» Comodo Internet Security

Ujinnee
В добавок к сказанному XenoZ'ом (немного "расшифрую"):

Для режимов "Безопасный" (относящееся к безопасным файлам):

Проактивка - Любая активность безопасных файлов (подписанных доверенными поставщиками и/или находящихся в списке доверенных файлов) по отношению к безопасным файлам анализируется и разрешается.

Файрвол - Анализируется и разрешается исходящая сетевая активность безопасных приложений (подписанных доверенными поставщиками и/или находящихся в списке доверенных файлов).


Кстати, эти описания я добавил в мой вариант русскоязычной локализации...

XenoZ
В том то и дело. Человек пишет:
Цитата:

В настройках снята галка "Создавать правила для безопасных приложений". ... В предыдущем билде v5.3.181415.1237 в журнал заносились файлы исключительно по моему разрешению во всплывающем окошке-алерте.

То есть в версии 5.3 при снятой галке для доверенных (в смысле имеющих цифровые подписи) файлов выскакивал алерт. В версии 5.4 такого уже нет.

forser

Цитата:

Для режимов "Безопасный":

Проактивка - Любая активность безопасных файлов (подписанных доверенными поставщиками и/или находящихся в списке доверенных файлов) по отношению к безопасным файлам анализируется и разрешается.

Файрвол - Анализируется и разрешается исходящая сетевая активность безопасных приложений (подписанных доверенными поставщиками и/или находящихся в списке доверенных файлов).

Опять же. Эти правила начинают работать, начиная с версии 5.4.

Ujinnee

Цитата:

Опять же. Эти правила начинают работать, начиная с версии 5.4.

Откуда такая информация?

Насколько мне известно (исходя из справки к CIS 4), эти правила (и с этими же условиями) работали и в CIS 4.

Ujinnee
Читай внимательно:
Цитата:

В 5.4 безопасные (доверенные) приложения стали автоматом добавляться в список доверенных, это другое, не путай.

Дискуссия же шла о реакции Комода на активность безопасных приложений в безопасном режиме проактивки.

Цитата:

Для режимов "Безопасный":

Проактивка - Любая активность безопасных файлов (подписанных доверенными поставщиками и/или находящихся в списке доверенных файлов) по отношению к безопасным файлам анализируется и разрешается.

Также работает и в 5.3.


Цитата:

То есть в версии 5.3 при снятой галке для доверенных (в смысле имеющих цифровые подписи) файлов выскакивал алерт. В версии 5.4 такого уже нет.

Алерт выскакивает в Параноидальном режиме и от степени доверия и от версии это не зависит. Ранее я уже расшифровывал значение флажка "Создавать правила для доверенных приложений".

Ага, более-менее понятно.
Мне почему-то казалось, что алерт появлялся и в безопасном режиме.

Цитата:

Ранее я уже расшифровывал значение флажка "Создавать правила для доверенных приложений".

Если можно, повтори в двух словах, для закрепления материала, так сказать

Ujinnee
Пролистай пару-тройку страниц сам. Или ты думаешь, что у меня больше свободного времени, чем у тебя?..

XenoZ
ОК. Думал так помнишь.

Ujinnee, вы, главное не путайте список доверенных файлов со списком приложений в правилах проактивной защиты. Первые подпадают под предустановку "Доверенное приложение", где вообще "дыра", т.е. всё разрешено без вопросов. Последние можно более тонко отстроить под свои требования - это проф. подход.

Ujinnee
Это никоим образом не связано с "помнишь-не-помнишь". Элементарная культура общения на форуме. Если ответ на вопрос уже был озвучен, то нет никакого смысла копипастить его еще и еще. Нужно просто не полениться и найти этот ответ самому. Помимо всего, данный подход помогает избежать мусора и оффтопа в топике.

vitsat
Цитата:

Первые подпадают под предустановку "Доверенное приложение"

По моим наблюдениям список доверенных приложений с предустановками не связан никак. Приложениям из этого списка просто разрешается все, с учетом сказанного ранее. Предустановки начинают действовать, только если они использованы в правилах.

XenoZ, замечание учту.

vitsat, XenoZ верно Вас поправил. Вопрос как раз в том, что если приложение числится у CIS в списке доверенных поставщиков, то в безопасном режиме ему разрешено всё, без всяких алертов.
Плюс к этому в версии 5.4 такие приложения добавляются в "Доверенные файлы" без участия пользователя.
По моим наблюденим, небольшая путаница возникает оттого, что народ путает список доверенных файлов со списком доверенных поставщиков.

