vspishkacraft.ruБраузеры

Установка и настройка программ (обзор): брандмауэр (файрволл) Comodo Firewall (окончание). Comodo Firewall: бесплатный функциональный файервол Правильная настройка комодо фаервола 10

Фаервол призван защищать сетевые соединения ПК от сканирования и атак. ПО данной категории является обязательным, а не дополнительным, как ошибочно считают многие пользователи. Установка только антивирусной программы (без фаервола) лишь частично решает проблему безопасности, поскольку при открытых сетевых портах компьютер по-прежнему уязвим для взлома.

Один из лучших вариантов сетевой защиты для ПК - Comodo Firewall. Бесплатное программное решение, имеет модуль проактивной защиты, песочницу (sanbox) с гибкими настройками, мощные инструменты для мониторинга ОС в реальном времени.

Где и как скачать Comodo Firewall, а также как правильно его установить и настроить поможет следующая инструкция:

Поиск и загрузка

1. В поисковике сделать запрос firewall comodo .

2. В выдаче найти официальный сайт разработчика и зайти на него.

3. На открывшейся странице в правой части изображения с предложениями под надписью "Comodo Free Firewall" нажать кнопку “CONTINUE DOWNLOAD”.

4. Появится панель с кнопкой “Download Now”, по которой нужно кликнуть, чтобы началось скачивание инсталлятора на ПК.

5. Дождаться окончания загрузки установщика.

Инсталляция.

1. Запустить скачанную установочную программу. В Windows 7 и старше - это нужно сделать с пользовательскими полномочиями администратора. Клик ПК мыши по иконке инсталлятора. Из контекстного меню выбрать соответствующий пункт.

2. В процессе установки у пользователя есть возможность устанавливать/ не устанавливать дополнительные элементы и сервисы.

Для того чтобы исключить инсталляцию нужно убрать галочку, напротив названия опции.

3. Подождать пока мастер установки активирует лицензию. Прогресс будет отображаться в процентном соотношении в новом окне.

5. В виджете фаервола, который появится после установки в правой части рабочего стола нажать на сообщение “Требует внимания”.

6. На дисплее появится панель comodo. Нажать директиву “Исправить”.

ПК автоматически перезагрузится и сделанные настройки фаервола вступят в силу.

7. Для того чтобы при повторном запуске программы больше не отображалась общеинформационная панель, нужно в её нижней части установить опцию “Больше не показывать …”

и закрыть окно.

8. О правильной инсталляции Comodo Firewall будет свидетельствовать иконка в трее.

Гибкие настройки сетевой фильтрации трафика в Firewall Comodo позволяют максимально адаптировать его функционирование применительно к конкретным задачам пользователя, возвести надёжный бастион защиты портов. А также сделать процесс пользования фаерволом максимально удобным и понятным.

Как открыть панель настроек.

1. Доступ к настройкам фаервола осуществляется через главное меню управления Comodo. Чтобы его открыть, нужно кликнуть иконку фаервола в трее ЛК мыши дважды.

2. В открывшемся меню нажать слева вверху кнопку “Подробная сводка“.

Группы настроек.

Панель с настройками состоит из трёх функциональных блоков (на скриншоте изображён один из оптимальных вариантов настройки):

1. Режим работы.

Самый верхний блок меню. Галочка напротив “Включить Фаервол …“, говорит о том, что сетевой экран активирован и защищает ПК. Если необходимо изменить режим, нужно кликнуть по соседней кнопке, расположенной правее. Откроется ниспадающее меню с вариантами выбора:

Полная блокировка – исключена любая сетевая активность. Отлично подходит для экстренного отключения, в случае неполадок или инфицирования ПК.

Пользовательский набор правил (рекомендуется) – жёсткий контроль за соединениями, требует участие пользователя. Каждый сетевой запрос, в случае отсутствия правил на его соединение, будет сопровождаться вопросом Comodo – разрешить/блокировать.

Безопасный режим – наряду с создаваемыми правилами пользователем, фаервол автоматически разрешает сетевую активность ПО, которое у него находится в списке доверенных. При такой полуавтоматическая настройке фаервол задаёт меньше вопросов и, соответственно, меньше отвлекает.

