что такое hips в comodo
Настраиваем Comodo Internet Security Premium
Немногие бесплатные антивирусные продукты могут похвастать таким широким набором инструментов защиты компьютера как Comodo Internet Security. Этот бесплатный, мощный, удобный, с приятным интерфейсом комплексный антивирус всем бы был хорош, если бы не его настройки, нередко ставящие в тупик начинающего (да и не только) пользователя.
Честно говоря, столь часто задающийся вопрос как правильно настроить Comodo Internet Security кажется нам неправильно поставленным, ведь тут все зависит от того, как именно вы собираетесь использовать эту программу, и что для вас в защите является более приоритетным. Именно поэтому мы решили обратить внимание лишь на самые важные и волнующие основную массу пользователей вопросы по настройке этого антивируса.
Базовые настройки при установке
Но перед тем как приступать к их рассмотрению скажем пару слов о некоторых настройках, с которыми пользователю приходится сталкиваться при установке программы. Первым делом обратите внимание на предложение Мастера установки “Получить дополнительную безопасность, перейдя на COMODO SecureDNS сервер”. Эту галочку желательно снять, если она конечно, установлена. Если вы оставите ее, все ваши соединения будут пропускаться через специальный сервер компании Comodo, где они будут анализироваться и проверятся на наличие угрозы; также при этом будут заменены DNS-адреса вашего провайдера на DNS-адреса Comodo, а это в свою очередь может стать причиной проблем с Интернетом вообще.
Использовать эту опцию можно только проконсультировавшись со своим провайдером. Кроме того, часть сайтов, которые вы раньше посещали, могут оказаться заблокированными если вдруг Comodo посчитает их потенциально опасными.
Второй пункт “Анализ поведения приложений” можно не трогать. Третью галочку можно снять или оставить по желанию. После завершения инсталляции программа предложит выбрать тип сети. Обратите внимание что Домашняя и Рабочая сети являются внутренними и поэтому, если вы предполагаете вести работу в Интернете, необходимо выбирать сеть “Зона общего доступа” смело игнорируя все примечания.
Ладно, хорошо. Переходим к общим настройкам. Модуль расширенных настроек Comodo Internet Security разделен на два блока: общие настройки и настройки безопасности. Для начала рассмотрим общие настройки.
Интерфейс
Здесь можно ничего не менять. Опция “Защитить настройки паролем” пригодится только в том случае, если вашим компьютером активно пользуются другие люди. Параметры обновлений и ведения журнала также можно оставить без изменений.
Конфигурация
Если защита системы в режиме реального времени для вас является приоритетной, рекомендуем изменить конфигурацию на проактивную (Proactive Security). Если же главный упор делается на защиту компьютера во время работы в Интернете, следует оставить конфигурацию Internet Security.
Конфигурация Firewall Security является скорее дополнительной и скорее всего она вам не пригодится. Для того чтобы новые настройки вступили в силу потребуется перезагрузка компьютера и переопределение типа сети.
Переходим к настойкам безопасности
Антивирус. Включает в себя опции сканирования в режиме реального времени, список сканирований и исключений. Для повышения уровня безопасности можно активировать функцию сканирования памяти при загрузке компьютера. Некоторые файлы архивов могут пропускаться программой при сканировании. Однако вы можете принудительно указать какие именно файлы Comodo Internet Security должен распаковывать при сканировании. Здесь же вы можете указать, файлы какого размера должны пропускаться при проверке.
На наш взгляд установленных по умолчанию 40 Мб маловато, поэтому мы изменили это значение на 100.
То же самое касается максимального размера скрипта. Уровень эвристического анализа рекомендуем изменить на средний, а еще лучше на высокий.
Список сканирований. Полезный инструмент, позволяющий создавать собственные профили сканирования. Например, вам часто приходится проверять избранную папку или область с определенными параметрами. Так вот чтобы каждый раз не менять глобальные настройки можно создать уникальный пользовательский профиль.
