Istruzioni per l'installazione di Comodo Firewall su un PC Windows.
1. All'inizio dell'installazione, è necessario selezionare la lingua russa dall'elenco di quelle proposte, per comprendere le complesse impostazioni del programma.
2. Nella finestra di dialogo successiva, deseleziona le funzioni aggiuntive e NON inserire l'indirizzo e-mail.
Inoltre, è necessario fare clic sul pulsante "Configura aggiornamento" in questa finestra ed eseguire alcune manipolazioni.
3. Nelle impostazioni di aggiornamento, deseleziona Geek Buddy e Dragon Web Browser.
amico sfigato - un motivo in più per sorridere se conosci l'inglese e sai tradurre questa espressione. Questa è una piccola app "lamer" che ti fornirà 60 giorni di supporto tecnico gratuito dal firewall.
Ciò significa che se hai domande, puoi tranquillamente scrivere / chiamare negli Stati Uniti e consultare il loro team in inglese.
Dato che siamo già bravissimi e puoi fare domande sul nostro sito, non useremo questa opportunità :-)
Browser web del drago
è un browser che fornisce una navigazione presumibilmente sicura sul web.
In effetti, non ne abbiamo bisogno, perché la sicurezza della navigazione ci si addice con Komodo Firewall, quindi rimuoviamo la casella di controllo da questo punto.
Fare clic su "Indietro" -> "Accetto. Installa "e avvia l'installazione del firewall.
4. Dopo un po', il programma ti chiederà di riavviare il computer. Salva tutti i documenti aperti e fai clic su "Sì".
5. Non appena il computer viene riavviato, il programma ti informerà automaticamente con i suoi prodotti e funzionalità.
Per evitare questo problema in futuro, seleziona la casella accanto a "Non mostrare più questa finestra" e chiudila.
Configurazione firewall.
1. Dopo aver installato Commodo, il firewall inizierà a lamentarti che alcune applicazioni stanno navigando in Internet per essere aggiornate. A questo proposito, puoi consentire loro di farlo o negarlo.
La tua scelta sarà permanente e il sistema la ricorderà, ad es. se non si consente \ consentire l'aggiornamento di alcune applicazioni una volta, dopo aver riavviato il computer
Komodo bloccherà/consentirà automaticamente l'aggiornamento senza preavviso.
Se, nel tempo, desideri trasformare la tua rabbia in misericordia e bloccare/consentire la connessione di un determinato programma a Internet, considereremo ulteriormente come farlo manualmente.
2. La cosa principale nella configurazione di qualsiasi firewall è renderlo invisibile a te, ma allo stesso tempo protegge in modo affidabile il tuo PC dalle minacce esterne.
Per fare ciò, esegui:
vai sul desktop e fai clic sul firewall nel punto in cui è presente la scritta "sicuro" (potrebbe esserci un'altra iscrizione).
Si aprirà un menu completo del programma.
Vai su "Attività".
Seleziona "Attività firewall". A questo punto, puoi consentire a determinati programmi di connettersi a Internet per aggiornare i loro database.
Se sei sicuro dell'applicazione e sai che sta scalando il World Wide Web per nuovi database, fai clic sul pulsante "Consenti connessione", quindi seleziona il file dell'applicazione per cui desideri aprire l'accesso alla rete e fai clic su Apri.
Tutte le altre impostazioni possono essere lasciate per impostazione predefinita per ora.
Gli sviluppatori di questa applicazione hanno già lavorato duramente per rendere la protezione contro gli attacchi e l'uso del Firewall conveniente per gli utenti.
Ciao cari lettori del sito blog! In questo articolo continuo il mio grande argomento sulla protezione del computer da diversi tipi di minacce. Nel mio ultimo articolo su questo argomento, ho iniziato a parlare della protezione dell'accesso a Internet e del controllo delle applicazioni utilizzando uno speciale componente di protezione, il firewall, che fa parte della protezione estesa di Kaspersky, Kaspersky Internet Security. In un altro modo, Firewall è anche chiamato "Firewall" o "Firewall".
E ora parlerò di nuovo della protezione con Firewall, ma di un altro sviluppatore e che può essere installato separatamente insieme a qualsiasi prodotto antivirus senza installare una protezione particolarmente complessa da un produttore. Il prodotto di cui voglio parlare si chiama Comodo Firewall. I suoi vantaggi più importanti sono la protezione del traffico gratuita e di alta qualità!
In uno degli articoli precedenti, ho già detto che Comodo offre anche un antivirus gratuito (leggi qui :) o anche una protezione complessa gratuita: Comodo Internet Security. Tuttavia, l'antivirus stesso di questo sviluppatore non è affidabile come, ad esempio, Kaspersky Anti-Virus o Avast, quindi consiglio a Comodo di installare solo un firewall e, separatamente, un antivirus affidabile di un altro sviluppatore. Oppure usa il pacchetto Kaspersky Internet Security.
Consideriamo l'installazione e le impostazioni di base del firewall Comodo.
Processo di installazione di Comodo Firewall
Si può dire che l'installazione di un prodotto separato, Comodo Firewall, non è affatto diversa dall'installazione di un antivirus da Comodo, quindi analizzerò questo processo più brevemente, senza commentare ciascuna opzione configurabile.
Puoi trovare commenti più dettagliati sull'installazione all'inizio dell'articolo, il link a cui è fornito sopra.
Quindi iniziamo:
Configurazione del firewall Comodo
La configurazione del Firewall di Comodo è semplice e quasi tutto sarà configurato per impostazione predefinita nel modo più ottimale. Dovremo solo controllare e, se necessario, modificare qualcosa. Prima di configurare il componente Firewall stesso, eseguiamo alcune azioni con le impostazioni principali di Comodo:
Blocco completo. Scegliendo questa modalità, il firewall bloccherà assolutamente tutte le connessioni, sia in entrata che in uscita, e da qualsiasi rete. Il tuo computer sarà isolato come se avessi disconnesso tutte le reti sul computer e rimosso il cavo di rete.
Questa modalità, in linea di principio, non è necessaria in quanto tale, poiché il suo utilizzo può essere utile solo quando si lavora in reti non protette estremamente pericolose, in cui varie minacce di virus camminano in mezzo alla folla.