Режим обучения – сетевой экран выполняет только функцию мониторинга событий, не вмешиваясь в активность приложений.

2. Настройки оповещений.

Опции этого блока отвечают за систему информирования пользователя:

3. Расширенные настройки. Включение этих опций повышает уровень защиты от вторжения:

  1. “Включить фильтрацию IPv6 …“ - контроль над соединениями по протоколу IPv6;
  2. “Включить фильтрацию loopback…“ - контроль над соединениями, которые используют механизм подключения loopback (приложение отправившее трафик, его же и получает);
  3. “Блокировать фрагментированный …“ - весь фрагментированный трафик IP будет заблокирован. Предотвращает многие методы зондирования и запуска зловредов;
  4. “Анализировать протокол“ - детектирование поддельных пакетов. В случае если протокол не соответствует стандарту, он блокируется;
  5. “Включить защиту …“ - предотвращение перехвата трафика посредством атаки ARP-спуфинг;

Для предотвращения сетевых атак необходимо фильтровать трафик, приходящий из Интернета. В момент совершения сетевой атаки на Вашем компьютере порождается новый процесс, который необходимо быстро выявить и запретить для выполнения. Справиться с этим помогут специальные программы – фаерволы (Firewall). Фаервол (или межсетевой экран) представляет собой средство для фильтрации и контроля сетевого трафика в соответствии с определенными правилами. Таким образом, пользователь может контролировать сетевой трафик по средствам предоставляемых фаерволом сообщений. И в случае необходимости заблокировать подозрительное соединение. Стоит отметить, что фаерволы нередко входят в состав антивирусного программного обеспечения как дополнительное средство защиты ПК, однако, Вы можете установить фаервол и отдельно от антивируса.

Данная статья посвящена описанию бесплатного фаервола COMODO Firewall .

Загрузка фаервола

Скачать COMODO Firewall можно с сайта разработчиков программы по этой ссылке .

Установка и базовая настройка программы

Установка программы происходит достаточно просто. Сначала Вам будет предложено выбрать язык, затем прочтите и примите условия лицензионного соглашения. После этого, если хотите получать новости о продуктах COMODO, можете ввести адрес своей электронной почты. Затем Вы можете выбрать папку, в которую будет установлена программа, после чего необходимо выбрать уровень безопасности фаервола. Мы рекомендуем отнестись к этому пункту внимательно (Рис.1).

Здесь представлено 3 уровня безопасности. Вы можете выбрать любой из них, однако, имейте в виду, что при выборе максимального уровня безопасности (Фаеровол с максимальной Проактивной защитой), COMODO Firewall будет информировать Вас о работе практически любого процесса Вашей системы и предлагать запретить его. Если Вы по неопытности запретите работу нужного процесса, это может обернуться не самыми приятными последствиями, например, запретить работу менеджера мгновенных сообщений и т.д. Так что, если у Вас уже используется штатный антивирус или Вы недостаточно уверены в своих силах, выберите пункт «Только Фаервол ». В данной статье мы остановимся на пункте «Фаервол с оптимальной Проактивной защитой », т.к. он рекомендуется большинству пользователей. Нажмите «Далее ». Затем Вам будет предложено использовать COMODO SecureDNS. Как указано в описании, эта утилита обеспечивает более безопасное и быстрое соединение с интернетом (Рис. 2).

Однако, работа с COMODO SecureDNS в корпоративных сетях или при использовании может привести к проблемам при установке соединения с сетью Интернет, как указано в описании данной утилиты на рисунке. Т.к. в нашем случае используется как раз VPN подключение, то для исключения возможности возникновения проблем при подключении к сети Интернет, мы не будем использовать данную функцию. Нажмите «Далее ». Подготовительный этап установки завершен. Нажмите кнопку «Установить ». Начнется процесс установки COMODO Firewall, после его окончания, нажмите «Готово ». Вы увидите сообщение об окончании установки, нажмите «Завершить ». Для начала работы COMODO Firewall Вам будет предложено перезагрузить компьютер, нажмите «Да ». После перезагрузки компьютера COMODO Firewall начнет работу в , предупреждая Вас о сетевой активности запущенных процессов и приложений. В начале работы COMODO Firewall проинформирует Вас о найденных сетях (Рис.3).