При этом Мастер попросит вас дать имя сканированию, указать проверяемый файл, папку или область, задать параметры сканирования, а также составить расписание (если нужно). Эти настройки являются сугубо индивидуальными. С нашими предпочтениями вы можете ознакомиться, изучив эти скриншоты.
Исключения. Снизить общую нагрузку на систему, а также ускорить процесс проверки можно, если исключить из сканирования крупные массивы данных, например фильмы или папки виртуальных машин. По умолчанию в списке исключений находятся Корзина и сам антивирус.
Также имеется возможность исключать программы (исполняемые файлы) и процессы. Обратите внимание, что эта настройка (исключения) распространяется на все типы сканирований, включая защиту в режиме реального времени.
Защита+. Настройки HIPS
Итак, HIPS или защита от вторжений на узел. Использование этой технологии повысит уровень безопасности системы. Не вдаваясь в подробности HIPS можно определить как технологию позволяющую создавать правила регулирующие поведение и определяющие права каких-либо приложений.
А еще технологию HIPS еще можно сравнить с брандмауэром, контролирующим сетевой доступ. Работает HIPS на основе проактивной защиты. Это означает, что данная технология не использует вирусные базы, она либо что-то запрещает, либо разрешает.
Если вы решили использовать защиту от вторжений на узел рекомендуем для начала перевести программу в режим обучения. В процессе вашей работы на компьютере программа будет задавать различные вопросы, касающиеся безопасности, а вы будете на них отвечать. Таким образом программа будет обучаться как правильно реагировать на те или иные действия. Если вы абсолютно уверены, что ваш компьютер чист, можете установить режим “Чистый ПК”. В этом случае мониторинг будет осуществляться только при каких-либо последующих изменениях в системе.
Если же у вас имеются подозрения на присутствие в системе вредоносных объектов, можете переключиться в безопасный режим. При переключении в параноидальный режим будут контролироваться практически все изменения на компьютере. Уточнить, что именно будет контролироваться можно, кликнув по ссылке “Настройки мониторинга”. Также рекомендуем установить галочки как показано на скриншоте выше.
Правила HIPS
В этом подразделе перечисляются все правила установленные в Comodo Internet Security по умолчанию. Изменять эти настройки не обязательно. То же самое касается подраздела “Наборы правил”.
Защита файлов, реестра и COM-интерфейсов
Здесь перечисляются все защищенные по умолчанию файлы, важные ключи реестра, а также COM-интерфейсы. В большинстве случаев никаких дополнительных действий со стороны пользователя здесь не требуется. Однако при желании или необходимости вы можете добавить выбранные файлы, группы файлов, папки, процессы, а также кусты (или отдельные ключи) системного реестра.
Поведенческий анализ
Данная функция предназначена для защиты компьютера от возможного заражения при запуске подозрительных программ. Это означает что программа, определенная Comodo Internet Security как подозрительная или неизвестная автоматически будет запускаться в песочнице. Режим обработки непроверенных приложений по умолчанию выставлен “Частично ограниченный”. Изменять его не обязательно. Также обратите внимание на опцию “Не блокировать файлы из этого списка”. Здесь можно задать исключения для доверенных файлов и процессов.
Sandbox
А вот тут все наоборот, можно принудительно указать какие приложения должны запускаться в виртуальной среде. При этом также имеется возможность задать уровень ограничения для приложения (ограниченное, недоверенное, подозрительное и т.д.), а также размер выделяемой приложению памяти и время его работы. Остальные настройки можно не изменять. Пароль к виртуальному киоску устанавливаем по желанию.
Настройки Фаервола
Встроенный в Comodo Internet Security фаервол имеет четыре режима работы. В большинстве случаев рекомендуется использование безопасного режима. Снимаем (если стоит) галочку с пункта “Не показывать оповещения”, а вот в пункт “Создавать правила для безопасных приложений” можно отметить. Также отмечаем пункты “Включить фильтрацию Ipv6-трафика”, “Анализировать протокол”, “Блокировать фрагментированный трафик” и “Включить защиту от ARP-спуфинга”.
