Тестирование KIS/KAV 2010 CF1

[Danilka 678]

А если он занесет нормальную прогу на моем компе даже в слабоограниченные - я не смогу ее запустить.

Тогда для ограниченных групп просто поставте в настройках прав-запрос на запуск. И все- теперь вы будете сами разрешать-запускаться той или иной програме при первом запуске.

А можно сделать как у меня,только поставить так,для группы слабые ограничения: см.скрин. Теперь при запуске программы из слабых ограничений будет появляться аллерт(только если у вас включен ручной режим) и из этого аллерта Вы можете уже сделать это приложение доверенным,если Вы ему доверяете.Аналогично и для сильных ограничений.

Тогда еще вопрос: получается, что есть всего 2 типа программ: доверенные, которым все можно, и недоверенные, которым все нельзя. А если я хочу для кого-то, например, что-то разрешить, а что-то нет - куда их? 2 промежуточные категории позволяли выстроить эту избирательность.

Да,есть либо доверенные либо не доверенные. Чуть чуть недоверенных(доверенных) нет. Так установите для каждого приложения свой настройки ручками.

[Skeptic 235]

Danilka, p2u, ОК, спасибо.

[пользователь 65]

Вообще, я против внедрения HIPS и даже PDM в корпоративную среду. Но это мое мнение и оно отличается от мнения многих сотрудников (особенно Марат яро со мной спорит по этому поводу ). Если же пользователь и Kapral скажут, что им PDM нужен, я спорить не буду. Они более опытны.

Да, да, я категорически не хочу HIPS в корпоративных антивирусах, а вот PDM - может быть в редких, исключительных случаях полезна (если не используются какие-либо ограничения на запускаемое п/о). Из таких случаев я могу упомянуть прописывание вируса в автозагрузку пользователя. Например - старт из TEMP, профиля, рабочего стола и тп. На счет проактивки - я не буду категоричным - пригодится может.

Но HIPS в корпоративной сети - это точно нонсенс Пользователям не платят за разглядывание окошек антивируса. Защитить комп от вирусов - задача админа.

Но не все админы достаточно квалифицированны... У них пользователи работают с админскими правами... Жесткие диски отформатированы как FAT. А в некоторых случаях, админы даже не поднимают админкит, типа - им сложно (как-то был случай, когда админкит не подняли в рабочей группе из 500 ПК!!!). Идеальным выходом было бы сделать специальную версию "KAV WKS с HIPS", но, мне кажется, что это неосуществимо, да и создаст лишнюю путаницу.

PS. Хотя, я бы не отказался выслушать и Марата... Может быть его аргументы заслуживают внимания.

Потому что текущая концепция "обнюхиватель+ХИПС+файрвол, все завязано на обнюхиватель и ЦП" абсолютно непригодна для корпоративного рынка.

Гм? А при чем здесь обнюхиватель? Просто сама концепция HIPS построена так, что вообще без взаимодействия с пользователем (или хотя бы с админом) она теряет свою привлекательность. Да и управлять HIPS с админкита - вот это был бы номер...

[пользователь 65]

а неудобный и дырявый файрвол не нужен ни этому пользователю, ни админу.

Не поверите, но в моей локалке, фаерволы на рабочих станциях, установлены, включены, но настроены "по умолчанию". За выходом в инет следит шлюз. Следовательно - на персональных ПК нет необходимости ограничивать трафик. Фаерволы установлены для авариных случаев - вроде гипотетического случая появления червя.

[Skeptic 235]

Вот этот пресловутый CLT на дефолтных настройках в интерактивном режиме. А второй рисунок - с настройками, как у Данила. При этом до конца провести тест не удается - выдает ошибку приложения. Но 2 теста все-таки проваливает. Интересно, что после этого мой FF оказался в недоверенных)))

[Danilka 678]

Skeptic

Настройки,как у меня? или как я показал варианты. Если как у меня,то это еще раз подверждает "кривость" этого теста.

Лучше от Матоусека скачайте тесты.

FF правильно попала в недовереные-так и должно быть.

p.s. После этого теста CLT мне в свое время пришлось чистить систему.

[Skeptic 235]

Skeptic

Настройки,как у меня? или как я показал варианты.