В случае, если Вы работаете внутри корпоративной сети и пользуетесь ресурсами других компьютеров (или предоставляете им свои ресурсы) поставьте галочку напротив пункта «Сделать компьютер полностью доступным для других компьютеров в этой сети ». Если Вы хотите работать автономно от других ПК, не включайте этот пункт. Если Вы не хотите, чтобы COMODO Firewall автоматически определял новые сети, отметьте соответствующий пункт. После этого нажмите «Да ». Как уже отмечалось раньше, COMODO Firewall определяет сетевую активность приложений и выводит соответствующую информацию (Рис.4).

Вы можете разрешить или заблокировать работу приложения. Обратите внимание на IP адрес хоста, а также внимательно прочитайте совет по безопасности и примите решение о блокировании или разрешении работы данного приложения. В данном случае, как указано в совете по безопасности System – безопасное приложение, а IP адрес хоста указывает на то, что компьютер, от которого предлагается принять соединение, находится внутри корпоративной сети, поэтому в данном случае мы можем разрешить работу приложения. По умолчанию COMODO Firewall запоминает выбранное действие для приложения, добавляя его в список разрешенных или блокируемых. Если Вы не хотите, чтобы COMODO Firewall запомнил выбранное действие, снимите галочку с пункта «Запомнить мой выбор ».

Работа с программой

Стоит отметить, что для обеспечения стабильной работы COMODO Firewall не требует дополнительных настроек, так что на этом Вы можете закончить работу с программой, а фаервол продолжит работу в фоновом режиме, уведомляя Вас об обнаруженных сетях и сетевой активности приложений. Однако, Вы можете настроить некоторые параметры фаервола, для этого два раза кликните по значку COMODO Firewall (Рис.5).

Откроется окно «Сводка » (Рис.6).

Здесь Вы можете посмотреть информацию о трафике, заблокированных вторжениях, количестве входящих и исходящий соединений и т.д., а также произвести некоторые настройки фаервола и проактивной защиты. Для этого кликните по пункту «Безопасный » рядом со словом фаервол или защита. Т.к. вся информация представлена на русском языке и подкреплена описаниями мы не будем подробно останавливаться на всех настройках фаервола и проактивной защиты. Для примера рассмотрим только настройки фаервола. Кликните по пункту «Безопасный », откроется окошко «Настройки фаервола » (Рис.7).

Сверху расположены вкладки настроек фаервола. По умолчанию Вы находитесь во вкладке «Общие настройки ». Здесь Вы можете настроить режим работы фаервола. Перемещая ползунок вверх или вниз, Вы изменяете уровень безопасности. Рядом выводится информация о выбранном режиме. Уровень «Блокировать все » запрещает весь трафик с любого сетевого интерфейса, по сути, блокируя все Интернет-соединения, а уровень «Неактивен », наоборот, не защищает Ваш ПК от внешних угроз. По умолчанию включен режим «Безопасный » - это средний уровень безопасности оптимальный в домашних условиях. После выбора режима работы фаервола нажмите «ОК ». Следующая вкладка настроек – «Настройки оповещений » (Рис.8).

В этой вкладке Вы можете задать уровень частоты оповещений и выбрать некоторые дополнительные опции, мы рекомендуем оставить в этом пункте все по умолчанию. Последним пунктом настроек фаервола является вкладка «Расширенные » (Рис. 9).

Если Вы хотите максимально увеличить уровень безопасности компьютера, то можете отметить все представленные пункты, однако, как указано в описании, это может повлиять на производительность системы и дополнительной проверке . Здесь, как в случае с выбором режима фаервола (см. рис.7), важно найти баланс защиты и производительности компьютера. Для домашнего использования можно ограничиться включенной по умолчанию функцией блокирования фрагментированных IP датаграмм. Нажмите «ОК ». Вы также можете изменить настройки проактивной защиты, кликнув по пункту «Безопасный » рядом со словом «Защита » (см. рис.6). По умолчанию разработчиками выставлены оптимальные настройки проактивной защиты, поэтому подробно останавливаться на них мы не будем. Для ознакомления с остальными возможностями COMODO Firewall перейдите на вкладку «Фаервол » (см.рис.6). Откроется окошко (Рис. 10).