Set di regole personalizzate. Scegliendo questa modalità, il firewall funzionerà e bloccherà il traffico solo seguendo le regole per programmi e reti che ci imposteremo noi stessi. In questo caso, il firewall non terrà conto del fatto che il programma è affidabile e dispone di una firma digitale. Prenderà decisioni solo in base alle regole che abbiamo stabilito.
Modalità sicura. Questa è la modalità che consiglio di utilizzare. Quando si opera in questa modalità, il firewall stesso crea la maggior parte delle regole per le applicazioni attendibili che dispongono di firme digitali valide. Sulla base di ciò, sceglie quali connessioni consentire a questa o quella applicazione e quali no. Quando rileva programmi non riconosciuti e non attendibili, Comodo darà all'utente la possibilità di scegliere se consentire o bloccare la connessione, indicando quali azioni avrebbe eseguito l'applicazione.
Modalità allenamento. In questa modalità, il firewall non mostrerà alcuna notifica e creerà regole per tutte le applicazioni da solo, consentendo loro richieste di rete. La modalità può essere utilizzata solo se sei sicuro al 100% dell'affidabilità delle applicazioni installate sul tuo computer. Di norma, questo non può essere, quindi non consiglio di utilizzare questa modalità :)
Immediatamente dopo l'installazione del Firewall, apparirà una finestra pop-up in cui è necessario selezionare a quale rete si è connessi. Selezioniamo "Sono a casa":
Ora lanciamo la finestra principale di Comodo Firewall cliccando sull'icona nella barra delle applicazioni (area vicino all'orologio di Windows) e vedremo un grande punto esclamativo (che indica che qualche componente non funziona) e un pulsante "Correggi" attivo. In questo caso, da noi è richiesto solo un riavvio, perché dopo l'installazione non sono stati avviati tutti i componenti di protezione.
Basta fare clic sul pulsante "Correggi":
Il computer si riavvierà e dopo l'avvio del sistema, i componenti del firewall saranno già abilitati e l'icona di avviso scomparirà.
Se hai Windows 7, sul lato destro del desktop ci sarà un widget completamente non necessario di Comodo :) Ecco come appare:
Tiriamolo fuori. Per fare ciò, fai clic con il tasto destro del mouse sull'icona Comodo nella barra delle applicazioni, seleziona la voce "Widget", quindi fai clic sul pulsante contrassegnato con la casella di controllo "Mostra":
Di conseguenza, il widget scomparirà e non sarà più un pugno nell'occhio, oltre a consumare risorse di sistema :)
Ora lanciamo nuovamente la finestra principale di Comodo Firewall dal desktop o dalla barra delle applicazioni e aggiorniamo i database facendo clic sul pulsante corrispondente (vedi immagine sotto):
Verrà avviato l'aggiornamento del database e se ci sono nuove versioni, verranno aggiornate. Successivamente, la finestra si chiuderà automaticamente dopo alcuni secondi.
Anche se hai installato l'ultima versione di antivirus o firewall dal sito Web ufficiale dello sviluppatore, ti consiglio comunque di controllare gli aggiornamenti subito dopo l'installazione del prodotto.
Ora andiamo direttamente al controllo delle impostazioni del componente: il firewall. Per un comodo accesso a tutte le impostazioni, passare alla modalità estesa della finestra principale. Per fare ciò, nell'angolo in alto a sinistra, clicca sul piccolo pulsante come nell'immagine qui sotto:
Ora la finestra principale di Comodo Firewall è leggermente trasformata e vedremo più funzioni. Ma la cosa principale è che ora possiamo facilmente andare alle impostazioni del firewall stesso. Per fare ciò, è sufficiente fare clic sul collegamento "Firewall" nell'angolo in alto a sinistra:
Di conseguenza, ci troviamo nella prima finestra delle impostazioni del firewall Comodo.
Non appena siamo andati alle impostazioni, il primo menu della categoria "Firewall" - "Impostazioni firewall" si aprirà davanti a noi.
Queste impostazioni sono ottimali, ma farò alcuni commenti.
La casella di controllo "Abilita Firewall", ovviamente, è responsabile dell'abilitazione o della disabilitazione della protezione. In nessun caso deselezionare la casella, altrimenti il Comodo Firewall installato non sarà di alcuna utilità a nessuno, poiché il firewall stesso verrà semplicemente disattivato :)
Accanto alla casella di controllo per abilitare/disabilitare il firewall, c'è un elenco in cui è possibile selezionare la modalità di sicurezza. Ti parlerò brevemente di queste modalità:
Nel menu del firewall "Regole per le applicazioni", possiamo impostare le regole per qualsiasi applicazione o visualizzare le regole che sono già state create in precedenza.
Tutte le regole che sono già state create saranno immediatamente visibili se fai clic sul menu Regole dell'applicazione. Per aggiungere la tua regola, fai clic con il tasto destro su un'area vuota della finestra e seleziona la voce "Aggiungi":
Ora mostrerò con un esempio come bloccare l'accesso alla rete per qualsiasi programma.
Per fare ciò, nella finestra che si apre, devi innanzitutto selezionare il programma per il quale stiamo creando la regola (come ti ho indicato ad esempio: bloccare l'accesso alla rete). Facciamo clic sul pulsante "Sfoglia", dopodiché puoi selezionare più file contemporaneamente selezionando la voce "Gruppi di file" e contrassegnando il gruppo corrispondente. Puoi anche selezionare uno dei processi attualmente in esecuzione nel sistema e creare una regola di blocco per esso. Ma è più comodo selezionare la voce "File":
Dopo aver selezionato "File", si aprirà un esploratore, in cui è necessario selezionare il programma per il quale creeremo una regola. Ad esempio, bloccherò l'accesso a Internet per un noto browser: Mozilla Firefox. Sto cercando la cartella in cui è installato Firefox e seleziono il file responsabile dell'avvio (firefox.exe). Quindi faccio clic sul pulsante "Apri" nell'Explorer:
Ora torneremo automaticamente alla finestra precedente e vedremo che il percorso del programma che abbiamo specificato è ora apparso nel campo "Nome". Contrassegniamo la voce "Utilizza un insieme di regole", quindi a destra dall'elenco delle regole già pronte seleziona "Applicazione bloccata":
Dopo aver impostato tutte le impostazioni in questa finestra, fare clic sul pulsante "OK" di seguito per salvarle:
Di conseguenza, torneremo alla finestra con un insieme di regole per i programmi e nell'elenco vedremo il programma appena aggiunto (nel mio esempio, Firefox) con la regola "Applicazione bloccata". Per verificare immediatamente il risultato, è necessario applicare tutte le modifiche alle regole e fare nuovamente clic sul pulsante "OK" qui sotto:
Per verificare la mia azione, lancio il browser Mozilla Firefox e provo, ad esempio, ad aprire il nostro blog preferito :) Di conseguenza, ricevo l'errore "Tentativo di connessione non riuscito":
E questo è esattamente ciò di cui avevamo bisogno per l'esempio :) Le connessioni a Firefox sono bloccate. È chiaro che Firefox, sul serio, non ha certo bisogno di essere bloccato. Questo era solo un esempio :) Puoi e dovresti bloccare i programmi che non richiedono l'accesso a Internet o i programmi che non sono attendibili.
