Тонкая настройка системы проактивной защиты SysWatch Personal/Deluxe. Использование масок

Тонкая настройка системы проактивной защиты SysWatch Personal/Deluxe. Использование масок

 

В апреле anti-malware был опубликован обзор решения проактивной защиты SafenSoft SysWatch Deluxe, посвященный общим возможностям продукта и описывающий типичный процесс установки и начало работы с программой. В продолжение обзора основного функционала, мы начинаем рассказ о возможностях более тонкой настройки данной HIPS-системы.

 Для примера будем рассматривать особенности настройки системы защиты SysWatch Deluxe (ознакомительную версию программы можно скачать с сайта компании).

В данной статье мы расскажем об использовании масок для запрета или разрешения работы с определенными приложениями и файлами.

Напомним, что после установки SafenSoft SysWatch происходит создание профиля операционной системы, в результате которого найденные «хорошие» приложения добавляются к списку доверенных. Правила по умолчанию, созданные после установки и сборки профиля и используемые для контроля работы приложений, обычно являются достаточно хорошей преградой на пути вредоносных программ. Однако, чаще всего мы сталкиваемся с ситуациями, когда хочется защититься не только от вторжений и заражения, но и от необдуманных и неаккуратных действий людей. Неудивительно, что у опытного пользователя возникает желание внести коррективы в правила по умолчанию, дабы они лучше соответствовали индивидуальной конфигурации системы, вследствие этого повысив уровень защищенности данных, хранящихся в компьютере.

Рассмотрим пример «тонкой настройки» системы защиты с использованием масок. Когда это может оказаться полезно?

Представим простой сценарий: аппаратная конфигурация компьютера включает два жестких диска -  на одном установлена операционная система и дополнительные пользовательские программы, на другом - хранятся пользовательские данные. Среди этих данных самыми ценными для многих из нас являются накопленные за долгие годы фотографии (ведь это память о важных мероприятиях, торжественных моментах и увлекательных приключениях). Для предотвращения случайного удаления, порчи или неправомерного доступа к данным со стороны третьих лиц можно воспользоваться SafenSoft SysWatch.

 

Пример 1. Настройка HIPS с помощью масок. Предотвращение случайного удаления, порчи или неправомерного доступа к данным.

Один из возможных способов решения поставленной задачи заключается в выполнение следующего сценария: во-первых, необходимо запретить всем известным приложениям, установленным на персональном компьютере, изменять или удалять файлы определённого формата на диске, на котором хранятся оберегаемые данные. Для этого необходимо вызвать контекстное меню программы SysWatch Deluxe, нажав правой кнопкой мыши по значку, находящемуся в области уведомлений панели задач (рисунок 1).

 

Рисунок 1. SysWatch Deluxe: вызов контекстного меню

 Рисунок 1. SysWatch Deluxe: вызов контекстного меню

 

После чего необходимо выбрать пункт меню – «Политика контроля». Открывшееся окно будет содержать две вкладки «Области контроля» и «Процессы и приложения». На данном этапе нас интересует первая вкладка. Здесь можно задавать общие правила, которые будут действовать либо для обеих групп («Доверенные» и «Ограниченные»), либо для какой-нибудь группы в отдельности. В качестве областей, работу которых можно регулировать, в программе представлены следующие: файловая система; системный реестр; сеть; привилегии процессов; устройства, подключаемые к компьютеру; взаимодействия процессов. Так как перед нами стоит задача организации защиты файлов, то необходимо выбрать подпункт меню – «Файловая система». Далее существует два пути решения поставленной задачи: либо выставлять правила доступа для каждой папки, в которой находятся фотографии, либо воспользоваться маской. Так как на диске может находиться большое количество папок, то воспользуемся вторым из предложенных решений.

Работа с масками, скорее всего, хорошо известна пользователям, которые имели дело с написание скриптов. Для замены некоторых или всех символов, составляющих полное имя файла, в программе SysWatch Personal используются следующие обозначения:

#*# - маска заменяет любое количество символов, кроме символа ‘\’;

#**# - маска заменяет любое количество символов;

#0# - маска эквивалентна сравнению с нулевым байтом;

#?# - маска заменят ровно один любой символ.

Указанных четырёх правил вполне хватает для описания полного имени файла (директория + имя файла + расширение).

В нашем случае все файлы представляют собой фотографии. Они могут иметь разную директорию (в пределах системного тома) и разное имя (какие-то имена присваивается автоматически фотоаппаратом, какие-то имена созданы пользователями), однако, все они будут иметь одинаковое расширение, в нашем случае – это .JPG. Если возможных форматов файлов несколько, то будет необходимо составить несколько отдельных правил. Маска, обобщающая все фотографии на диске, будет иметь следующий вид: #**#.JPG. Далее для организации работы маски нужно указать правила. Так как мы хотим избежать любой порчи или передачи фотографий, то необходимо снять галочки напротив чек-боксов «Чтение» и «Удаление», по понятным причинам чек-бокс «Запись» оставляем без изменений.