Здесь Вы можете посмотреть журнал событий фаервола, активные сетевые подключения, добавить доверенное или заблокированное приложение, определить политики сетевой безопасности, и т.п. Обратите внимание на пункт «Мастер скрытых портов ». С его помощью Вы можете создать новую доверенную сеть, а также контролировать входящие сетевые соединения (рис.11).

Вернитесь к предыдущему рисунку и перейдите на вкладку «Защита » (Рис.12).

Здесь Вы можете посмотреть журнал проактивной защиты, список активных процессов, доверенных и неопознанных файлов, определить политику безопасности компьютера и т.д. Если у Вас есть подозрения, что какая-либо программа может содержать вирус, Вы также можете запустить ее в специальной безопасной среде «Sandbox », для этого воспользуйтесь пунктом «Запустить программу в Sandbox » (Рис.13).

С помощью кнопки «Выбрать » укажите путь к исполняемому файлу программы и выберите тип запуска. Перейдите на вкладку «Дополнительно » (Рис.14).

На этой вкладке Вы можете изменить общие настройки COMODO Firewall, провести диагностику программы, проверить наличие обновлений, прочитать справку и т.д.

В заключение стоит отметить, что для обеспечения максимальной защиты компьютера необходимо использовать комплекс средств обеспечения безопасности, в который входят антивирус, антишпион, фаервол, программы, анализирующие автозагрузку и т.д.

Главное правило, которое нужно при этом обеспечить – выбирать программы таким образом, чтобы они не конфликтовали между собой. Поэтому прежде, чем установить очередное средство обеспечения безопасности, уточните его совместимость с установленным на Вашем компьютере антивирусом и другими подобными программами.

Этот урок является продолжением статьи: Сетевой экран .

Итак, мы нашли и скачали последнюю версию Comodo Firewall. На компьютере может быть установлен только один фаервол. Поэтому, во избежание межпрограммных конфликтов, встроенный брандмауэр Windows должен быть отключен. Как выключить брандмауэр Windows XP и Wiindows 7, можно посмотреть в предыдущих уроках: и . Но, когда мы устанавливаем Comodo Firewall, в этом нет необходимости. Мастер установки фаервола сам отключит встроенный брандмауэр Windows.

Фаервол контролирует попытки приложений обмениваться данными в сети. На иллюстрации видно, как фаервол перехватил попытку программного обеспечения телефона Nokia выйти в интернет. Это нужное приложение, поэтому нажимаем кнопку "Разрешить":

Одними из первых надо разрешить соединения системным компонентам "Windows alg.exe" и "svchost.exe". Они нужны для поключения к сети. После установки, Comodo Firewall будет вновь и вновь выставлять оповещения для различных программ. Если приложение нам известно, разрешаем запрос на соединение. Если есть сомнение и программа кажется подозрительной, нажимаем кнопку "Блокировать". Отмечая флажком чек-бокс "Запомнить мой выбор", мы закрепляем свой выбор для данного приложения. И при следующем соединении окно оповещения для этой программы появляться не будет. Действовать нужно аккуратно. Разрешать соединения и закреплять выбор можно только изветным нам программам. Если кликнуть по названию приложения, откроется окно свойств программы.

Так же, фаервол уведомляет и о входящих соединениях:

На следующей иллюстрации видно, как Comodo Firewall перехватил входящий пакет для популярного клиента пиринговых сетей:

Сначала, оповещения фаервола несколько надоедают. Но мы делаем свой выбор и со временем их становится меньше и меньше.

Злокачественные программы могут маскироваться под безобидный софт, чтобы обмануть фаервол и получить разрешение на соединение. Поэтому, нужно регулярно сканировать машину антивирусной программой. Подробнее о выборе и работе антивируса можно почитать .

Перейдем, теперь, к настройкам фаервола.

Открываем Comodo Firewall, как и любое другое приложение, двойным кликом по значку на рабочем столе или по значку в области уведомлений. Появляется главное окно программы с открытой вкладкой "Сводка":


Здесь отражена информация трафика и состояние системы. Щелкнув по цифрам соединений, можно посмотреть подробные данные активных сетевых подключений. Нажатие на кнопку "Остановить все соединения" прекратит любую сетевую активность. Применить эту функцию можно в случае неадекватного поведения системы - подозрения на вмешательство в работу программ. Например, система длительно зависает и не откликается. Это может быть следствием сетевой активности какого-либо вредоносного приложения. Заблокировав трафик, можно выяснить причину и определить программу представляющую угрозу. Включаются все соединения нажатием этой же кнопки "Восстановить все соединения".

