» Comodo Internet Security

liservik
Данное высказывание относится исключительно к их реализации VPN - TrustConnect и не более.

Тогда понятно. Просто смутила фраза "в целом".

Здравствуйте!
Браузер использую IE9 - обработал, как веб-браузер и подозреваю, что надо в правилах для лучшей безопасности вручную еще что-то добавить, удалить, изменить? Или не надо?
Спасибо

dstor, умолчаний достаточно.

Несколько вопросов:
- можно ли выключить кумулятивное сканирование(лишнее напряжение винта), но чтобы антивирусная защита осталась?
- как выключить(тоже тормозит систему в нужный момент) автоматическое обновление антивирусных баз и проводить его вручную?
- как думате, правильно ли я делаю, что блокирую все может нужные, а может не нужные соединения? Уж больно много тогда соединяется svchost с разными IP в разных странах
- как понять, с какими IP провайдера можно разрешать соединяться? А то я только с одним разрешил
Заранее спасибо!

Цитата:

- можно ли выключить кумулятивное сканирование(лишнее напряжение винта), но чтобы антивирусная защита осталась?

Нельзя. Это самый оптимальный способ работы сканера.
Но... Можете попробовать уменьшить максимальный размер сканированных файлов (Антивирус/Настройки сканирования/Не сканировать файлы размером более).
Также удалите запланированные сканирования (Антивирус/Запланированные сканирования). Их там 2 по умолчанию. Я их всегда удаляю.

Цитата:

- как выключить(тоже тормозит систему в нужный момент) автоматическое обновление антивирусных баз и проводить его вручную?

Антивирус/Настройки сканирования/Обновлять антивирусную базу автоматически (снять галочку и нажать OK).
Для обновления вручную нужно открыть окно "Сводка" и нажать на дату обновления антивирусных баз (Антивирусная база обновлялась: ДАТА).

Цитата:

- как думате, правильно ли я делаю, что блокирую все может нужные, а может не нужные соединения? Уж больно много тогда соединяется svchost с разными IP в разных странах

Думаю, что неправильно.
Я бы попробовал просто применить правило "только исходящие".
Хотя если у Вас все работает нормально при блокировке соединений этого процесса, то можете попробовать предопределенную политику фаервола "Заблокированное приложение". Если возникнут проблемы, тогда примените "только исходящие".

Цитата:

- как понять, с какими IP провайдера можно разрешать соединяться? А то я только с одним разрешил

Эту информацию Вам может дать только тех. отдел провайдера.

Также "для лучшей безопасности" рекомендуется воспользоваться "Мастером скрытых портов" фаервола и выбрать последний пункт "Блокировать все входящие и скрыть мои порты..."

liservik
Огромное спасибо!

Цитата:

Я бы попробовал просто применить правило "только исходящие".

Да, хотел спросить - если разрешены только исходящие, то получается, что какая-нибудь прога, которой я доверился, т.к. она нужна мне может хитростью через svchost передавать какие-то данные? Понимаю, что вопрос примитивный, но уж очень часто этот svchost хочет в интернет. Или нужно думать, что если входящих нет, то соответсвенно исходящие сами по себе не возникнут? Но что, если на это и рассчитывают какие-нибудь затаившиеся до определенного времени зловредные проги и потом лезут через svchost?

Цитата:

то получается, что какая-нибудь прога, которой я доверился, т.к. она нужна мне может хитростью через svchost передавать какие-то данные

Если ты сам внёс программу в доверенные, в принципе она может делать всё, что угодно.

Цитата:

Или нужно думать, что если входящих нет, то соответственно исходящие сами по себе не возникнут?

Не следует так думать.

Цитата:

Но что, если на это и рассчитывают какие-нибудь затаившиеся до определённого времени зловредные проги и потом лезут через svchost?

На попытку зловреда внедриться в svchost будет алерт проактивки.

Цитата:

Да, хотел спросить - если разрешены только исходящие, то получается, что какая-нибудь прога, которой я доверился, т.к. она нужна мне может хитростью через svchost передавать какие-то данные?