Ну, конечно, с запросом на запуск "слегка недоверенных" - мне же нужно было как-то запустить оболочку, clt.ехе.

А все-таки, наверное, отмахиваться совсем не надо - посмотрите, 4-й тест, во всяком случае, стабильно не палится.

[Danilka 678]

Ну, конечно, с запросом на запуск "слегка недоверенных" - мне же нужно было как-то запустить оболочку, clt.ехе.

А все-таки, наверное, отмахиваться совсем не надо - посмотрите, 4-й тест, во всяком случае, стабильно не палится.

Странно. Завтра сам посмотрю данный тест.

[Юрий Паршин 330]

Skeptic Посмотрел CLT - действительно, действия в тесте Rootkit Installation 4 мы пока не контролируем. Эта бага есть в нашем БТ.

[p2u 824]

Криво написанный тест. Он уже обсуждался здесь. Эксперты сказали, что фуфло.

http://www.anti-malware.ru/forum/index.php?showtopic=6077

Paul

[Юрий Паршин 330]

Криво написанный тест. Он уже обсуждался здесь. Эксперты сказали, что фуфло.

http://www.anti-malware.ru/forum/index.php?showtopic=6077

Paul

Rootkit Installation 4 я бы фуфлом не назвал, а вот KnownDlls действительно некорректен - он пытается загрузить таким образом подписанную библиотеку advapi32.dll - такие действия мы совершенно справедливо пропускаем. Если сбить подпись с advapi32.dll, то все будет ок:

[Yen-Jasker 265]

А в Norton к примеру есть это? Или мировому лидеру не нужно это?

Про Нортон вам уже ответили. А я назову еще один файрвол, который это мог (только не помню есть ли там предустановленные правила для приложений) - это файрвол в 6-ке и 7-ке. А в 8-ке и 9-ке наблюдаем спровоцированный маркетологами функциональный регресс файрвола, преподносимый фанатами как прорыв.

А какая ему сетевая активность нужна?

Лезет на свой домашний сайт за какой-то служебной информацией (обновление ICQ-агента типа), ну и правил для всех используемых протоколов нужны.

Замучаешься разрешать и создавать правила. А предустановленных правил нет.

А как можно с бумажки записать так, чтобы быстро и не записывать каждый? По-моему нигде нельзя иным способом.

Просто. Нужна кнопка на алерте "Разрешить активность этому приложению на этот адрес и этот порт". Может придется создать несколько правил, но лучше кликнуть столько раз, сколько нужно правил, чем по два-три клика в куче окон при создании каждого детального правила.

А что, не получалось?

Пробовал в 2009, не получилось. Может что-то не так делал, не помню, но на оффоруме тоже были жалобы, что нельзя сделать правило для диапазона портов для конкретного приложения. Но если у вас получилось, буду считать этот вопрос решенным.

Быстро - это как? Придется 2 раза нажать "Добавить". 1 раз для порта (-ов, диапазона/ов) и 1 раз для адреса (ов, диапазона/ов). Потом можно будет использовать уже созданные правила и даже комбинировать их. Например, сделать правила для кучи ИМ-клиентов, а потом снести их к чертям и поставить Миранду, а в ее правилах ткнуть "юзай эти правила".

Ну точно не так как вы описали, это точно не быстро . Как - я написал чуть выше.

Никак. Здесь мое мнение отличается от мнения Компании. Я считаю, что эта опция нужна.

Все считают что эта опция нужна, в нормальном файрволе. Но маркетологи как всегда имеют свое единственно верное мнение и как всегда плевали на мнения всех остальных.

Где продолжение темы "KIS skin tweaking"

http://forum.kaspersky.com/index.php?showtopic=118102

или ее закрыли?

[p2u 824]

Вы можете написать тестовую тулзу, которая обойдет фаервол?

Не совсем корректный вопрос, Umnik - пахнет немного демагогией. Не сомневаюсь, что есть люди, которые это умеет (KIS по данным Матоушека не прошёл тест SockSnif, помните?). Yen-Jasker не обязан это уметь для того, чтобы получать, как клиент, нормальный ответ типа: 'По нашим данным это невозможно', и т.д. 'Если найдёте пример такого зловреда, сообщите, пожалуйста, а мы исправим ситуацию'.