Режим работы фаервола можно изменить открыв выпадающий список кнопкой "Безопасный режим".

"Блокировать все" - режим, не допускающий никакой сетевой активности - эквивалент кнопки "Остановить все соединения".

"Пользовательская политика" - это жесткий режим, в котором сетевой экран будет выводить оповещение для каждой соединяющейся с интернетом программы. Здесь, надо самому создавать политики программ - четко понимать каким приложениям можно разрешать соединения.

"Безопасный режим" установлен по умолчанию и является универсальным. Фаервол применяет пользовательские политики - выполняет установки пользователя для отдельных программ, а также сам разрешает сетевой обмен приложениям, которые считает безопасными. Оповещений будет немного и фаервол не будет сильно отвлекать.

"Режим обучения" назначаем, когда нужно понаблюдать за различными приложениями, не вмешиваясь в их работу. Здесь, Comodo Firewall самостоятельно определяет политики программ, не выводя никаких оповещений.

В режиме "Неактивен" сетевой экран отключается. Выключать фаервол приходится в случае явного межпрограммного конфликта, например, с антивирусной программой или другим сетевым экраном.

На следующей вкладке "Фаервол" расположены настройки фаервола. "Журнал событий Фаервола" - "лог" отражает все события - реакции фаервола на сетевую активность различных программ.

"Добавить доверенное приложение" позволяет выбрать нужное приложение и добавить его в разрешенные.

"Добавить заблокированное приложение", наоборот, дает возможность добавить выбранное приложение в запрещенные для соединения.

Раздел "Политики сетевой безопасности" открывает окно, где можно выбрать одну из предустановленных политик для приложений или создать свою.

В окне "Активные сетевые подключения" показаны программы проявляющие в данный момент сетевую активность.

"Мастер Скрытых Портов" - этими настройками можно скрыть определенные порты и сделать компьютер невидимым в выбранных сетях.

"Настройки Фаервола"- это окно выбора режима работы, дублирующее выпадающий список на вкладке "Сводка". Также, устанавливаем ползунком "Безопасный режим" и ставим флажок в чек-боксе "Создавать правила для безопасных приложений":


На следующей вкладке "Защита +" расположены функции управления проактивной защитой. При установке фаервола, проактивная защита включается по умолчанию. Проактивная защита - это еще один слой защиты, контролирующий поведение программ и предотвращающий заражение системы. Настройки проактивной защиты, в основном, похожи на установки фаервола.

Пункт "Запустить программу в Sandbox" дает возможность запускать сомнительное приложение в своеобразной "песочнице". Работая изолированно в этой защищенной области, вредоносная программа не сможет навредить системе:


Пункт "Настройки Проактивной Защиты" открывает окно режимов работы проактивной защиты. И, коротко, пройдем по этим настройкам.

Режим "Параноидальный" подразумевает параноидальную подозрительность защиты к любой сетевой активности. Проактивная защита будет выдавать оповещение при каждой попытке любого приложения установить соединение.

В безопасном режиме защита применяет политики установленные пользователем, а также разрешает актвность приложениям, которые считает безопасными.

В режиме "Чистый ПК" защита безусловно доверяет всем установленным на компьютере программам и запрашивает разрешения на соединения только для вновь устанавливаемых приложений.

"Режим обучения". В этом режиме защита не выдает оповещений и производит мониторинг самостоятельно.

"Защита отключена". В этом режиме проактивная защита отключена. Отключать защиту не стоит. Оптимальным решением будет установка защиты в безопасный режим.

На вкладке "Разное" расположены дополнительные настройки фаервола. Их можно посмотреть самостоятельно. Обзор, и так, получился объемный. Главное, что Сomodo Firewall, это - очень надежный, гибкий в управлении, русскоязычный и бесплатный сетевой экран. Comodo Firewall в связке с хорошей антивирусной программой обеспечит комфортную и безопасную работу в сети.