Такое возможно. Но этим занимаются, как правило, вирусы, так что расчитывайте ещё и на антивирусный модуль, который в этом случае Вам поможет обнаружить зловреда. Ну и плюс проактивная защита должна "маякнуть", когда что-то полезет в системное приложение.
В общем, если компьютер не заражен, то причины для беспокойства на счет исходящих svchost быть не должно. Прозвон и прослушивание портов - это часть работы этого процесса.

KismetT
liservik
А насколько безопасно работать на дефолтных настройках?

Добавлено:
Или лучше если не знаешь, но подозреваешь - блокировать?

Следует понимать, что дефолтные настройки созданы для удобства неподготовленного пользователя и защита несколько слабее, чем если его настроить по максимуму. Но как говорят, разница не очень критична.

Цитата:

Или лучше если не знаешь, но подозреваешь - блокировать?

Если хочешь досконально разобраться, то придётся учиться методом научного тыка.
Есть другой путь - поставить настройки проактивки и фаера в безопасный режим и разрешить создавать правила для безопасных приложений. Тогда алертов будет существенно меньше.

Цитата:

- как понять, с какими IP провайдера можно разрешать соединяться? А то я только с одним разрешил

Цитата:

Эту информацию Вам может дать только тех. отдел провайдера.

Смешно

dstor
Наберите в командной строке (W7: кнп.Пуск там в поиске cmd enter) всего лишь ipconfig /all - более чем достаточно инфы!!!
Мне достаточно трёх правил: >>>
Почему у меня с 0.0.0.0 на 255.255.255.255 а не на DHCP провайдера не знаю! У вас может надо вводить DHCP провайдера, DHCP см в ipconfig
Почитайте шапку, там есть тема про правила.

Цитата:

Мне достаточно трёх правил:

Вообще то недостаточно. Как минимум ещё надо разрешить на 80 и 443 ТСР, и неплохо бы на 123 UDP (время).
У вас судя по всему обновления Windows отключены?

Цитата:

Вообще то недостаточно

Для работы интернета достаточно.

Цитата:

неплохо бы на 123 UDP

Согласен, у себя пока просто не настроил

Цитата:

разрешить на 80 и 443 ТСР

Разрешены, но только не для svchost.exe, а для браузера, почтовика, качалки и торрента - остальным у меня сеть закрыта! Мне достаточно.

Цитата:

У вас судя по всему обновления Windows отключены?

Точно! Периодически обновляюсь, так сказать в "ручном" режиме.
Люблю аскетичность! Минимум правил - минимум прог!


Добавлено:
Добавлю ещё, раньше много прог то ставил, то удалял, то использовал, то нет, так вот - добавлял ещё правило разрешить всем *.exe на 127.0.0.1, многим необходимо для нормальной работы.

Цитата:

так вот - добавлял ещё правило разрешить всем *.exe на 127.0.0.1

Хорошая дырка, зловред с функцией прокси и пошло беспрепятственное общение.
Сидите на ХРюше?

Цитата:

и пошло беспрепятственное общение

Не пройдёт.
Нет, на Win7

Цитата:

Не пройдёт.

Запросто. Разрешения уже даны всем приложениям.
Вот я только не понимаю, как у вас обновляется система и сертификаты безопасности, ведь у вас всего три вышеуказанных правила? Как то идёт в обход?

Цитата:

Разрешения уже даны всем приложениям

Даны на адрес 127.0.0.1

Цитата:

как у вас обновляется система

Я не заморачиваюсь постоянными (еженедельными) обновлениями. Так периодически, раз 1-3 мес. Конечно это не правильно, мне больше не надо. Раз в месяц на 5-15 мин. я вырубаю... и обновляюсь! Потом опять включаю защиту! Это не правильно и ни кто так не делайте только я так буду делать!

Цитата:

Даны на адрес 127.0.0.1

Погугли на тему локальных прокси. А вообще разрешение следует давать только тем, кому это реально требуется, а не всем подряд, иначе теряется весь смысл в защите.

Цитата:

Добавлю ещё, раньше много прог то ставил, то удалял, то использовал, то нет, так вот - добавлял ещё правило разрешить всем *.exe на 127.0.0.1, многим необходимо для нормальной работы.

