Перейти к содержанию

Recommended Posts

mxmrus

Заранее благодарен, если кто просветит.) Достаточно ли HIPS от Comodo или обязательно еще должен быть UAC включен? Ни здесь, ни на других форумах ничего однозначного не нашел. Видел от "зачем вам хипс, если есть uac" до "хорошо, когда оба работают".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Достаточно ли HIPS от Comodo или обязательно еще должен быть UAC включен?

Одно другому не помешает это точно. Честно говоря не понимаю, зачем вообще отключать UAC. Это фича лишний раз показывает что вообще пытается запуститься в системе, в этом ее исходный смысл. HIPS же контролирует действия программ.

Конечно, что сказать, что HIPS заменяет UAC, точнее перекрывает его. НО всегда могут быть ошибочные настройки HIPS или действия пользователя, а UAC может быть как раз тем самым последним звеном, который тормознет процесс запуска программы и переспросит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT
Одно другому не помешает это точно. Честно говоря не понимаю, зачем вообще отключать UAC. Это фича лишний раз показывает что вообще пытается запуститься в системе, в этом ее исходный смысл. HIPS же контролирует действия программ.

UAC в первую очередь предназначен для тех, кто ЗЛОУПОТРЕБЛЯЕТ привилегиями администратора. Для нормальных людей, которые ежедневную работу выполняет под учётной записью стандартного пользователя, UAC практически никакого положительного значения не несёт. Я отключаю UAC, так как всегда и везде строго разделяю привилегии, Администратором вхожу только по доказанной необходимости. Ну а в такой конфигурации UAC только мешает работать, например, запарывая разрешения NTFS.

UAC не является Security Boundary, есичо. Разделение привилегий — является.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mxmrus

Я большую часть времени провожу в "гостевом эккаунте", администратором - по необходимости. UAC вкл. постоянно (с дефолтными настройками)+Авира фри+Комодо фаервол. В последнее время, не знаю по какой причине, стал задумываться над тем, чтобы UAC выкл. и активировать хипс Комодо.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
UAC в первую очередь предназначен для тех, кто ЗЛОУПОТРЕБЛЯЕТ привилегиями администратора. Для нормальных людей, которые ежедневную работу выполняет под учётной записью стандартного пользователя, UAC практически никакого положительного значения не несёт. Я отключаю UAC, так как всегда и везде строго разделяю привилегии, Администратором вхожу только по доказанной необходимости. Ну а в такой конфигурации UAC только мешает работать, например, запарывая разрешения NTFS.

UAC не является Security Boundary, есичо. Разделение привилегий — является.

Что у меня закрадываются сомнения, вы вообще на семерке работали? :lol: Для начала почитайте, что такое суперадмин и вообще про UAC :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GRINDERs
Заранее благодарен, если кто просветит.) Достаточно ли HIPS от Comodo или обязательно еще должен быть UAC включен? Ни здесь, ни на других форумах ничего однозначного не нашел. Видел от "зачем вам хипс, если есть uac" до "хорошо, когда оба работают".

Отключай UAC - он не нужен, только будет тормозить ПК, если ты юзаешь COMODO и ты уверен, что можешь полностью владеть его проактивной защитой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Отключай UAC - он не нужен, только будет тормозить ПК, если ты юзаешь COMODO и ты уверен, что можешь полностью владеть его проактивной защитой.

Дамс, и эти люди сидят на форуме по безопасности. :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Дамс, и эти люди сидят на форуме по безопасности. facepalm.gif

А чо. Если уверен в COMODO, можно вообще даже не только UAC отключить, но даже и вообще с Windows на что-нибудь другое уйти :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Дамс, и эти люди сидят на форуме по безопасности. facepalm.gif

Ага, положительная репутация, все дела. Впрочем, если посмотреть, кто лепил плюсы, то все становится на свои места.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
NOSS
в отличие от параноидального COMODO
В чём его параноидальность?
Параноик он в том, что даже после обучения фаера, он всё равно задаёт вопросы по проге которую уже добавил в доверенные, один eMule заколебешься настраивать, по сто раз одно и тоже, пока в ручную порты не напишешь хрен что скачешь, для меня COMODO в прошлом
Отключай UAC - он не нужен, только будет тормозить ПК, если ты юзаешь COMODO и ты уверен, что можешь полностью владеть его проактивной защитой.

