Настройка CIS 7 для работы без оповещений (продолжение с

International Comodo Forums По-русск
#1

.

#2

Если вы имели в виду добавление файлов в доверенные из проводника, то это не так. Хорошо бы иметь такую возможность: вызвать контекстное меню на файле/каталоге и занести в доверенные, но увы…

Вопросов по мануалу Диссидента не имею, но есть что добавить
На другом форуме отзывался о статье, повторюсь тут:

Рекомендуемые Диссидентом параметры хипса и автопесочницы — масло масляное:

  • автопесочница молча блокирует запуск всех неопознанных файлов;
  • хипс снова молча их блокирует, кроме запуска неопознанных программ проводником;
  • хипс разрешает любую активность доверенных программ;
  • при всем этом еще зачем-то защищаются все файлы (программам, от которых они защищаются, уже почти дважды запрещен даже запуск)

Про «защиту от bat-файлов»: CIS рассматривает батник как самостоятельное приложение и накладывает соответствующие ограничения на исполняющий его процесс (т.е. ограничения зависят от рейтинга батника и правил для него). Тип защиты одинаково работает для exe-, bat-, js-, hta- и т.п. файлов, играет роль только опция «эвристический анализ командной строки», по умолчанию она включена. К слову, в CIS7 эта функция усовершенствована: есть защита от выполнения библиотечных файлов посредством rundll32.exe

Теперь о том, какие изменения просятся в эту конфигурацию

Если требуется жестко блокировать все неопознанное, логичнее конфигурация «Proactive Security», хипс в «безопасном режиме» с блокировкой без оповещений, проводник — «разрешенное приложение» (а не «системное», как у Диссидента); автопесочницу отключаем.

Опцию «создавать правила для безопасных приложений» отключаем, но не для «простоты» или «экономии ресурсов», а для безопасности
(С ней такой риск: скажем, посредством доверенного TotalCommander’а запустится доверенный файл «C:\myDownloads\setup.exe» — и молча создастся правило… А в другой раз на месте setup.exe окажется нечто иное)

Функция Viruscope — проблемная и малополезная, по моему опыту, вещь; рекомендую отключить

Поскольку в данной конфигурации неопознанные программы блокируются, запускаем их виртуализированно через контекстное меню: пункт «Запустить в Comodo Sandbox»

О трюке Диссидента с папкой DANGER (которую, конечно, логичнее назвать INSTALLERS).
Седьмая версия CIS’а тут существенна: в прежней мешал баг.
Ок, аналогично мануалу Диссидента создаем папку INSTALLERS, группу «Инсталляторы», назначаем ей политику «Установка или обновление».
Но в исключения автопесочницы вносить теперь уже незачем. Вместо этого открываем правила хипса для проводника, выбираем «собственный набор правил» > «запуск приложения» > «изменить» > «разрешенные» > добавляем группу «Инсталляторы». Если вместо проводника используется, скажем, TotalCommander, назначаем ему аналогичное правило
Следует учесть, что такая папка должна использоваться только для инсталляции, а не для работы: потому что все, что запустит программа с правами инсталлятора, тоже будет выполняться с правами инсталлятора; а все исполняемые файлы, что создаст такая программа, станут доверенными
Впрочем, это происходит не всегда, поэтому установленные таким способом программы могут все же не занестись автоматически в доверенные — придется сделать это вручную

Дисклаймер: это не моя рекомендуемая конфигурация, а мои замечания к подходу Диссидента. Подробно о CIS пишу в блоге

#3

Отчасти опровергну себя: придумал такое извращение:

  1. Создаем файл «c:\AddToTrusted\AddToTrusted.bat»:
copy %* c:\AddToTrusted\temp.exe
pause
del c:\AddToTrusted\temp.exe /f /q

  1. Заносим этот файл в доверенные, включаем хипс и назначаем этому файлу политику «Установка или обновление» (версия CIS должна быть 7-й)

  2. Вносим изменения в реестр:

[HKEY_CLASSES_ROOT\exefile\shell\AddToTrusted]
"MUIVerb"="Добавить в «доверенные»"
 
