Instrucțiuni pentru instalarea Comodo Firewall pe un computer Windows.
1. La începutul instalării, trebuie să selectați limba rusă din lista celor sugerate pentru a înțelege setările complexe ale programului.
2. În următoarea casetă de dialog, debifați funcțiile suplimentare și NU introduceți o adresă de e-mail.
În plus, trebuie să faceți clic pe butonul „Configurați upgrade” din această fereastră și să efectuați câteva manipulări.
3. În setările de actualizare, eliminați bifele din Geek Buddy și Dragon Web Browser.
tocilar prieten - un alt motiv să zâmbești dacă știi engleză și poți traduce această expresie. Aceasta este o mică aplicație „pentru lamers” care vă va oferi 60 de zile de ajutor gratuit din partea suportului tehnic al acestui firewall.
Aceasta înseamnă că, dacă aveți întrebări, puteți scrie/suna cu ușurință în SUA și vă puteți consulta în engleză cu echipa lor.
Deoarece suntem deja grozavi și puteți pune întrebări pe site-ul nostru - nu vom folosi această oportunitate :-)
Browser web Dragon
este un browser care oferă navigare pe internet presupus sigură.
De fapt, nu avem nevoie de el, deoarece securitatea navigării ne va potrivi cu Komodo Firewall, așa că debifăm acest element.
Apăsați „Înapoi” -> „Sunt de acord. Instalați” și începeți instalarea paravanului de protecție.
4. După un timp, programul vă va cere să reporniți computerul. Salvați toate documentele deschise și faceți clic pe Da.
5. De îndată ce computerul este repornit, programul vă va prezenta automat produsele și capacitățile sale.
Pentru a evita acest caz în viitor, bifați caseta de lângă „Nu mai afișa această fereastră” și închideți-o.
Configurare firewall.
1. După instalarea Commodo, firewall-ul va începe să vă plângă că unele aplicații se urcă pe Internet pentru a fi actualizate. În acest sens, puteți fie să le permiteți acest lucru, fie să le interziceți.
Alegerea ta va fi permanentă și sistemul o va aminti, adică. dacă interziceți / permiteți actualizarea unei aplicații o dată, după repornirea computerului
Komodo va bloca/permite automat actualizarea fără notificare.
Dacă în timp doriți să vă schimbați furia în milă și să blocați/permiteți conectarea unui anumit program la Internet, vom vedea mai târziu cum să faceți acest lucru manual.
2. Principalul lucru în configurarea oricărui firewall este să vă faceți munca invizibilă, dar, în același timp, vă protejează în mod fiabil computerul de amenințările externe.
Pentru a face acest lucru, rulați:
mergeți la desktop și faceți clic pe firewall-ul în locul în care inscripția este „sigură” (poate exista o altă inscripție).
Se va deschide un meniu complet al programului.
Accesați „Sarcini”.
Selectați „Activități firewall”. În acest moment, puteți permite anumitor programe să se conecteze la Internet pentru a-și actualiza bazele de date.
Dacă sunteți încrezător în aplicație și știți că se accesează cu crawlere în World Wide Web pentru noi baze de date - apoi faceți clic pe butonul „Permite conexiunea”, apoi selectați fișierul aplicației pe care doriți să-l deschideți și faceți clic pe Deschidere.
Toate celelalte setări pot fi lăsate implicite pentru moment.
Dezvoltatorii acestei aplicații au muncit deja din greu pentru ca protecția împotriva atacurilor și utilizarea Firewall-ului să fie convenabilă pentru utilizatori.
Bună ziua, dragi cititori ai blogului! În acest articol, voi continua marele subiect pe care l-am atins despre protejarea computerului dvs. de diferite tipuri de amenințări. În ultimul meu articol pe acest subiect, am început să vorbesc despre protejarea accesului dvs. la Internet și controlul programelor folosind o componentă specială de protecție - Firewall, care face parte din protecția avansată Kaspersky - Kaspersky Internet Security. Într-un alt mod, Firewall-ul este numit și - „Firewall” sau „Firewall”.
Și acum voi vorbi din nou despre protecția Firewall, dar de la un alt dezvoltator și care poate fi instalat separat împreună cu orice produs anti-virus, fără a instala în mod specific o protecție completă de la un producător. Produsul despre care vreau să vă vorbesc se numește Comodo Firewall. Cele mai importante avantaje ale sale sunt protecția traficului gratuită și de înaltă calitate!
Într-unul din articolele anterioare, am menționat deja că Comodo oferă și un antivirus gratuit (citiți despre el aici: ) sau protecție complet gratuită: Comodo Internet Security. Cu toate acestea, antivirusul în sine de la acest dezvoltator nu este la fel de fiabil ca, de exemplu, Kaspersky Anti-Virus sau Avast, așa că recomand să instalați doar un firewall de la Comodo și, separat, un antivirus de încredere de la alt dezvoltator. Sau utilizați pachetul Kaspersky Internet Security.
Luați în considerare instalarea și setările de bază ale firewall-ului de la Comodo.
Procesul de instalare Comodo Firewall
Instalarea unui produs autonom Comodo Firewall este aproape la fel cu instalarea unui antivirus Comodo, așa că voi parcurge procesul mai pe scurt, fără a comenta fiecare opțiune personalizabilă.
Puteți găsi comentarii de instalare mai detaliate la începutul articolului, linkul către care este dat mai sus.
Asadar, hai sa incepem:
Configurarea Paravanului de protecție Comodo
Configurarea Paravanului de protecție Comodo este simplă și aproape totul va fi deja configurat optim în mod implicit. Trebuie doar să verificăm și, dacă este necesar, să corectăm ceva. Înainte de a configura componenta Firewall în sine, să facem câteva acțiuni cu setările principale Comodo:
Blocaj complet. Selectând acest mod, firewall-ul va bloca absolut toate conexiunile, atât de intrare, cât și de ieșire, și din orice rețea. Computerul dvs. va fi izolat ca și cum ați opri toate rețelele de pe computer și ați deconectat cablul de rețea.
Acest mod, în principiu, nu este necesar ca atare, deoarece oportunitatea utilizării sale poate fi numai atunci când se lucrează în rețele nesecurizate extrem de periculoase, în care diferite amenințări de viruși merg în mulțime.