Правила для приложений
В этом подразделе отображены уже имеющиеся наборы правил для приложений. В список контролируемых программ вы можете добавить любое приложение, а заодно назначить для него определенное правило. Например, блокировать входящий трафик или запретить сетевую активность вообще.
Доступны следующие правила:
Такие правила пользователь может создавать или редактировать самостоятельно, однако для этого потребуется определенный опыт.
В целом же подразделы “Наборы правил” и “Глобальные правила” можно оставить без изменений. Что касается подразделов “Сетевые зоны” и “Наборы портов”, здесь начинающему пользователю можно посоветовать ничего не изменять.
Рейтинг файлов
В подразделе “Настройки рейтинга файлов” снимите галочки с пунктов “Доверять приложениям, подписанным доверенными поставщиками” и “Доверять приложениям, установленным с помощью доверенных инсталляторов”. В список доверенных файлов входят в основном системные объекты самой Windows, и изменять здесь по большому счету ничего не нужно.
В список неопознанных файлов, как правило, попадают малоизвестные приложения. Если вы доверяете приложению, можете переместить его в категорию доверенных, если нет – заблокировать. Также имеется возможность отослать файл в лабораторию Comodo для тщательной проверки. Последний подраздел “Доверенные поставщики” можно проигнорировать.
Вывод
Как видите, обеспечиваемая Comodo Internet Security защита является весьма разноплановой. Настройки этого антивируса очень гибкие, что положительно отличает Comodo Internet Security от аналогичных программ.
В то же время их никак нельзя назвать простыми, так что нет ничего удивительного, что у большинства пользователей по этому поводу возникает множество вопросов. Приведенными нами примеры настроек не могут считаться стопроцентно оптимальными, поскольку выведены они из усредненных потребностей среднестатистического пользователя.
«Обзор» ни о чём. Сделанный домохозяйкой для домохозяек.
Никакого понятия о безопасности и действительно правильной настройке(как сабжа, так и глобальных принципов подхода). А в плане изначально ложных рекомендаций бедным юзерам вообще шедевр.
К тому же данная «революционная» версия этого комбайна на голову хуже любой своей предыдущей реинкарнации в плане информативности и возможности управления реальной безопасностью.
Брюзжание quarkа заставило оставить свой отзыв.Cайт открыл для себя сравнительно недавно. Сделан элегантно,с большим вкусом,при этом он является весьма функциональным.Предлагаемые материалы весьма актуальны и удовлетворят самого взыскательного посетителя.Прекрасный грамотный русский язык,что часто является уже редкостью даже на именитых сайтах.Что же касается вышеизложенной Инструкции,то не поленился сравнить с редакцией подобной Инструкции,предлагаемой весьма авторитетным Comss.ru.Критические выпады quarkа абсолютно беспочвенны.Желаю успехов и дальнейшего развития Softrew.C уважением к авторам,Валерий.
quark конечно резок в высказываниях, но доля правды в его словах есть. При настройках рекомендованных автором компьютер рискует повиснуть кирпичом. Поэтому требует более тонкой настройки. И самый лучший вариант – ознакомиться с рекомендациями на домашнем форуме «комода». К тому же, редко можно встретить пользователя, который использует компьютер ТОЛЬКО для серфинга или ТОЛЬКО для работы. Как правило мы пользуемся компьютером для всех целей сразу и поэтому настройки должны быть более взвешены и оптимизированы. А возможности для этого, у последней версии программы, просто безграничны.
dizzie,
Если мне память не изменяет, статья была написана по видео обзору Ностромо 771( я думаю вы знаете кто это?), так что, каждый может решать сам, как ему и что настраивать:)
Реплика Qark вполне на уровне домохозяйки, а фраза «К тому же данная «революционная» версия этого комбайна на голову хуже любой своей предыдущей реинкарнации в плане информативности и возможности управления реальной безопасностью.» заставляет предположить, что он вообще не знает предмета обсуждения. В общем, инструкция неплохая, вот только не нужно рекомендовать средний уровень проактивной защиты для реалтайм сканирования – вполне достаточно и низкого. Нет смысла фильтровать трафик и анализировать протокол, эти функции введены для утешения параноиков (о чём сообщают сами разработчики) и только тормозят работу в интернете. Полезна только защита от ARP-спуфинга. Снимать метки с Доверенных поставщиков и Доверенных инсталляторов просто глупо, это только приведёт к выдаче бесполезных сообщений. Остальное приемлемо.