[HKEY_CLASSES_ROOT\exefile\shell\AddToTrusted\command]
[at]="c:\\AddToTrusted\\AddToTrusted.bat \"%1\""

Можно кое-как улучшить, это просто общая идея
Для exe-файлов метод через пень-колоду работает, но, например, для chm фокус не пройдет…

P.S. Вместо значка собаки вставилось «[at]» — не знаю, как исправить

#4

Возможно немного не по теме.
Но взгляните на эти обсуждения теста.
https://forums.comodo.com/news-announcements-feedback-cis/comodo-internet-security-703177994142-released-t103820.0.html;msg761711#new

#5

Добрый день всем

airatgab

В тексте обзора описано, что можно использовать эти настройки при любых настройках HIPS и Поведенческого анализа
Вообще-то очень расплывчатая фраза, хотя в какой-то мере объясняет дублирование защиты
Комодо при поведенческом анализе как частично ограниченное, пропускает эти батники без никаких либо ограничений
Покажите, пожалуйста, какие батники, и что именно пропускается Насколько я экспериментировал, в режиме «частично ограниченное» действительно возможно создание файлов, входящих в «защищенные объекты», но не изменение существующих
есть возможность оставить только Поведенческий анализ как Заблокировано, но от этого страдает самозащита Комодо
[s]Объясните, пожалуйста, подробнее Пока не понимаю, как самозащита страдает от заблокированного приложения...[/s]
Если включить HIPS с разрешением запросов самозащита тоже хромает.
[b]Update:[/b] Вы имели в виду под самозащитой вкладку «настройка защиты» в правилах HIPS группы «Comodo Internet Security»? Но тогда непонятно, какую роль играет разрешение или блокировка запросов при отключении оповещений, если речь о самозащите CIS от активности довереннных программ...
HIPS включен с блокировкой запросов, только в целях самозащиты Комодо
Но, как я написал, этим можно и ограничиться: автопесочница уже не нужна. Только проводник не должен быть «системным»: нужно лишь разрешение на запуск инсталляторов из специальной папки
Ваша идея добавления в доверенные файлы из контекстного меню, просто замечательна
Спасибо, коли не шутите. Только жаль, что автоматическое занесение в «доверенные» не работает для скриптов и т.п. Насчет улучшений. Можно, по аналогии с [url=http://kibinimatik.blogspot.com/2013/10/comodo-internet-security.html#new-appl-install-broker]моим способом инсталляции[/url], сделать так:
  1. Создаем файл AddToTrusted.bat:
xcopy %1 /h /y
pause
  1. Упаковываем этот файл WinRar’ом в sfx-архив «c:\AddToTrusted\AddToTrusted.exe» с параметрами:
  • выполнить после распаковки: AddToTrusted.bat
  • ждать и устанавливать код возврата
  • распаковать во временную папку
  • запрос административного доступа
  1. Создаем и запускаем файл «AddToContextMenu.reg»:
Windows Registry Editor Version 5.00
 
[HKEY_CLASSES_ROOT\exefile\shell\AddToTrusted]
"MUIVerb"="Добавить в «доверенные»"
 
[HKEY_CLASSES_ROOT\exefile\shell\AddToTrusted\command]
[at]="c:\\AddToTrusted\\AddToTrusted.exe -sp\"\"\"%1\"\"\""

[HKEY_CLASSES_ROOT\Directory\Shell\AddToTrusted]
"MUIVerb"="Добавить в «доверенные»"

[HKEY_CLASSES_ROOT\Directory\Shell\AddToTrusted\command]
[at]="c:\\AddToTrusted\\AddToTrusted.exe -sp\"\"\"%1\"\"\""

(«[at]» надо заменить значками собаки)

Способ универсальный: можно включить только автопесочницу, можно только HIPS в «безопасном режиме»…
Даже не нужно создавать правило для AddToTrusted.exe: достаточно лишь добавить этот файл в доверенные