Set personalizat de reguli. Selectând acest mod, firewall-ul va funcționa și va bloca traficul numai conform regulilor pentru programe și rețele pe care le-am stabilit noi înșine. În acest caz, firewall-ul nu va ține cont de faptul că programul este de încredere și are o semnătură digitală. El va lua decizii doar pe baza regulilor stabilite de noi.
Modul sigur. Acesta este modul pe care îl recomand. Când funcționează în acest mod, firewall-ul însuși creează majoritatea regulilor pentru aplicațiile de încredere care au semnături digitale valide. Pe baza acestui lucru, el alege ce conexiuni să permită o anumită aplicație și care nu. Când detectează programe neidentificate și de încredere, Comodo va oferi utilizatorului posibilitatea de a permite sau bloca conexiunea, spunând ce acțiune urma să efectueze aplicația.
Modul de învățare.În acest mod, firewall-ul nu va afișa nicio notificare și va crea el însuși reguli pentru toate aplicațiile, permițându-le solicitări de rețea. Modul poate fi folosit doar dacă sunteți 100% sigur că aplicațiile instalate pe computer sunt fiabile. De regulă, acest lucru nu poate fi, așa că nu recomand să utilizați acest mod :)
Imediat după instalarea paravanului de protecție, va apărea o fereastră pop-up în care trebuie să selectați rețeaua la care sunteți conectat. Selectați „Sunt acasă”:
Acum lansăm fereastra principală a Comodo Firewall făcând clic pe pictograma tavă (zona din apropierea ceasului Windows) și vom vedea un semn de exclamare mare (care indică faptul că o componentă nu funcționează) și un buton activ „Remediere”. În acest caz, trebuie doar să repornim, deoarece după instalare nu au fost lansate toate componentele de protecție.
Doar faceți clic pe butonul „Remediați”:
Computerul va reporni și după pornirea sistemului, componentele Firewall vor fi deja activate și pictograma de avertizare va dispărea.
Dacă aveți Windows 7, atunci un widget absolut inutil de la Comodo se va etala în partea dreaptă a desktopului :) Iată cum arată:
Să o luăm. Pentru a face acest lucru, faceți clic dreapta pe pictograma tavă Comodo, selectați elementul „Widget”, apoi faceți clic pe butonul marcat cu caseta de selectare „Afișați”:
Drept urmare, widget-ul va dispărea și nu va mai fi o bătaie de vedere și va consuma, de asemenea, resurse de sistem :)
Acum lansăm fereastra principală Comodo Firewall din nou de pe desktop sau din tavă și actualizăm bazele de date făcând clic pe butonul corespunzător (vezi imaginea de mai jos):
Actualizarea bazei de date va începe și dacă există versiuni noi, acestea vor fi actualizate. Fereastra se va închide automat după câteva secunde.
Chiar dacă ați instalat cea mai recentă versiune a unui antivirus sau firewall de pe site-ul oficial al dezvoltatorului, tot recomand să verificați dacă există actualizări imediat după instalarea produsului.
Acum trecem direct la verificarea setărilor componentei - firewall-ul. Pentru acces comod la toate setările, comutați la modul extins al ferestrei principale. Pentru a face acest lucru, în colțul din stânga sus, faceți clic pe butonul mic ca în imaginea de mai jos:
Acum fereastra principală a Comodo Firewall este puțin transformată și vom vedea mai multe caracteristici. Dar principalul lucru este că acum putem merge cu ușurință la setările firewall-ului în sine. Pentru a face acest lucru, faceți clic pe linkul „Firewall” din colțul din stânga sus:
Ca rezultat, ajungem la prima fereastră de setări a paravanului de protecție Comodo.
De îndată ce mergem la setări, vom vedea primul meniu din categoria „Firewall” - „Firewall Settings”.
Aceste setări sunt optime, dar voi face câteva comentarii.
Caseta de selectare „Activați paravanul de protecție”, desigur, este responsabilă pentru activarea sau dezactivarea protecției. În niciun caz, nu debifați caseta, altfel nu va mai avea sens de la Comodo Firewall instalat imediat, deoarece firewall-ul în sine va fi pur și simplu dezactivat :)
Lângă caseta de selectare pentru a activa/dezactiva firewall-ul, există o listă în care puteți selecta modul de securitate. Permiteți-mi să vă spun pe scurt despre aceste moduri:
În meniul firewall „Reguli pentru aplicații” putem seta reguli pentru orice aplicație sau putem vedea regulile deja create anterior.
Toate regulile deja create vor fi vizibile imediat dacă faceți clic pe meniul „Reguli pentru aplicații”. Pentru a adăuga propria regulă, faceți clic dreapta pe o zonă goală din fereastră și selectați elementul „Adăugați”:
Acum voi arăta prin exemplu cum să blochezi accesul la rețea al oricărui program.
Pentru a face acest lucru, în fereastra care se deschide, în primul rând, trebuie să selectați programul pentru care creăm regula (cum am indicat pentru exemplu: blocați accesul la rețea). Facem clic pe butonul „Răsfoiți”, după care puteți selecta mai multe fișiere simultan, selectând elementul „Grupuri de fișiere” și marcând grupul corespunzător. De asemenea, puteți selecta unul dintre procesele care rulează în prezent pe sistem și puteți crea o regulă de blocare pentru acesta. Dar este mai convenabil să selectați elementul „Fișiere”:
După ce selectăm „Fișiere”, se va deschide exploratorul, unde trebuie să selectați programul pentru care vom crea regula. De exemplu, voi bloca accesul la Internet la un browser binecunoscut - Mozilla Firefox. Caut folderul in care este instalat Firefox si selectez fisierul responsabil de lansare (firefox.exe). Apoi dau clic pe butonul „Deschidere” din explorator:
Acum ne vom întoarce automat la fereastra anterioară și vom vedea că calea către programul pe care l-am specificat a apărut acum în câmpul „Nume”. Marcam elementul „Utilizați un set de reguli”, apoi în dreapta din lista de reguli gata făcute selectăm „Aplicație blocată”:
După ce toate setările din această fereastră sunt setate, faceți clic pe butonul „OK” de mai jos pentru a le salva:
Ca urmare, vom reveni la fereastra cu un set de reguli pentru programe și în listă vom vedea un program nou adăugat (în exemplul meu, Firefox) cu regula „Aplicație blocată”. Pentru a verifica imediat rezultatul, trebuie să aplicați toate modificările din reguli și să faceți din nou clic pe butonul „OK” din partea de jos:
Pentru a-mi testa acțiunea, lansez browserul Mozilla Firefox și încerc, de exemplu, să deschid site-ul nostru de blog favorit :) În consecință, primesc eroarea „Încercarea de conectare a eșuat”:
Și asta este exact ceea ce ne trebuia pentru exemplu :) Conexiunile pentru Firefox sunt blocate. Este clar că, serios, Firefox, desigur, nu trebuie blocat. Acesta a fost doar un exemplu :) Este posibil și necesar să blocați programele care nu au nevoie de acces la Internet sau programele care nu sunt de încredere.