Последнее что нам осталось сделать на данном этапе - это указать, для какой группы приложений будут применимы сформированные правила. В нашем случае – «Для всех» (рисунок 2).

 

Рисунок 2. SysWatch Deluxe: формирование масок

 Рисунок 2. SysWatch Deluxe: формирование масок

 

Для того чтобы проверить корректность сформированных правил, попробуем, для начала, открыть фотографию. Данная попытка не увенчается успехом и, в зависимости от программы для просмотра изображений, мы получим уведомление (рисунке 3).

 

Рисунок 3. SysWatch Deluxe: просмотр защищенного изображения

 Рисунок 3. SysWatch Deluxe: просмотр защищенного изображения

 

Попытка удалить защищенную фотографию также не увенчается успехом.

Таким образом, мы полностью обезопасили себя от порчи или попадания к третьим лицам важных для нас файлов. Однако, на данный момент, мы также не можем ни просматривать, ни при необходимости удалять эти файлы.

 

Пример 2. Маски. Задание исключений.

Конечно, пример, рассмотренный выше, несколько радикален. На практике для организации полноценной работы с фотографиями, необходимо, чтобы сформированные правила не действовали на ряд приложений, которым мы доверяем и которые чаще всего используем.

SysWatch Deluxe позволяет сделать это двумя способами.

Маски в SysWatch. Способ первый – задание исключений.

Первый, и наиболее простой способ – во время формирования правила (в нашем случае это маска) указать название приложение, на работу которого оно не будет распространяться. Для этого необходимо вызвать дополнительные опции (пункт меню «Дополнительно») сформированного правила (с настройками операционной системы «по умолчанию» - это нажатие правой кнопкой мыши по сформированному правилу (рисунок 4)).

 

Рисунок 4. SysWatch Deluxe: Дополнительные правила маски

 Рисунок 4. SysWatch Deluxe: Дополнительные правила маски

 

Данное меню расширяет возможности применения правил. Здесь можно указать пользователей, для которых будет действовать данное правило; временные интервалы, в течение которых оно будет действовать; исключения, т.е., приложения, на которые данное правило не будет распространяться. Список, находящийся на третьей вкладке, содержит имена приложений, которые зарегистрированы в системе. Для примера можно выбрать приложение для работы с изображениями, которое устанавливается вместе с операционной системой семейства Windows NT – MS Paint (рисунок 5).

 

Рисунок 5. SysWatch Deluxe: Выбор исключения

 Рисунок 5. SysWatch Deluxe: Выбор исключения

 

После добавления MSPAINT.EXE в список приложений, на которые не распространяется действие ранее сформированной маски, мы можем использовать данную программу для редактирования графический изображений, доступ к которым у других приложений отсутствует.

Маски в SysWatch. Задание исключений. Способ второй – создание разрешающего правила.

Также существует второй способ, который позволяет приложениям «обходить» запрет на работу с файлами, доступ к которым был закрыт маской. Этот способ заключается в формирование второго - разрешающего правила. В нотации SysWatch Deluxe правила, которые могут быть сформированы для каждого приложения в отдельности, называются Частным и они имеют более высокий приоритет, в сравнение с ранее созданным Общим правилом.

Для того чтобы создать новое правило для конкретного приложения, необходимо, как и раньше, вызвать контекстное меню программы и выбрать пункт «Процессы и Приложения». В открывшемся списке необходимо выбрать интересующее нас приложение. Если приложение не удается найти в списке, то его необходимо добавить туда, нажав на строку «Добавить» и указав путь до исполняемого файла на диске.

После того, как приложение найдено в списке, необходимо, сформировать новую маску, действие которой будет распространяться только на это приложение. В нашем случае приложению Picasa Photo Viewer разрешено выполнять с файлами на диске любые действия – этому приложению мы доверяем и используем чаще остальных при работе с графическими файлами.

После того, как маска, являющаяся Частным правилом для приложения Picasa Photo Viewer, сформирована и применена, можно убедиться, что все графические файлы, которые попадают под её действие, поддаются редактированию. Другие приложения по-прежнему не в состояние проводить какие-либо операции с указанными файлами.

Таким образом, мы рассмотрели пример «тонкой настройки» системы проактивной защиты SysWatch Deluxe на примере защиты определенных файлов при помощи масок, является эффективным способом сохранения конфиденциальной информации. В следующих статьях мы постараемся рассмотреть новые примеры «тонких настроек», которые помогут сберечь ваш компьютер и ваши данные.

Напоследок отметим, что процесс настройки масок выглядит аналогично как для SysWatch Personal – HIPS в «чистом» виде, то есть без антивирусного сканера, а также для корпоративных вариантов продукта SysWatch – SysWatch  Workstation/ SysWatch Workstation PLUS (с той только разницей, что корпоративный продукт настраивается централизованно администратором, без участия пользователей рабочих станций).

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru

Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.