» Comodo Internet Security

Gourmet
Тоже занимаюсь разработкой софта, никаких проблем с Комодом.
Типовые правила в секции HIPS:
=======
Создать правило для
ПУТЬ_ДО_ИСПОЛНЯЕМОГО_ФАЙЛА.exe среды разработки
назначить политику "Разрешенное приложение" и добавить разрешение на запуск по маске:
ПУТЬ_ДО_ПАПКИ_ПРОЕКТОВ\*\*.exe

Также создать правило по маске:
ПУТЬ_ДО_ПАПКИ_ПРОЕКТОВ\*\*.exe
и назначить политику "Разрешенное приложение"
=======
Автопесочница отключена, вирускоп отключен, HIPS в безопасном режиме.

Может кто сталкивался или знает что сделать что бы решить проблему. Когда захожу на сервер в Battlefield 4 фаервол блокирует Windows Operating System Входящие UDP порт 3659 см. скрин обведено красным:



Подскажите пожалуйста как создать правило для фаервола COMODO 8.2.0.4591 того чтобы не блокировал то что на скрине обведено красным.

Цитата:

Тоже занимаюсь разработкой софта, никаких проблем с Комодом.

Очевидно, среда разработки совершенно другая. Хотя песочницу всё равно пришлось отключить. Но приведенный совет мне помочь не может - я похоже делал, у меня посложнее проект, куча DLL создаются, при сборке временные командные файлы генерятся и т.д. Но все эти настройки слетают при очередных обновлениях.

То есть, на мой вопрос похоже нет ответа...

saturndm1977
Добавить в глобальные разрешение на входящие на нужный порт.

Gourmet
Цитата:

у меня посложнее проект, куча DLL создаются, при сборке временные командные файлы генерятся и т.д.

А что мешает добавить, по аналогии, записи для *.dll, *.cmd|bat и т.д.? Предложенный метод - единственный для беспрепятственного запуска изменяющихся неопознанных файлов.

Gourmet

Цитата:

Очевидно, среда разработки совершенно другая. Хотя песочницу всё равно пришлось отключить. Но приведенный совет мне помочь не может - я похоже делал, у меня посложнее проект, куча DLL создаются, при сборке временные командные файлы генерятся и т.д. Но все эти настройки слетают при очередных обновлениях.   То есть, на мой вопрос похоже нет ответа...

Если под разработкой понимать только сборку проекта и связанные с этим проблемы, то только отключать всё кроме файрвола на время сборки. Но помимо сборки есть еще нюансы, с коими можно столкнутся, если заниматься отладкой не в отладчике MSVC, а например в GDB (в связке с MinGW). Приходилось записанные в реестре AppInit_DLLs файлы Комодо просто убирать/переименовывать на время, иначе в лог отладчика сыпались сегфолты. Не самое лучшее решение, но другого найдено не было. Это на 5-ке, как сейчас не знаю, т.к. сам до сих пор на CIS 5.10.

Чем версия 5.10 лучше текущей? Если можно по подробнее.

Цитата:

Чем версия 5.10 лучше текущей?

наверное тем, что после нее достаточно долго выходили какие-то глючные версии с новым интерфейсом "для домохозяек" и на них не было желания переходить.
сам до не давних пор на ней сидел. перешел на последнюю т.к. достало, что добавление новых правил с запоминанием стало занимать по 30 сек. после перехода новой версией вполне доволен наверное. работает себе. вот только вникать и "переучиваться" на нее желания не какого нет. из замеченного "хрен пойми нового" - похоже политики хипса и файвола объединили т.к. не разу не выскакивала надпись о том, что приложение хочет в нет. не удобно по мне, но не разу вникать в это дело еще не потребовалось.

1ANP 05:49 10-07-2015
Цитата:

можно ли внести действие контент фильтра MVPS Hosts list в исключение для отдельных приложений

Нет. Можно попробовать извратнуться в такую сторону:
- отключить интернет;
- создать сетевую зону BlockList и внести в нее любую запись как имя хоста;
- экспортировать конфигурацию в файл;
- включить интернет;
- редактированием файла внести все записи в зону BlockList (по аналогии с имеющейся);
- импортировать конфигурацию с новым именем и активировать;
- отдельным приложениям заблокировать исходящие соединения, указав в «адресе назначения» зону BlockList.
Сам не пробовал. Как скажется на производительности — не знаю. К тому же, CIS вообще некорректно работает с именами хостов. Короче, есть риск ложных блокировок.