Бардак - он в головах... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GRINDERs

Лично мне UAC не нужен. Как всегда здесь одни умники сидят. Кому нравится UAC, MSE, и Windows 7 Firewall - сидите на нём, ничего против не имею. Лично я предпочитаю: проактивку COMODO и фаер Online Armor, ИМХО проще и надежней. По поводу того, что я раньше писал про COMODO - это больше касалось его фаервола, его я не люблю, а вот Armor уважаю

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
По поводу того, что я раньше писал про COMODO - это больше касалось его фаервола, его я не люблю
Параноик он в том, что даже после обучения фаера, он всё равно задаёт вопросы по проге которую уже добавил в доверенные, один eMule заколебешься настраивать, по сто раз одно и тоже,
Возможно не до конца разобрались с настройками? Есть настройки "частоты оповещений". 5 уровней.

Изв. за оффтоп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Лично мне UAC не нужен. Как всегда здесь одни умники сидят. Кому нравится UAC, MSE, и Windows 7 Firewall - сидите на нём, ничего против не имею. Лично я предпочитаю: проактивку COMODO и фаер Online Armor, ИМХО проще и надежней. По поводу того, что я раньше писал про COMODO - это больше касалось его фаервола, его я не люблю, а вот Armor уважаю

Скорее всего вы не понимаете, что такое UAC.

Т.к. мешать все в одну кучу: "UAC, MSE, и Windows 7 Firewall" - признак ... ай ладно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
GRINDERs
Скорее всего вы не понимаете, что такое UAC.

Т.к. мешать все в одну кучу: "UAC, MSE, и Windows 7 Firewall" - признак ... ай ладно...

Мне хоум юзеру - не нужен UAC. Он больше нужен для школ и предприятий и т.д. Под админом сижу всё время - никаких опасений нет, т.к. есть умная голова и надёжная защита, вот и выкл. его за ненадобностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Да, мы так и поняли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
Конечно, что сказать, что HIPS заменяет UAC, точнее перекрывает его. НО всегда могут быть ошибочные настройки HIPS или действия пользователя, а UAC может быть как раз тем самым последним звеном, который тормознет процесс запуска программы и переспросит.

Это в принципе так, но в случае Комодо не так. При запуске программ всегда происходит следующая последовательность:

1. Алерт Комодо на разрешение запуска.

2. Алерт UAC на разрешение запуска.

3. Алерты Комодо на разрешение тех или иных действий программы.

То есть "последним звеном" UAC здесь быть не может, и, насколько я знаю, не только в случае Комодо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Это в принципе так, но в случае Комодо не так. При запуске программ всегда происходит следующая последовательность:

1. Алерт Комодо на разрешение запуска.

2. Алерт UAC на разрешение запуска.

3. Алерты Комодо на разрешение тех или иных действий программы.

То есть "последним звеном" UAC здесь быть не может, и, насколько я знаю, не только в случае Комодо.

Алерт UAC идет только на разрешение запуска, т.е. запрос на действия требующие права администратора. Если подтверждение получено, то дальше контроль действия программы не ведется (обычный пользователь, не локальный админ, должен будет ввести админский пароль).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Ну так я об этом и говорю: последним звеном, которое может заставить человека задуматься, всегда идет алерт ХИПСа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Ну так я об этом и говорю: последним звеном, которое может заставить человека задуматься, всегда идет алерт ХИПСа.

