Перейти к содержанию

Recommended Posts

shaana

Здравствуйте, уважаемое сообщество.

Обладатель лицензионного КИС 2011 (лиц. на 2 ПК), Windows 7 Home Premium x64 (лиценз., ОЕМ) и Windows XP Pro SP 3 лиценз. из коробки. На рабоч. станциях сконцентрировано много важной и конфиденц. информации, потому безопасности уделяется первоочередное внимание.

Тему поднимал на оф. форуме:

http://forum.kaspersky.com/index.php?showtopic=207590

но широкой дискуссии она не вызвала, хотя на некоторые вопросы мне ответили.

Был бы признателен, если б ответили опытные пользователи и эксперты.

1. У меня все неизвестные программы в Контроле программ автоматически падают в "Недоверенные" (KSN используется для определения груп, а также наличие цифровой подписи). Фактически, по логике, любой исполняемый код, у которого нету цифровой подписи и которому не присвоен доверенный статус в KSN, будет блокироваться. Для того, чтобы запустить новую программу, нужно поменять ей группу на Доверенную или в группу с ограничениями вручную (а чтобы поменять группу, нужно ввести мастер-пароль для КИСа). Насколько повышает такая политика безопасности эту самую безопасность?

Стоит ли убрать галку "Доверять программам, имеющим цифровую подпись"?

Что имеет приоритет: наличие цифровой подписи или рейтинг из KSN?

2. Какие именно исполняемые файлы контролирует Контроль программ? Опытным путем я установил, что он контролирует .exe, .msi, .com и .vbs.

3. Насколько трудно злоумышленнику, не зная мастер пароля к КИСу, но имея к машине физический доступ, удалить его из системы?

4. Предотвратит ли Контроль программ с вышеозначенными настройками выполнение кода, что запускается посредством всяческих сплоитов (допустим, что и сплоит и исполняемый код есть 0 day и ничем не детектятся)?

Может, у кого есть советы по настройке КИСа 2011 для наибольшей безопасности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Насколько повышает такая политика безопасности эту самую безопасность?

Значительно :)

Стоит ли убрать галку "Доверять программам, имеющим цифровую подпись"?

Не думаю. Да, известны случаи, когда вредоносны имели валидную подпись, однако KSN позволяет быстро и без привязки к обновлению баз блокировать эти подписи и доверия к ним не будет.

Что имеет приоритет: наличие цифровой подписи или рейтинг из KSN?

KSN - истина в последней инстанции

2. Какие именно исполняемые файлы контролирует Контроль программ? Опытным путем я установил, что он контролирует .exe, .msi, .com и .vbs.

.dll, .bat, может быть что-то еще. Это не от расширения зависит, а от типа файла. Потому в таблице иногда даже *.tmp можно встретить.

3. Насколько трудно злоумышленнику, не зная мастер пароля к КИСу, но имея к машине физический доступ, удалить его из системы?

Зная пароль Админа - проще простого. Не зная пароля адмнистратора и не имеющего таких прав можно с Live CD.

4. Предотвратит ли Контроль программ с вышеозначенными настройками выполнение кода, что запускается посредством всяческих сплоитов (допустим, что и сплоит и исполняемый код есть 0 day и ничем не детектятся)?

Уязвимости на то и уязвимости... Только запустится ли вредонос вообще при таких настройках, если ты сам его не засунешь в разрешенные? Ну плюс можно использовать песочницу, которая есть в составе KIS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
shaana

Я слышал мнение, что чем быстрее машина, тем более эффективно работает эвристика on the fly (т.е. антивирус имеет определенный тайм аут на эмулирование) и если машина успевает доэмулировать до вредоносного кода, то собственно екзешнику присваивается флаг подозрительного... Правда ли это?

Чем именно отличаются поверхностный, дефолтный и глубокий уровни эвристики?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

1. Да

2. Глубина эмуляции. Сам не знаю, что это значит :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
shaana

столкнулся с неожиданной проблемой.

У меня все неизвестные программы в Контроле программ попадают в группу "Недоверенные". Легальный софт, который попадает в группу недоверенных, я вручную перетаскиваю в доверенные или слабые ограничения.

Но имеет место такая проблема. Иногда КИС ни с того ни с сего самовольно перемещает программы, которые были мной определены как Доверенные, сразу в недоверенные. Как правило, это происходит абсолютно спонтанно, например, когда я печатаю что-то в ворде и точно знаю, что ничего не запускалось. Поскольку я настроил уведомления таким образом, что при определении группы программы мне выскакивает уведомление, то я это сразу вижу...

Я так понял, КИС периодически устраивает рескан в таблице Контроля программ?

Снятие галочек "Загружать правила для программ из КСН" и "Обновлять правила из КСН" не помогло.

Кто что может сказать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

shaana

Известная проблема, когда программы вылетают из своей группы при проблеме с доступом к серверам KSN. Исправлено в версии 12.0.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
любой исполняемый код, у которого нету цифровой подписи и которому не присвоен доверенный статус в KSN, будет блокироваться.

Иначе говоря "белый список", а его эфективность значительно выше чем у классического "черного".

Стоит ли убрать галку "Доверять программам, имеющим цифровую подпись"?

Я убираю для пущей надёжности(может это параноя :facepalm: ), тем более что на комфортность работы это не влияет.

P.S. Отличная тема!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anonym

Подскажите, у меня стоит КИС 2010, проверил систему на http://2ip.ru/port-scaner/, на предмет безопасности компа, выдало три порта, которые необходимо закрыть, как их закрыть в брандмаузере КиСа? где там нужно прописать.

скрин прилагаю.Снимок.JPG

post-12959-1307644858_thumb.jpg

Отредактировал Anonym

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

самое главное - 80 порт закрыть наглухо и навсегда, через него-то и лезет большинство зловредов...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anonym
самое главное - 80 порт закрыть наглухо и навсегда, через него-то и лезет большинство зловредов...

я понимаю, что важно закрыть, но проблема в том, что не знаю, как, если не трудно напишите, куда лезть, т.к. в антивирусных системах безопасности компа не шарю. ОС виндовс 7 х32, KIS 2010.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
я понимаю, что важно закрыть, но проблема в том, что не знаю, как, если не трудно напишите, куда лезть, т.к. в антивирусных системах безопасности компа не шарю. ОС виндовс 7 х32, KIS 2010.

Где то на форуме ЛК была тема, что KIS не проходит некоторые тесты, но по мнению той же ЛК это не страшно, а если по теме можно использовать Брандауэр Windows 7 запретив все входящие соединения у меня так работало без конфликтов около недели с KIS 2011 потом отключил Брандмауэр показалось как то неистетично. Можете воспользоватся предложенным мной вариантом в ожидании более подходящего ответа.

Опс проглядел Вам уже ответили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral
но по мнению той же ЛК это не страшно

Так оно и есть

Брандауэр Windows 7 запретив все входящие соединения
И КИСулей можно все запретить ;), было бы желание

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
было бы желание

У меня провайдеры и так всё блокируют, проверял на Windows что с вкл. Брандмауэром что с откл. все тесты проходит на ура.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
Иначе говоря "белый список"

Хочу себя поправить я был неправ белого списка или того что можно понять под выражением white list при таких настройках небудет, а будет значительное увеличение безопасности по сравнению с дефолтными настройками.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×