Цитата:

защитить определенный диск от чтения для всех программ кроме двух опредленнных, а какую-либо вложенную папку, либо другой диск - для другого набора программ

Нет. Набор «папок с защищенными данными» один, и определенной программе можно запрещать или разрешать только сразу весь набор.


Цитата:

куда-то пропали стандартные правила

При таких делах лучше импортировать дефолтную конфигурацию (Proactive Security) из каталога, где установлен CIS


Цитата:

Перечитаю потом всё еще раз раздел "Защита базы данных CIS".

Там просто: запретить расположенной внизу группе «Все приложения» редактирование базы (группа «Файлы и папки Comodo») и реестра (группа «Ключи реестра Comodo»). Только в группе реестра надо сокращенные названия заменить на полные: HKLM на HKEY_LOCAL_MACHINE и т.д.


Цитата:

может нужно еще какие-то более надежные правила создать, чтобы файлы конфигурации защитить

При желании можно снять чрезмерные разрешения с проводника (я вообще удаляю его правило). Или изменить предустановленные политики HIPS, чтобы в них всех блокировались файлы и ключи реестра Comodo. Хотя, может, это и лишнее.

Gourmet 21:15 14-07-2015
Цитата:

после каждого обновления КОМОД терял настройки SandBox и HIPS

Часом не включали в хипсе или фаерволе опции «Создавать правила для безопасных приложений»?
Если нет, то описанное поведение весьма странное и тревожное. По-моему, нелепо пытаться настройкой решать проблему слетания настройки. Явно напрашивается переустановка, как минимум, CIS, если не системы...

vasili777 15:26 16-07-2015
Цитата:

Чем версия 5.10 лучше текущей? Если можно по подробнее.

Подробно не скажу, но некоторые тонкие моменты в работе фаервола отличались:
- опция ICS-сервера;
- 2 опции защиты от ARP-спуфинга, сейчас одна;
- мониторинг NDIS протоколов, отличных от TCP/IP...

Однако ряд известных мне проблем CIS тянется, как минимум, с версии 5.10, и только к 8.2 их стали понемногу разруливать. Так что в целом последняя — лучшая, по мне.

DrakonHaSh 16:07 16-07-2015
Цитата:

достаточно долго выходили какие-то глючные версии с новым интерфейсом "для домохозяек"

Интерфейс «для домохозяек» имели несколько первых 6-ок, а где-то с 6.2 или 6.3 он стал относительно удобным.

Цитата:

похоже политики хипса и файвола объединили

ничего подобного

Цитата:

не выскакивала надпись о том, что приложение хочет в нет

Или фаервол включен в «безопасном режиме» вместо «пользовательского», или отмечена опция «не показывать оповещения: разрешать запросы», или еще что...

emhanik

Цитата:

Цитата: не выскакивала надпись о том, что приложение хочет в нет

Или фаервол включен в «безопасном режиме» вместо «пользовательского», или отмечена опция «не показывать оповещения: разрешать запросы», или еще что...

XenoZ

Цитата:

что мешает добавить, по аналогии, записи для *.dll, *.cmd|bat и т.д.?

так и было, и Комод их все терял при апгрейдах, приходилось создавать заново - очень муторно...

private_joker

Цитата:

помимо сборки есть еще нюансы, с коими можно столкнутся, если заниматься отладкой не в отладчике MSVC, а например в GDB (в связке с MinGW)

вот у меня именно этот случай + Qt, причём проект состоит из 75-ти подпроектов (плагины)

emhanik

Цитата:

Часом не включали в хипсе или фаерволе опции «Создавать правила для безопасных приложений»?

включено такое... я не включал - оно по умолчанию было

это из-за него после каждого апгрейда настройки слетают? но при чём тут песочница? - у неё такой настройки нет

DrakonHaSh 09:52 17-07-2015
Цитата:

да, фаервол включен в «безопасном режиме». в 5-ке, при этой настройке, если я чего-то не путаю, для новых приложений, для которых еще нет правил, всегда выскакивало предупреждение, что они хотят в инет в вопросом - разрешить/запретить.

Так работает «пользовательский» режим.
В «безопасном» режиме доверенным приложениям молча разрешаются исходящие соединения, оповещения идут о входящих.
Не перепроверял на 5-ке, но по логике должно быть так...

