Перейти к содержанию

Recommended Posts

Fоx
речь дейстивтельно идет о бета-версии или все эти программные механизмы (интересует прежде всего "система анализа сети") есть в релизе?

речь идет о релизе. некоторые из перечисленных функций доступны только на Windows 7.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Благодарю. Судя по описанию "система анализа сети" (в самом антивирусе она, если я правильно понял, называется "система проверки сети") представляет собой персональную IPS от Microsoft. Есть ли у кого-то информация о том как часто выходят обновления (сигнатуры) для подсистемы предупреждения вторжений?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

Конкретно по датам не скажу, но это речь как раз о бете второй версии, и в релизе уже есть данные технологии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sbelow

Как 8-месячный пользователь сего творения от "мелких", соглашусь с постом выше.

Да действительно, подобные механизмы действительно присутствуют в релизе.

Что касается обновлений, извините, ответить сложно, потому как не задавался подобным вопрос :-)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
Благодарю. Судя по описанию "система анализа сети" (в самом антивирусе она, если я правильно понял, называется "система проверки сети") представляет собой персональную IPS от Microsoft. Есть ли у кого-то информация о том как часто выходят обновления (сигнатуры) для подсистемы предупреждения вторжений?

Как Вы знаете, MSE по умолчанию обновляется один раз в сутки (есть небольшие шаманства, позволяющие увеличить частоту такого действа), но вообще сигнатуры выпускаются до 3 раз в сутки (было установлено опытным путем). Полагаю, что и сигнатуры IPS приходят для данного продукта не чаще. Однако, если исходить из того, что у "персональной IPS" ноги растут от старшего собрата "Система осмотра сети - Network Inspection System (NIS), которая включена в продукт Forefront Treat Management Gateway), то там частота по умолчанию составляет 15 минут. Т.е. сами сигнатуры производятся чаще.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

deviss, спасибо за интересный анализ. Точнее, думаю, установить частоту обновлений сигнатур IPS трудно. У меня возникло еще несколько вопросов:

1. IPS MSE обеспечивает защиту от эксплуатации уязвимостей любого ПО, работающего с сетью или эта защита касается только уязвимостей ПО Microsoft?

2. Есть ли жесткая привязка к IE или IPS фильтрует трафик независимо от используемого браузера?

Понимаю, что вопросы непростые, но не исключаю, что кто-то владеет информацией и по этим вопросам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Chekm
Изучая информацию об этом антивирусе, набрел вот ...

Ну вот ещё для информации:

приносили мне с просьбой о настройке почти новый ноутбук... т.к покупался на ИП и пользоваться предполагалось и на работе, решил поставить MSE.

Установилось всё без проблем и быстрая проверка на вирусы... и при проверке

http://s54.radikal.ru/i144/1108/dc/c00fb6e249a1.jpg

находит зловреда и готовится его удалить... я вижу, что файл-то в общем полезный и проверяю на Вирус Тотал, результат 2 подозревают, остальные самые известные- чисто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wert
Благодарю. Судя по описанию "система анализа сети" (в самом антивирусе она, если я правильно понял, называется "система проверки сети") представляет собой персональную IPS от Microsoft. Есть ли у кого-то информация о том как часто выходят обновления (сигнатуры) для подсистемы предупреждения вторжений?

Интересная тема.

Буквально вчера поставил себе антивирус от майкрософт на ХР.

Пока не заметил какой-то блокировки непосредственно эксплойтов, в смысле работы некоего присутствующего IPS.

Обычный классический антивирус, ну в смысле кусок г... на сегодня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Благодарю. Судя по описанию "система анализа сети" (в самом антивирусе она, если я правильно понял, называется "система проверки сети") представляет собой персональную IPS от Microsoft. Есть ли у кого-то информация о том как часто выходят обновления (сигнатуры) для подсистемы предупреждения вторжений?