È ancora più semplice eliminare la regola creata. È necessario tornare al menu del firewall - "Regole per le applicazioni" e, facendo clic con il tasto destro del mouse sulla regola desiderata, selezionare "Rimuovi dall'elenco":
Nella nostra modalità scelta "Modalità provvisoria", Comodo Firewall sarà molto bravo a scegliere le regole per le applicazioni e raramente dovremo scavare e configurare le regole da soli. Fondamentalmente, è qui che finiscono le importanti impostazioni del firewall Comodo per i principianti. Non consiglio di effettuare alcuna impostazione nel resto dei menu del firewall, poiché sono destinati a utenti molto più esperti che comprendono le reti di computer e hanno una conoscenza più completa del lavoro con le reti nei sistemi operativi.
Le impostazioni che ho mostrato sono sufficienti per proteggere il computer dagli attacchi degli hacker e bloccare l'accesso a Internet per applicazioni non attendibili o qualunque cosa scegliamo.
Sicuramente avrai notato che oltre alla sezione "Firewall", ci sono altre sezioni nelle impostazioni, ad esempio: "Protezione +", "Classificazione file", "Impostazioni generali". Ho già descritto le impostazioni necessarie dalle sezioni elencate in uno dei miei precedenti articoli - "Un altro buon antivirus gratuito - Comodo", quindi, se necessario, puoi leggerle in quell'articolo facendo clic sul collegamento sopra.
E su questo, l'ultimo degli articoli che ho programmato in questo momento, sto completando.
Non ti aspetta un solo articolo su argomenti informatici, ad esempio: backup dei dati, controllo remoto del computer e altro :) Penso che la deviazione periodica dal tema della navigazione e del guadagno verso questioni tecniche sia persino utile. Pertanto, sullo stesso blog preferito, studiamo, oltre a solide informazioni sui guadagni, il nostro computer e tutto ciò che è ad esso connesso :)
A presto! Buona fortuna a te;)
Informazione Generale
Quando un componente FIANCHI abilitato, l'attività dei programmi è limitata secondo le regole. Le situazioni per le quali non è specificata alcuna regola vengono risolte in base alla modalità HIPS, alla classificazione del programma e ad altre condizioni.
Di solito la modalità provvisoria consente ai programmi attendibili di svolgere qualsiasi attività non vietata dalle regole, ad eccezione dell'avvio di file non riconosciuti. Il lancio di programmi non identificati, così come qualsiasi azione di questi programmi, viene soppresso dalle notifiche.
La modalità paranoica impedisce qualsiasi attività di eventuali programmi non prevista dalle regole con notifiche.
In Modalità Apprendimento, per qualsiasi attività non prevista dalle regole di alcuna applicazione, verranno automaticamente create nuove regole di autorizzazione.
Le regole sono presentate nella scheda HIPS → Regole HIPS come una lista applicazioni e il suo assegnato set di regole.
Le applicazioni possono essere percorsi di file esatti, modelli di percorso con * e? così come gruppi di file. Nei percorsi e nei loro modelli, puoi usare. I filegroup sono raccolte di percorsi o modelli e sono configurati nella scheda Classificazione file → Gruppi di file... Vorrei sottolineare che le applicazioni nelle regole HIPS sono identificate solo dai loro percorsi e non da hash, ecc.
L'insieme delle regole assegnate all'applicazione è composto da due schede: "Diritti di accesso" e "Impostazioni di sicurezza". Sul primo sono fissati i diritti della domanda stessa, sul secondo, al contrario, la sua protezione da altri programmi. L'applicazione può avere entrambi proprio insieme di regole, o uno qualsiasi dei set preformati: sono configurati nella scheda HIPS → Set di regole.
L'insieme predefinito di regole "Applicazione di sistema Windows" consente qualsiasi attività, l'insieme "Applicazione consentita" - qualsiasi, ma non regola l'avvio di processi figlio; il set "Applicazione Isolata" vieta rigorosamente qualsiasi attività; il set "Applicazioni limitate" vieta quasi tutto tranne i messaggi della finestra e l'accesso al monitor e non regola l'avvio di processi figlio. Non solo puoi creare i tuoi set, ma anche modificare quelli preimpostati.
A partire dalla versione CIS 10.0.1.6223, il set di regole HIPS dell'applicazione sandbox è stato rinominato in Applicazione in esecuzione in un contenitore. Si tratta, a mio avviso, di una traduzione errata del nome "Contained Application", poiché in realtà le regole HIPS non hanno nulla a che vedere con il Container (ambiente virtuale). Per evitare confusione, ti consiglio di rinominare questo set in Applicazione sandbox, che verrà chiamata così in questo articolo.
Un caso speciale è il set di regole "Installa o aggiorna", che autorizza le applicazioni. I programmi con tali privilegi eseguono liberamente qualsiasi azione (tranne quelle esplicitamente vietate dalle regole), incl. eseguire qualsiasi programma e anche i loro processi figlio ricevono i privilegi di installazione. I file eseguibili creati da tali programmi sono automaticamente attendibili.
Diverse configurazioni iniziali di COMODO Internet Security differiscono sia nell'insieme iniziale di regole che nella gamma controllata delle attività del programma. Per la protezione HIPS più completa, è necessario selezionare inizialmente una configurazione Sicurezza proattiva e già da esso per condurre ulteriori impostazioni.