Regula creată este și mai ușor de șters. Trebuie să reveniți la meniul firewall - „Reguli pentru aplicații” și, făcând clic dreapta pe regula dorită, selectați „Eliminați din listă”:
În „Modul de siguranță” ales de noi, Comodo Firewall va fi foarte bun la alegerea regulilor aplicațiilor și rareori trebuie să săpăm și să configuram regulile singuri. În principiu, acest lucru termină de fapt setările importante de firewall de la Comodo pentru începători. Nu recomand să faceți setări în restul meniurilor firewall, deoarece acestea sunt deja destinate utilizatorilor mult mai experimentați, care înțeleg rețelele de calculatoare și au cunoștințe mai complete despre lucrul cu rețelele în sistemele de operare.
Setările pe care le-am arătat sunt destul de suficiente pentru a proteja computerul de atacurile hackerilor și pentru a bloca accesul la Internet pentru aplicațiile neîncrezătoare sau pentru cele pe care noi înșine le alegem.
Cu siguranță ați observat că pe lângă secțiunea „Firewall” mai sunt și alte secțiuni în setări, de exemplu: „Protecție +”, „Evaluare fișier”, „Setări generale”. Am descris deja setările necesare din secțiunile enumerate într-unul dintre articolele mele anterioare - „Un alt antivirus gratuit bun este Comodo”, așa că, dacă este necesar, puteți citi despre ele în articolul respectiv făcând clic pe linkul de mai sus.
Si cu asta inchei ultimul dintre articolele planificate de mine in acest moment.
În fața dumneavoastră nu este un singur articol pe subiecte informatice, de exemplu: backup de date, control de la distanță de computer și altele :) Cred că o abatere periodică de la subiectul navigare și câștig în direcția problemelor tehnice este chiar utilă. Astfel, pe același blog preferat, pe lângă informațiile continue despre câștiguri, ne studiem și computerul și tot ce este legat de acesta :)
Ne vedem în curând! Multă baftă;)
Informatii generale
Când componenta SOLDURI activată, activitatea aplicațiilor este restricționată în conformitate cu regulile. Situațiile pentru care regula nu este setată sunt rezolvate în funcție de modul HIPS, evaluarea programului și alte condiții.
În mod normal, Safe Mode permite programelor de încredere să facă orice activitate care nu este interzisă de reguli, cu excepția rulării fișierelor nerecunoscute. Lansarea de programe neidentificate, precum și orice acțiune a acestor programe, este blocată de alerte.
Modul paranoic oprește orice activitate a oricăror programe care nu este prevăzută de reguli cu alerte.
În modul de învățare, orice activitate a oricărei aplicații care nu este acoperită de reguli va crea automat noi reguli de autorizare.
Regulile sunt prezentate pe filă HIPS → HIPS Reguli ca o listă aplicatiiși numit de ei seturi de reguli.
Aplicațiile pot fi căi exacte ale fișierelor, modele de căi cu * și ? , precum și grupuri de fișiere. În căi și modele ale acestora, puteți utiliza . Grupurile de fișiere sunt seturi de căi sau modele, acestea sunt configurate în filă Evaluare fișiere → Grupuri de fișiere. Subliniez că aplicațiile din regulile HIPS sunt identificate doar după căile lor, și nu prin hashuri etc.
Setul de reguli atribuite unei aplicații este format din două file: Permisiuni și Setări de securitate. Pe primul sunt stabilite drepturile aplicației în sine, pe al doilea, dimpotrivă, protecția acesteia față de alte programe. O aplicație poate propriul set de reguli, sau unul dintre seturile pre-generate: acestea sunt configurate în filă HIPS → Seturi de reguli.
Setul de reguli preinstalat „Aplicația de sistem Windows” permite orice activitate, setul „Aplicație permisă” - orice, dar nu reglementează lansarea proceselor copil; setul „Aplicație izolata” interzice cu strictețe orice activitate; setul „Aplicație restricționată” neagă aproape totul, cu excepția mesajelor ferestre și a accesului la monitor și nu reglementează lansarea proceselor copil. Puteți nu numai să vă creați propriile seturi, ci și să le schimbați pe cele presetate.
Începând cu versiunea CIS 10.0.1.6223, setul de reguli HIPS „Aplicație izolată” a fost redenumit „Aplicație care rulează într-un container”. În opinia mea, aceasta este o traducere eronată a denumirii „Contained Application”, întrucât în realitate regulile HIPS nu au nicio legătură cu Containerul (mediul virtual). Pentru a evita confuziile, recomand redenumirea acestui set la „Aplicație izolata”, iar în articol se va numi așa.
Un caz special este setul de reguli „Instalare sau actualizare”, care acordă . Programele cu astfel de privilegii efectuează în mod liber orice acțiuni (cu excepția celor interzise în mod explicit de reguli), inclusiv. rulați orice programe, iar procesele lor secundare primesc și privilegii de instalare. Fișierele executabile create de astfel de programe sunt automat de încredere.
Configurațiile inițiale diferite ale COMODO Internet Security diferă atât în setul inițial de reguli, cât și în gama controlată de activități ale programului. Pentru cea mai completă protecție HIPS, trebuie să selectați inițial o configurație Securitate proactivăși deja de la ea pentru a efectua configurarea ulterioară.