Добавлю. От себя… Все настройки сбросила на чистый Proactiv. Конфигурация и все- стандартные настройки.
Загружается со стартом оси теперь в ту же минуту.
Вывод: нужно с умом настраивать Комод. Иначе будете получать- «глюки» или – повышенное использование процессов.
Он меня сейчас и на дефолтных настройках- устраивает…
Либо- если «глючит» Комод или процессор грузит ( в следствии того что вы его «настроили»- под себя)- сбрасывайте настройки- на дефолтные. Он и на них- отлично стоит и работает…
Проактивная защита в COMODO Internet Security 10-12: общие параметры
Общие функции и параметры проактивной защиты
Рассмотрим опции, которые влияют на работу проактивной защиты в целом, включая и HIPS, и Auto-Containment.
Различные параметры проактивной защиты
Опция «Адаптировать режим работы при низких ресурсах системы» на вкладке «Настройка HIPS» нужна только при недостатке оперативной памяти. Когда она включена, CIS использует приемы экономии памяти, чтобы избежать сбоя при выполнении своих задач. Однако тем самым снижается производительность.
Опция «Блокировать неизвестные запросы, если приложение не запущено» предназначена только для зараженных систем и не рекомендуется к постоянному использованию, так как она мешает корректному автозапуску безопасных приложений. Если эта опция включена, то до тех пор, пока не загрузится графический интерфейс CIS, всем программам, независимо от их рейтинга, будет заблокирована любая активность, кроме явно разрешенной в правилах HIPS. Иначе говоря, до загрузки GUI поведение HIPS будет подобно «Параноидальному режиму» с опцией «Не показывать оповещения: Блокировать запросы». Блокировки не будет, если HIPS отключен или включен с опцией «Не показывать оповещения: Разрешать запросы».
К объектам, входящим в список HIPS → Защищенные объекты → Заблокированные файлы, запрещается любой доступ, включая и запись, и чтение. В данный список вносятся пути и шаблоны путей к файлам. Блокировка работает только при включенном HIPS.
Остальные параметры, задаваемые в разделе HIPS → Защищенные объекты имеют значение не только для HIPS, но и для Auto-Containment. Так, приложению, которое выполняется в реальной среде с ограничениями Auto-Containment, будет запрещен доступ именно к ресурсам, указанным на соответствующих вкладках этого раздела. Для приложений, выполняющихся в виртуальной среде, этот раздел тоже имеет значение: от них будет скрываться содержимое каталогов, перечисленных на вкладке «Папки с защищенными данными».
Особенности защиты файлов
Отмечу, что CIS воспринимает в качестве «файлов» не только физические файлы, но и различные системные объекты, например, сокеты Windows или устройства, физические или виртуальные. Поскольку в виртуальной среде COMODO отсутствует защита файлов, подобные объекты не защищаются от виртуально запущенных программ.
Защита данных от чтения
Можно защищать данные не только от изменений, но и, в какой-то мере, от чтения определенными приложениями. Для этого предназначена вкладка HIPS → Защищенные объекты → Защищенные данные. Каталоги, добавленные в список на этой вкладке, защищаются следующим образом:
Подчеркну, что именно при использовании виртуализации защищенные папки будут восприниматься изолированными приложениями как пустые, а их файлы — как несуществующие. Если программа ограничена только посредством HIPS, то она сможет открывать файлы, «зная» их пути.