Пункт контекстного меню появится у exe-файлов и каталогов. При использовании понадобится выжидать паузу, чтобы контрольные суммы посчитались до удаления файлов

Eugene 66

Но взгляните на эти обсуждения теста.
Имеете в виду «www.spyshelter.com/download/AntiTest.zip»? Попробовал защиту хипсом в конфигурации Internet Security — если обработать как «изолированное», то пролетает только на тестах камеры и звука; если как «ограниченное» — еще на тестах скриншота В режиме полной виртуализации якобы пишет в автозагрузку, но не в реальную вроде Насчет других режимов астопесочницы сказать особенно нечего: мало использую В любом случае еще защита фаервола есть...
#6

Только на обсуждения теста и что ошибка идет еще с 6 версии.
Выше onlooker написал.

Сам версии 6 -7 не использую.

#7

По поводу батников: возможно, мы говорим о разных вещах. Я — о том, что защита от bat- и от exe-файлов нужна одинаковая, лишь бы был включен «анализ командной строки». Если же защита от bat-файлов чем-то специфична, покажите код.
Т.е. я согласен, что дефолтных параметров CIS недостаточно для защиты пользовательских данных, и что требуется добавить их в «защищенные файлы»: маской «?:*», или «D:*», или у кого как…

однажды напоролся на fake антивируса
Нужна конкретика. Если проводник был «системным», это могло стать причиной, хотя все равно странно... Но при конфигурации Proactive Security хипс в «безопасном режиме» с блокировкой вместо оповещений не позволит запуститься зловреду. Хотя... да, остаются еще разрешения для группы «Системные приложения Windows». В качестве эксперимента можно понизить им права до «разрешенных»: по идее в «безопасном режиме» это не навредит, но надо проверить
Самозащита Комодо подразумевается возможность зловреда выгрузить антивирус
Значит, речь о пункте «Прерывание работы приложений» на вкладке «Настройка защиты» в правилах HIPS для группы «Comodo Internet Security». Однако, если не ошибаюсь, этот параметр никак не связан с оповещениями и, соответственно, с разрешением или блокировкой вместо них.
Если включить HIPS с разрешением запросов самозащита тоже хромает.
Если без автопесочницы, то конечно. Но если все же использовать автопесочницу в режиме блокировки, то не имеет значения, что выбирать: «Не показывать оповещения: блокировать» или «Не показывать оповещения: разрешать» — все равно «неопознанные» не запустятся. А запустятся только «доверенные», но в «безопасном режиме» хипса они [url=http://kibinimatik.blogspot.com/2013/10/comodo-internet-security.html#hips-order]в принципе не вызывают оповещений[/url].

Но предыдущий абзац — чисто абстрактная мысль) Повторюсь: если требуется реализовать

  • полную блокировку неопознанных «программ»,
  • самозащиту CIS,
  • и применение политики «установка или обновление» к некоторой группе,
    то достаточно правильно настроенного хипса, без автопесочницы. Пока мне не указали конкретную уязвимость такого подхода, считаю дублирование защиты лишним.
Возможность запуска через виртуальный стол также описано в обзоре
Вы при этом не написали про запуск в виртуальной среде из контекстного меню (хотя написали об этом в статье про 6-ку), поэтому я упомянул.

Насчет сравнения проблем версий 5, 6 и 7.
Снятие скриншотов из-под песочницы, конечно, неприятность, но, по-моему, с ней можно мириться…
5-я версия имеет такое достоинство: в 6-й появилась уязвимость режима «Чистый ПК», в 7-й не устраненная. Я писал тут о ней, но встретил странноватую реакцию. Но ладно: этот режим в любом случае проблемный, лучше без него обходиться.
А вот серьезным улучшением в 7-й версии стал анализ командной строки rundll32.exe; по этой причине возврат на 5-ку мне не кажется хорошей идеей.