Подробно, о работе и выборе антивирусной программы читаем .

1. Рассмотрим вопрос: “ Как разрешить (запретить) сетевую активность отдельных приложений (групп приложений)”. Для этого переходим во вкладку ”Фаервол” и нажимаем на пункт “Добавить доверенное приложение” ,далее нажимаем “Выбрать” и выбираем вариант добавления доверенного приложения.

Рис.12. Добавление доверенных приложений

2. По аналогии запрещаем сетевую активность отдельных приложений.

3. Добавление, удаление или изменение нужных процессов, из списка заблокированных осуществляется через пункт “Политики сетевой безопасности” .

Рис.13. Добавление, удаление или изменение нужных процессов

4. Во вкладке “Защита” ,впункте“Доверенные файлы” мы можете получить доступ к управлению локальной базой данных файлов исполняемых на нашем компьютере. Сюда сразу был внесен ряд системных файлов, а также будут добавляться те файлы, которые мы сами объявим безопасными.

Рис.14.Доверенные файлы

Comodo Firewall ориентирована на простого, неосведомленного в сетевых настройках пользователя, который не знает и не хочет знать, что такое IP-адреса, порты, протоколы, и т.п.

Программа помогает понять, что происходит при соединении с интернетом той или иной программы, анализируя каждое подозрительное соединение. О том что происходит брандмауэр информирует пользователя с помощью всплывающих окон, в которых относительно простым языком предлагается "решить судьбу" того или иного соединения.

Заключение

Во время производственной практики была рассмотрена программная среда «Comodo Firewall». Сделаны основные выводы. Рассмотрены многие источники литературы. Все поставленные задачи выполнены.

«Comodo Firewall» очень актуальный продукт для нашего времени, так как он отвечает всем требованиям безопасности, является стабильным, удобным в использовании и бесплатным брандмауэром.

Таким образом, можно сделать вывод, что цель производственной практики, заключающаяся в получении практических навыков работы в программной среде «Comodo Firewall», достигнута.

Список использованной литературы

1. Понятия брандмауэров: Реферат.

http://www.coolreferat.com/ Понятие_ брандмауэров

2. Секреты маршрутизаторов для небольших сетей: Статья

http://www.compress.ru/article.aspx?id=12186&iid=468

3. Архитектуры брандмауэров: Статья

http://v-bezopasnosti.ru/publ/%20informacionnaja_bezopasnost/inzhenerno_ tekhnicheskie_sredstva_bezopasnosti/arkhitektury_brandmauehrov/5-1-0-146

4. Показатели защищенности от несанкционированного доступа к информации: Руководящий документ. http://runc.tu-bryansk.ru/fstek10.html

5. Проактивная Проблемы безопасности: Проект.

http://www.matousec.com/projects/proactive-security-challenge/results.php

Итог предыдущих статей: примерный вариант настройки и использования Comodo Internet Security 8

Внимание! Статья адресована пользователям, которые имеют опыт применения комплекса Comodo Internet Security и прочитали предыдущие статьи о нем . «Новичкам» же рекомендуется предварительно изучить этот продукт. Для ознакомления и относительно эффективного использования предлагается следующий порядок настройки:

  1. отключить компьютер от интернета и/или локальной сети;
  2. установить CIS;
  3. открыть «Главное окно» > «Задачи» > «Расширенные задачи» > «Расширенная настройка»;
  4. на вкладке «Общая настройка» > «Конфигурация» сделать двойной клик по строке «Proactive Security»;
  5. на вкладке «Защита+» > «Sandbox» > «Auto-Sandbox» отключить опцию «Использовать Auto-Sandbox»;
  6. на вкладке «HIPS» > «Защищенные объекты» > «Защищенные файлы» через контекстное меню добавить любой файл;
  7. через контекстное меню заменить добавленную строку на?:\*
  8. нажать «Ok» для закрытия окна настройки;
  9. открыть «Главное окно» > «Задачи» > «Задачи фаервола» > «Скрыть порты»;
  10. выбрать вариант «Блокировать входящие соединения»;
  11. выполнить перезагрузку;
  12. подключить компьютер к сети.