Quando si limita l'accesso al programma a varie risorse, HIPS si basa sui dati della sezione HIPS → Oggetti protetti... Ad esempio, un file o una directory possono essere protetti dalla modifica solo se il suo nome completo corrisponde a uno qualsiasi dei modelli nella scheda File protetti. Quindi, se vuoi impedire a qualsiasi programma di modificare i file sull'unità D: (indipendentemente dal loro tipo), devi prima aggiungere questa unità all'elenco di quelle protette.
Successivamente, durante la creazione di regole specifiche, sarà possibile variare le restrizioni di accesso a determinati oggetti protetti cliccando su "Modifica" nella colonna "Eccezioni".
È consigliabile utilizzare HIPS in Modalità sicura disabilitando l'opzione Crea regole per applicazioni sicure, o dentro Paranoico... Quindi la procedura per determinare l'accesso del programma alla risorsa sarà la seguente:
Come puoi vedere, in HIPS, l'azione "Chiedi" esprime l'assenza di una regola (al contrario di un firewall, dove indica di mostrare un avviso).
Quindi, la scheda "Consentito" della regola più in alto adatta per questo programma ha la priorità più alta; quindi - la scheda "Bloccati"; quindi - l'azione specificata in questa regola, se non è ambigua; quindi - la scheda "Consentito" della regola successiva e così via. In assenza di una regola univoca, l'accesso è consentito se (i) i privilegi dell'installatore sono attivi, o (ii) il programma è "fidato" e la modalità HIPS è "Sicura", o (iii) l'opzione "Non mostra avvisi: Consenti richieste” è selezionato. Quando nessuna di queste condizioni è soddisfatta, l'accesso viene bloccato se è selezionata l'opzione "Non mostrare notifiche: Blocca richieste" oppure viene emessa una notifica se questa opzione è disabilitata.
Caso speciale: se il programma è in esecuzione in un ambiente virtuale e/o con restrizioni di Auto-Containment, in assenza di una regola, gli verrà data l'autorizzazione (simile all'opzione "Non mostrare avvisi: Consenti richieste"). Inoltre, in un ambiente virtuale, non esiste alcuna protezione di file e registro, anche con restrizioni esplicite.
Gestione dei diritti delle applicazioni tramite notifiche
Quando si risponde alle notifiche HIPS, alle applicazioni vengono assegnate regole: temporaneamente o permanentemente, a seconda dell'opzione "Ricorda la mia scelta".
Punto importante: le regole vengono assegnate all'applicazione, che è elencata sul lato sinistro dell'avviso. Ad esempio, se ti viene chiesto del lancio di un programma sconosciuto da parte del conduttore, le regole verranno assegnate al conduttore. Errori tipici dei principianti: scegli l'opzione "Blocca e termina l'esecuzione" in questa notifica (quindi interrompendo il processo di esplorazione), o l'opzione "Applicazione sandbox" (limitando gravemente i diritti dell'esploratore), o l'opzione "Installa o aggiorna" (perdendo così quasi tutta la protezione). Di solito la scelta più intelligente in una notifica di avvio del programma è Consenti o Blocca solo.
Le opzioni "Consenti" o "Blocca solo" nei vari avvisi HIPS indicano che solo una specifica risorsa è consentita o negata. Ad esempio, se si consente all'applicazione di creare il file C: \ test \ A.exe, un tentativo di creare il file C: \ test \ B.exe genererà nuovamente un avviso. Per consentire all'applicazione di creare qualsiasi file nella directory C: \ test, dovrai modificare la regola tramite la finestra delle impostazioni CIS. Sfortunatamente, le notifiche non forniscono autorizzazioni per directory, modelli, gruppi, ecc. Tuttavia, tramite la notifica, puoi applicare all'applicazione qualsiasi insieme di regole precedentemente creato nella scheda HIPS → Set di regole.
Se abiliti l'opzione "Ricorda la mia scelta" quando rispondi a una notifica, l'insieme di regole assegnate all'applicazione specificata cambierà; se non esiste una regola HIPS per questa applicazione, verrà creata in cima all'elenco. Quando si sceglie un'opzione Permettere o Solo blocco verranno aggiunte le regole per consentire o negare esattamente per una specifica risorsa (file, interfaccia COM, ecc.). Quando si sceglie uno qualsiasi insieme di regole le nuove regole non si aggiungeranno alle vecchie, ma le sostituiranno completamente, ovvero le regole precedentemente assegnate a questa applicazione non saranno più applicabili.
Se si disabilita l'opzione "Ricorda la mia scelta" nell'avviso, le autorizzazioni, i rifiuti o i set di regole assegnati all'applicazione scadranno alla chiusura dell'applicazione o anche prima e non verranno apportate modifiche alla configurazione del CIS. Per comprendere la logica alla base di queste regole temporanee, è conveniente immaginare che ogni volta che si risponde a un avviso (senza ricordarlo), venga creata una voce immaginaria nell'elenco delle regole HIPS. Tutte le voci "immaginarie" si trovano nell'elenco delle regole sotto le voci "reali", ma le nuove voci "immaginarie" sono al di sopra di altre "immaginarie". Ciò significa che alla stessa applicazione possono essere assegnati diversi insiemi di regole (senza memorizzare) più volte tramite avvisi e tutti questi insiemi di regole saranno validi. Le regole "reali" avranno la priorità più alta, poi la più fresca delle regole "immaginarie", poi quella precedente e così via. Ma non appena viene creata una qualsiasi regola "reale" (con memorizzazione), tutte le regole "immaginarie" per tutte le applicazioni verranno distrutte.
Ad esempio, dopo aver ricevuto una notifica su un programma, gli assegneremo un insieme di regole "Applicazione sandbox", senza ricordarlo. Per impostazione predefinita, il gruppo Tutte le applicazioni può modificare i file temporanei, quindi questo programma può ancora farlo anche se il set di applicazioni sandbox non lo consente. Se assegni questo insieme di regole con il ricordo, la modifica dei file temporanei sarà vietata, poiché una nuova regola HIPS verrà creata in cima all'elenco.
Alcune eccezioni all'ordine di lavoro descritto sono state notate quando l'opzione "Ricorda la mia scelta" è disabilitata. Innanzitutto, non vengono create autorizzazioni "immaginarie" per avviare le applicazioni (ad esempio, quando la stessa applicazione viene avviata di nuovo, verrà generato un avviso). In secondo luogo, se un programma è consentito tramite la notifica "modifica l'interfaccia utente di un'altra applicazione", sarà temporaneamente in grado di inviare messaggi finestra a qualsiasi applicazione, non solo a quella specificata.
