UIT

Контроль программ.

В этой теме 17 сообщений

Господа, в эту новогоднюю ночь,  решил посмотреть на  работу интернет секьюрити. Запустил в виртуальной машине. И что-то оно  получается не то. Вот есть там контроль программ, подскажите, что за настройки выставить.  Нужно так -  все права/файлы и системный реестр/сетевые правила - только те, что компонент операционной системы сам запрашивает.  Эдакий режим автоматического обучения с проставкой только тех правил, которые от svchost до paint требуются, но не по предустановленным правилам а по запросу приложения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Включить интерактивный режим,

Группе доверенные выставить запрос дейсвия

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Включить? Так интерактивная защита по умолчанию и включена. Если с ней проставить в  доверенной или иной другой группе запрос действий на всё что возможно - запросов при запуске программ совсем никаких нет.  Если интерактивную защиту отключить + в группах выставить запрос действия - тогда становится веселее жить, но вручную. Только мне на этом этапе необходима работа контроля программ автоматическая в плане правил.  Для понятности - все правила для программ, интернет секьюрити должен установить автоматически и  именно только те разрешения, которые  каждая программа запрашивает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

по умолчанию включен автоматический режим.

если программа в группе Доверенные, то она получит все права, которые она запрашивает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Разобрался в терминологии, интерактивный режим я включал. Для чистоты эксперимента даже в другую группу (тоже с изменением настроек - на всё запрос действия)  все программы переносил. Меня собственно что волнует. Есть ли возможность  получить именно созданные интернет секьюрити автоматические правила. Допустим, я для абсолютно всех групп  указываю в права/файлы и системный реестр/сетевые правила - запрос действия.  Некая программа запрашивает например доступ к параметрам автозапуска, запуск планировщика, внедрение кода.....

 

И после моего её запуска или автоматического операционной системой, в интернет секьюрити я вижу правилами разрешённые только эти действия. Не просто правило являющееся рекцией на ручное указание разрешить, а конкретно, автоматически (без ручного указания пользователем) прописанные разрешения. В итоге должно получиться для некой программы -  зелененькие разрешения на доступе именно к параметрам: автозапуска, запуск планировщика, внедрение кода. А остальное в правилах - знаки вопроса.  Надеюсь, хоть в этот раз понятно пояснил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так настрой группы. Как группы доверий, так и группы приложений.

Правила_группы_2016-01-16_13-40-57.png

Правила_группы_2016-01-16_13-41-07.png

Правила_группы_2016-01-16_13-41-19.png

Правила_программы_2016-01-16_13-37-46.png

post-3736-0-76669100-1452940932_thumb.pn

post-3736-0-53049500-1452940949_thumb.pn

post-3736-0-91194500-1452940969_thumb.pn

post-3736-0-00953400-1452940976_thumb.pn

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Группы уже настраивал. Домой доберусь - гляну.  Это именно то что мне нужно??? 

Моё требование -  наличие правильного режима автоматического обучения или его аналог. Должны без запроса действия пользователя  создаваться правила/разрешения для запускаемых программ  и только те, которые программа в настоящем времени сама запрашивает. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всё, понял. Тебе нужно логгировать действия, а не правила создавать. Нет никакого реального смысла создавать разрешающие правила на все действия, потому что действия уже выполнены и, возможно, они никогда больше не повторятся. Но по этим правилам можно отследить, что делала программа. А значит суть лишь в логгировании. А значит нужно просто его включить:

Правила_группы_2016-01-17_11-50-04.png

post-3736-0-04097400-1453020622_thumb.pn

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Так у интернет секьюрити от ЛК, если по умолчанию всё  оставить,  избыточное разрешение.  Смотрите на одном из скринов на блокнот.

 

Агнитума скрин. На нём режим автоматического обучения и режимы создания правил. Итог, нет запросов к пользователю,  одна из настроек позволяет получить правила только  те, которые приложение запросило (запуск блокнота, несколько символов текстовых, сохранение txt файла). На скрине это видно. Разрешения, которые компания предлагает на уровне предустановок, несколько шире. Но можно заметить разницу в подходе с ЛК, у которого по умолчанию настроек, для блокнота разрешено всё (см. соответствующий скрин).  Далее, в случае с агнитумовским продуктом,  по одному разу на чистой системе и без стороннего ПО - запускаю всё чем обычно пользуюсь. Отключаю обучение и автосоздание. Корректирую что нужно. И всё. Программы имеют те разрешения, которые есть - иное под моим полным контролем. С моей стороны настройка занимает минимум затрат и времени. 

 

У ЛК, картина другая и печальная на мой взгляд. Попытка получить  привычный по другому продукту вид. Приводит к лавине запросов, зависанию интернет секьюрити + неработоспособности ОС (в ряде случаев; 10+VirtualBox).

1sdxc56h7.jpg

 

2sdfre5678r.jpg        3sdfgrt6789.jpg

post-6307-0-15453000-1454157949_thumb.jpg

post-6307-0-38471500-1454157974_thumb.jpg

post-6307-0-56972700-1454157997_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ты изменил права на всю группу Доверенные, так что ССЗБ.


Логика такая:

1. Включаешь Интерактивный режим

2. Больше ничего не трогаешь

Всё, что имеет правильную подпись и доверенное в облаке - молча попадает в Доверенные, на остальное - запросы. Ну и всё. 

Зачем режим обучения, если можно постоянно так работать, просто сняв одну галку?

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Работать можно, но только предпочтения у меня такие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У тебя на скриншотах видно, что Блокнот может инжектиться в чужие процессы. Другими словами, у тебя настроено "разрешать всё, даже то, чего быть не может". То есть у тебя полное разрешение Доверенным. Ну так зачем ты изменил это в KIS?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

свободные люди в свободной стране! А МС бы надо подать в суд на ЛК за незаконное ограничение прав Блокнота!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
У тебя на скриншотах видно, что Блокнот может инжектиться в чужие процессы. Другими словами, у тебя настроено "разрешать всё, даже то, чего быть не может". То есть у тебя полное разрешение Доверенным. Ну так зачем ты изменил это в KIS?

Что изменил? Я сторонник подхода - разрешать только то, что необходимо. Скрин блокнота с зеленью в разрешениях, помнится мне это кажется настройки по умолчанию, которые сразу после установки. Установил интернет секьюрити, запустил блокнот.  Группу Доверенные и разрешения ему, сама программа проставила. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@UIT, ну посмотри на скриншоты Аутпоста. Блокноту можно выполнять инжект. Где здесь "разрешать только то, что необходимо"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это в проводник. При сохранении файла  с выбором места через сохранить как - автоматом разрешение проставляется если автоматическое создание правил. В режиме ручного контроля - соответственно запрос на действие к пользователю.  Когда-то  разбирался зачем и  дальнейший  контроль у агнитумовского продукта. Оставил, но причины забылась за давностью. Советуете заблокировать такую активность?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нет, не советую. Я лишь указал, что поведение аналогично тому, что в KIS - доверенным приложениям разрешено всё, даже то, чего не может быть. На то они и доверенные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS