Перейти к содержанию

Recommended Posts

shaana

Здравствуйте, уважаемое сообщество.

Обладатель лицензионного КИС 2011 (лиц. на 2 ПК), Windows 7 Home Premium x64 (лиценз., ОЕМ) и Windows XP Pro SP 3 лиценз. из коробки. На рабоч. станциях сконцентрировано много важной и конфиденц. информации, потому безопасности уделяется первоочередное внимание.

Тему поднимал на оф. форуме:

http://forum.kaspersky.com/index.php?showtopic=207590

но широкой дискуссии она не вызвала, хотя на некоторые вопросы мне ответили.

Был бы признателен, если б ответили опытные пользователи и эксперты.

1. У меня все неизвестные программы в Контроле программ автоматически падают в "Недоверенные" (KSN используется для определения груп, а также наличие цифровой подписи). Фактически, по логике, любой исполняемый код, у которого нету цифровой подписи и которому не присвоен доверенный статус в KSN, будет блокироваться. Для того, чтобы запустить новую программу, нужно поменять ей группу на Доверенную или в группу с ограничениями вручную (а чтобы поменять группу, нужно ввести мастер-пароль для КИСа). Насколько повышает такая политика безопасности эту самую безопасность?

Стоит ли убрать галку "Доверять программам, имеющим цифровую подпись"?

Что имеет приоритет: наличие цифровой подписи или рейтинг из KSN?

2. Какие именно исполняемые файлы контролирует Контроль программ? Опытным путем я установил, что он контролирует .exe, .msi, .com и .vbs.

3. Насколько трудно злоумышленнику, не зная мастер пароля к КИСу, но имея к машине физический доступ, удалить его из системы?

4. Предотвратит ли Контроль программ с вышеозначенными настройками выполнение кода, что запускается посредством всяческих сплоитов (допустим, что и сплоит и исполняемый код есть 0 day и ничем не детектятся)?

Может, у кого есть советы по настройке КИСа 2011 для наибольшей безопасности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Насколько повышает такая политика безопасности эту самую безопасность?

Значительно :)

Стоит ли убрать галку "Доверять программам, имеющим цифровую подпись"?

Не думаю. Да, известны случаи, когда вредоносны имели валидную подпись, однако KSN позволяет быстро и без привязки к обновлению баз блокировать эти подписи и доверия к ним не будет.

Что имеет приоритет: наличие цифровой подписи или рейтинг из KSN?

KSN - истина в последней инстанции

2. Какие именно исполняемые файлы контролирует Контроль программ? Опытным путем я установил, что он контролирует .exe, .msi, .com и .vbs.

.dll, .bat, может быть что-то еще. Это не от расширения зависит, а от типа файла. Потому в таблице иногда даже *.tmp можно встретить.

3. Насколько трудно злоумышленнику, не зная мастер пароля к КИСу, но имея к машине физический доступ, удалить его из системы?

Зная пароль Админа - проще простого. Не зная пароля адмнистратора и не имеющего таких прав можно с Live CD.

4. Предотвратит ли Контроль программ с вышеозначенными настройками выполнение кода, что запускается посредством всяческих сплоитов (допустим, что и сплоит и исполняемый код есть 0 day и ничем не детектятся)?

Уязвимости на то и уязвимости... Только запустится ли вредонос вообще при таких настройках, если ты сам его не засунешь в разрешенные? Ну плюс можно использовать песочницу, которая есть в составе KIS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
shaana

Я слышал мнение, что чем быстрее машина, тем более эффективно работает эвристика on the fly (т.е. антивирус имеет определенный тайм аут на эмулирование) и если машина успевает доэмулировать до вредоносного кода, то собственно екзешнику присваивается флаг подозрительного... Правда ли это?

Чем именно отличаются поверхностный, дефолтный и глубокий уровни эвристики?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

1. Да

2. Глубина эмуляции. Сам не знаю, что это значит :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
shaana

столкнулся с неожиданной проблемой.