Controllo del lancio dell'applicazione
La possibilità di eseguire qualsiasi programma è impostata in HIPS dalla regola per lancio programma e non per il programma in fase di avvio. In "Modalità paranoica", l'esecuzione silenziosa di programmi è consentita solo se è presente un'autorizzazione esplicita nelle regole. In modalità provvisoria, in assenza di una regola, l'avvio è consentito se sia l'avvio che il programma avviato sono attendibili. Le eccezioni sono l'esecuzione di programmi con privilegi di installatore, nonché sotto l'influenza della virtualizzazione e/o delle restrizioni di contenimento automatico.
Quindi, supponiamo che in modalità provvisoria HIPS, parent.exe sia in esecuzione e stia tentando di eseguire child.exe. In assenza di regole aggiuntive, l'avvio avverrà silenziosamente solo se entrambi i programmi sono attendibili. Se il programma child.exe non è riconosciuto e le regole HIPS per il programma parent.exe (o il suo gruppo contenitore) non dispongono dell'autorizzazione per eseguire il programma child.exe (o il suo gruppo contenitore), indipendentemente dalle regole HIPS per il programma child.exe stesso e indipendentemente dalla valutazione del programma parent.exe, prima dell'avvio verrà visualizzato un avviso (peraltro relativo al programma parent.exe).
Pertanto, per consentire l'esecuzione di un programma non riconosciuto, non è sufficiente impostare regole permissive per esso stesso: è necessaria l'autorizzazione per eseguirlo dal processo padre, come opzione, al gruppo "Tutte le applicazioni".
Se è necessario interrompere l'avvio del programma, dopo aver ricevuto una notifica sul processo padre, di solito è necessario disabilitare l'opzione di memorizzazione e selezionare Blocca → Blocca solo... Attenzione! La voce "Blocca e completa l'esecuzione" nella notifica sull'avvio del programma significa spegnimento processo genitore.
La capacità di eseguire qualsiasi programma è determinata non solo dalle regole HIPS, ma anche dall'auto-contenimento. L'avvio verrà bloccato se almeno uno di questi componenti lo richiede. Se il lancio del programma è consentito dalle regole HIPS e le regole di contenimento automatico prescrivono di isolare questo programma, verrà lanciato in isolamento.
È importante sapere che, a differenza dell'autocontenimento, in HIPS il processo figlio non eredita le restrizioni del genitore: se si consente a un programma dubbio di eseguire un programma sicuro, è possibile che si verifichino danni per conto del programma sicuro.
Creazione automatica delle regole HIPS in "Modalità di apprendimento" e in "Modalità provvisoria"
In alcune modalità, le regole HIPS vengono create automaticamente:
- se la "Modalità allenamento" è abilitata e l'opzione "Non mostrare notifiche" è disabilitata o impostata in modalità "Blocca richieste", verranno create regole che consentono ogni azione rilevata di qualsiasi applicazione;
- se "Modalità provvisoria" è abilitata, l'opzione "Crea regole per applicazioni sicure" è abilitata e l'opzione "Non mostrare notifiche" è disabilitata o impostata in modalità "Blocca richieste", verranno create regole che consentono ogni azione notata di applicazioni affidabili.
Nella maggior parte dei casi, queste modalità non sono utili e vengono utilizzate solo per testare o prepararsi al passaggio alla "Modalità paranoica".
Le regole per il programma (qualsiasi nella "Modalità di apprendimento" o attendibile nella "Modalità provvisoria") sono create come segue:
Il tipo della nuova regola dipenderà dall'azione richiesta:
- Quando un programma ne avvia un altro, viene creata una regola per il primo, consentendo l'esecuzione del programma specifico.
- Quando un programma modifica un file o una chiave di registro elencati nella scheda HIPS → Oggetti protetti, il tipo di regola dipenderà da come viene scritto il modello di questa risorsa.
- Se alla fine del template è presente un segno | , verrà quindi creata una regola che consente di modificare l'oggetto specifico a cui è indirizzato il programma. Ad esempio, il programma crea un file text.txt sul desktop. Corrisponde al modello?: \ Users \ * \ Desktop \ * | ... Ciò significa che verrà creata una regola per consentire la modifica del file C: \ Users \ Nome \ Desktop \ text.txt.
- Se alla fine del pattern non c'è il segno | , quindi verrà creata una regola che consente la modifica di qualsiasi oggetto secondo questo modello. Ad esempio, il programma crea il file D: \ prog.exe. Nell'elenco degli oggetti protetti, questo file corrisponde al modello * .exe. Ciò significa che verrà creata una regola che consentirà a questo programma di modificare qualsiasi file exe.
- Quando un'applicazione accede a una delle seguenti risorse, vengono create automaticamente delle regole che le consentono di accedervi tutte contemporaneamente:
- Interfacce COM protette,
- Hook di Windows e hook di applicazione,
- Accesso alla memoria tra processi,
- Interruzione delle applicazioni,
- Query DNS,
- Disco(accesso diretto),
- Tastiera del computer,
- Tenere sotto controllo.
Protezione del processo
Nella finestra con le regole HIPS per un'applicazione, puoi limitare non solo l'attività dell'applicazione, ma anche l'influenza di altri programmi sul suo funzionamento. Per questa scheda Impostazione della protezione indica quali azioni verranno bloccate con questa applicazione e nella finestra delle eccezioni (il pulsante Modificare) - a quali programmi saranno autorizzati. Le notifiche non vengono fornite qui - solo autorizzazione o divieto, indipendentemente dalla valutazione. Un'azione vietata in questo modo verrà bloccata, indipendentemente dalle regole e dalla valutazione di altri programmi.
In particolare, questa funzione protegge il CIS dallo scaricamento dei suoi processi e dall'accesso alla memoria. Pertanto, anche quando HIPS non è necessario, è consigliabile abilitarlo almeno con l'opzione "Non mostrare notifiche: Consenti richieste" (in modalità "Sicura" o "Paranoide").
Un effetto collaterale dell'autodifesa CIS è un numero enorme di voci nel registro "Protezione + Eventi" quando si utilizzano alcuni programmi, ad esempio ProcessExplorer. Puoi eliminare i blocchi non necessari consentendo alle singole applicazioni di accedere alla memoria del gruppo "COMODO Internet Security".
Si noti che la protezione dall'interruzione dell'applicazione di per sé non copre tutti i modi per scaricare un processo. Ad esempio, molte applicazioni possono essere terminate tramite messaggi di finestra o tramite l'accesso alla memoria. Per proteggere un'applicazione da tali metodi di chiusura, dovrai contrassegnare nelle sue regole nella scheda Impostazioni di protezione non solo la voce Interruzione dell'applicazione, ma anche altre.
Privilegi dell'installatore
Il significato dei privilegi di installatore
In determinate condizioni, a un'applicazione vengono concessi privilegi di installazione, che sono i seguenti:
- HIPS consente a tale applicazione di fare qualsiasi cosa che non sia esplicitamente vietata nelle regole, ad es. funziona come la modalità "Non mostrare notifiche: Consenti richieste";
- L'auto-contenimento non isola i programmi lanciati da questa applicazione;
- mentre questa applicazione è in esecuzione, i suoi processi figlio (così come i loro processi figlio, ecc.) vengono eseguiti con privilegi di installazione;
- gli eseguibili creati da questa applicazione (o i processi figlio che ne hanno ereditato i privilegi) sono automaticamente attendibili.
I file vengono aggiunti automaticamente a quelli attendibili solo quando l'opzione "Fidati alle applicazioni installate utilizzando programmi di installazione attendibili" è abilitata nella scheda ... Inoltre, in alcuni casi speciali, i privilegi di installatore vengono assegnati alle applicazioni in forma "troncata": senza, o quando l'utente risponde con il permesso in (se il programma non è riconosciuto e ha l'attributo installer), oppure quando il programma corrispondente è assegnato, o quando questa regola gli viene applicata, o quando il programma eredita questi privilegi dal processo padre.
Concessione automatica dei privilegi dell'installatore
Un'applicazione ottiene automaticamente i privilegi di installazione se è attendibile e ha il tag di installazione. Puoi vedere se un'applicazione ha un tag di installazione nell'elenco dei processi attivi.
Quali proprietà dell'applicazione è l'attributo dell'installatore, si diceva: a giudicare dagli esperimenti, gli installatori sono programmi che hanno la parola install, setup o update nel nome del file o nelle informazioni sulla versione del file (in FileDescription, ProductName, InternalName o campo NomeFileOriginale); Anche i file msi sono considerati programmi di installazione.
Nelle versioni precedenti di CIS, le funzionalità di un programma di installazione erano diverse, in particolare, gli installatori erano programmi che richiedevano i diritti di amministratore all'avvio, programmi la cui dimensione superava i 40 MB, ecc. Per questo motivo, molti programmi applicativi erano erroneamente dotati di privilegi di installazione (in particolare, PortableApps-assembly), che rappresentava un pericolo evidente. Nella versione CIS 10, questa minaccia è significativamente inferiore.
Assegnazione dei privilegi dell'installatore tramite avvisi di contenimento automatico
Nella configurazione standard "Sicurezza proattiva", quando viene avviato un programma non riconosciuto che ha un attributo di installazione, viene visualizzato un avviso che offre una scelta tra quattro opzioni: "Blocca", "Avvio isolato", "Esegui senza restrizioni" con l'opzione "Fidati questa applicazione" disabilitata e "Avvia nessuna restrizione" quando l'opzione" Considera attendibile questa applicazione "è abilitata.
L'opzione "Blocca" significa che il lancio è vietato. L'opzione "Lancio isolato" significa che il programma verrà lanciato in isolamento in conformità con le regole di contenimento automatico.
Se abiliti l'opzione "Fidati di questa applicazione" e selezioni la voce "Esegui senza restrizioni", il programma diventerà affidabile e verrà eseguito con i privilegi di installazione. Allo stesso tempo, verrà creata una regola di contenimento automatico, che esclude dall'isolamento i processi figlio di questo programma. Di solito questa regola non ha senso e consiglio di rimuoverla.
Se selezioni la voce "Esegui senza restrizioni" con l'opzione "Fidati di questa applicazione" disabilitata, il programma si avvierà temporaneamente con i privilegi di installazione "troncati", senza fidarsi dei file creati. Quelli. elementi e sarà soddisfatto, ma non.
In generale, tale avviso viene generato se sono soddisfatte le seguenti condizioni:
- Il componente di contenimento automatico è abilitato,
- nella scheda Contenimento → Configurazione del contenimento l'opzione "Rileva programmi che richiedono privilegi elevati" è abilitata,
- anche l'opzione "Non mostrare notifiche quando vengono richiesti privilegi elevati" è disabilitata lì,
- il programma in fase di lancio deve, secondo le regole dell'Auto-Contenimento, essere lanciato virtualmente e/o con restrizioni,
- il programma in fase di avvio ha il segno di un programma di installazione o richiede i diritti di amministratore all'avvio.
Come puoi vedere, per visualizzare un avviso, non è necessario che il programma avviato non venga riconosciuto: è solo necessario che le regole di contenimento automatico indichino che venga isolato. Inoltre, il programma potrebbe richiedere i diritti di amministratore all'avvio, ma non essere un programma di installazione.
Se abiliti l'opzione "Non mostrare notifiche alla richiesta di privilegi elevati", nel menu di questa opzione puoi selezionare l'isolamento automatico (consigliato) o bloccare gli installatori non riconosciuti senza notifiche. Ci sono anche le opzioni "Esegui senza restrizioni" e "Esegui senza restrizioni e fiducia" - ovviamente sceglierle è molto pericoloso.
Assegna i privilegi dell'installatore tramite avvisi e regole HIPS
I privilegi di installatore possono essere assegnati in modo esplicito al programma tramite HIPS: sono abbinati alla regola "Installa o Aggiorna".
Quando si verifica un avviso HIPS relativo all'attività di un'applicazione, è possibile selezionare nella finestra di avviso Elabora come -> Installa o Aggiorna, con o senza memorizzazione.
Se si seleziona l'opzione ricorda e si seleziona l'opzione "Installa o aggiorna", verrà creata la regola HIPS corrispondente e l'applicazione riceverà i privilegi di installazione. Se selezioni questa opzione senza l'opzione ricorda, la regola non verrà creata e l'applicazione riceverà una versione "troncata" dei privilegi dell'installatore, senza considerare attendibile i file creati (avvio temporaneo di un programma di installazione non identificato senza restrizioni di contenimento automatico ).