Ujinnee

Цитата:

Плюс к этому в версии 5.4 такие приложения добавляются в "Доверенные файлы" без участия пользователя.

В этом, имхо, ничего страшного нет. Так как список доверенных поставщиков, а, следовательно, файлы, подписанные этими поставщиками, и список Доверенных файлов используются CIS "как единое целое"...

Да и списки эти используются проактивкой только в режимах "Безопасный" и "Чистый ПК", для Параноидального режима проактивки эти списки не имеют никакого значения.

Ujinnee, интересно, под каким списком в v5.3 числятся системные файлы, когда в доверенных они не мусорят, и в то же время всё прекрасно работает ? Соорудили бы какую-нибудь галку "пущать/не пущать", а то у меня этот список настолько распух, что жду секунд пять, пока он откроется...

XenoZ, вопрос на засыпку (несколько созвучен с предыдущим постом) - каким образом CIS 5 "идентифицирует", к примеру, explorer.exe, разрешая ему все разрешенное для доверенных приложений в режиме "Безопасный"? И это при том, что explorer.exe не имеет цифровой подписи...

vitsat
Судя по заявлению на оффоруме это сделано
Цитата:

Именно для оптимизации и ускорения операций, парни. Встроенные проверки сертификатов занимает слишком много времени и, как только проверка сделана, файл добавляется в список доверенных для более быстрого поиска в будущем. Он (список) может поддерживать миллионы файлов без проблем.

Для тех, кто в танке: Если до сих пор неясно, безопасные файлы будут добавляться в список доверенных файлов автоматически.

(Вольный перевод)

Ну, во-первых, данное заявление о повышении эффективности вызывает некоторые сомнения, а во-вторых - прослеживается возможная дыра в защите, т.к., судя по сообщению, файл проверяется один только раз, перед занесением в список, а далее идет банальная проверка на наличие активного файла в списке, уже без проверки на "вшивость".

А список доверенных поставщиков - отдельная песня... Я слегка офигел, пролистав его на 5.3. По мне, так там 80% откровенного хлама. Как-то господа-комодовцы безалаберно подходят к его созданию; понапихано все, что только можно, вплоть до отдельных персон...

Почему бы не хранить в таблице хеш-суммы для правильных системных файлов? Речь же только про exe. У меня сейчас 40 процессов висит. Время для просчёта и поиска крайне мало

forser
Я не разработчик, так что вопрос не по адресу.
А по поводу цифровой подписи:
Цитата:

Verified: Signed
Signing date: 21:24 14.04.2008
Publisher: Корпорация Майкрософт
Description: Проводник
Product: Операционная система Microsoft® Windows®
Version: 6.00.2900.5512
File version: 6.00.2900.5512 (xpsp.080413-2105)
Strong Name: Unsigned
Original Name: EXPLORER.EXE
Internal Name: explorer
Copyright: © Корпорация Майкрософт. Все права защищены.
Comments: n/a
MD5: 847c01ca71883702cc7445364dd9d097
SHA1: f54f722b5d806e9efdd5ccc05cbac5c2b6761474
SHA256: 0cf87df54f55f2aacdd9f67a1ac39313c15217f53f9148fadd028a1e6c8beb1b

Это на WinXP x86 SP3.

XenoZ, да, действительно подписан... Я как-то не сообразил, что в свойствах файла (из проводника) подпись не всегда можно увидеть. Посмотрел с помощью sigverif:

Код: Файл Изменен Версия Состояние Каталог Подписан
------------------ ------------ ----------- ------------ ----------- -------------------
[c:\windows]
explorer.exe 17.08.2004 2:5.1 Подписано NT5.CAT Microsoft Windows Publisher

vitsat

Цитата:

интересно, под каким списком в v5.3 числятся системные файлы, когда в доверенных они не мусорят, и в то же время всё прекрасно работает ?

Не понял вопроса. В смысле под каким списком?

forser

Цитата:

Вопрос был бы снят, если бы после удаления из списка доверенных поставщиков всех строк, относящихся к Microsoft, в режиме Безопасный для explorer.exe выдавался бы запрос о реакции на действие (для explorer.exe у меня установлена пользовательская политика, в том числе - запрос на запуск приложения). Но этого не происходит... Странно...

