shaana

Оптимальное сочетание настроек защиты КИС 2011

В этой теме 15 сообщений

Здравствуйте, уважаемое сообщество.

Обладатель лицензионного КИС 2011 (лиц. на 2 ПК), Windows 7 Home Premium x64 (лиценз., ОЕМ) и Windows XP Pro SP 3 лиценз. из коробки. На рабоч. станциях сконцентрировано много важной и конфиденц. информации, потому безопасности уделяется первоочередное внимание.

Тему поднимал на оф. форуме:

http://forum.kaspersky.com/index.php?showtopic=207590

но широкой дискуссии она не вызвала, хотя на некоторые вопросы мне ответили.

Был бы признателен, если б ответили опытные пользователи и эксперты.

1. У меня все неизвестные программы в Контроле программ автоматически падают в "Недоверенные" (KSN используется для определения груп, а также наличие цифровой подписи). Фактически, по логике, любой исполняемый код, у которого нету цифровой подписи и которому не присвоен доверенный статус в KSN, будет блокироваться. Для того, чтобы запустить новую программу, нужно поменять ей группу на Доверенную или в группу с ограничениями вручную (а чтобы поменять группу, нужно ввести мастер-пароль для КИСа). Насколько повышает такая политика безопасности эту самую безопасность?

Стоит ли убрать галку "Доверять программам, имеющим цифровую подпись"?

Что имеет приоритет: наличие цифровой подписи или рейтинг из KSN?

2. Какие именно исполняемые файлы контролирует Контроль программ? Опытным путем я установил, что он контролирует .exe, .msi, .com и .vbs.

3. Насколько трудно злоумышленнику, не зная мастер пароля к КИСу, но имея к машине физический доступ, удалить его из системы?

4. Предотвратит ли Контроль программ с вышеозначенными настройками выполнение кода, что запускается посредством всяческих сплоитов (допустим, что и сплоит и исполняемый код есть 0 day и ничем не детектятся)?

Может, у кого есть советы по настройке КИСа 2011 для наибольшей безопасности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Насколько повышает такая политика безопасности эту самую безопасность?

Значительно :)

Стоит ли убрать галку "Доверять программам, имеющим цифровую подпись"?

Не думаю. Да, известны случаи, когда вредоносны имели валидную подпись, однако KSN позволяет быстро и без привязки к обновлению баз блокировать эти подписи и доверия к ним не будет.

Что имеет приоритет: наличие цифровой подписи или рейтинг из KSN?

KSN - истина в последней инстанции

2. Какие именно исполняемые файлы контролирует Контроль программ? Опытным путем я установил, что он контролирует .exe, .msi, .com и .vbs.

.dll, .bat, может быть что-то еще. Это не от расширения зависит, а от типа файла. Потому в таблице иногда даже *.tmp можно встретить.

3. Насколько трудно злоумышленнику, не зная мастер пароля к КИСу, но имея к машине физический доступ, удалить его из системы?

Зная пароль Админа - проще простого. Не зная пароля адмнистратора и не имеющего таких прав можно с Live CD.

4. Предотвратит ли Контроль программ с вышеозначенными настройками выполнение кода, что запускается посредством всяческих сплоитов (допустим, что и сплоит и исполняемый код есть 0 day и ничем не детектятся)?

Уязвимости на то и уязвимости... Только запустится ли вредонос вообще при таких настройках, если ты сам его не засунешь в разрешенные? Ну плюс можно использовать песочницу, которая есть в составе KIS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я слышал мнение, что чем быстрее машина, тем более эффективно работает эвристика on the fly (т.е. антивирус имеет определенный тайм аут на эмулирование) и если машина успевает доэмулировать до вредоносного кода, то собственно екзешнику присваивается флаг подозрительного... Правда ли это?

Чем именно отличаются поверхностный, дефолтный и глубокий уровни эвристики?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Да

2. Глубина эмуляции. Сам не знаю, что это значит :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

столкнулся с неожиданной проблемой.

У меня все неизвестные программы в Контроле программ попадают в группу "Недоверенные". Легальный софт, который попадает в группу недоверенных, я вручную перетаскиваю в доверенные или слабые ограничения.

Но имеет место такая проблема. Иногда КИС ни с того ни с сего самовольно перемещает программы, которые были мной определены как Доверенные, сразу в недоверенные. Как правило, это происходит абсолютно спонтанно, например, когда я печатаю что-то в ворде и точно знаю, что ничего не запускалось. Поскольку я настроил уведомления таким образом, что при определении группы программы мне выскакивает уведомление, то я это сразу вижу...

Я так понял, КИС периодически устраивает рескан в таблице Контроля программ?

Снятие галочек "Загружать правила для программ из КСН" и "Обновлять правила из КСН" не помогло.

Кто что может сказать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

shaana

Известная проблема, когда программы вылетают из своей группы при проблеме с доступом к серверам KSN. Исправлено в версии 12.0.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
любой исполняемый код, у которого нету цифровой подписи и которому не присвоен доверенный статус в KSN, будет блокироваться.

Иначе говоря "белый список", а его эфективность значительно выше чем у классического "черного".

Стоит ли убрать галку "Доверять программам, имеющим цифровую подпись"?