Când restricționează accesul programelor la diferite resurse, HIPS se bazează pe datele partiției ȘOLDURI → Obiecte protejate. De exemplu, un fișier sau un director poate fi protejat împotriva modificărilor numai dacă numele complet calificat se potrivește cu unul dintre modelele din fila Fișiere protejate. Deci, dacă doriți să împiedicați orice program să modifice fișierele de pe unitatea D: (indiferent de tipul acestora), trebuie mai întâi să adăugați această unitate la lista celor protejate.
Apoi, la crearea unor reguli specifice, va fi posibilă modificarea restricțiilor de acces la anumite obiecte protejate făcând clic pe „Editare” în coloana „Excepții”.
Cel mai recomandabil este să utilizați HIPS în modul sigur prin dezactivarea opțiunii Creați reguli pentru aplicații securizate, sau în Paranoid. Apoi, ordinea determinării accesului programului la resursă va fi următoarea:
După cum puteți vedea, în HIPS, acțiunea „Ask” exprimă absența unei reguli (spre deosebire de un firewall, unde indică afișarea unei alerte).
Deci, fila „Permis” a celei mai înalte reguli care este potrivită pentru acest program are cea mai mare prioritate; apoi - fila „Blocate”; atunci - acțiunea specificată în această regulă, dacă este lipsită de ambiguitate; apoi - fila „Permis” a următoarei reguli și așa mai departe. În absența unei reguli clare, accesul este permis dacă (i) sunt în vigoare privilegiile de instalare sau (ii) programul este „de încredere” și modul HIPS este „Sigur” sau (iii) opțiunea „Nu afișați alerte”. : Permite solicitări” este bifat. Când nici una dintre aceste condiții nu este îndeplinită, accesul este blocat dacă este bifată opțiunea „Nu afișa alerte: solicitări de blocare” sau este emisă o alertă dacă această opțiune este dezactivată.
Caz special: dacă programul rulează într-un mediu virtual și/sau cu restricții de Auto-Containment, atunci în absența unei reguli i se va acorda permisiunea (similar cu opțiunea „Nu afișa alerte: Permite solicitări”). În plus, nu există nicio protecție a fișierelor și a registrului într-un mediu virtual, chiar și cu interdicții explicite.
Gestionarea drepturilor de aplicație prin notificări
Când răspundeți la alertele HIPS, regulile sunt atribuite aplicațiilor, fie temporar, fie permanent, în funcție de opțiunea „Reține alegerea mea”.
Un punct important: regulile sunt atribuite aplicației, care este indicată în partea stângă a alertei. De exemplu, dacă ești întrebat despre lansarea unui program necunoscut de către explorator, atunci regulile vor fi atribuite exploratorului. Greșeli tipice pentru începători: selectați opțiunea „Blocați și terminați execuția” într-o astfel de alertă (ochând astfel procesul Explorer) sau opțiunea „Aplicație izolată” (restricționând cu greu drepturile Explorer) sau opțiunea „Instalați sau actualizați” (pierzând astfel aproape toată protecția). De obicei, cea mai inteligentă alegere într-o alertă de lansare a unui program este „Permite” sau „Numai blocare”.
Opțiunile „Permiteți” sau „Numai blocați” din diferitele alerte HIPS înseamnă că permiteți sau blocați doar o anumită resursă. De exemplu, dacă permiteți unei aplicații să creeze fișierul C:\test\A.exe , atunci o încercare de a crea fișierul C:\test\B.exe va avea ca rezultat o alertă din nou. Pentru a permite aplicației să creeze orice fișiere în directorul C:\test, va trebui să editați regula prin fereastra de configurare CIS. Din păcate, alertele nu oferă permisiuni pentru directoare, șabloane, grupuri și așa mai departe. Cu toate acestea, printr-o alertă, puteți aplica aplicației orice set de reguli pe care le-ați creat anterior în filă HIPS → Seturi de reguli.
Dacă activați opțiunea „Reține alegerea mea” atunci când răspundeți la o notificare, setul de reguli atribuite aplicației specificate se va modifica; dacă nu există o regulă HIPS pentru această aplicație, aceasta va fi creată în partea de sus a listei. La alegerea unei opțiuni permite sau Doar blocați permisiunea sau interdicția va fi adăugată regulilor exact pentru o anumită resursă (fișier, interfață COM etc.). Când alegeți oricare set de reguli reguli noi nu se vor adăuga celor vechi, ci le vor înlocui complet, adică. regulile atribuite anterior acestei aplicații nu se vor mai aplica.
Dacă dezactivați opțiunea „Reține alegerea mea” din notificare, atunci permisiunile, restricțiile sau seturile de reguli atribuite aplicației vor expira când aplicația se termină sau chiar mai devreme și nu vor avea loc modificări ale configurației CIS. Pentru a înțelege logica din spatele acestor reguli temporare, este convenabil să ne imaginăm că fiecare răspuns la o alertă (fără a ne aminti) creează o intrare imaginară în lista regulilor HIPS. Toate intrările „imaginare” sunt situate sub intrările „reale” din lista de reguli, dar noile intrări „imaginare” sunt deasupra celorlalte „imaginare”. Aceasta înseamnă că puteți atribui diferite seturi de reguli aceleiași aplicații prin notificări de mai multe ori (fără a vă aminti), iar toate aceste seturi de reguli vor fi în vigoare. În acest caz, regulile „reale” vor avea cea mai mare prioritate, apoi cea mai recentă dintre cele „imaginare”, apoi cea anterioară și așa mai departe. Dar de îndată ce orice regulă „reala” (cu memorare) este creată, toate regulile „imaginare” pentru toate aplicațiile vor fi distruse.
De exemplu, după ce a primit o notificare despre un program, îi vom atribui setul de reguli „Aplicație izolată”, fără a ne aminti. În mod implicit, grupului Toate aplicațiile are permisiunea de a modifica fișierele temporare, astfel încât acest program va putea în continuare să facă acest lucru, în ciuda faptului că setul de aplicații izolate nu permite acest lucru. Dacă atribuiți acest set de reguli cu memorare, modificarea fișierelor temporare va fi interzisă, deoarece o nouă regulă HIPS va fi creată în partea de sus a listei.
Există câteva excepții de la fluxul de lucru descris atunci când opțiunea „Reține alegerea mea” este dezactivată. În primul rând, permisiunile „imaginare” pentru lansarea aplicațiilor nu sunt create (adică atunci când aceeași aplicație este lansată din nou, va apărea din nou o alertă). În al doilea rând, dacă orice program este permis prin notificarea „schimbarea interfeței cu utilizatorul altei aplicații”, atunci va putea temporar să trimită mesaje ferestre către orice aplicație, nu doar către cea specificată.
Controlul lansării aplicației
Capacitatea de a rula un program este dată în HIPS de o regulă pentru lansare program, nu pentru cel lansat. În modul Paranoid, programele au permisiunea de a rula în tăcere numai dacă sunt permise în mod explicit în reguli. În „Modul sigur”, în absența unei reguli, lansarea este permisă dacă atât lansatorul, cât și programul lansat sunt de încredere. Excepții - execuția programelor cu privilegii de instalare, precum și sub influența restricțiilor de virtualizare și/sau Auto-Containment.
Deci, să presupunem că în HIPS „Modul sigur” parent.exe rulează și încearcă să ruleze child.exe . În absența unor reguli suplimentare, lansarea va avea loc în tăcere numai dacă ambele programe sunt de încredere. Dacă programul child.exe este nerecunoscut și regulile HIPS pentru programul parent.exe (sau grupul care îl conține) nu au permisiunea de a rula programul child.exe (sau grupul care îl conține), atunci indiferent de HIPS reguli pentru programul child.exe în sine și indiferent de ratingul programului parent.exe, înainte de lansare va apărea o notificare (mai mult, referitor la programul parent.exe).
Astfel, pentru a permite executarea unui program neidentificat, nu este suficient să se stabilească reguli de autorizare pentru sine - este necesară permisiunea pentru lansarea acestuia în procesul părinte, ca opțiune - în grupul Toate aplicațiile.
Dacă doriți să opriți rularea programului, atunci, după ce ați primit o notificare cu privire la procesul părinte, de obicei ar trebui să dezactivați opțiunea de memorare și să selectați Blocare → Blocare numai. Atenţie! Elementul „Blocați și finalizați execuția” din alertă despre pornirea programuluiînseamnă oprire procesul părinte.
Capacitatea de a rula orice program este determinată nu numai de regulile HIPS, ci și de Auto-Containment. Lansarea va fi blocată dacă cel puțin una dintre aceste componente necesită acest lucru. Dacă lansarea programului este permisă în regulile HIPS, iar regulile Auto-Containment prescriu izolarea acestui program, acesta va fi lansat izolat.
Este important de știut că, spre deosebire de Auto-Containment, în HIPS, procesul copil nu moștenește restricțiile părintelui: dacă permiteți unui program dubios să ruleze un program sigur, atunci daunele pot fi făcute în numele unui program sigur.
Crearea automată a regulilor HIPS în „Modul de învățare” și „Modul sigur”
În anumite moduri, regulile HIPS sunt create automat:
- dacă „Modul de învățare” este activat și opțiunea „Nu afișați alerte” este dezactivată sau setată la modul „Blocați solicitări”, atunci vor fi create reguli care să permită fiecare acțiune detectată a oricăror aplicații;
- dacă „Modul sigur” este activat, opțiunea „Creați reguli pentru aplicații sigure” este activată și opțiunea „Nu afișați alerte” este dezactivată sau setată la „Blocați solicitări”, atunci vor fi create reguli care permit fiecare acțiune detectată a aplicații de încredere.
În cele mai multe cazuri, aceste moduri nu sunt utile și sunt folosite doar pentru testare sau pregătirea pentru trecerea la „Modul Paranoid”.
Regulile pentru program (fie în „Modul de învățare”, fie de încredere în „Modul sigur”) sunt create după cum urmează:
Tipul noii reguli va depinde de acțiunea solicitată:
- Când un program lansează altul, este creată o regulă pentru primul care să permită rularea acelui program.
- Când un program modifică un fișier sau o cheie de registry care este listată în filă ȘOLDURI → Obiecte protejate, tipul de regulă va depinde de modul în care este scris șablonul acestei resurse.
- Dacă la sfârșitul șablonului există un semn | , atunci va fi creată o regulă care permite modificarea obiectului specific pe care l-a accesat programul. De exemplu, programul creează un fișier text.txt pe desktop. Se potrivește cu modelul?:\Utilizatori\*\Desktop\*| . Aceasta înseamnă că va fi creată o regulă care să permită modificarea fișierului C:\Users\Name\Desktop\text.txt.
- Dacă nu există niciun semn la sfârșitul modelului | , atunci va fi creată o regulă care permite schimbarea oricărui obiect conform acestui șablon. De exemplu, programul creează fișierul D:\prog.exe. În lista de obiecte protejate, acest fișier se potrivește cu modelul *.exe . Aceasta înseamnă că va fi creată o regulă care permite acestui program să modifice orice fișiere .exe.
- Când o aplicație accesează oricare dintre următoarele resurse, sunt create automat reguli care îi permit accesul la toate în același timp:
- Interfețe COM securizate,
- Cârlige pentru Windows și Cârlige pentru aplicații,
- Acces la memorie între procese,
- Întreruperea aplicației,
- Interogări DNS,
- Disc(acces direct),
- Tastatură,
- Monitorizați.
Protecția procesului
În fereastra cu reguli HIPS pentru o aplicație, puteți limita nu numai activitatea proprie a acestei aplicații, ci și impactul altor programe asupra funcționării acesteia. Pentru această filă Setări de securitate indică ce acțiuni cu această aplicație vor fi blocate, iar în fereastra de excepții (buton Schimbare) - ce programe vor fi permise. Notificările nu sunt furnizate aici - doar permisiunea sau interdicția, indiferent de rating. O acțiune interzisă în acest fel va fi blocată, indiferent de regulile și ratingurile altor programe.
În special, această funcție este utilizată pentru a proteja CIS-ul de descărcarea proceselor sale și de accesarea memoriei. Prin urmare, chiar și atunci când HIPS nu este necesar, este indicat să îl activați cel puțin cu opțiunea „Nu afișa alerte: Permite solicitări” (în modul „Sigur” sau „Paranoic”).
Un efect secundar al autoprotecției CIS este un număr mare de intrări în jurnalul „Evenimente de apărare+” atunci când utilizați unele programe, cum ar fi ProcessExplorer. Puteți scăpa de blocările inutile permițând aplicațiilor individuale să acceseze memoria grupului COMODO Internet Security.
Observ că protecția împotriva întreruperii aplicației în sine nu acoperă toate modalitățile de descărcare a unui proces. De exemplu, multe aplicații pot fi terminate prin mesaje ferestre sau prin acces la memorie. Pentru a proteja o aplicație de astfel de metode de terminare, va trebui să verificați regulile acesteia din fila „Setări de protecție” nu numai „Aplicații de întrerupere”, ci și altele.
Privilegii de instalare
Semnificația privilegiilor de instalare
În anumite condiții, aplicația primește privilegii de instalare, care sunt după cum urmează:
- HIPS permite unei astfel de aplicații tot ceea ce nu îi este interzis în mod explicit în reguli, de exemplu. funcționează ca modul „Nu afișați alerte: Permiteți cereri”;
- Auto-Containment nu conține programe lansate de această aplicație;
- în timp ce această aplicație rulează, procesele sale secundare (precum și procesele secundare ale acestora etc.) rulează cu privilegii de instalare;
- fișierele executabile pe care le creează această aplicație (sau procesele copil care își moștenesc privilegiile) sunt automat de încredere.
Fișierele sunt înregistrate automat ca fiind de încredere numai dacă opțiunea „Aplicații de încredere instalate folosind instalatori de încredere” este activată în fila . De asemenea, în unele cazuri speciale, privilegiile de instalare sunt acordate aplicațiilor într-o formă „trunchiată”: fără , sau când utilizatorul răspunde cu permisiunea la (dacă programul este nerecunoscut și are atributul de instalare), sau când programului i se atribuie corespunzătoare , sau când îi este aplicată această regulă sau când programul moștenește aceste privilegii de la procesul părinte.
Acordarea automată a privilegiilor de instalare în aplicație
O aplicație primește automat privilegii de instalare dacă este de încredere și are indicatorul de instalare. Puteți vedea dacă o aplicație are un flag de instalare în lista de procese active.
S-a spus în ce proprietăți ale aplicației se află semnul instalatorului: judecând după experimente, instalatorii sunt programe care au cuvântul install , setup sau update în numele fișierului sau în File Version Info (în FileDescription , ProductName , Câmpul InternalName sau OriginalFilename); Fișierele msi sunt, de asemenea, considerate instalatori.
În versiunile mai vechi de CIS, caracteristicile programului de instalare erau diferite, în special, programele care solicitau drepturi de administrator la pornire, programele a căror dimensiune depășește 40 MB etc. erau considerate instalatoare. Din acest motiv, multor programe de aplicație li s-au acordat în mod eronat privilegii de instalare. (în special, PortableApps- asamblare), care a creat un pericol evident. În CIS 10, această amenințare este semnificativ mai mică.
Atribuirea privilegiilor de instalare prin alerte de izolare automată
În configurația implicită a Securității Proactive, atunci când este lansat un program nerecunoscut care are un steag de instalare, apare o alertă care oferă o alegere dintre patru opțiuni: „Blocați”, „Lansare izolata”, „Rulați fără restricții” atunci când opțiunea „Aveți încredere în acest lucru”. aplicație” este dezactivată și „Rulați fără restricții” cu opțiunea „Aveți încredere în această aplicație” activată.
Opțiunea „Blocare” înseamnă că lansarea este interzisă. Opțiunea „lansare izolată” înseamnă că programul va fi lansat izolat, conform regulilor de auto-conținere.
Dacă activați opțiunea „Aveți încredere în această aplicație” și selectați opțiunea „Rulați fără restricții”, programul va deveni de încredere și va începe cu privilegii de instalare. În același timp, va fi creată o regulă de Auto-Containment, excluzând procesele copil ale acestui program din izolare. De obicei, această regulă nu are sens și recomand să o eliminați.
Dacă selectați opțiunea „Run without restrictions” cu opțiunea „Trust this application” dezactivată, programul va porni temporar cu privilegii de instalare „trunchiate”, fără a avea încredere în fișierele create. Acestea. elemente și vor fi executate, dar nu.
În general, o astfel de alertă apare dacă sunt îndeplinite următoarele condiții:
- componenta Auto-Containment este activată,
- fila Containment → Setting Containment opțiunea „Detectați programe care necesită privilegii ridicate” este activată,
- opțiunea „Nu afișa notificări atunci când vi se solicită privilegii ridicate” este dezactivată și acolo,
- programul care urmează să fie lansat trebuie, conform regulilor de Auto-Containment, să ruleze virtual și/sau cu restricții,
- programul care se lansează are semnul unui program de instalare sau solicită drepturi de administrator când pornește.
După cum puteți vedea, programul care este lansat nu trebuie să fie nerecunoscut pentru a afișa o alertă - este necesar doar ca regulile de auto-containment să impună ca acesta să fie pus în carantină. În plus, programul poate cere drepturi de administrator la pornire, dar să nu fie un program de instalare.
Dacă activați opțiunea „Nu afișați alerte atunci când vi se solicită privilegii ridicate”, atunci în meniul acestei opțiuni puteți alege să izolați automat (recomandat) sau să blocați instalatorii nerecunoscuți fără alerte. Există, de asemenea, opțiunile „Alergă fără restricții” și „Alergă fără restricții și încredere” - desigur, alegerea lor este foarte periculoasă.
Atribuiți privilegii de instalare prin alerte și reguli HIPS
Privilegiile de instalare pot fi atribuite în mod explicit unui program prin HIPS: acestea corespund regulii „Instalare sau actualizare”.
Când apare o alertă HIPS cu privire la activitatea unei aplicații, puteți selecta în caseta de alertă Procesați ca → Instalați sau actualizați, cu sau fără memorie.
Dacă bifați opțiunea de memorare și selectați Instalare sau Actualizare, va fi creată regula HIPS corespunzătoare și aplicația va avea privilegii de instalare. Dacă selectați această opțiune fără opțiunea de memorare, atunci regula nu va fi creată, iar aplicația va primi o versiune „trunchiată” a privilegiilor instalatorului, fără a avea încredere în fișierele generate (lansarea temporară a unui program de instalare nerecunoscut fără restricții de Auto-Containment ).
Prin fereastra de configurare CIS, puteți prealoca o regulă Instalare sau Actualizare HIPS unei aplicații. Evident, în acest caz, aplicația va primi privilegii de instalare fără notificări și integral.
Fișierele de încredere create cu privilegii de instalare
După cum sa menționat deja, fișierele executabile create de instalatorii de încredere sunt automat de încredere dacă opțiunea „Aplicații de încredere instalate folosind instalatori de încredere” din fila Evaluare fișiere → Setări de evaluare a fișierelor. S-a mai spus că informațiile despre crearea fișierelor de către instalatorii de încredere sunt introduse în baza de date, chiar dacă această opțiune este dezactivată.
Judecând după experimente, când opțiunea DPUPDU este dezactivată, informațiile despre crearea fișierelor de către instalatorii direct de încredere și nu de către programele care au privilegii de instalare sunt introduse în baza de date CIS. Acestea. dacă un fișier este creat de un proces copil al unui program de instalare de încredere sau de un program care a obținut privilegii de instalare pe baza regulilor HIPS, atunci fișierul nu este considerat a fi creat de un instalator de încredere. Dar dacă opțiunea DPUPDU este activată, atunci fișierele create de orice programe care au primit cumva privilegii de instalare sunt marcate în baza de date ca fiind create de instalatori de încredere.
Pentru a determina dacă un fișier a fost creat cu privilegii de instalare, CIS face distincția între crearea și copierea unui fișier. Deci, dacă un program care are privilegii de instalare realizează o copie normală a unui fișier, atunci fișierul nu va deveni încă de încredere. Dar dacă, sub influența privilegiilor instalatorului, de exemplu, un fișier este extras dintr-o arhivă, CIS va avea încredere în acest fișier și în tot ceea ce este identic cu acesta (cu opțiunea DPUPDU activată).
Într-o oarecare măsură, privilegiile de instalare funcționează într-un mediu virtual: dacă un program de instalare de încredere rulează virtual, dar creează fișiere într-un mediu real (într-o zonă partajată), atunci aceste fișiere sunt marcate în baza de date ca fiind create de un instalator de încredere. O situație similară apare atunci când lucrați într-un mediu real cu restricții de auto-containment. În opinia mea, acesta este un defect și potențial periculos.
Deși opțiunea DPMD îmbunătățește capacitatea de utilizare a CIS, există un anumit merit în dezactivarea acestuia. În special, când această opțiune este activată, CIS poate avea încredere în programe potențial nedorite care sunt instalate împreună cu aplicații sigure.
Se întâmplă ca instalatorul unei aplicații, chiar dacă este de încredere, să creeze și să lanseze programe neidentificate în procesul de lucru. De obicei, CIS nu interferează cu munca lor, deoarece moștenește privilegiile instalatorului. Cu toate acestea, așa cum am menționat mai sus, privilegiile moștenite nu sunt întotdeauna în vigoare (ceea ce este justificat din motive de securitate), iar uneori protecția proactivă poate funcționa în timpul procesului de instalare. Dacă aceasta apare doar ca alertă HIPS, atunci este suficient să răspundeți la aceasta pentru a continua instalarea. Dar dacă HIPS este configurat să se blocheze în mod silențios sau dacă este utilizat Auto-Containment, atunci există riscul ca aplicația să nu se instaleze corect. Acest risc este deosebit de mare dacă opțiunea „Aplicații de încredere instalate folosind instalatori de încredere” sau „Detectați programe care necesită privilegii ridicate” este dezactivată.
Pentru ca instalarea aplicațiilor să poată continua fără interferențe din partea CIS, sugerez lansarea instalatorilor printr-un element special din meniu contextual. Pentru aceasta, va fi folosit un program simplu care rulează fișierul specificat în argumentele liniei de comandă. Va trebui să descărcați arhiva cu programul (parola cis), să plasați programul în orice loc convenabil, să îl adăugați la cele de încredere și să o rulați - vi se va solicita să adăugați un nou articol în meniul contextual al exploratorului (este șterse prin repornire). Programul este scris în AutoIt3, codul sursă și convertorul sunt atașate în folderul sursă: în caz de îndoială, puteți genera un program similar verificând codul și semnătura convertorului acestuia.
Va trebui apoi să atribuiți regula de instalare și actualizare HIPS, precum și regula de izolare automată, acestui program:
- selectați acțiunea „Ignorați”,
- specificați locația programului în criterii,
- lăsați opțiunea „Nu aplicați acțiunea selectată proceselor secundare” dezactivată.
Acum, pentru ca instalarea oricărei aplicații sigure să meargă fără probleme, va fi suficient să apelați instalatorul, ținând apăsată tasta Shift, meniul contextual și selectați elementul „COMODO: rulați ca program de instalare”. Ca rezultat, chiar și atunci când programul de instalare în sine se închide, procesele sale secundare vor continua să ruleze cu privilegii de instalare. Aceste privilegii vor fi eliminate după închiderea unei ferestre speciale cu textul „Apăsați pe Ok când instalarea este finalizată”. Dar chiar și atunci, aceste procese vor rămâne excluse de la controlul Auto-Containment.
Această lecție este o continuare a articolului: Firewall.
Deci, am găsit și am descărcat cea mai recentă versiune a Comodo Firewall. Un singur firewall poate fi instalat pe un computer. Prin urmare, pentru a evita conflictele între programe, paravanul de protecție Windows încorporat trebuie să fie dezactivat. Cum să dezactivați paravanul de protecție Windows XP și Wiindows 7 poate fi găsit în lecțiile anterioare: și. Dar, când instalăm Comodo Firewall, acest lucru nu este necesar. Expertul de instalare a paravanului de protecție va dezactiva automat paravanul de protecție Windows încorporat.
Firewall-ul controlează încercările aplicațiilor de a comunica în rețea. Ilustrația arată cum firewall-ul a interceptat o încercare a software-ului telefonului Nokia de a accesa Internetul. Aceasta este aplicația dorită, așa că faceți clic pe butonul „Permite”:
Unul dintre primii care permite conexiuni la componentele sistemului „Windows alg.exe” și „svchost.exe”. Sunt necesare pentru a se conecta la rețea. Odată instalat, Comodo Firewall va configura alerte pentru diferite programe din nou și din nou. Dacă aplicația ne este cunoscută, permitem solicitarea de conectare. Dacă există vreo îndoială și programul pare suspect, apăsați butonul „Blocați”. Bifând caseta de selectare „Ține minte alegerea mea”, reparăm alegerea noastră pentru această aplicație. Și data viitoare când vă conectați, fereastra de notificare pentru acest program nu va apărea. Trebuie să acționați cu atenție. Doar programele cunoscute de noi pot permite conexiuni și pot remedia selecțiile. Dacă faceți clic pe numele aplicației, se va deschide fereastra cu proprietățile programului.
De asemenea, firewall-ul vă anunță despre conexiunile de intrare:
Următoarea ilustrație arată cum Comodo Firewall a interceptat un pachet de intrare pentru un client popular peer-to-peer:
La început, alertele firewall sunt puțin enervante. Dar noi facem alegerea noastră și în timp devin din ce în ce mai puține.
Programele rău intenționate se pot masca drept software inofensiv pentru a păcăli firewall-ul și a obține permisiunea de conectare. Prin urmare, trebuie să vă scanați în mod regulat mașina cu un program antivirus. Puteți citi mai multe despre alegerea și funcționarea unui antivirus.
Acum să trecem la setările paravanului de protecție.
Deschideți Comodo Firewall ca orice altă aplicație făcând dublu clic pe pictograma de pe desktop sau pe pictograma zonei de notificare. Fereastra principală a programului apare cu fila „Rezumat” deschisă:
Afișează informații despre trafic și starea sistemului. Făcând clic pe numerele de conexiune, puteți vizualiza detaliile conexiunilor de rețea active. Făcând clic pe butonul „Opriți toate conexiunile” va opri toată activitatea în rețea. Puteți utiliza această funcție în cazul unui comportament inadecvat al sistemului - suspiciuni de interferență în funcționarea programelor. De exemplu, sistemul se blochează mult timp și nu răspunde. Acest lucru se poate datora activității în rețea a unor aplicații rău intenționate. Prin blocarea traficului, puteți afla cauza și puteți determina programul care reprezintă o amenințare. Toate conexiunile sunt activate prin apăsarea aceluiași buton „Restaurați toate conexiunile”.
Modul de funcționare a paravanului de protecție poate fi schimbat prin deschiderea listei derulante cu butonul „Mod sigur”.
„Blocați toate” – un mod care nu permite nicio activitate în rețea – echivalentul butonului „Opriți toate conexiunile”.
„Politica personalizată” este un mod hard în care firewall-ul va afișa o alertă pentru fiecare program care se conectează la Internet. Aici, trebuie să creați singur politicile de program - înțelegeți clar ce aplicații pot permite conexiuni.
„Modul sigur” este setat implicit și este universal. Firewall-ul aplică politici de utilizator - realizează setări de utilizator pentru programe individuale și, de asemenea, permite schimbul de rețea pentru aplicații pe care le consideră sigure. Vor fi puține notificări și firewall-ul nu va distrage atenția.
„Modul de învățare” este atribuit atunci când trebuie să observați diverse aplicații fără a interfera cu munca lor. Aici, Comodo Firewall determină singur politicile programului, fără a afișa alerte.
În modul „Inactiv”, paravanul de protecție este dezactivat. Trebuie să dezactivați firewall-ul în cazul unui conflict evident între programe, de exemplu, cu un program antivirus sau alt firewall.
Următoarea filă „Firewall” conține setări pentru firewall. „Firewall Event Jurnal” - „jurnal” reflectă toate evenimentele - reacțiile firewall-ului la activitatea de rețea a diferitelor programe.
„Adăugați aplicație de încredere” vă permite să selectați aplicația dorită și să o adăugați la cele permise.
„Adăugați aplicație blocată”, dimpotrivă, face posibilă adăugarea aplicației selectate la cele blocate pentru conectare.
Secțiunea „Politici de securitate a rețelei” deschide o fereastră în care puteți selecta una dintre politicile de aplicație predefinite sau puteți crea propria dvs.
Fereastra „Active Network Connections” arată programele care sunt active în prezent în rețea.
„Hidden Ports Wizard” - cu aceste setări puteți ascunde anumite porturi și puteți face computerul invizibil în rețelele selectate.
„Setări firewall” este o fereastră pentru selectarea modului de operare, dublând lista derulantă din fila „Rezumat”. De asemenea, setați glisorul „Mod sigur” și bifați caseta de selectare „Creați reguli pentru aplicații sigure”:
Următoarea filă „Protecție +” conține funcții pentru gestionarea protecției proactive. Când instalați un firewall, protecția proactivă este activată în mod implicit. Apărarea proactivă este un alt nivel de protecție care controlează comportamentul programelor și previne infecțiile sistemului. Setările de apărare proactivă sunt practic similare cu setările paravanului de protecție.
Elementul „Run program in Sandbox” face posibilă rularea unei aplicații dubioase într-un fel de „sandbox”. Lucrând izolat în această zonă protejată, malware-ul nu va putea dăuna sistemului:
Elementul „Setări de apărare proactivă” deschide fereastra modurilor de apărare proactivă. Și, pe scurt, să trecem prin aceste setări.
Modul „Paranoid” implică faptul că protecția este paranoică suspectă de orice activitate în rețea. Proactive Defense va emite o alertă de fiecare dată când orice aplicație încearcă să stabilească o conexiune.
În modul sigur, protecția aplică politicile stabilite de utilizator și, de asemenea, permite activitatea aplicațiilor pe care acesta le consideră sigure.
În modul „Clean PC”, protecția are încredere necondiționată în toate programele instalate pe computer și solicită permisiuni de conectare numai pentru aplicațiile nou instalate.
„Modul de învățare”. În acest mod, protecția nu emite alerte și se monitorizează singură.
„Protecție dezactivată”. În acest mod, apărarea proactivă este dezactivată. Nu trebuie să dezactivați protecția. Cea mai bună soluție ar fi să setați protecția în modul sigur.
Fila „Diverse” conține setări suplimentare pentru firewall. Le poți vedea singur. Revizuirea, și așa, s-a dovedit a fi voluminoasă. Principalul lucru este că Сomodo Firewall este un firewall foarte fiabil, flexibil, în limba rusă și gratuit. Comodo Firewall, împreună cu un program antivirus bun, va oferi o experiență de rețea confortabilă și sigură.
În detaliu, citim despre funcționarea și alegerea unui program antivirus.