Paul

[Yen-Jasker 265]

Не совсем корректный вопрос, Umnik - пахнет немного демагогией. Не сомневаюсь, что есть люди, которые это умеет (KIS по данным Матоушека не прошёл тест SockSnif, помните?). Yen-Jasker не обязан это уметь для того, чтобы получать, как клиент, нормальный ответ типа: 'По нашим данным это невозможно', и т.д. 'Если найдёте пример такого зловреда, сообщите, пожалуйста, а мы исправим ситуацию'.

Paul

Я выскажу предположение, если что, специалисты идею поймут. Тулза, предположительно обходящая файрвол, даже в интерактивном режиме - это батник для ping.exe (эта утилита в Доверенных), устраивающий маленькую DDOS-атаку на заданный адрес. Это практиковалось патриотами (школотой) для атаки на сайты правительства Эстонии, когда там были проблемы с памятником Неизвестному солдату.

Нет проблем послать подобный батник жертве, убедить запустить и сделать из компьютера жертвы бот.

[p2u 824]

Не надо даже ничего не придумывать с батниками или с другими исполнительными файлами: ваш браузер и так ежедневно получает html-запросы по локальным ресурсам. С помощью этого механизма можно организовать так называемые CSRF (Cross-Site Request Forgery)-атаки, которые могут даже обезвредить ваш раутер если это кому-то нужно. Ни один файрвол пикать не станет по этому поводу. Если у вас установлен флеш плеер и ява поддерживается, то тогда вообще весело. И всё из-за того, что система разрешений для посторонних доменов - дырявая. Такие решения как NoScript в Firefox от этого как-то защищают.

Paul

[Yen-Jasker 265]

Не надо даже ничего не придумывать с батниками или с другими исполнительными файлами: ваш браузер и так ежедневно получает html-запросы по локальным ресурсам. С помощью этого механизма можно организовать так называемые CSRF (Cross-Site Request Forgery)-атаки, которые могут даже обезвредить ваш раутер если это кому-то нужно. Ни один файрвол пикать не станет по этому поводу. Если у вас установлен флеш плеер и ява поддерживается, то тогда вообще весело. И всё из-за того, что система разрешений для посторонних доменов - дырявая. Такие решения как NoScript в Firefox от этого как-то защищают.

Paul

Уточню немного. Браузер - это относительно защищенный FF (если установлены необходимые расширения) или старый дырявый ИЕ (ИЕ 6 на ХП без обновлений), которые великий ХИПС заносит в Доверенные, а великий файрвол пропускает без запроса, с настройками КИС по-умолчанию, а тем более - в автоматическом режиме ?

А за что же получил деньги проектировщик файрвола для КИС - за то что он плохо защищает домохозяйку, неудобен для специалистов, но зато задает мало вопросов маркетологам?

В порядке юмора - а может ему заплатила за "хороший файрвол" в КИС не только ЛК, но и конкуренты ?

[p2u 824]

Офф-топ:

Уточню немного. Браузер - это относительно защищенный FF (если установлены необходимые расширения) или старый дырявый ИЕ (ИЕ 6 на ХП без обновлений), которые великий ХИПС заносит в Доверенные, а великий файрвол пропускает без запроса, с настройками КИС по-умолчанию, а тем более - в автоматическом режиме ?

IE я удалил давно и совсем не интересуюсь им, но говорят, что защита от cross-site ерунды в IE8 даже не работает, как заявлено. Я специализируюсь на Firefox. Эксплойтов существует предостаточно. Поэтому Giorgio Maone добавил фичу ABE к NoScript для доменов, которые в доверенные.

Конец офф-топа.

P.S.:

Чтобы было ясно всем: мои замечания не относятся к файрволу в КИС отдельно.

Paul

[Yen-Jasker 265]

А мои претензии - относятся именно к файрволу КИС 2009 и 2010 . Когда маркетологи нам говорят "наш файрвол прошел такой-то тест", нужно понимать, что на самом деле (во многих случаях) это не файрвол прошел тест, а ХИПС и обнюхиватель. Потому что именно обнюхиватель заносит тестовую тулзу в ограниченную или Недоверенную группу, а ХИПС урезает права этой тулзы, в том числе и права на выход в Сеть.