Еще система проверки сети предоставляет защиту от сетевых эксплойтов, таких как Conficker (MS09-67) и других эксплойтов, которые для заражения компьютера используют уязвимости сети. Система проверки сети программы Microsoft Security Essentials также, автоматически блокирует трафик с обнаруженной попыткой использования эксплойта.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Как Вы знаете, MSE по умолчанию обновляется один раз в сутки (есть небольшие шаманства, позволяющие увеличить частоту такого действа), но вообще сигнатуры выпускаются до 3 раз в сутки (было установлено опытным путем). Полагаю, что и сигнатуры IPS приходят для данного продукта не чаще. Однако, если исходить из того, что у "персональной IPS" ноги растут от старшего собрата "Система осмотра сети - Network Inspection System (NIS), которая включена в продукт Forefront Treat Management Gateway), то там частота по умолчанию составляет 15 минут. Т.е. сами сигнатуры производятся чаще.

небольшая инструкция о том как изменить периодичность обновления баз:

запустить консоль с правами системы, а из нее уже - редактор реестра. В окне редактора открыть ветку HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Microsoft Antimalware/Signature Updates. Теперь в списке параметров папки Signature Updates (справа) нужно найти SignatureUpdateInterval, открыть его двойным щелчком, включить галочкой десятиричную систему исчисления для удобства ввода и заменить цифру 24 на нужную, параметр указывается в часах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak
Еще система проверки сети предоставляет защиту от сетевых эксплойтов, таких как Conficker (MS09-67) и других эксплойтов, которые для заражения компьютера используют уязвимости сети. Система проверки сети программы Microsoft Security Essentials также, автоматически блокирует трафик с обнаруженной попыткой использования эксплойта.

Если не ошибаюсь, работает только начиная с Висты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss
deviss, спасибо за интересный анализ. Точнее, думаю, установить частоту обновлений сигнатур IPS трудно. У меня возникло еще несколько вопросов:

1. IPS MSE обеспечивает защиту от эксплуатации уязвимостей любого ПО, работающего с сетью или эта защита касается только уязвимостей ПО Microsoft?

2. Есть ли жесткая привязка к IE или IPS фильтрует трафик независимо от используемого браузера?

Понимаю, что вопросы непростые, но не исключаю, что кто-то владеет информацией и по этим вопросам.

1. В настоящее время сигнатуры NIS (собственно эта система и включена в состав второго выпуска MSE) помогают обнаружить уязвимости только в продукции Microsoft.

2. Здесь однозначно ответить не могу. Необходимо учесть, что для работы системы мониторинга сети требуется платформа фильтрации Windows (WFP), доступная в ОС Windows Vista и Windows 7. Система мониторинга сети не работает в ОС Windows XP. Я не силен в данном вопросе, но если сторонние продукты (браузеры) не поддерживают работу с данной платформой, то естественно, ее использование ограничивается только IE.

И чуть дополню еще, может будет интересно: система NIS может анализировать ряд протоколов прикладного уровня на наличие вредоносного кода. В частности, упор сделан на следующих:

HTTP

DNS

SMB

SMB2

NetBIOS

MSRPC

SMTP

POP3

IMAP

MIME

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

Выводы относительно функциональных возможностей сетевой защиты в продукте MSE сделаны исходя из информации, полученной на справочных ресурсах майкрософта и частично информация содрана отсюда:

http://www.windowsecurity.com/articles/Net...G-Firewall.html

Понятно, что речь там идет о TMG, но там же и заявлено, что NIS включен в состав 2-й версии MSE. Вообще, в целом, интересно написано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sbelow
1. IPS MSE обеспечивает защиту от эксплуатации уязвимостей любого ПО, работающего с сетью или эта защита касается только уязвимостей ПО Microsoft?

Нет не всех. Уязвимости ПО Microsoft все же приоритет.

2. Есть ли жесткая привязка к IE или IPS фильтрует трафик независимо от используемого браузера?

а) привязкая к IE все же есть, к примеру как заявляет производитель IE9 совместно с MSE обеспечивает максимальную защиту (скорее больше маркетинг).

б) фильтрация трафика производится независимо от браузера.

