shaana

Оптимальное сочетание настроек защиты КИС 2011

В этой теме 15 сообщений

Здравствуйте, уважаемое сообщество.

Обладатель лицензионного КИС 2011 (лиц. на 2 ПК), Windows 7 Home Premium x64 (лиценз., ОЕМ) и Windows XP Pro SP 3 лиценз. из коробки. На рабоч. станциях сконцентрировано много важной и конфиденц. информации, потому безопасности уделяется первоочередное внимание.

Тему поднимал на оф. форуме:

http://forum.kaspersky.com/index.php?showtopic=207590

но широкой дискуссии она не вызвала, хотя на некоторые вопросы мне ответили.

Был бы признателен, если б ответили опытные пользователи и эксперты.

1. У меня все неизвестные программы в Контроле программ автоматически падают в "Недоверенные" (KSN используется для определения груп, а также наличие цифровой подписи). Фактически, по логике, любой исполняемый код, у которого нету цифровой подписи и которому не присвоен доверенный статус в KSN, будет блокироваться. Для того, чтобы запустить новую программу, нужно поменять ей группу на Доверенную или в группу с ограничениями вручную (а чтобы поменять группу, нужно ввести мастер-пароль для КИСа). Насколько повышает такая политика безопасности эту самую безопасность?

Стоит ли убрать галку "Доверять программам, имеющим цифровую подпись"?

Что имеет приоритет: наличие цифровой подписи или рейтинг из KSN?

2. Какие именно исполняемые файлы контролирует Контроль программ? Опытным путем я установил, что он контролирует .exe, .msi, .com и .vbs.

3. Насколько трудно злоумышленнику, не зная мастер пароля к КИСу, но имея к машине физический доступ, удалить его из системы?

4. Предотвратит ли Контроль программ с вышеозначенными настройками выполнение кода, что запускается посредством всяческих сплоитов (допустим, что и сплоит и исполняемый код есть 0 day и ничем не детектятся)?

Может, у кого есть советы по настройке КИСа 2011 для наибольшей безопасности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Насколько повышает такая политика безопасности эту самую безопасность?

Значительно :)

Стоит ли убрать галку "Доверять программам, имеющим цифровую подпись"?

Не думаю. Да, известны случаи, когда вредоносны имели валидную подпись, однако KSN позволяет быстро и без привязки к обновлению баз блокировать эти подписи и доверия к ним не будет.

Что имеет приоритет: наличие цифровой подписи или рейтинг из KSN?

KSN - истина в последней инстанции

2. Какие именно исполняемые файлы контролирует Контроль программ? Опытным путем я установил, что он контролирует .exe, .msi, .com и .vbs.

.dll, .bat, может быть что-то еще. Это не от расширения зависит, а от типа файла. Потому в таблице иногда даже *.tmp можно встретить.

3. Насколько трудно злоумышленнику, не зная мастер пароля к КИСу, но имея к машине физический доступ, удалить его из системы?

Зная пароль Админа - проще простого. Не зная пароля адмнистратора и не имеющего таких прав можно с Live CD.

4. Предотвратит ли Контроль программ с вышеозначенными настройками выполнение кода, что запускается посредством всяческих сплоитов (допустим, что и сплоит и исполняемый код есть 0 day и ничем не детектятся)?

Уязвимости на то и уязвимости... Только запустится ли вредонос вообще при таких настройках, если ты сам его не засунешь в разрешенные? Ну плюс можно использовать песочницу, которая есть в составе KIS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я слышал мнение, что чем быстрее машина, тем более эффективно работает эвристика on the fly (т.е. антивирус имеет определенный тайм аут на эмулирование) и если машина успевает доэмулировать до вредоносного кода, то собственно екзешнику присваивается флаг подозрительного... Правда ли это?

Чем именно отличаются поверхностный, дефолтный и глубокий уровни эвристики?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Да

2. Глубина эмуляции. Сам не знаю, что это значит :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

столкнулся с неожиданной проблемой.

У меня все неизвестные программы в Контроле программ попадают в группу "Недоверенные". Легальный софт, который попадает в группу недоверенных, я вручную перетаскиваю в доверенные или слабые ограничения.

Но имеет место такая проблема. Иногда КИС ни с того ни с сего самовольно перемещает программы, которые были мной определены как Доверенные, сразу в недоверенные. Как правило, это происходит абсолютно спонтанно, например, когда я печатаю что-то в ворде и точно знаю, что ничего не запускалось. Поскольку я настроил уведомления таким образом, что при определении группы программы мне выскакивает уведомление, то я это сразу вижу...