(Формально можно и в «безопасном» режиме фаервола задать такие правила, чтобы оповещения шли всегда, но это уже частности)

Gourmet 14:01 17-07-2015
Цитата:

включено такое... я не включал - оно по умолчанию было

По умолчанию быть не должно ни в какой из конфигураций.

Цитата:

это из-за него после каждого апгрейда настройки слетают? но при чём тут песочница? - у неё такой настройки нет

Про апдейты и про песочницу не скажу, но замечал, что при включении этой опции список правил HIPS иногда отображался пустым. (В действительности, правила не слетали: достаточно было нажать «Отмену», заново открыть окно настройки — и все на месте)

Так или иначе, опция «Создавать правила для безопасных приложений» не нужна.
Разве что временно: для тестирования или для обучения перед переключением в «Параноидальный режим».

Добавлено:
Gourmet
Короче, попробуйте просто импортировать дефолтную конфигурацию Proactive Security из каталога CIS, активировать ее и прописать нужные правила.
Отключите Viruscope, отключите опцию «Проверять происхождение файлов» в Auto-Sandbox

При использовании автопесочницы можно попробовать задать исключения для среды разработки так: http://www.comss.ru/page.php?id=2346#proact-qt
В группу QtTemp понадобится добавить не только шаблоны временных файлов, но и каталог проектов. Но тогда и запускать файлы в них можно будет только из среды разработки.

Цитата:

В группу QtTemp понадобится добавить не только шаблоны временных файлов, но и каталог проектов. Но тогда и запускать файлы в них можно будет только из среды разработки.

В общем, проще отключить у Комода некоторые функции, как я и сделал, чем с этим всем возиться. Комоду необходима просто кнопка "Каталог разработки" - при нажатии выбрать соответствующий каталог, и всё. У меня куча своих забот о разрабатываемых проектах, чем с настройками недоделанной защиты возиться.

Или сменить его на что-нибудь? Знать бы на что...

Gourmet 23:05 17-07-2015
Цитата:

Комоду необходима просто кнопка "Каталог разработки" - при нажатии выбрать соответствующий каталог, и всё

Вот, пожалуйста: http://www.comss.ru/page.php?id=2346#proact-allow-manual
Создаете группу AllowedProgs, задаете правила, наподобие предложенных. До кучи можно эту группу еще и из антивируса исключить.
А потом добавлять в эту группу «каталоги разработки» и что пожелаете

Ситуация осложняется, если среда разработки создает и запускает временные файлы. Поэтому для этого случая решение чуть другое (плюс запрет запуска разрешенных программ сторонними — компенсация послаблений в защите).

В крайнем случае можно назначить среде разработки политику «Установка или обновление». Но только при отключенной опции «Доверять приложениям, установленным с помощью доверенных установщиков»!!

emhanik

Цитата:

можно назначить среде разработки политику «Установка или обновление»

это отключит и песочницу для временных командных файлов?

попробовал назначить приложениям IDE политику «Установка или обновление» - перестал работать mingw32-make, не может ни каталоги очистить, ни приложение собрать, но с политикой "Разрешенное приложение" работает

поотключал везде "создавать правила", вроде бы работает...
PS: не, перехвалил - make слетает, HIPS даже отключенный блокирует его командные файлы, хотя для них есть запись в правилах: D:\tmp\make*.bat - Разрешенное приложение

Gourmet 22:45 18-07-2015
Цитата:

это отключит и песочницу для временных командных файлов?

Да, если в параметрах автопесочницы отмечена опция «Обнаруживать программы, требующие повышенных привилегий» (так по умолчанию)

Есть еще несколько нюансов, но не стану грузить.


Цитата:

make слетает, HIPS даже отключенный блокирует его командные файлы

Уж отключенный HIPS блокировать не должен. Значит, автопесочница?
Создайте правило Auto-Sandbox:
- действие: игнорировать;
- цель: среда разработки;
- репутация не указана;
- опция «Не применять выбранное действие к дочерним процессам» отключена.

Такое правило исключит все дочерние процессы среды разработки из автопесочницы (а также их дочерние и т.д.).

Но, разумеется, при запуске тех же программ, например, проводником автопесочница их перехватит.

Цитата:

Значит, автопесочница?

