Depuis quelques jours, j’avais des problèmes de blocage du PC et certains programmes ne fonctionnait pas correctement.
J’ai trouvé que l’invite de commande “cmd.exe” (processus générique de windows) avait été mis comme 'fichiers inconnus", résultat ce dernier était lancé automatiquement dans la sandbox. Depuis que je l’ai mis en fichiers “surs” plus aucun pb.
Je précise que dans la version 4 (que j’utilise toujours sur un autre PC) “cmd” n’avait pas été bloqué!
Je comprends ton point de vue, mais de nombreuses applications fonctionnent en ligne de commande. Si on enléve “cmd” des fichiers surs, on aura donc un pop up à chaque fois qu’un logiciel utilisera cette fonction !
Je pense que windows utilise aussi cette commande car lorsque mon PC se bloquait les logiciels incriminés n’étaient pas en service.
Et pourquoi dans le version 4, le pb ne se posait pas. J’ai eu beau vérifier, aucune trace de cmd ni dans les fichiers surs, ni dans les fichiers bloqués!
pourquoi ne pas le faire passer dans “mes fichiers protégés”
cmd.exe dans les applications sûres c’est un risque que je ne prendrais pas à ta place.
mieux vaut quelques alertes qu’un malware profitant de la faille.
Le problème n’est pas d’autoriser cmd.exe en tant qu’application: si vous utilisez des batchs programmés, vous seriez bien obligés, rideau.
Sinon, règlez-la sur “ask”', et qu’on n’en parle plus…
La question est de surveiller ce que cmd.exe lance, je ne crois pas qu’il faille protéger quoi que ce soit (sauf éventuellement le dossier dédié dans lequel on enregistre ses batchs) et, allant jusqu’au bout de mon propos, je n’utilise pas la sandbox.
dans D+/fichiers protégés, on peut ajouter en tant que groupes de fichiers les exécutables, sur la v4
.cmd, .bat, .dll, .sys…
du coup il y aura surveillance de ses fichiers par comodo.
Il me semble (je ne suis pas dessus en ce moment) que v5 gère bat et cmd par défaut.
Protéger dll, ça rend le fonctionnement du sytème infernal (bien que quelqu’un, je ne me rappelle plus qui, ait écrit sur la section anglophone un tuto censé permettre ce type de fonctionnement).
Non, je persiste et signe: quelque part, on se f… de cmd et bat (bien que de plus en plus, on trouve des logiciels appropriés, même mes sauvegardes ne sont plus aujourd’hui programmées en batch, tout fout le camp): ce qui nous intéresse, c’est de ce savoir ce qu’ils lancent, en sachant qu’il ne s’agit pas forcément d’exécutables, mais peut-être tout bêtement de scripts de commandes (auquel cas défense+ ne verra rien, et où il convient donc d’être informé qu’un batch portant le nom X est lancé, histoire de vérifier si on l’a bien demandé).
ça me donne une idée, je ne sais pas si ce que j’ai écrit pour le contrôle du hijack des exécutables s’applique aux dll (qui ne sont rien en elles-mêmes, il faut bien une application pour les lancer), il va falloir que je trafique aussi une dll pour tester.
Tu as raison dans la version 4 il était possible de rajouter des extensions à vérifier par CIS. Possibilité qui apparemment n’existe plus avec la version 5 !
Je comprends qu’il est un peu dangereux de laisser cette commande en “fichiers surs”, mais installant souvent des logiciels chez des particuliers, je me vois mal leur laisser des alertes de ce genre. Si à chaque fois CIS pose la question, l’utilisateur risque vite d’en avoir marre !
Possibilité qui apparemment n'existe plus avec la version 5 !
Si.
Défense±Stratégie de sécurité-Fichiers et dossiers protégés:
On ajoute (ou enlève) ce que l’on veut en allant à Groupes-Exécutables:
noter que (à moins que je les y aie ajoutés moi-même) bat et cmd sont déjà protégés (et auusi ocx, ça, c’est fondamental pour quiconque en est resté à IE), conduisant au comportement que j’ai décrit, interception de tous les batchs (et c’est pas une bonne idée, encore une fois, ce n’est pas bat ou cmd qu’il faut intercepter, mais ce qu’ils lancent).
Cela dit, un clampin lançant des batchs est censé ne pas être un innocent total et savoir ce qu’il fait, et notamment qu’il le fait à ses risques et périls.
c’est sûr que cmd, bat, dll et autres en eux mêmes ne sont pas dangereux ce qu’il l’est ce sont les programmes potentiellement dangereux qui les lancent.
si comodo fait bien son boulot il ne surveillera pas ces commandes mais les programmes inhabituels qui les exécutent.
perso j’ai mis tout le groupe des exécutables en protégé (.exe, .dll, .sys, .ocx, .bat, .pif, .scr, .cpl, .com et .cmd) + les programmes qui démarrent avec Windows + certains modules importants de mon AV.
on pourrait penser que les alertes vont nous faire vivre un véritable cauchemar mais je vous garantie qu’il n’en est rien.
Effectivement, je ne l’avais pas vu, “cmd” est pourtant bien dans les fichiers protégés. Il ne devrait donc pas me faire une alerte !
Mais le pire, c’est que j’ai fait une installation copie conforme sur un autre PC, avec les mêmes réglages au niveau de CIS, et là je n’ai aucune alerte lors du lancement de cette commande !