Я так понял, КИС периодически устраивает рескан в таблице Контроля программ?

Снятие галочек "Загружать правила для программ из КСН" и "Обновлять правила из КСН" не помогло.

Кто что может сказать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

shaana

Известная проблема, когда программы вылетают из своей группы при проблеме с доступом к серверам KSN. Исправлено в версии 12.0.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
любой исполняемый код, у которого нету цифровой подписи и которому не присвоен доверенный статус в KSN, будет блокироваться.

Иначе говоря "белый список", а его эфективность значительно выше чем у классического "черного".

Стоит ли убрать галку "Доверять программам, имеющим цифровую подпись"?

Я убираю для пущей надёжности(может это параноя :facepalm: ), тем более что на комфортность работы это не влияет.

P.S. Отличная тема!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Подскажите, у меня стоит КИС 2010, проверил систему на http://2ip.ru/port-scaner/, на предмет безопасности компа, выдало три порта, которые необходимо закрыть, как их закрыть в брандмаузере КиСа? где там нужно прописать.

скрин прилагаю.Снимок.JPG

post-12959-1307644858_thumb.jpg

Отредактировал Anonym

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

самое главное - 80 порт закрыть наглухо и навсегда, через него-то и лезет большинство зловредов...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
самое главное - 80 порт закрыть наглухо и навсегда, через него-то и лезет большинство зловредов...

я понимаю, что важно закрыть, но проблема в том, что не знаю, как, если не трудно напишите, куда лезть, т.к. в антивирусных системах безопасности компа не шарю. ОС виндовс 7 х32, KIS 2010.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
я понимаю, что важно закрыть, но проблема в том, что не знаю, как, если не трудно напишите, куда лезть, т.к. в антивирусных системах безопасности компа не шарю. ОС виндовс 7 х32, KIS 2010.

Где то на форуме ЛК была тема, что KIS не проходит некоторые тесты, но по мнению той же ЛК это не страшно, а если по теме можно использовать Брандауэр Windows 7 запретив все входящие соединения у меня так работало без конфликтов около недели с KIS 2011 потом отключил Брандмауэр показалось как то неистетично. Можете воспользоватся предложенным мной вариантом в ожидании более подходящего ответа.

Опс проглядел Вам уже ответили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
но по мнению той же ЛК это не страшно

Так оно и есть

Брандауэр Windows 7 запретив все входящие соединения
И КИСулей можно все запретить ;), было бы желание

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
было бы желание

У меня провайдеры и так всё блокируют, проверял на Windows что с вкл. Брандмауэром что с откл. все тесты проходит на ура.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иначе говоря "белый список"

Хочу себя поправить я был неправ белого списка или того что можно понять под выражением white list при таких настройках небудет, а будет значительное увеличение безопасности по сравнению с дефолтными настройками.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • msulianov
      Перечень работ по ремонту серводвигателей, который мы выполняем 1) диагностика:
      - проверка изоляции обмоток статора,
      - проверка вращающего момента на валу двигателя при номинальном токе,
      - проверка момента удержания вала при включенном тормозе двигателя,
      - проверка наличия сигналов энкодера,
      - проверка наличия сигналов резольвера,
      - проверка наличия сигналов датчика положения ротора, 2) настройка (юстировка) энкодера (резольвера или датчика положения) относительно вала двигателя, 3) ремонт энкодера (резольвера или датчика положения), 4) замена энкодера (резольвера или датчика положения), 5) поставка энкодера (резольвера или датчика положения), 6) перемотка резольвера, 7) считывание данных из энкодера, извлечение данных из неисправного энкодера, 8) запись данных в новый энкодер, 9) программирование энкодера, 10) замена подшипников, 11) замена сальников, 12) ремонт тормоза двигателя, 13) перемотка обмотки тормоза, 14) замена силовых разъемов, 15) замена разъемов датчика положения ротора, 16) замена датчиков температуры установленных в двигателе, 17) перемотка статорной обмотки двигателя.  контакты: http://www.remontservo.ru  [email protected] +79171215301    
    • Openair
    • kirito
      Здравствуйте, из основного что вызывает сильное пищевое отравление можно отметить  алкоголь; грибы; бытовые химикаты; пищевые токсикоинфекции. Вот статья https://otravlenie.su/klinicheskaya-simptomatika/silnoe-otravlenie-213 там подробно про каждый из видов
    • talant
      Здравствуйте, подскажите пожалуйста что может вызвать сильное пищевое отравление?
    • sa074
      И проверить клавиатуру) Ну временно заменить на другую.