У меня все неизвестные программы в Контроле программ попадают в группу "Недоверенные". Легальный софт, который попадает в группу недоверенных, я вручную перетаскиваю в доверенные или слабые ограничения.

Но имеет место такая проблема. Иногда КИС ни с того ни с сего самовольно перемещает программы, которые были мной определены как Доверенные, сразу в недоверенные. Как правило, это происходит абсолютно спонтанно, например, когда я печатаю что-то в ворде и точно знаю, что ничего не запускалось. Поскольку я настроил уведомления таким образом, что при определении группы программы мне выскакивает уведомление, то я это сразу вижу...

Я так понял, КИС периодически устраивает рескан в таблице Контроля программ?

Снятие галочек "Загружать правила для программ из КСН" и "Обновлять правила из КСН" не помогло.

Кто что может сказать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

shaana

Известная проблема, когда программы вылетают из своей группы при проблеме с доступом к серверам KSN. Исправлено в версии 12.0.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
любой исполняемый код, у которого нету цифровой подписи и которому не присвоен доверенный статус в KSN, будет блокироваться.

Иначе говоря "белый список", а его эфективность значительно выше чем у классического "черного".

Стоит ли убрать галку "Доверять программам, имеющим цифровую подпись"?

Я убираю для пущей надёжности(может это параноя :facepalm: ), тем более что на комфортность работы это не влияет.

P.S. Отличная тема!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anonym

Подскажите, у меня стоит КИС 2010, проверил систему на http://2ip.ru/port-scaner/, на предмет безопасности компа, выдало три порта, которые необходимо закрыть, как их закрыть в брандмаузере КиСа? где там нужно прописать.

скрин прилагаю.Снимок.JPG

post-12959-1307644858_thumb.jpg

Отредактировал Anonym

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

самое главное - 80 порт закрыть наглухо и навсегда, через него-то и лезет большинство зловредов...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anonym
самое главное - 80 порт закрыть наглухо и навсегда, через него-то и лезет большинство зловредов...

я понимаю, что важно закрыть, но проблема в том, что не знаю, как, если не трудно напишите, куда лезть, т.к. в антивирусных системах безопасности компа не шарю. ОС виндовс 7 х32, KIS 2010.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
я понимаю, что важно закрыть, но проблема в том, что не знаю, как, если не трудно напишите, куда лезть, т.к. в антивирусных системах безопасности компа не шарю. ОС виндовс 7 х32, KIS 2010.

Где то на форуме ЛК была тема, что KIS не проходит некоторые тесты, но по мнению той же ЛК это не страшно, а если по теме можно использовать Брандауэр Windows 7 запретив все входящие соединения у меня так работало без конфликтов около недели с KIS 2011 потом отключил Брандмауэр показалось как то неистетично. Можете воспользоватся предложенным мной вариантом в ожидании более подходящего ответа.

Опс проглядел Вам уже ответили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
но по мнению той же ЛК это не страшно

Так оно и есть

Брандауэр Windows 7 запретив все входящие соединения
И КИСулей можно все запретить ;), было бы желание

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
было бы желание

У меня провайдеры и так всё блокируют, проверял на Windows что с вкл. Брандмауэром что с откл. все тесты проходит на ура.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
Иначе говоря "белый список"

Хочу себя поправить я был неправ белого списка или того что можно понять под выражением white list при таких настройках небудет, а будет значительное увеличение безопасности по сравнению с дефолтными настройками.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
    • fafa
      Но именно от плохих водителей оно именно защитит. По крайней мере если водитель будет ехать и не пропускать ни одной ямы, то ни какая ходовая не выдержит. Так, что давайте просто лучше водить, и тогда пленка не надо.
    • Зотов Тимур
      Заинтересовало предложение.
    • Зотов Тимур
      Все спецально и делают деньги на них
×