Ты не проверял у себя подобное?

Это в каком режиме проактивки?

Цитата:

Не понял вопроса. В смысле под каким списком?

Свои слова не помните ?
народ путает список доверенных файлов со списком доверенных поставщиков

vitsat, я склоняюсь к мысли, что они находятся в списке доверенных поставщиков как в v5.3 так и в v5.4, но в последней заносятся в список доверенных файлов после первой проверки. XenoZ
чуть выше привёл ссылку на оффорум


Цитата:

Соорудили бы какую-нибудь галку "пущать/не пущать", а то у меня этот список настолько распух, что жду секунд пять, пока он откроется...

Насколько я понимаю, сделано это было из лучших побуждений - избавить пользователя от лишних алертов в безопасном режиме. Но реализация замысла немного "подкачала". У меня в списке доверенных файлов их всего 160.
Кстати, симптомы (высокая загрузка процессора при запуске ОС и периодически при работе) проявляются далеко не у всех. У себя я этого эффекта практически не замечаю.

Ujinnee, это я уже понял. Просто ответил на вопрос.

Цитата:

Кстати, симптомы (высокая загрузка процессора при запуске ОС и периодически при работе) проявляются далеко не у всех. У себя я этого эффекта практически не замечаю.

Далеко ходить не надо : проверьте запуск "на холодную" программы класса "чистильщик реестра" WinTools.net Ultimate v11.5.1

Ujinnee, а еще Комод умеет проверять онлайн - я тоже удалял из поставщиков и из доверенных программ, но было бестолку пока не изменил один байт в программе ...

m0nty2k5
У меня все облачные сервисы выключены, но спасибо за информацию.


Добавлено:
forser

Цитата:

В этом, имхо, ничего страшного нет.

Страшного, конечно, ничего. Процитирую себя
Цитата:

Насколько я понимаю, сделано это было из лучших побуждений - избавить пользователя от лишних алертов в безопасном режиме.

Только люди жалуются на всякие неудобства после этого нововведения.


Цитата:

Так как список доверенных поставщиков, а, следовательно, файлы, подписанные этими поставщиками, и список Доверенных файлов используются CIS "как единое целое"...

Можно поинтересоваться как ты пришёл к такому выводу?


Цитата:

Да и списки эти используются проактивкой только в режимах "Безопасный" и "Чистый ПК", для Параноидального режима проактивки эти списки не имеют никакого значения.

А триггер "Создавать правила для безопасных приложений", наоборот, действует только для Параноидального режима.

Как-то уже хочется обобщить всё это, плюс рекомендации по настройке и в шапку.

P.S. А ещё, вместо описания каждый раз при возникшей проблеме конфигурации системы и CIS, я бы предложил выкладывать файл отчёта, который создаёт CIS Configuration Reporting Script. Отчёт легко читаем, имеет текстовый формат и снимает множество дополнительных вопросов.

Ujinnee

Цитата:

Цитата:

Цитата: Вопрос был бы снят, если бы после удаления из списка доверенных поставщиков всех строк, относящихся к Microsoft, в режиме Безопасный для explorer.exe выдавался бы запрос о реакции на действие (для explorer.exe у меня установлена пользовательская политика, в том числе - запрос на запуск приложения). Но этого не происходит... Странно...

Ты не проверял у себя подобное?

Это в каком режиме проактивки?

Некоторые размешления касательно режимов, использующих безопасные файлы, т. е. - "Безопасный" и "Чистый ПК"

Никогда не пользовался этими режимами и поэтому не вникал в то, что по "мнению" CIS относится к "безопасным файлам". Изучив этот вопрос пришел к некоторым выводам:

1. "Безопасными файлами" CIS считает файлы, находящиеся/относящиеся к 3 спискам:
- Список "Безопасные файлы";
- Приложение предоставлено (подписано) поставщиком, включенным в список "Доверенные поставщики";
- Приложение входит в постоянно обновляемый "Список безопасных приложений Comodo".

С первыми двумя списками вопросов не возникает. А вот с третьим списком имеются некоторые вопросы:
- Где находится этот список (файл, реестр)? Информации по этому вопросу я не нашел, поэтому задал вопрос на оф. форуме...
- Как отключать этот список? На оф. форуме только один ответ - "переключиться в "Параноидальный режим".