Attraverso la finestra di configurazione del CIS, è possibile preassegnare a un'applicazione una regola di installazione o aggiornamento HIPS. Ovviamente, in questo caso, l'applicazione riceverà i privilegi di installatore in modo silenzioso e completo.
Fidarsi dei file creati con i privilegi di installazione
Come già accennato, i file eseguibili creati da programmi di installazione attendibili sono automaticamente attendibili se l'opzione "Fidati alle applicazioni installate utilizzando programmi di installazione attendibili" è abilitata nella scheda Classificazione file → Impostazione della classificazione del file... È stato anche detto che le informazioni sulla creazione di file da parte di installatori affidabili vengono immesse nel database, anche se questa opzione è disabilitata.
A giudicare dagli esperimenti, quando l'opzione DPUPDU è disabilitata, le informazioni sulla creazione di file da parte degli installatori attendibili direttamente e non da programmi che dispongono dei privilegi di installazione, vengono immesse nel database CIS. Quelli. se un file viene creato da un processo figlio di un programma di installazione attendibile o da un programma a cui sono stati concessi privilegi di installazione in base alle regole HIPS, il file non viene considerato creato da un programma di installazione attendibile. Ma se l'opzione DPUPDU è abilitata, i file creati da tutti i programmi che in qualche modo hanno ricevuto i privilegi di installazione vengono contrassegnati nel database come creati da installatori attendibili.
Determinando se un file è stato creato con i privilegi di installazione, CIS distingue tra la creazione e la copia di un file. Quindi, se un programma con privilegi di installazione esegue una copia regolare di un file, il file non sarà ancora attendibile. Ma se sotto l'influenza dei privilegi dell'installatore, ad esempio, viene estratto un file dall'archivio, CIS considererà attendibile questo file e tutti i file identici (se l'opzione DPUPDU è abilitata).
In una certa misura, i privilegi dell'installatore funzionano in un ambiente virtuale: se il programma di installazione attendibile viene eseguito virtualmente, ma crea file nell'ambiente reale (nell'area condivisa), questi file vengono contrassegnati nel database come creati dal programma di installazione attendibile. Una situazione simile si verifica quando si lavora in un ambiente reale con restrizioni di contenimento automatico. Secondo me, questo è un difetto e potenzialmente pericoloso.
Sebbene l'opzione DPUPDU migliori l'usabilità di CIS, ha senso disabilitarla. In particolare, quando questa opzione è abilitata, CIS può considerare attendibili i programmi potenzialmente indesiderati installati insieme alle applicazioni sicure.
Succede che il programma di installazione di un'applicazione, anche se è attendibile, crea e avvia programmi non riconosciuti nel processo. Di solito CIS non interferisce con il loro funzionamento poiché ereditano i privilegi dell'installatore. Tuttavia, come accennato in precedenza, i privilegi ereditati non sono permanenti (il che è giustificato da motivi di sicurezza) e talvolta può essere attivata una protezione proattiva durante il processo di installazione. Se questo si manifesta solo come avviso HIPS, per continuare l'installazione è sufficiente rispondere. Ma se HIPS è configurato per il blocco invisibile all'utente o se viene utilizzato il contenimento automatico, esiste il rischio di un'installazione errata dell'applicazione. Questo rischio è particolarmente elevato se l'opzione "Fidati delle applicazioni installate utilizzando programmi di installazione attendibili" o "Rileva programmi che richiedono privilegi elevati" è disabilitata.
Per installare le applicazioni senza interferenze da parte del CSI, propongo di avviare gli installatori tramite un'apposita voce del menu contestuale. Per questo, verrà utilizzato un semplice programma che esegue il file specificato nei suoi argomenti della riga di comando. Dovrai scaricare l'archivio con il programma (password cis), posizionare il programma in qualsiasi posto conveniente, aggiungerlo a quelli attendibili ed eseguirlo - ti verrà chiesto di aggiungere un nuovo elemento al menu contestuale di explorer (sarà essere cancellato riavviandolo). Il programma è scritto in AutoIt3, codice sorgente e convertitore sono allegati nella cartella dei sorgenti: in caso di dubbio, puoi generare un programma simile controllandone il codice e la firma del convertitore.
Quindi dovrai assegnare la regola di installazione e aggiornamento HIPS e la regola di contenimento automatico a questo programma:
- seleziona l'azione "Ignora",
- specificare la posizione del programma nei criteri,
- lasciare disabilitata l'opzione "Non applicare l'azione selezionata ai processi figlio".
A questo punto, affinché l'installazione di qualsiasi applicazione sicura proceda senza intoppi, basterà chiamare l'installer, tenendo premuto il tasto Maiusc, il menu contestuale e selezionare la voce "COMODO: esegui come installer". Di conseguenza, anche quando il programma di installazione stesso si chiude, i suoi processi figlio continueranno a essere eseguiti con i privilegi di installazione. Questi privilegi verranno rimossi dopo aver chiuso una finestra speciale con il testo "Fai clic su OK al termine dell'installazione". Ma anche allora, questi processi rimarranno esclusi dal controllo dell'Auto-Containment.
Questa lezione è una continuazione dell'articolo: Firewall.
Quindi, abbiamo trovato e scaricato l'ultima versione di Comodo Firewall. È possibile installare un solo firewall su un computer. Pertanto, per evitare conflitti tra software, è necessario disattivare Windows Firewall integrato. Come disattivare il firewall in Windows XP e Windows 7, puoi vedere nelle lezioni precedenti: e. Ma quando installiamo Comodo Firewall, questo non è necessario. La procedura guidata del firewall disabiliterà automaticamente il firewall di Windows integrato.
Il firewall controlla i tentativi delle applicazioni di scambiare dati sulla rete. L'illustrazione mostra come il firewall ha intercettato il tentativo del software del telefono Nokia di accedere a Internet. Questa è l'applicazione richiesta, quindi fai clic sul pulsante "Consenti":
Uno dei primi a consentire le connessioni ai componenti di sistema "Windows alg.exe" e "svchost.exe". Sono necessari per connettersi alla rete. Una volta installato, Comodo Firewall visualizzerà avvisi per vari programmi più e più volte. Se conosciamo l'applicazione, consentiamo la richiesta di connessione. In caso di dubbi e il programma sembra sospetto, premere il pulsante "Blocca". Spuntando la casella "Ricorda la mia scelta", fissiamo la nostra scelta per questa applicazione. E la prossima volta che ti connetti, la finestra di notifica per questo programma non apparirà. Devi agire con attenzione. Solo i programmi a noi familiari possono consentire connessioni e correggere la scelta. Se si fa clic sul nome dell'applicazione, si aprirà la finestra delle proprietà del programma.