Предварительные замечания

Данный порядок настройки приводится сокращенном виде. Цель статьи - дать читателям ориентир в многообразии возможностей конфигурирования Comodo Internet Security. Предполагается, что читатели знакомы с предыдущими статьями и понимают причины тех или иных рекомендаций. Здесь даются только самые общие детали настройки. О дополнительных мерах, например, против обхода фаервола (через межпроцессный доступ к памяти, DNS-запросы и BITS), по защите от шифровальщиков или от клавиатурных шпионов рассказано в статье об использовании проактивной защиты; о доступе к локальной сети - в статье о фаерволе и т.д.

Подчеркну, что данная конфигурация является не «максимальной», а более-менее сбалансированной в отношении защиты и удобства использования. Неопознанные программы в ней автоматически виртуализируются без оповещений. Оповещения HIPS возможны, но возникать они будут весьма редко.

Предлагаемый вариант предназначен для личного применения опытным пользователем, но не составляет труда адаптировать его для «новичков» или пользователей с ограниченными правами. Можно, например, отключить все оповещения, или заменить автоматическую виртуализацию неопознанных программ их блокировкой, или перевести фаервол в «Безопасный режим» и т.д.

Если следование данной инструкции приведет к каким-либо проблемам, прошу читателей сообщить в комментариях. Приветствуются сообщения, подкрепленные файлами экспорта конфигурации, списка файлов и каждого журнала CIS за весь период, а также видеозаписью и/или предоставлением удаленного доступа для диагностики.

Установка и настройка

Установка

Желательно устанавливать CIS на систему, гарантированно не содержащую вредоносных программ. Напомню , что необходимо выполнить обновление системы и сделать ее резервную копию. Имеет смысл предварительно отключить «Брандмауэр Windows» через «Панель управления».

Если система чиста от вредоносных программ, желательно «ознакомить» CIS с файлами на ней. Чтобы избежать конфликтов, можно на это время отключить компоненты защиты: антивирус, Auto-Sandbox, HIPS, фаервол и Viruscope. Сначала выполним «Репутационное сканирование» («Главное окно» > «Задачи» > «Общие задачи» > «Сканирование») и после его проведения сделаем все найденные файлы доверенными. Затем произведем запуск различных установленных программ и их компонентов. Выполним перезагрузку. В окне расширенной настройки на вкладке «Репутация файлов» > «Список файлов» отметим все файлы и через контекстое меню зададим им рейтинг доверенных.

Основная настройка

После установки откроем вкладку «Общая настройка» > «Конфигурация» в окне расширенной настройки и включим конфигурацию «Proactive Security». На предложение перезагрузки ответим «Отложить».

Если ранее производилась настройка CIS, импортируем из каталога программы исходную конфигурацию «Proactive Security» под другим именем и активируем ее.

Если появится оповещение о выборе статуса сети - выберем вариант «Общественное место.

На вкладке «Контент-фильтр» > «Правила» убедимся, что правило «Заблокированные сайты» расположено внизу, и изменим его: добавим категории «MVPS Hosts list» и «Symantec WebSecurity» и зададим вид ограничений не «Блокировать», а «Спросить».

Расширения контекстного меню

Чтобы копировать блокируемые антивирусом файлы, добавим соответствующий пункт контекстного меню. Все необходимые для этого материалы с инструкцией даны в архиве .

Использование

При обнаружении неопознанной программы не делаем никаких послаблений в защите, не убедившись в ее безопасности. Проще всего проверить программу на через контекстное меню. Отмечу, что отсутствие срабатываний антивирусов абсолютной гарантией безопасности не является. Но можно более-менее уверенно судить о безопасности файла, если он известен давно и ведущие антивирусы не признают его вредоносным.

В качестве дополнительной проверки можно запустить неизвестную программу в виртуальной среде, а затем отправить на VirusTotal содержимое каталога VTRoot. Можно и самостоятельно исследовать поведение программы в виртуальной среде, включив Viruscope с опцией «Применять действие Viruscope только к приложениям в Sandbox » и открыв отчет об активности . Также Viruscope иногда автоматически квалифицирует поведение программ как вредоносное.