Да это была она. Но с HIPS тоже какая-то ерунда - правило для командников есть, но он каждый раз при сборке предлагает создавать правило. Имена командников же содержат случайные числа на месте звездочки.

Gourmet 22:45 18-07-2015
Цитата:

есть запись в правилах: D:\tmp\make*.bat - Разрешенное приложение

00:17 19-07-2015
Цитата:

правило для командников есть, но он каждый раз при сборке предлагает создавать правило

Отсюда делаю вывод, что запросы идут
1) на запуск этих батников и/или
2) на запуск этими батниками чего-либо еще

Упрощенное (но не очень хорошее) решение:
1) правила HIPS > группа «Все приложения» > Запуск приложения > Изменить > Разрешенные > добавить «D:\tmp\make*.bat»
2) правила HIPS > запись «D:\tmp\make*.bat» > политика «Системное»

comrades, подскажите, пожалуйста, что такое привилегия Backup? Некоторые программы стали вдруг требовать (Far при первом запуске давно, AMD'эшный Catalyst пару-тройку версий как, что-то ещё).

Цитата:

равила HIPS > группа «Все приложения»

нет у меня такой группы


Цитата:

правила HIPS > запись «D:\tmp\make*.bat» > политика «Системное»

с этим вроде бы работает

самое главное - что будет после обновления (не базы - самого Комода), раньше все политики переставали работать до полной ручной переустановки

Skif_off

Цитата:

что такое привилегия Backup?

Гугл забанили? Что такое привилегии

XenoZ
Где-то был разговор, что HIPS Comodo понимает под этим не совсем то, помню смутно, спросил на всякий случай.
Можно без раздумий разрешить, если известен источник исполняемого файла?

Снова я Комод перехвалил. Вчера без проблем проект собирался. Но сегодня Комод опять начал спрашивать что делать с файлами make*.bat. В его настройках я ничего не менял, командники создаются там же, где и раньше. Честно говоря, хочется уже этот Комод снести к чертовой бабушке, чтобы не страдал маразмами.

Именно по этой причине удалил сей продукт с своих машин 9 сентября 2013 года.
О чём и поныне не жалею. Ибо задолбал. Как видим, что спустя почти 3 года ситуация не меняется.

Цитата:

KismetT
Именно по этой причине удалил сей продукт с своих машин 9 сентября 2013 года.

А на что перешел?

Цитата:

А на что перешел?

Фришный Бит + родной брандмауэр 7-ки.

Ничего не менял в Комоде - извне отладчика перестало запускаться приложение, собранное в моём проекте. Из отладчика запускается, извне нет, и появляется запись в протоколах HIPS о блокировке. Правило для запуска приложения, как разрешенного, в настройках HIPS на месте.

Снова отключил нафик HIPS... фуфло...

Gourmet
Цитата:

Ничего не менял в Комоде - извне отладчика перестало запускаться приложение, собранное в моём проекте. Из отладчика запускается, извне нет

А вдумчиво изучить запись о блокировке религия не позволяет?
Или попробовать включить мозг ( при его наличии)?
Родитель сменился, естественно, что идет блокировка.

Цитата:

Родитель сменился, естественно, что идет блокировка.

Для меня это НЕ есесственно. Само приложение объявлено разрешенным, какой нафик еще родитель??... Тем более, что раньше и извне успешно запускалось с включенным HIPS.

Gourmet
Полно, а программист ли ты? Логика работы Комода не такая уж и сложная, чтобы в ней разобраться.
"Доверенное" и "разрешенное" - две большие разницы. То, что ты задал приложению политику "разрешенное", не снимает с него статус "неопознанное".

XenoZ

Цитата:

попробовать включить мозг ( при его наличии)?

Цитата:

Полно, а программист ли ты?

были бы Вы дамой, я бы решил что у вас не те дни. как-то не культурно и раздраженно отвечаете, раньше я за Вами такого вроде не замечал.

я, например, и программист тоже, и мне логика комода не кажется легкой (*интуитивной*). хотя сижу на нем уже много лет, начиная со 2-й версии(потом 5-я, потом 8-я).
сие высказывание:

Цитата:

"Доверенное" и "разрешенное" - две большие разницы. То, что ты задал приложению политику "разрешенное", не снимает с него статус "неопознанное".

вызывает у меня некий забавный ступор ))) информативность хорошая, а вот интуитивность мега маловата ))