты идут в обе стороны, а само соединение имеет только одно направление (входящее или исходящее). Например, когда мы хотим открыть какую-то страницу в браузере, то мы первыми посылаем запрос по протоколу TCP на удалённый порт 80 (так мы начинаем исходящее соединение); потом удалённый сервер соглашается с нами установить соединение и далее, после постоянных подтверждений, постепенно, отдельными частями (пакетами) передаёт нам необходимые данные для отображения требуемой нами страницы в браузере; при этом данные, как уже говорилось, идут в обе стороны, и даже больше данных будет входящих, но соединение всё равно будет для нас исходящим, т.к. именно мы его инициировали."

Много понаписал... но по-моему именно в этом и был вопрос у samvg, точнее в том, что у нас там везде слово "соединение", хотя на самом деле там в определённых местах должно быть слово "пакеты".

-

WIGF
Цитата:

Только вот один момент: разве при отключении алертов и включении режима обучения не будет автоматического прописывания правил? Сейчас проверю...

Не путайся сам и не путай других.
Цитата:

По сути, алерт появляется только в случае, если не найдено подходящего правила, неважно, разрешающего или запрещающего.

В режиме обучения алертов нет, т.к. правила создаются автоматом, соответственно и запрещать нечего.

Что касается пакетов/соединений... а нужно ли это? Может тогда еще и структуру TCP/UDP стека расписать?..

XenoZ, ммм... Ну да... попутал. Надо с безопасным режимом попробовать...


Цитата:

Что касается пакетов/соединений... а нужно ли это? Может тогда еще и структуру TCP/UDP стека расписать?..

Расписывать не надо. Но хотя бы в самом абзаце IMHO стОит поменять "соединение" на "пакеты", где это нужно. Без добавления трактата, который я дальше написал.

Правильно ли я понимаю, что в правилах приложений "Системные приложения Windows" по сути означает svchost.exe, а "System" - это NT Kernel & System?

вот гляньте не плохо нашь комод показал себя как антивир рад что с есета ушёл))

Цитата:

вот гляньте не плохо нашь комод показал себя как антивир рад что с есета ушёл))

Это радует. Раньше он совсем слабый был... Но я всё же предпочитаю Аваст, т.к. он очень мало памяти ест.

brRamires, в модуле "Защита" в "Политиках безопасности компьютера" можно посмотреть, что в какую группу входит.

Коллеги, Добрый день!
Подскажите пожалуйста корректный набор правил для работы файервола в корпоративной сети.
Задача: имеются рабочие станции в подсети вида 192.168.201.ххх.
Имеется контроллер домена в подсети вида 192.168.178.ххх
Проблема: не происходит применение групповой политики при входе рабочих станций в домен.
Т.е. логин в домен происходит (понимаем что Kerberos разрешен), "шары" тоже присутствуют, принтера расшаранные работают.
Проблема только с применением групповой политики. Я так понимаю надо разрешить ICMP на 445 порту или я не прав ?
Собственно групповая политика начинает только применяться, когда полностью отключаю компонент "Firewall". В ином случае с манипуляцей правилами, доверенными зонами, портами и прочим - положительного успеха не достиг.

У кого было подобное - подскажите, что делаю не так ???

кто нибудь может пояснить что за ПРО и КОМПЛИТ версии на оф стайте и чем они отличаются?
со сложившейся ситуацией с аутпостом думаю перейти на комодо, большие у них отличии?