Для установки новой безопасной программы вызываем, удерживая нажатой клавишу Shift , на ее инсталляторе контекстное меню и выбираем пункт «Запустить как установщик». Если в ходе установки возникнет оповещение HIPS, отключим в нем опцию «Запомнить выбор» и выберем политику «Установка или обновление». После установки программы производим первый ее пробный запуск через пункт контекстного меню «Запустить как установщик без повышения прав» и закрываем программу. Затем на вкладке «Репутация файлов» > «Список файлов» переводим неопознанные файлы этой программы в доверенные. Также в доверенные добавляем каталог с новой программой.

Для обновления установленной программы запускаем ее пунктом контекстного меню «Запустить как установщик», производим процедуру обновления и аналогично переводим новые файлы из неопознанных в доверенные.

Возможна ситуация, когда программа запускается изолированно даже после занесения в доверенные. Как правило, это происходит, когда размер программы превышает 40 МБ. Решение - добавить путь к такой программе в группу «AllowedProgs».

Если какую-либо программу необходимо временно запустить без ограничений, вызываем на ней, удерживая Shift , контекстное меню и выбираем пункт «Запустить как установщик без повышения прав». Важно помнить, что такая программа и ее дочерние процессы смогут беспрепятственно запустить любой неопознанный файл.

Когда какой-либо неопознанный файл впервые изолируется посредством Auto-Sandbox, появляется всплывающее уведомление. Напоминаю, что опасно нажимать в нем кнопку «Больше не изолировать».

Если какие-либо данные следует тщательно защитить от повреждения, например, вирусами-шифровальщиками, - добавим в конце имени содержащего их каталога слово «WriteProtected». Содержимое каталогов наподобие « C:\Docs\Мои проекты - WriteProtected » будет запрещено менять любым программам, кроме проводника. Когда понадобится изменить данные - либо временно переименуем каталог, либо переместим данные в другой каталог, а по окончании работы вернем под защиту.

Следует время от времени смотреть журнал событий, особенно фаервола и проактивной защиты («Защиты+»). Там может обнаружиться, что некой программе требуются дополнительные разрешения, например, для проведения обновления. Тогда понадобится соответствующим образом корректировать конфигурацию.

Когда какая-либо программа блокируется антивирусом, прежде всего отправляем ее на VirusTotal через контекстное меню. В случае полной уверенности в безопасности добавляем эту программу в доверенные. Если, несмотря на сомнения, программу необходимо использовать, копируем ее в каталог исключений. Для этого вызываем на ней, удерживая Shift , контекстное меню, выбираем пункт «Скопировать зараженный файл...» и сохраняем в каталог C:\Exclusions . Из этого каталога программа будет запускаться как обычная неопознанная, в виртуальной среде.

В случае опасений, что запускаемая программа заблокирует интерфейс ОС и не позволит очистить песочницу, можно ограничить время ее выполнения. Удобный способ это сделать - пункт контекстного меню «Запустить в песочнице Comodo как ограниченное», предложенный в статье о виртуальной среде .

Если необходимо выполнить сомнительную программу в реальной среде, делаем это через пункт расширенного контекстного меню «Запустить без ограничений Auto-Sandbox». Активность программы контролируем посредством оповещений HIPS. Чтобы избежать большого их количества, можно сразу выбрать в оповещении политику «Ограниченное приложение» или «Изолированное» (включив опцию «Запомнить выбор»). Внимание! Вредоносная программа может запустить доверенную, и HIPS уже не будет контролировать активность дочернего процесса, что может нанести ущерб. В качестве смягчающей меры можно временно включить Viruscope, чтобы более детально наблюдать активность не только сомнительной программы, но и ее дочерних процессов, а при необходимости произвести и откат изменений .

Обычно оповещения HIPS в данной конфигурации будут возникать лишь при использовании пункта меню «Запустить без ограничений Auto-Sandbox» или, реже, пунктов «Запустить как установщик» и «Запустить как установщик без повышения прав». Однако если HIPS оповестит об активности неопознанной программы в других случаях - это тревожный сигнал. Он может означать, что неопознанная программа запустилась раньше CIS или получила привилегии SYSTEM. Рекомендую в таком оповещении выбрать вариант «Заблокировать и завершить выполнение» (отключив в нем опцию «Запомнить выбор»), а затем проверить систему на предмет уязвимостей.

© 2024 vspishkacraft.ru - Windows. Программы. Железо. Интернет. Безопасность. Операционные системы