Через интерфейс CIS можно добавить в список «Папок с защищенными данными» лишь те каталоги, которые видны в проводнике. Если необходимо защитить данные в каком-либо скрытом каталоге, следует временно разрешить показ скрытых файлов и папок в проводнике (например, через «Панель управления»).
В список «Папок с защищенными данными» следует добавлять каталоги, расположенные только на локальных дисках. Формально можно добавить в этот список съемные носители или виртуальные шифрованные диски, но для них защита, как правило, не работает.
Начиная с CIS 11, защищать от чтения можно делать не только каталоги, но и произвольные файлы, шаблоны их путей и группы — соответствующие файлы становятся невидимыми в виртуальной среде (но не в реальной). Также в какой-то мере стало работать сокрытие данных, размещенных на виртуальных шифрованных дисках. Однако, например, данные на томе VeraCrypt, смонтированном в режиме съемного устройства, по-прежнему не скрываются.
Специализированные приложения, имея права администратора, способны обойти данную защиту, даже если им заблокирован доступ к диску, даже если они выполняются в виртуальной среде, и даже если они изолированы в Auto-Containment как «Частично ограниченное» или «Подозрительное». Рекомендую держать включенным UAC.
Защита памяти процессов
CIS способен запрещать одним процессам изменять память других. Так, программам, которые запущены виртуально и/или с ограничениями Auto-Containment, запрещено менять память процессов, выполняющихся в реальной среде. Дополнительные ограничения на межпроцессное изменение памяти задаются в правилах HIPS.
Правила HIPS какой-либо программы или группы программ содержат две вкладки: «Права доступа» и «Настройка защиты». На вкладке «Права доступа» пункт «Межпроцессный доступ к памяти» указывает, чью память может изменять данная программа (см. порядок работы HIPS). На вкладке «Настройка защиты» пункт с аналогичным названием означает защиту памяти самой этой программы от изменения: если включить эту защиту, то всем приложениям, кроме указанных в списке исключений, будет запрещено менять память данной программы, независимо от их собственных правил HIPS (см. защиту процессов).
HIPS, Auto-Containment и виртуальная среда защищают память процессов от изменений, но не от чтения. Даже если заблокировать вредоносной программе «Межпроцессный доступ к памяти» и даже если запустить ее виртуально с ограничениями, она сможет прочитать конфиденциальные данные из памяти процессов, выполняющихся в реальной среде.
В то же время защита от межпроцессного изменения памяти препятствует созданию дампа памяти. По-видимому, запрещается именно приостановка процесса, необходимая для создания дампа, но не само чтение памяти.
Защиту памяти процессов от чтения предоставляет среда «Безопасного шоппинга»: память запущенных в этой среде программ запрещено читать программам, которые выполняются в обычной среде.
Защита конфигурации браузеров
В CIS есть дополнительная функция, защищающая конфигурацию браузеров, независимо от того, включен ли HIPS или Auto-Containment. Эта защита включается опцией «Показывать оповещения при попытках других программ изменять текущую настройку браузеров» на вкладке «Усиленная защита → Разное». Когда она активна, сторонним программам будет запрещено менять конфигурацию браузера без разрешения пользователя.
Ответ пользователя относительно той или иной программы запоминается лишь на время ее работы, а каких-либо правил, списков исключений и т.п. здесь нет. Также нет явного указания, какие именно браузеры подлежат защите и в чем эта защита заключается.
Отмечу, что путь указанного вида имеет только профиль обычного браузера Firefox, установленного в системе. Портативный вариант браузера не попадает под эту защиту.
Судя по экспериментам, CIS отличает браузеры от сторонних программ на основании подписи. Даже если сторонняя программа является доверенной, даже если она имеет привилегии установщика — попытка изменить конфигурацию браузера вызовет оповещение.
Анализ командной строки
Данное поведение CIS задается опцией Анализировать скрипты в разделе Усиленная защита (название до CIS 12 — «Выполнять эвристический анализ в командной строке»), по умолчанию она включена. Если ее отключить, то скрипты и подобные им приложения станут идентифицироваться как интерпретаторы, т.е. станет невозможным контролировать запуск неопознанных скриптов или назначать разным скриптам разные права.