Пример: "Мой" MSE умудрялся визжать об обнаруженом эксплойте (Exploit:JS/Blacole.A) при использовании браузера Firefox - вот скрин http://savepic.net/1904004.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deviss

Вообще хорошо. Им бы тогда дальше еще прикручивать защиту от уязвимостей стороннего софта и будет совсем конфетка :-)

HIPS все равно нужен будет (вот бы они UAC начали пилить в этом направлении )))), но в качестве полноценной именно антивирусной защиты MSE уже был бы вполне законченным решением. А учитывая его бесплатность (даже для контор, пусть и маленьких, до 10 рабочих мест) - это в перспективе могла бы быть серьезнейшая заявка на ООчень большой кусок рынка.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Пример: "Мой" MSE умудрялся визжать об обнаруженом эксплойте (Exploit:JS/Blacole.A) при использовании браузера Firefox - вот скрин http://savepic.net/1904004.jpg

Сработал файловый монитор. Что удивительного? :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sbelow
Сработал файловый монитор

т.е. другие варианты я так понимаю не применимы?

Да, сработал.

Вы считаете, что на момент фильтрации трафика он его не распознал и поэтому позволил попасть в кеш?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
т.е. другие варианты я так понимаю не применимы?

Например?

Да, сработал.

Вы считаете, что на момент фильтрации трафика он его не распознал и поэтому позволил попасть в кеш?

Если будет время, то может быть и посмотрю :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Вы считаете, что на момент фильтрации трафика он его не распознал и поэтому позволил попасть в кеш?

По скриншоту видно, что объект, который был обнаружен - это файл: "file:C:\Users....".

Т.е. файловый монитор и сработал. Ничего удивительного нет в том, что в базе находятся скрипты-эксплойты для всего подряд. Это вредоносная программа = должна находиться в базе любого антивируса.

Кроме того, ниоткуда не видно, что эксплойт этот - для Firefox. В описании на сайте MS об этом ничего. Возможно, он заточен под другой браузер, и под Firefox не сработал бы. Но страница загружена, в кэш сброшена, и если есть в базах, то детектится.

  • Upvote 15

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus

При сканировании MSE нашел опасные программы в LiveCD, но они находятся в архивах wim. При выставлении Действия Разрешить, антивирус как будто зависает и в это время грузится HDD. Как сделать так, чтобы после сканирования просто исключить эти файлы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Я его тестировал как с Firefox, так и с IE, с которым вроде должна быть большая совместимость, результат один-зловредов ловит файловый антивирус, так что веб-антивируса у MSE к сожалению нет.

В последнюю версию Microsoft Security Essentials включена новая функция, которая называется системой проверки сети. Система проверки сети предоставляет защиту от сетевых эксплойтов, таких как Conficker (MS09-67) и других эксплойтов, которые для заражения компьютера используют уязвимости сети. Система проверки сети программы Microsoft Security Essentials также выполняет приведенные ниже действия.

Проверяет трафик в сети, к которой подключен компьютер, и заранее подавляет известные атаки. От пользователя или предприятия малого бизнеса не требуются никакие действия.

Автоматически блокирует трафик с обнаруженной попыткой использования эксплойта.

Требуется платформа фильтрации Windows (WFP), доступная в ОС Windows Vista и Windows 7. Система проверки сети не работает в ОС Windows XP." http://windows.microsoft.com/ru-RU/windows...ion?T1=features

bxv7nf6iyk1qjrf3r.png

post-6726-1320065976_thumb.png

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus

Для какого процесса открыть выход в Интернет, чтобы обновление скачивалось автоматически?

Вот такая ошибка:

Microsoft Antimalware: произошла ошибка при попытке обновления сигнатур.    Новая версия сигнатуры:     Предыдущая версия сигнатуры: 1.115.878.0    Источник обновления: Сервер Центра обновления Майкрософт    Этап обновления: Поиск    Исходный путь: http://www.microsoft.com    Тип сигнатуры: Антивирусная программа    Тип обновления: Полное    Пользователь: NT AUTHORITY\система    Текущая версия подсистемы:     Предыдущая версия подсистемы: 1.1.7801.0    Код ошибки: 0x80240038    Описание ошибки: Произошла непредвиденная ошибка при проверке наличия обновлений. Дополнительные сведения об установке и диагностике обновлений можно найти в центре справки и поддержки.