Если обнюхиватель занесет тулзу в Слабые ограничения (с настройками по-умолчанию, особенно в автоматическом режиме) - то файрвол, являющийся на самом деле частью, придатком к ХИПС, провалит тест.

К сожалению, хотя эти замечания высказываются при выходе каждой сборки КИС, ЛК их не учитывает, а продолжает внедрять "защиту для домохозяек", не обращая внимания на здравый смысл, на мнения не только клиентов, но и некоторых своих сотрудников.

[GAndrey 20]

А мои претензии - относятся именно к файрволу КИС 2009 и 2010 . Когда маркетологи нам говорят "наш файрвол прошел такой-то тест", нужно понимать, что на самом деле (во многих случаях) это не файрвол прошел тест, а ХИПС и обнюхиватель. Потому что именно обнюхиватель заносит тестовую тулзу в ограниченную или Недоверенную группу, а ХИПС урезает права этой тулзы, в том числе и права на выход в Сеть.

Если обнюхиватель занесет тулзу в Слабые ограничения (с настройками по-умолчанию, особенно в автоматическом режиме) - то файрвол, являющийся на самом деле частью, придатком к ХИПС, провалит тест.

К сожалению, хотя эти замечания высказываются при выходе каждой сборки КИС, ЛК их не учитывает, а продолжает внедрять "защиту для домохозяек", не обращая внимания на здравый смысл, на мнения не только клиентов, но и некоторых своих сотрудников.

Технологии препятствия заражению неизвестными угрозами не могут стоять на месте только потому, что лично Вы не способны приспособиться к ним, потому что у Вас слабый инет и потому что Вы не хотите легальным программам дать возможность обновляться и тем самым закрывать свои уязвимости. Это уже ваши личные проблемы и невозможно угодить абсолютно всем, создавая продукт для миллионов пользователей естественно что угодить всем не получится - это естественные издержки и не нужно к этому так болезненно относиться. Поверьте, лично от того что Вы не будете пользоваться продуктом данной компании ничего для неё не изменится и репутация её точно от этого не пострадает.

[2600 64]

Поверьте, лично от того что Вы не будете пользоваться продуктом данной компании ничего для неё не изменится и репутация её точно от этого не пострадает.

Уважающие себя компании всегда держутся за своих клиентов. Когда говорят такие вещи - это вообще ужасно!!! Обычно это не приводит ни к чему хорошему для компании...

[Danilka 678]

Уважающие себя компании всегда держутся за своих клиентов. Когда говорят такие вещи - это вообще ужасно!!! Обычно это не приводит ни к чему хорошему для компании...

Это мнение пользователей,а не компании. Лично у меня такое же мнение-если не нравится продукт,так смени его и не парь мозг окружающим.

[2600 64]

Это мнение пользователей,а не компании.

Вот именно - мнение пользователей. Кому нужна компания без пользователей???

и к тому же

производитель с неуемными амбициями на мировое лидерство и чисто женским желанием всех задушить (хорошо хоть не обещает выцарапать глаза)

[Danilka 678]

От одного не убудет - который всем так мозги промыл,что уже тошно читать его писульки.

[GAndrey 20]

Уважающие себя компании всегда держутся за своих клиентов. Когда говорят такие вещи - это вообще ужасно!!! Обычно это не приводит ни к чему хорошему для компании...

Если вы разумный человек, а не фанат, то должны уже понимать это и сами. Юношеский максимализм не совместим с рыночной экономикой, получая тысячу новых клиентов от внедрения новых технологий - готовься потерять десяток старых.

[2600 64]

Если вы разумный человек, а не фанат, то должны уже понимать это и сами. Юношеский максимализм не совместим с рыночной экономикой, получая тысячу новых клиентов от внедрения новых технологий - готовься потерять десяток старых.

Yen-Jasker - вполне адекватный человек. Более того он приводит аргументы почему он считает что нужно сделать так, а не иначе. Ему даже не говорят что, хотя бы прислушаются к его словам...