В параметрах указанной опции задается таблица приложений, чья командная строка подлежит анализу. При необходимости можно для отдельных приложений отключить опцию в столбце «Анализ в командной строке» — тогда CIS не будет распознавать, исполнением каких файлов они занимаются. Также можно добавлять новые приложения в таблицу или редактировать имеющиеся записи.
Интерфейс настройки анализа командной строки позволяет лишь указать расположение нового приложения-интерпретатора, но не способ разбора его командной строки. Судя по экспериментам, аргументы командной строки проверяются последовательно, пока среди них не встретится путь (абсолютный или относительный) какого-либо существующего файла — за этот файл и будет принято запускаемое приложение.
Описанный выше порядок идентификации интерпретаторов и разбора их командной строки относится именно к записям, добавленным пользователем. Предустановленные записи работают более тонко.
Хотя предустановленные записи выглядят, будто приложения-интерпретаторы идентифицируются лишь по именам, в действительности проверяется также рейтинг этих приложений. Судя по экспериментам, приложение с именем интерпретатора принимается за файл, указанный в командной строке, только если оно является доверенным.
Требование к рейтингу интерпретаторов защищает от атаки, которой был подвержен CIS старых версий: вредоносная программа, названная именем интерпретатора, при запуске получала права приложения, указанного в ее командной строке. К сожалению, такая атака остается возможной, если использовать имя не стандартного интерпретатора, а добавленного пользователем. В качестве защиты предлагаю указывать в пользовательских записях полные пути к интерпретаторам ( c:\Program Files\AutoHotkey\AutoHotkey.exe ), а не шаблоны ( *\AutoHotkey.exe ).
Опять же, анализ командной строки опирается на File Version Info только для предустановленных записей, но не для пользовательских. Поэтому, даже если добавить AutoHotkey-интерпретатор в таблицу приложениий, чья командная строка подлежит анализу, останется возможность запустить вредоносный скрипт переименованным интерпретатором.
Еще одна особенность предустановленных записей: от свойств файла, указанного в командной строке, может зависеть, будет ли принято за него запускаемое приложение. Как правило, приложения-интерпретаторы принимаются только за файлы, которые не являются исполняемыми (Portable Executable). Эта особенность дополнительно препятствует некоторым способам обхода защиты.
Однако любое доверенное приложение с именем rundll32.exe принимается за любой файл, указанный в командной строке. Также и приложения, добавленные пользователем, принимаются за файлы любого типа.
Обнаружение внедренного кода
При запуске некоторых приложений-интерпретаторов можно передать в командной строке весь код, предназначенный для выполнения. Таким образом, в роли скрипта выступает сама командная строка, а не отдельный файл.
Контроль бесфайловых скриптов настраивается аналогично контролю обычных скриптов в таблице на вкладке «Усиленная защита → Анализ скриптов». За него отвечает столбец «Обнаружение внедренного кода».
Опция защиты от внедрения shell-кода
На вкладке «Усиленная защита → Разное» расположена опция «Не обнаруживать внедрение shell-кода». Как следует из названия, она регулирует предотвращение атак, основанных на переполнении буфера.
Однако в действительности сообщения пользователей и эксперименты говорят о несостоятельности этой защиты в CIS. Возможно, ее наличие фиктивно.
Тем не менее список, заданный в опции «Не обнаруживать внедрение shell-кода», все же влияет на работу CIS. В работе приложения, исключенного из «защиты от shell-кода», наблюдаются следующие особенности:
В то же время HIPS контролирует приложения, исключенные из «защиты от shell-кода», на предмет запуска программ, изменения файлов и реестра, межпроцессного доступа к памяти, доступа к диску, к некоторым COM-интерфейсам.
По-видимому, именно внедрение библиотеки guard(32|64).dll отвечает за функции CIS, которые не работают для приложений, исключенных из «защиты от shell-кода».