Не всегда :rolleyes: Например свежий винлок или очередной "куканчик" в доверенных, и Хипс в пролете (я уж не говорю про "левые" подписи). Но если эта лабуда запросит права, то UAC сразу тупо спросит подтверждение (не смотря какая подпись и алгоритм действий), вот он и будет последним звеном.

uac-02.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic
Не всегда :rolleyes: Например свежий винлок или очередной "куканчик" в доверенных, и Хипс в пролете

Нет, не в пролете. На свежих локерах проверяли - Армор даже при запуске локера с ограниченными правами всегда дает три-четыре алерта после запроса UAC до блокировки, Комод - по разному, но при отключении песочницы тоже столько же алертов как минимум.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Нет, не в пролете. На свежих локерах проверяли - Армор даже при запуске локера с ограниченными правами всегда дает три-четыре алерта после запроса UAC до блокировки, Комод - по разному, но при отключении песочницы тоже столько же алертов как минимум.

Может быть, но приведу простые примеры:

Взять тот же Комод, фиксы ХИПСа http://www.stopmalware.kz/showthread.php?t=1174

В 5.9 опять фиксили проблемы с обходом проактивки. http://www.comss.ru/page.php?id=239

После этих примеров слепо надеяться только на одну проактивку, отключая UAC :lol: И где гарантии, что проактивка в очередной раз не будет обойдена используя "доверенное" приложение. Повторяюсь для UAC "доверенных" приложений нет и обходиться юзерский контроль совсем по другому, например "бомбардировкой" непрерывных запросов и другими методами по большому счету соц.инженерии или используя уязвимости Винды, но никак не эксплуатацией over 9000 "легитимности" приложения.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Дмитрий, вы немного не о том. Речь не об отключении UAC.

Речь о том, что, если юзер скачал из сети приглянувшийся ему экзешник, он его запустит, и 200%, что он разрешит моментально выскакивающий запрос на запуск от UAC. И только дальнейшие алерты хипс с детальным указанием о том, что идет запрос на выполнение подозрительных действий, да еще помеченных угрожающими оранжевыми и красными цветами, может побудить юзера усомниться в правильности своих действий.

Не понимаю, зачем оспаривать то, что известно практически любому, кто юзал Армор, Комодо и другие хипсы? Разве что только для того, чтобы дать повод усомниться в ценности этих БЕСПЛАТНЫХ продуктов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Дмитрий, вы немного не о том. Речь не об отключении UAC.

Речь о том, что, если юзер скачал из сети приглянувшийся ему экзешник, он его запустит, и 200%, что он разрешит моментально выскакивающий запрос на запуск от UAC. И только дальнейшие алерты хипс с детальным указанием о том, что идет запрос на выполнение подозрительных действий, да еще помеченных угрожающими оранжевыми и красными цветами, может побудить юзера усомниться в правильности своих действий.

Не понимаю, зачем оспаривать то, что известно практически любому, кто юзал Армор, Комодо и другие хипсы? Разве что только для того, чтобы дать повод усомниться в ценности этих БЕСПЛАТНЫХ продуктов?

Вообще то, тут по теме было - отключай UAC и доверься ХИПСУ Комодо :facepalm: Вот я примеры и привел, в двух билдах исправляют косяки по обходу Хипса :lol: Никаких намеков про бесплатность продукта, просто констатация фактов. Еще раз повторяюсь, алгоритм проактивки на подозрительные действие программ обходится, действия на повышение прав UAC не пропустит. А приглянувшийся экзешник можно с таким же успехом запустить не смотря на красные/желтые алерты хипсов, с таким же успехом как запрос UAC. Мы ведь тут не рассуждаем о куриных мозгах школьника, дорвавшегося до интернета, а спорим о том, что является последним барьером защиты. Кстати, в пользовательском профиле, не зная админский пароль, шаловливые ручонки юзера вообще ничего не запустят.

ОФФ:

Боянчик на тему подозрительности :rolleyes:

4e5d1c285e92.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Вы так рассуждаете, как будто не существует малварь, работающих с правами пользователя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×