По умолчанию Автоматическое обновление Windows включеноб в настройках - скачивать и устанавливать важные обновления автоматически. Получать рекомендуемые обновления таким же образом, как важные - отмечено галочкой (включено). Попадает ли обновление сигнатур MSE под важные обновления?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Для какого процесса открыть выход в Интернет, чтобы обновление скачивалось автоматически?

Вот такая ошибка:

Microsoft Antimalware: произошла ошибка при попытке обновления сигнатур.    Новая версия сигнатуры:     Предыдущая версия сигнатуры: 1.115.878.0    Источник обновления: Сервер Центра обновления Майкрософт    Этап обновления: Поиск    Исходный путь: http://www.microsoft.com    Тип сигнатуры: Антивирусная программа    Тип обновления: Полное    Пользователь: NT AUTHORITY\система    Текущая версия подсистемы:     Предыдущая версия подсистемы: 1.1.7801.0    Код ошибки: 0x80240038    Описание ошибки: Произошла непредвиденная ошибка при проверке наличия обновлений. Дополнительные сведения об установке и диагностике обновлений можно найти в центре справки и поддержки.

По умолчанию Автоматическое обновление Windows включеноб в настройках - скачивать и устанавливать важные обновления автоматически. Получать рекомендуемые обновления таким же образом, как важные - отмечено галочкой (включено). Попадает ли обновление сигнатур MSE под важные обновления?

Если до установки MSE был включен только Windows Update, то после установки установки MSE включается Microsoft Update, соответственно поиск обновлений после этого осуществляется для всех установленных продуктов Microsoft, а не только для Windows.

Windows Update Error 0x80240038 https://social.technet.microsoft.com/Forums...76-54428ad59ad1

и здесь настройки обновлений http://answers.microsoft.com/ru-ru/protect...e9-ce81e8900808

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
Если до установки MSE был включен только Windows Update, то после установки установки MSE включается Microsoft Update, соответственно поиск обновлений после этого осуществляется для всех установленных продуктов Microsoft, а не только для Windows.

Windows Update Error 0x80240038 https://social.technet.microsoft.com/Forums...76-54428ad59ad1

и здесь настройки обновлений http://answers.microsoft.com/ru-ru/protect...e9-ce81e8900808

Я думал, что дело в закрытом порту в брандмауэре. Но получается так: в настройках MSE включено: "Выполнять поиск обновления перед сканированием". Однако, когда нажимаю на Быструю проверку, обновления не устанавливаются. Однако в Windows Update есть уведомление о необязательных обновлениях, в числе которых сигнатуры MSE. Как я понял, необязательные обновления автоматически не устанавливаются (там обычно мозолят глаза языковые пакеты). Приходится обновлять MSE вручную - кнопкой Обновить в MSE. Хотя, может MSE обновляется по какому-то расписанию (написано, что обновление происходит автоматически), но настройки расписания нет. Да и если в Windows Update есть уведомление о новых сигнатурах, почему MSE их не устанавливает?

Где-то я что-то не до настраивал =(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Я думал, что дело в закрытом порту в брандмауэре. Но получается так: в настройках MSE включено: "Выполнять поиск обновления перед сканированием". Однако, когда нажимаю на Быструю проверку, обновления не устанавливаются. Однако в Windows Update есть уведомление о необязательных обновлениях, в числе которых сигнатуры MSE. Как я понял, необязательные обновления автоматически не устанавливаются (там обычно мозолят глаза языковые пакеты). Приходится обновлять MSE вручную - кнопкой Обновить в MSE. Хотя, может MSE обновляется по какому-то расписанию (написано, что обновление происходит автоматически), но настройки расписания нет. Да и если в Windows Update есть уведомление о новых сигнатурах, почему MSE их не устанавливает?

Где-то я что-то не до настраивал =(

По умолчанию (не знаю, как в последней версии) Microsoft Security Essentials обновляет определения вирусов и программ-шпионов один раз в сутки. Периодичность можно поменять:

запустить редактор реестра - regedit.exe. В окне редактора открыть ветку HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Microsoft Antimalware/Signature Updates. Теперь в списке параметров папки Signature Updates (справа) нужно найти SignatureUpdateInterval, открыть его двойным щелчком, включить галочкой десятиричную систему исчисления для удобства ввода и заменить цифру 24 на нужную, параметр указывается в часах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×