Иногда внедрение в процесс библиотеки guard32.dll или guard64.dll приводит к конфликтам. Поэтому, если какая-либо программа работает некорректно, имеет смысл добавить ее в исключения опции «Не обнаруживать внедрение shell-кода».
Контроль автозапуска
Начиная с версии CIS 12, имеются дополнительные средства для контроля за автоматическим запуском приложений. Анализируются различные виды автозапуска, включая реестр, задачи планировщика, службы и др.
За контроль над состоянием автозапуска в реальном времени отвечает опция Применять выбранное действие к неопознанным элементам автозапуска в разделе Усиленная защита → Разное. По умолчанию в ней выбран режим Игнорировать, т.е. не предпринимать никаких действий.
Если выставить режим Изолировать в карантине и отключить, то, как только в системе появится новый автозапуск какой-либо неопознанной программы, CIS удалит эту программу и отключит элемент автозапуска.
Чтобы избежать автоматического отключения автозапуска и удаления программы, понадобится либо сделать ее доверенной, либо добавить в исключения: Усиленная защита → Исключения сканирования → Исключенные пути.
Действия, выполняемые CIS’ом, обратимы: программу можно будет восстановить из карантина, а элемент автозапуска вернуть в прежнее состояние. Эти элементом может оказаться отключенная задача в планировщике, или перемещенный в папке COMODO DISABLED ярлык, или перемещенная в раздел Run.COMODO_DISABLED запись в реестре и т.д.
Важно учесть, что при очистке автозапуске нет ни оповещений для выбора действия пользователем, ни даже уведомлений. Информация о произошедшем лишь молча заносится в журналы События автозапуска и События антивируса, причем даже в них нет дается достаточно подробностей, какой именно элемент и каким образом был отключен.
Таким образом, режим Изолировать в карантине и отключить выглядит рискованным. Однако в режиме Прервать вообще никакого эффекта от защиты автозапуска замечено не было. Поэтому сомнительной представляется вся функция постоянного контроля за автозапуском.
Кроме постоянного контроля, есть возможность проверки автозапуска по требованию или по расписанию. Для этого необходимо создать в разделе Антивирус → Виды сканирования новое сканирование и задать в нем опцию Применять это действие к подозрительным процессам автозапуска (можно отключить остальные опции этого сканирования, а в качестве его «объекта» добавить пустую папку).
Если теперь запустить это сканирование, выполнится очистка автозапуска, причем выведется отчет об удаленных элементах.
Дополнительно можно настраивать, как должна анализироваться командная строка для атозапускаемых программ. Эти параметры задаются на вкладке Усиленная защита → Анализ скриптов → Сканирование элементов автозапуска. Здесь можно указать, для каких интерпретаторов следует контролировать автозапускаемые скрипты, с том числе бесфайловые.
VirusScope
Оповещения VirusScope
Кроме основных средств проактивной защиты — HIPS и Auto-Containment — имеется компонент VirusScope, предназначенный для динамического обнаружения подозрительной активности процессов. Он должен выявлять опасное поведение неопознанных программ и выдавать оповещение с предложением откатить изменения, произведенные определенной программой и ее дочерними процессами, а саму программу удалить.
Если включена опция «Не показывать оповещения» на вкладке «Усиленная защита → VirusScope», то удаление программ и откат изменений произойдет автоматически (аналогично, если не отвечать на оповещение в течение 2 минут).
Откат изменений вручную
Завершение программ с откатом произведенных ими изменений можно производить не только при обнаружении подозрительной активности, но и вручную. Для этого следует запустить менеджер задач KillSwitch, вызвать контекстное меню на нужном процессе и выбрать пункт «Завершить дерево процесса и вернуть произведенные изменения». Файл программы при этом не удаляется. Данный пункт контекстного меню KillSwitch имеется только при включенном VirusScope.