Я убираю для пущей надёжности(может это параноя :facepalm: ), тем более что на комфортность работы это не влияет.

P.S. Отличная тема!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Подскажите, у меня стоит КИС 2010, проверил систему на http://2ip.ru/port-scaner/, на предмет безопасности компа, выдало три порта, которые необходимо закрыть, как их закрыть в брандмаузере КиСа? где там нужно прописать.

скрин прилагаю.Снимок.JPG

post-12959-1307644858_thumb.jpg

Отредактировал Anonym

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

самое главное - 80 порт закрыть наглухо и навсегда, через него-то и лезет большинство зловредов...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
самое главное - 80 порт закрыть наглухо и навсегда, через него-то и лезет большинство зловредов...

я понимаю, что важно закрыть, но проблема в том, что не знаю, как, если не трудно напишите, куда лезть, т.к. в антивирусных системах безопасности компа не шарю. ОС виндовс 7 х32, KIS 2010.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
я понимаю, что важно закрыть, но проблема в том, что не знаю, как, если не трудно напишите, куда лезть, т.к. в антивирусных системах безопасности компа не шарю. ОС виндовс 7 х32, KIS 2010.

Где то на форуме ЛК была тема, что KIS не проходит некоторые тесты, но по мнению той же ЛК это не страшно, а если по теме можно использовать Брандауэр Windows 7 запретив все входящие соединения у меня так работало без конфликтов около недели с KIS 2011 потом отключил Брандмауэр показалось как то неистетично. Можете воспользоватся предложенным мной вариантом в ожидании более подходящего ответа.

Опс проглядел Вам уже ответили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
но по мнению той же ЛК это не страшно

Так оно и есть

Брандауэр Windows 7 запретив все входящие соединения
И КИСулей можно все запретить ;), было бы желание

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
было бы желание

У меня провайдеры и так всё блокируют, проверял на Windows что с вкл. Брандмауэром что с откл. все тесты проходит на ура.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иначе говоря "белый список"

Хочу себя поправить я был неправ белого списка или того что можно понять под выражением white list при таких настройках небудет, а будет значительное увеличение безопасности по сравнению с дефолтными настройками.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • PR55.RP55
      + DOTPITCH.INC
      Huai'an Qianfeng Network Technology Co., Ltd.
      Suzhou Xingchen Network Technology Co., Ltd.
      Kunshan Kuaila Information Technology Co., Ltd.
      RuiQing Software Technology Beijing Inc.
    • Lexluthor87
       Из своего личного опыта  могу поделиться следующей информацией. Кто-нибудь знаком с порядком получения микрокредитов в интернете? Я сам множество раз встречал в сети рекламу, типа, мгновенно любую сумму на ваш счет, без поручителей и залога, нужен только паспорт и ИНН...На днях срочно понадобились 3300 дол США  на 5-6 дней, и я начал искать варианты, типа быстроденьги и т.д. Я долго искал именно такой вариант, чтобы минимально переплачивать на процентах. Как я понял, в среднем процентные ставки микрокредитов в 2018 году составляют около 1-3% в день, это в основном зависит от суммы кредита. Но есть и варианты кредитов со ставкой менее 1%!!! Ставки 0,5-0,17% в день!!! Я нашел сам когда залез на https://fin32.com/ua , там куча предложений, пришлось перечитать массу вариантов, но оно того стоило. кому надо - пробуйте)
    • seomasterpro
      Если Ваш сайт работает на WordPress, то рекомендую установить плагин "Anti-Malware Security and Brute-Force Firewall".  Данный плагин является одним из немногих, что способны не только обнаруживать вредоносный код, но и умеют  удалять его. Функции и возможности. Автоматическое устранение известных угроз. Возможность загрузки определений новых угроз по мере их обнаружения. Автоматическое обновление версий TimThumb для устранения уязвимостей. Автоматическая установка обновления WP-login.php, чтобы блокировать атаку brute force. Возможность настроек сканирования. Запуск быстрого сканирования из админ. панели или полное сканирование из настроек плагина. Если Вам нужны рекомендации как пользоваться данным плагином для выявления вредоносных кодов на Вашем сайте, то можете обратиться к спецам от веб-студии на https://seo-master.pro Без регистрации плагин работает только в режиме сканирования. Регистрация плагина позволяет получить доступ к новым определениям «известных угроз» и другим функциям таким, как автоматическое удаление, а также патчи для конкретных уязвимостей , таких как старые версии TimThumb. Обновленные файлы определения могут быть загружены автоматически после того, как только Ваш ключ зарегистрирован. В противном случае, этот плагин просто сканирует на наличие потенциальных угроз и предоставляет Вам самостоятельно определять и удалять вредоносный код.
    • PR55.RP55
      Я с какой целью вам дал ссылку ? Откройте. И, если уж пишите про PC то стоит привести его характеристики. Asus k50c 2008 год; Windows 7; Одноядерный - Celeron 220 с тактовой частотой 1200 МГц; Память: DDR2 - 2ГБ. встроенная видеокарта: SiS Mirage 3+; HDD на 250 ГБ  
    • kostepanych
      А комодо без проблем работает без инета? Можно ли обновлять базы без инета, скачав обновления с официального сайта на другом компе?
      И не будет ли он сильно грузить старый ноут Asus k50c?