2. Даже если списки "Доверенные файлы" и "Доверенные поставщики" будут пустыми, а какой-либо файл CIS "считает" "безопасным файлом" (т. е. - этот файл входит в "тайный" "Список безопасных приложений Comodo"), то этому файлу все равно будет "всё"* разрешено.

3. Приоритет "правил/разрешений" для "безопасных файлов" выше, чем приоритет пользовательских правил. Т. е., если, к примеру, в режиме "Безопасный" происходят какие-то операции с "безопасным файлом", то для него "всё"* разрешается, даже не смотря на то, что пользовательские правила для этого же файла имеют ограничения.

4. Исходя из изложенного выше, имхо - режим "Безопасный" пользователь может использовать на свой страх и риск т. к. если списки "Доверенные файлы" и "Доверенные поставщики" пользователь еще может видеть и контролировать, но неизвестно какие файлы CIS занес в свой "Список безопасных приложений Comodo"...


PS Под "всё"* подразумеваются все действия "безопасных файлов" по отношению к "безопасным файлам".

PPS Учитывая вышесказанное, решил подкорректировать русскоязычную локализацию на предмет корректности описания "безопасных" режимов работы файрвола и проактивки (настройки файрвола и проактивки):

Для файрвола:
Было - Запоминается исходящая сетевая активность безопасных приложений.
Стало - Анализируется и разрешается исходящая сетевая активность безопасных приложений (подписанных доверенными поставщиками и/или находящихся в списке доверенных файлов, и/или в списке безопасных приложений Comodo).

Для проактивки:
Было - Любая активность безопасных файлов запоминается.
Стало - Любая активность безопасных файлов (подписанных доверенными поставщиками и/или находящихся в списке доверенных файлов, и/или в списке безопасных приложений Comodo) по отношению к безопасным файлам анализируется и разрешается.

Решил поставить комодо на компьютер в паре с бесплатной авирой, но у меня возникла пара вопросов:

1) UAC. Комодо часто дублирует его вопросы, напряжно. На форуме комодо пишут, что UAC влияет на защиту ActiveX в IE. IE я часто использую...
И вообще, нельзя ли настроить комодо так, чтобы он не фиксировал не подписанные файлы и файлы требующие полномочий администратора? А задавал вопросы лишь тогда, когда приложение начинает куда-то лезти? Долгое время использовал Online Armor Free - прекрасно уживается с UAC.

2) Sandbox. Как я уже писал выше, я хочу поставить комодо в паре с бесплатной авирой.... Интересует вопрос о совместимости комодо авто-сандбокс с авирой...

Как сделать чтоб cmdagent.exe не сканировал файлы на диске и не грузил проц.? не нравится что диск постоянно шуршит. И при запуске программ он проверяет файлы что тормозит работу

Добавлено:
откл проактив,закрытие comodo не помогают

forser
Ты пишешь:

Цитата:

1. "Безопасными файлами" CIS считает файлы, находящиеся/относящиеся к 3 спискам:
- Список "Безопасные файлы";

Цитата:

2. Даже если списки "Безопасные файлы"...

и дальше по тексту неоднократно упоминаются "Безопасные файлы".
Наверное имеются в виду "Доверенные файлы"?


Цитата:

- Приложение входит в постоянно обновляемый "Список безопасных приложений Comodo".

А откуда инфа про этот список? Из справки?

Откл антивирус проц грузить перестало. НО диск все равно читает

Ujinnee

Цитата:

и дальше по тексту неоднократно упоминаются "Безопасные файлы".
Наверное имеются в виду "Доверенные файлы"?

Да, верно, именно "Доверенные файлы". Исправил текст.


Цитата:

А откуда инфа про этот список? Из справки?

Да, это из справки.

Кстати, кое-что прояснилось с этим "списком". Этот список не является локальным, проверка на наличие файла в этом списке идет в режиме он-лайн (вероятно, при включенной облачной проверке файлов, до конца не разобрался).

Кстати, когда сегодня включил компьютер, то при работе проактивки в режиме "Безопасный", все стало на свои места - при пустых списках "Доверенные файлы" и "Доверенные поставщики" в тех случаях, когда это нужно, проактивка выдает запрос.

Видимо, CIS использует какой-то кеш при анализе файлов, подписанных "доверенными поставщиками"...