Перейти к содержанию

Recommended Posts

UIT

Господа, в эту новогоднюю ночь,  решил посмотреть на  работу интернет секьюрити. Запустил в виртуальной машине. И что-то оно  получается не то. Вот есть там контроль программ, подскажите, что за настройки выставить.  Нужно так -  все права/файлы и системный реестр/сетевые правила - только те, что компонент операционной системы сам запрашивает.  Эдакий режим автоматического обучения с проставкой только тех правил, которые от svchost до paint требуются, но не по предустановленным правилам а по запросу приложения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kmscom

Включить интерактивный режим,

Группе доверенные выставить запрос дейсвия

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Включить? Так интерактивная защита по умолчанию и включена. Если с ней проставить в  доверенной или иной другой группе запрос действий на всё что возможно - запросов при запуске программ совсем никаких нет.  Если интерактивную защиту отключить + в группах выставить запрос действия - тогда становится веселее жить, но вручную. Только мне на этом этапе необходима работа контроля программ автоматическая в плане правил.  Для понятности - все правила для программ, интернет секьюрити должен установить автоматически и  именно только те разрешения, которые  каждая программа запрашивает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kmscom

по умолчанию включен автоматический режим.

если программа в группе Доверенные, то она получит все права, которые она запрашивает

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Разобрался в терминологии, интерактивный режим я включал. Для чистоты эксперимента даже в другую группу (тоже с изменением настроек - на всё запрос действия)  все программы переносил. Меня собственно что волнует. Есть ли возможность  получить именно созданные интернет секьюрити автоматические правила. Допустим, я для абсолютно всех групп  указываю в права/файлы и системный реестр/сетевые правила - запрос действия.  Некая программа запрашивает например доступ к параметрам автозапуска, запуск планировщика, внедрение кода.....

 

И после моего её запуска или автоматического операционной системой, в интернет секьюрити я вижу правилами разрешённые только эти действия. Не просто правило являющееся рекцией на ручное указание разрешить, а конкретно, автоматически (без ручного указания пользователем) прописанные разрешения. В итоге должно получиться для некой программы -  зелененькие разрешения на доступе именно к параметрам: автозапуска, запуск планировщика, внедрение кода. А остальное в правилах - знаки вопроса.  Надеюсь, хоть в этот раз понятно пояснил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Так настрой группы. Как группы доверий, так и группы приложений.

Правила_группы_2016-01-16_13-40-57.png

Правила_группы_2016-01-16_13-41-07.png

Правила_группы_2016-01-16_13-41-19.png

Правила_программы_2016-01-16_13-37-46.png

post-3736-0-76669100-1452940932_thumb.pn

post-3736-0-53049500-1452940949_thumb.pn

post-3736-0-91194500-1452940969_thumb.pn

post-3736-0-00953400-1452940976_thumb.pn

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Группы уже настраивал. Домой доберусь - гляну.  Это именно то что мне нужно??? 

Моё требование -  наличие правильного режима автоматического обучения или его аналог. Должны без запроса действия пользователя  создаваться правила/разрешения для запускаемых программ  и только те, которые программа в настоящем времени сама запрашивает. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Всё, понял. Тебе нужно логгировать действия, а не правила создавать. Нет никакого реального смысла создавать разрешающие правила на все действия, потому что действия уже выполнены и, возможно, они никогда больше не повторятся. Но по этим правилам можно отследить, что делала программа. А значит суть лишь в логгировании. А значит нужно просто его включить:

Правила_группы_2016-01-17_11-50-04.png

post-3736-0-04097400-1453020622_thumb.pn

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Так у интернет секьюрити от ЛК, если по умолчанию всё  оставить,  избыточное разрешение.  Смотрите на одном из скринов на блокнот.

 

Агнитума скрин. На нём режим автоматического обучения и режимы создания правил. Итог, нет запросов к пользователю,  одна из настроек позволяет получить правила только  те, которые приложение запросило (запуск блокнота, несколько символов текстовых, сохранение txt файла). На скрине это видно. Разрешения, которые компания предлагает на уровне предустановок, несколько шире. Но можно заметить разницу в подходе с ЛК, у которого по умолчанию настроек, для блокнота разрешено всё (см. соответствующий скрин).  Далее, в случае с агнитумовским продуктом,  по одному разу на чистой системе и без стороннего ПО - запускаю всё чем обычно пользуюсь. Отключаю обучение и автосоздание. Корректирую что нужно. И всё. Программы имеют те разрешения, которые есть - иное под моим полным контролем. С моей стороны настройка занимает минимум затрат и времени. 

 

У ЛК, картина другая и печальная на мой взгляд. Попытка получить  привычный по другому продукту вид. Приводит к лавине запросов, зависанию интернет секьюрити + неработоспособности ОС (в ряде случаев; 10+VirtualBox).

1sdxc56h7.jpg

 

2sdfre5678r.jpg        3sdfgrt6789.jpg

post-6307-0-15453000-1454157949_thumb.jpg

post-6307-0-38471500-1454157974_thumb.jpg

post-6307-0-56972700-1454157997_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ты изменил права на всю группу Доверенные, так что ССЗБ.


Логика такая:

1. Включаешь Интерактивный режим

2. Больше ничего не трогаешь

Всё, что имеет правильную подпись и доверенное в облаке - молча попадает в Доверенные, на остальное - запросы. Ну и всё. 

Зачем режим обучения, если можно постоянно так работать, просто сняв одну галку?

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Работать можно, но только предпочтения у меня такие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

У тебя на скриншотах видно, что Блокнот может инжектиться в чужие процессы. Другими словами, у тебя настроено "разрешать всё, даже то, чего быть не может". То есть у тебя полное разрешение Доверенным. Ну так зачем ты изменил это в KIS?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

свободные люди в свободной стране! А МС бы надо подать в суд на ЛК за незаконное ограничение прав Блокнота!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
У тебя на скриншотах видно, что Блокнот может инжектиться в чужие процессы. Другими словами, у тебя настроено "разрешать всё, даже то, чего быть не может". То есть у тебя полное разрешение Доверенным. Ну так зачем ты изменил это в KIS?

Что изменил? Я сторонник подхода - разрешать только то, что необходимо. Скрин блокнота с зеленью в разрешениях, помнится мне это кажется настройки по умолчанию, которые сразу после установки. Установил интернет секьюрити, запустил блокнот.  Группу Доверенные и разрешения ему, сама программа проставила. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

@UIT, ну посмотри на скриншоты Аутпоста. Блокноту можно выполнять инжект. Где здесь "разрешать только то, что необходимо"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT

Это в проводник. При сохранении файла  с выбором места через сохранить как - автоматом разрешение проставляется если автоматическое создание правил. В режиме ручного контроля - соответственно запрос на действие к пользователю.  Когда-то  разбирался зачем и  дальнейший  контроль у агнитумовского продукта. Оставил, но причины забылась за давностью. Советуете заблокировать такую активность?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Нет, не советую. Я лишь указал, что поведение аналогично тому, что в KIS - доверенным приложениям разрешено всё, даже то, чего не может быть. На то они и доверенные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×