Inoltre, il firewall notifica le connessioni in entrata:
L'illustrazione seguente mostra come Comodo Firewall intercetta un pacchetto in entrata per un popolare client peer-to-peer:
All'inizio, le notifiche del firewall sono un po' fastidiose. Ma facciamo la nostra scelta e nel tempo ce ne sono sempre meno.
I programmi maligni possono mascherarsi da software innocuo per ingannare il firewall e ottenere il permesso di connettersi. Pertanto, è necessario scansionare regolarmente la macchina con un programma antivirus. Puoi leggere di più sulla scelta e il funzionamento di un antivirus.
Passiamo alle impostazioni del firewall.
Apri Comodo Firewall, come qualsiasi altra applicazione, facendo doppio clic sull'icona presente sul desktop o sull'icona nell'area di notifica. Viene visualizzata la finestra principale del programma con la scheda "Riepilogo" aperta:
Visualizza le informazioni sul traffico e lo stato del sistema. Cliccando sui numeri di connessione è possibile visualizzare i dettagli delle connessioni di rete attive. Facendo clic sul pulsante Interrompi tutte le connessioni si interromperà qualsiasi attività di rete. È possibile utilizzare questa funzione in caso di comportamento inappropriato del sistema - sospetto di interferenza con il funzionamento dei programmi. Ad esempio, il sistema si blocca a lungo e non risponde. Ciò potrebbe essere dovuto all'attività di rete di alcune applicazioni dannose. Bloccando il traffico, puoi scoprire la causa e identificare il programma che rappresenta una minaccia. Tutte le connessioni vengono attivate premendo lo stesso pulsante "Ripristina tutte le connessioni".
La modalità operativa del firewall può essere modificata aprendo l'elenco a discesa con il pulsante "Modalità provvisoria".
Blocca tutto è una modalità che non consente alcuna attività di rete, equivalente al pulsante Interrompi tutte le connessioni.
"Politica utente" è una modalità difficile in cui il firewall visualizzerà una notifica per ogni programma che si connette a Internet. Qui, devi creare tu stesso le politiche del programma: capisci chiaramente quali applicazioni puoi consentire le connessioni.
La modalità provvisoria è impostata per impostazione predefinita ed è universale. Il firewall applica criteri personalizzati: esegue le impostazioni utente per i singoli programmi e consente anche lo scambio in rete di applicazioni che considera sicure. Ci saranno pochi avvisi e il firewall non sarà molto fastidioso.
Assegniamo una "modalità di apprendimento" quando è necessario osservare varie applicazioni senza interferire con il loro lavoro. Qui, Comodo Firewall determina in modo indipendente le politiche del programma senza visualizzare alcun avviso.
Nella modalità "Inattivo", il firewall è disabilitato. È necessario disattivare il firewall in caso di un evidente conflitto tra programmi, ad esempio con un programma antivirus o un altro firewall.
La scheda successiva "Firewall" contiene le impostazioni del firewall. "Registro eventi firewall" - "registro" riflette tutti gli eventi - reazioni del firewall all'attività di rete di vari programmi.
"Aggiungi applicazione attendibile" consente di selezionare l'applicazione desiderata e aggiungerla a quelle consentite.
"Aggiungi applicazione bloccata", invece, permette di aggiungere l'applicazione selezionata a quelle vietate per la connessione.
La sezione "Politiche di sicurezza della rete" apre una finestra in cui è possibile selezionare una delle politiche predefinite per le applicazioni o crearne di proprie.
La finestra "Connessioni di rete attive" mostra i programmi che stanno attualmente mostrando l'attività di rete.
"Procedura guidata porta nascosta" - con queste impostazioni puoi nascondere determinate porte e rendere invisibile il computer sulle reti selezionate.
"Impostazioni firewall" è una finestra di selezione della modalità operativa che duplica l'elenco a discesa nella scheda "Riepilogo". Inoltre, imposta il dispositivo di scorrimento "Modalità provvisoria" e seleziona la casella di controllo "Crea regole per applicazioni sicure":
La scheda successiva "Protezione +" contiene le funzioni per la gestione della protezione proattiva. Quando si installa un firewall, la protezione proattiva è abilitata per impostazione predefinita. La difesa proattiva è un altro livello di protezione che controlla il comportamento dei programmi e previene l'infezione del sistema. Le impostazioni di protezione proattiva sono sostanzialmente simili alle impostazioni del firewall.
La voce "Esegui programma in sandbox" consente di eseguire un'applicazione discutibile in una sorta di "sandbox". Operando in isolamento in quest'area protetta, il malware non può danneggiare il sistema:
La voce "Impostazioni Difesa Proattiva" apre la finestra per le modalità operative Difesa Proattiva. E, in breve, esaminiamo queste impostazioni.
La modalità "Paranoide" implica un sospetto paranoico della protezione nei confronti di qualsiasi attività di rete. Difesa proattiva emetterà un avviso ogni volta che un'applicazione tenta di stabilire una connessione.
In modalità provvisoria, la protezione applica le politiche impostate dall'utente e consente anche l'attività delle applicazioni che ritiene sicure.
Nella modalità "Clean PC", la protezione si fida incondizionatamente di tutti i programmi installati sul computer e richiede le autorizzazioni di connessione solo per le applicazioni appena installate.
"Modalità di allenamento". In questa modalità, la protezione non emette avvisi e si monitora da sola.
"La protezione è disabilitata." In questa modalità, la protezione proattiva è disabilitata. Non dovresti disabilitare la protezione. La soluzione migliore sarebbe impostare la protezione in modalità provvisoria.
La scheda "Varie" contiene ulteriori impostazioni del firewall. Puoi guardarli tu stesso. La recensione, e così via, si è rivelata voluminosa. La cosa principale è che Comodo Firewall è un firewall molto affidabile, flessibile nella gestione, in lingua russa e gratuito. Comodo Firewall in combinazione con un buon programma antivirus fornirà una rete comoda e sicura.
Leggiamo nel dettaglio il lavoro e la scelta di un programma antivirus.
