Контроль программ.

[UIT 103]

Господа, в эту новогоднюю ночь,  решил посмотреть на  работу интернет секьюрити. Запустил в виртуальной машине. И что-то оно  получается не то. Вот есть там контроль программ, подскажите, что за настройки выставить.  Нужно так -  все права/файлы и системный реестр/сетевые правила - только те, что компонент операционной системы сам запрашивает.  Эдакий режим автоматического обучения с проставкой только тех правил, которые от svchost до paint требуются, но не по предустановленным правилам а по запросу приложения.

[kmscom 21]

Включить интерактивный режим,

Группе доверенные выставить запрос дейсвия

[UIT 103]

Включить? Так интерактивная защита по умолчанию и включена. Если с ней проставить в  доверенной или иной другой группе запрос действий на всё что возможно - запросов при запуске программ совсем никаких нет.  Если интерактивную защиту отключить + в группах выставить запрос действия - тогда становится веселее жить, но вручную. Только мне на этом этапе необходима работа контроля программ автоматическая в плане правил.  Для понятности - все правила для программ, интернет секьюрити должен установить автоматически и  именно только те разрешения, которые  каждая программа запрашивает.

[kmscom 21]

по умолчанию включен автоматический режим.

если программа в группе Доверенные, то она получит все права, которые она запрашивает

[UIT 103]

Разобрался в терминологии, интерактивный режим я включал. Для чистоты эксперимента даже в другую группу (тоже с изменением настроек - на всё запрос действия)  все программы переносил. Меня собственно что волнует. Есть ли возможность  получить именно созданные интернет секьюрити автоматические правила. Допустим, я для абсолютно всех групп  указываю в права/файлы и системный реестр/сетевые правила - запрос действия.  Некая программа запрашивает например доступ к параметрам автозапуска, запуск планировщика, внедрение кода.....

 

И после моего её запуска или автоматического операционной системой, в интернет секьюрити я вижу правилами разрешённые только эти действия. Не просто правило являющееся рекцией на ручное указание разрешить, а конкретно, автоматически (без ручного указания пользователем) прописанные разрешения. В итоге должно получиться для некой программы -  зелененькие разрешения на доступе именно к параметрам: автозапуска, запуск планировщика, внедрение кода. А остальное в правилах - знаки вопроса.  Надеюсь, хоть в этот раз понятно пояснил.

[Umnik 997]

Так настрой группы. Как группы доверий, так и группы приложений.

[UIT 103]

Группы уже настраивал. Домой доберусь - гляну.  Это именно то что мне нужно??? 

Моё требование -  наличие правильного режима автоматического обучения или его аналог. Должны без запроса действия пользователя  создаваться правила/разрешения для запускаемых программ  и только те, которые программа в настоящем времени сама запрашивает. 

[Umnik 997]

Всё, понял. Тебе нужно логгировать действия, а не правила создавать. Нет никакого реального смысла создавать разрешающие правила на все действия, потому что действия уже выполнены и, возможно, они никогда больше не повторятся. Но по этим правилам можно отследить, что делала программа. А значит суть лишь в логгировании. А значит нужно просто его включить:

[UIT 103]

Так у интернет секьюрити от ЛК, если по умолчанию всё  оставить,  избыточное разрешение.  Смотрите на одном из скринов на блокнот.

 

Агнитума скрин. На нём режим автоматического обучения и режимы создания правил. Итог, нет запросов к пользователю,  одна из настроек позволяет получить правила только  те, которые приложение запросило (запуск блокнота, несколько символов текстовых, сохранение txt файла). На скрине это видно. Разрешения, которые компания предлагает на уровне предустановок, несколько шире. Но можно заметить разницу в подходе с ЛК, у которого по умолчанию настроек, для блокнота разрешено всё (см. соответствующий скрин).  Далее, в случае с агнитумовским продуктом,  по одному разу на чистой системе и без стороннего ПО - запускаю всё чем обычно пользуюсь. Отключаю обучение и автосоздание. Корректирую что нужно. И всё. Программы имеют те разрешения, которые есть - иное под моим полным контролем. С моей стороны настройка занимает минимум затрат и времени. 

 

У ЛК, картина другая и печальная на мой взгляд. Попытка получить  привычный по другому продукту вид. Приводит к лавине запросов, зависанию интернет секьюрити + неработоспособности ОС (в ряде случаев; 10+VirtualBox).

 

      

[Umnik 997]

Ты изменил права на всю группу Доверенные, так что ССЗБ.

Логика такая:

1. Включаешь Интерактивный режим

2. Больше ничего не трогаешь

Всё, что имеет правильную подпись и доверенное в облаке - молча попадает в Доверенные, на остальное - запросы. Ну и всё. 

Зачем режим обучения, если можно постоянно так работать, просто сняв одну галку?

[UIT 103]

Работать можно, но только предпочтения у меня такие.

[Umnik 997]

У тебя на скриншотах видно, что Блокнот может инжектиться в чужие процессы. Другими словами, у тебя настроено "разрешать всё, даже то, чего быть не может". То есть у тебя полное разрешение Доверенным. Ну так зачем ты изменил это в KIS?

[priv8v 960]

свободные люди в свободной стране! А МС бы надо подать в суд на ЛК за незаконное ограничение прав Блокнота!

[UIT 103]

У тебя на скриншотах видно, что Блокнот может инжектиться в чужие процессы. Другими словами, у тебя настроено "разрешать всё, даже то, чего быть не может". То есть у тебя полное разрешение Доверенным. Ну так зачем ты изменил это в KIS?

Что изменил? Я сторонник подхода - разрешать только то, что необходимо. Скрин блокнота с зеленью в разрешениях, помнится мне это кажется настройки по умолчанию, которые сразу после установки. Установил интернет секьюрити, запустил блокнот.  Группу Доверенные и разрешения ему, сама программа проставила. 

[Umnik 997]

@UIT, ну посмотри на скриншоты Аутпоста. Блокноту можно выполнять инжект. Где здесь "разрешать только то, что необходимо"?

[UIT 103]

Это в проводник. При сохранении файла  с выбором места через сохранить как - автоматом разрешение проставляется если автоматическое создание правил. В режиме ручного контроля - соответственно запрос на действие к пользователю.  Когда-то  разбирался зачем и  дальнейший  контроль у агнитумовского продукта. Оставил, но причины забылась за давностью. Советуете заблокировать такую активность?

[Umnik 997]

Нет, не советую. Я лишь указал, что поведение аналогично тому, что в KIS - доверенным приложениям разрешено всё, даже то, чего не может быть. На то они и доверенные.