Тем, кому необходимо (речь идет о доверенных приложения, разумеется), такое правило конечно ставьте. Но всем поголовно я бы не рекомендовал. KismetT уже объяснил почему.

Цитата:

А насколько безопасно работать на дефолтных настройках?

Соглагшусь с KismetT. Дефолтные настройки расчитаны на "домохозяек", чтоб CIS выдавал как можно меньше алертов и система в целом работала нормально. Нельзя сказать, что умолчания никуда не годятся, в принципе можете оставлять и их, но небольшие изменения, которые я бы все же порекомендовал сделать, это
1. Установить конфигурацию Proactive Security (Разное/Управление моими конфигурациями).
2. В настройках сканирования антивируса увеличить максимальный размер сканирования файлов (у меня 1024 мб, некоторые ставят 9999).
3. Переключить фаервол в режим "Пользовательская политика", чтоб видеть, что лезет в сеть и потом создавать необходимы правила для этих приложений.
4. Воспользоваться мастером скрытых портов и установить режим "стэлс" (блокировать все входящие и скрыть мои порты).

Это, конечно же не каноны, но я лично (кроме пункта 3) настраиваю так CIS своим друзьям.
А далее отталкиваясь от этой конфигурации можете более детально настраивать правила для приложений.

KismetT
Чтобы не быть голословным, а также для себя хочу проверить, как же прокси может выйти в интернет??? Назовите мне программу прокси, я поставлю её и протестирую. Доступ прокси дам только на 127.0.0.1 и ни куда больше! Если пройдёт в интернет, то я выкину Comodo!!! Но я думаю ни какой прокси (и не прокси) в интернет не пройдёт!!!
Да ещё, эти правила у меня всегда стоят последними, всегда!!! >>> Хватит и последнего.
Вообще, человек должен понимать что делает! >>1>> >>2>>

У меня два вопроса.

1. Как отключить автозапуск 5-ой версии Comodo?
Сразу пишу, что в папке Автозагрузка никаких ярлыков нет.

2. Я установил только firewall. Чем отличаются конфигурации - Internet, Proactive и Firewall Security?

Ivanov Ivan

Цитата:

У меня два вопроса.

1. Никак. Не нужен файервол - тогда его нужно просто удалить.
2. Читай справку - там всё написано.

Цитата:

Назовите мне программу прокси, я поставлю её и протестирую. Доступ прокси дам только на 127.0.0.1 и ни куда больше! Если пройдёт в интернет, то я выкину Comodo!!!

Программа AdvOR.
Ещё хочу прояснить такой момент, что если вы выберите режим пользовательская политика, то думаю, что в Интернет AdvOR не выйдет без Вашего ведома. Но если будет включен безопасный режим, то CIS автоматом пропустит его в Интернет, так как приложение доверенное. Следовательно, другие программы, используя этот локальный прокси 127.0.0.1 и порт 9050 (задается в настройках) смогут выходить в Интернет через AdvOR.

VikLabel
При наличии этих правил

это будет проблематично, может быть только в безопасных режимах проактивки и фаервола и для доверенного приложения типа Proxomitron. Кстати там достаточно только одного правила.
P.S. Когда писал об опасности разрешения всем ехе выход на 127.0.0.1 имел ввиду такого рода зловреды.

Ivanov Ivan
C помощью Autoruns делается очень просто.
Снимаем галки в графах Logon, Explorer, Drivers, Services,AppInit у всех записей Comodo и после перезагрузки его нет.

Либо удали эти ключи реестра с предварительным экспортом и сохранением.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\Comodo Antivirus]
@="{4255A182-CAD9-4214-A19B-7BA7FB633BBD}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"COMODO Internet Security"="\"C:\\Program Files\\COMODO\\COMODO Internet Security\\cfp.exe\" -h"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\Comodo Antivirus]
@="{4255A182-CAD9-4214-A19B-7BA7FB633BBD}"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmdAgent]
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"="\"C:\\Program Files\\COMODO\\COMODO Internet Security\\cmdagent.exe\""
"DisplayName"="COMODO Internet Security Helper Service"
"Group"="COM Infrastructure"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00,00,00
"ObjectName"="LocalSystem"
"Description"="COMODO Internet Security Helper Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmderd]
"DisplayName"="COMODO Internet Security Eradication Driver"
"Group"="Primary Disk"
"ImagePath"="System32\\DRIVERS\\cmderd.sys"
"ErrorControl"=dword:00000001
"Start"=dword:00000001
"Type"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmderd\Enum]
"0"="Root\\LEGACY_CMDERD\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmdGuard]
"Type"=dword:00000002
"Start"=dword:00000001
"ErrorControl"=dword:00000001
"ImagePath"="System32\\DRIVERS\\cmdguard.sys"
"DisplayName"="COMODO Internet Security Sandbox Driver"
"Group"="FSFilter Anti-Virus"
"DependOnService"=hex(7):46,00,6c,00,74,00,4d,00,67,00,72,00,00,00,00,00,00,00
"Description"="COMODO Internet Security Sandbox Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmdGuard\Instances]
"DefaultInstance"="GlobalAttach"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmdGuard\Instances\GlobalAttach]
"Altitude"="321200"
"Flags"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmdGuard\Enum]
"0"="Root\\LEGACY_CMDGUARD\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmdHlp]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000001
"ImagePath"="System32\\DRIVERS\\cmdhlp.sys"
"DisplayName"="COMODO Internet Security Helper Driver"
"Group"="PNP_TDI"
"DependOnService"=hex(7):54,00,63,00,70,00,69,00,70,00,00,00,00,00,00,00
"Description"="COMODO Internet Security Helper Driver"
"Tag"=dword:0000000a

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cmdHlp\Enum]
"0"="Root\\LEGACY_CMDHLP\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\inspect]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000001
"Tag"=dword:00000017
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,69,00,6e,00,73,00,70,00,65,00,63,\
00,74,00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="COMODO Internet Security Firewall Driver"
"Group"="NDIS"
"Description"="COMODO Internet Security Firewall Driver"
"NdisMajorVersion"=dword:00000006
"NdisMinorVersion"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\inspect\Parameters]
"DefaultFilterSettings"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\inspect\Parameters\Adapters]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\inspect\Parameters\Adapters\{668D5237-154C-418D-

94C0-61213E798533}]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\inspect\Parameters\Adapters\{668D5237-154C-418D-

94C0-61213E798533}\{208D67BB-EF7E-4183-8341-580548FB2E4D}-0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\inspect\Parameters\Adapters\{72DD97A9-E544-4915-

88D8-44E829C34F68}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"Appinit_Dlls"=" C:\\Windows\\system32\\guard32.dll"

Друзья, Comodo, не пускает влан между двумя компами. Компы друг друга видят, но зайти больше невозможно в общие папки. Какие настройки нужны чтобы пускал?

в глобальных правилах создайте правило, разрешающее входящие соединения по протоколу IP, где источник ваша сеть влан (или IP-адрес удаленного компа), а назначениеи- адрес вашего компа и разрешающее правило для исходящих соединений по тому же протоколу, где источник - адрес вашего компьютера, а назначение - ваша локальная сеть (или IP-адрес удалённого компа).
Также аналогичные правила создайте в политиках сетевой безопасности\правила для приложений для группы System

Зачем программе "стучаться" в 127.0.0.1?
К примеру, новая версия программы X-Lite (для IP телефонии) не работает, если запретить соединение на 127.0.0.1. Старая версия проги работала без обращения на этот адрес.

ramzes6

Цитата:

2. Читай справку - там всё написано.

в cfp.russian?


Кстати, пишут, что этот firewall бесплатный, а окно с полем для ввода ключа всё равно есть...

Платная- COMODO Internet Security Pro, который имеет GeekBuddy (30 Days FREE). По- другому, платной является только техподдержка в режиме чата через модуль GeekBuddy.
См. правый верхний угол http://personalfirewall.comodo.com/international/russian/download_firewall.html
Это же справедливо и при неполной (выборочной) установке компонентов, например, Firewall + GeekBuddy.