Другой путь ручного завершения программ с откатом произведенных ими изменений — оповещения HIPS и фаервола. Когда включен VirusScope, в этих оповещениях появляется дополнительный пункт: «Заблокировать, завершить выполнение и отменить изменения». При выборе этого пункта завершится указанная в оповещении программа и все ее дочерние процессы, а также будут отменены произведенные ими изменения; файл программы удален не будет.
Отчет об активности
При включенном VirusScope в контекстном меню списка активных процессов, вызываемом из главного окна CIS, появляется новый пункт: «Показать активность». Нажатием на него откроется окно с отчетом об активности выбранной программы и ее дочерних процессов.
Также при включенном VirusScope в оповещениях разных компонентов CIS появляется кнопка «Показать активность». По нажатию на нее тоже открывается отчет об активности программы, указанной в оповещении.
Следует сказать, что представление отчета об активности в окне CIS далеко от удобного. Однако можно через контекстное меню экспортировать этот отчет в XML-файл и изучать отдельно.
Также отчет об активности можно просмотреть через менеджер задач KillSwitch: в окне свойств процесса, вызываемом через контекстное меню, есть вкладка «Активность процесса». Однако в KillSwitch этот отчет представлен еще хуже, чем в CIS, причем отсутствует функция экспорта в файл.
Ограничение контроля VirusScope только изолированными программами
По умолчанию в конфигурации «Proactive Security» на вкладке «Усиленная защита → VirusScope» включена опция «Использовать VirusScope» и отключена опция «Отслеживать только приложения, запущенные в Контейнере». В такой конфигурации происходит слежение за всеми процессами в реальной и в виртуальной среде. Выше описана работа VirusScope именно для такого режима.
Если отметить опцию «Отслеживать только приложения, запущенные в Контейнере», то будет отслеживаться активность только тех программ, которые запущены в виртуальной среде или ограничены посредством Auto-Containment. Для программ же, выполняющихся в реальной среде без ограничений Auto-Containment, не будет вестись запись активности и, соответственно, не будет даваться отчет о ней.
Однако после включения данной опции оповещения HIPS и фаервола по-прежнему будут содержать пункт «Заблокировать, завершить выполнение и отменить изменения», а также в контекстном меню KillSwitch будет пункт «Завершить дерево процесса и вернуть произведенные изменения». В действительности, выбор этих пунктов приведет не к откату изменений, а лишь к завершению выбранной программы и ее дочерних процессов.
Управление распознавателями
На вкладке «VirusScope» указан файл, на основании данных которого определенная активность приложений считается подозрительной. В этом файле заданы образцы поведения, которые должны вызывать оповещения VirusScope. Если перевести статус такого файла в отключенное положение, то соответствующее поведение приложений не приведет к оповещениям и блокировкам VirusScope; слежение за активностью программ при этом сохранится.
Ограниченность применения и проблемы VirusScope
В VirusScope невозможен откат таких действий, как удаление файлов с диска. Также не подлежат откату изменения, выполненные за предыдущие циклы работы подозрительного процесса. Откат же действий процесса, ошибочно признанного опасным, может привести к потере данных (этот риск возникает в режиме «Не показывать оповещения»).
В версии CIS 7 наблюдалась серьезная проблема — при включенном VirusScope происходили непредсказуемые сбои в работе безопасных приложений. Эти сбои происходили в отсутствие каких-либо уведомлений и записей в журналах CIS, что затрудняло поиск их причины. По-видимому, сбои провоцировались самим наблюдением за процессами, а не обнаружением подозрительного поведения.
В дальнейших версиях CIS перестали проявляться прежние известные конфликты. Возможно, проблема устранена. Однако, ввиду ее серьезности и трудности обнаружения, я по-прежнему рекомендую отказаться от VirusScope. С учетом всех ограничений, польза от VirusScope в защите выглядит сомнительной.
Для безопасного использования VirusScope можно включить его с опцией «Отслеживать только приложения, запущенные в Контейнере». Но в этом случае назначением VirusScope станет не защита, а исследование работы приложений, запущенных в виртуальной среде.