И, наконец, про трюки с контекстным меню.
Можно еще добавить пункт для exe-файлов: «Запустить как установщик» (та же идея с запуском через программу-посредник). Тогда можно будет запускать инсталляторы без помещения их в специальную папку.
Еще — пункт проверки на вирустотале (www .virustotal.com/static/bin/vtuploader2.2.exe)…
В общем, главное в извращениях — вовремя остановиться))

#8

Трюк этот действительно работает через пень-колоду, но его проблемы — это проблемы применения политики «установка или обновление». Так, нет ясности, насколько большую паузу выдерживать перед удалением временно скопированных файлов (скорее всего, у Вас по этой причине и не сработало). Что касается пароля, то он будет запрошен, так как AddToTrusted.exe требует права администратора (если этого мало, можно архив запаролить)

А про извращения — это я о себе: мол, раньше не парился контекстным меню (почти), а тут понесло выдвигать всякие сырые идеи

Update:

В конце обзора есть ссылка на тест Antitest и пропуск батников
Однако я не нашел
#9

Там только результаты тестов, а я рассчитывал узнать более подробно методологию, код батников и т.п.

Странно, что подобными идеями приходиться заниматься пользователям, а не разработчику
Разработчикам и так спасибо) В принципе, можно высказать им пожелание, чтобы применение политики «Установка или обновление» автоматически заносило в «доверенные» не только exe- и dll-файлы, но и все те, для которых работает «анализ командной строки»... Можно и еще о багах и недочетах отчитаться, но хочется быть уверенным, что услышат
Хотя меня и так все устраивает.
В общем-то аналогично: приспособился к проблемам, и как будто их нет

Update: Последние версии «извращений» — в блоге

#10

Самый первый вариант все же слишком сырой. А тот способ, что я в блоге указываю, у меня более-менее работает

Если хотите запустить неопознанный файл через контекстное меню без ограничений, то копировать его не требуется: достаточно использовать пункт «Запустить как установщик», о котором я там писал.

Насчет chm-файлов. Для их просмотра (если не нужно выводить на печать) вполне достаточно виртуализированного запуска. Чтобы запускать их (и вообще любые файлы) в виртуальной среде прямо из проводника, добавляется пункт в контекстное меню (если хотите, можно с Shift-ом сделать).
Неприятность может возникнуть, когда некая программа вызывает chm-файл в качестве справки. Но это решаемо

Кстати о батниках. Я сейчас поигрался с ними и обнаружил уязвимость, от которой ни моя, ни Ваша конфигурация не защитит. Написал баг-репорт.

#11
если вызвать Командную строку и запустить через нее удаление, то он сможет удалить пользовательские файлы
В частности, но самое интересное не это
Системные интересно он сможет удалить и удалить файлы указанные в HIPS как папки с защищенными данными
Сможет

Главное — не удаление, а то, что любой bat-файл может запуститься без ограничений

Создайте любой ярлык, откройте свойства. Измените поля:
«объект»: «%windir%\System32\cmd.exe /c cd . & threat.bat»
«рабочая папка»: <пусто>
«Сменить значок»: «%windir%\system32\shell32.dll», далее выбираем, например, значок папки

Поместите в тот же каталог любой батник «threat.bat» и запустите ярлык…

Суть бага в том, что CIS замечает передачу батника в командной строке, только когда перед этим нет других команд:
«%windir%\System32\cmd.exe /c threat.bat»

Но в случае цепочки команд (я добавил «cd .») код батника выполнится с правами cmd.exe

Я вижу, что Вы общаетесь с модераторами сайта
Я просто заметил серьезный баг и отписался. Первый раз, кстати

А добавить свои идеи в вишлист можно, конечно… Но это думать надо)

#12
15 минут, как указано в инструкции
Не нашел, где сказано
Обязательно поделитесь
Как-нибудь... когда соберусь с силами) Посмотрим, как на первый баг-репорт отреагируют.
Кстати можно разместить ссылку на Ваш блог на сайте comss?
Спасибо за предложение, буду рад.
#13

Добрый день

Интересно
Какой офис? У меня в MSO2010 нормально вроде

Update: Что будет, если открыть саму офисную программу (а не документ) через «родное» контексное меню CIS: «Запустить в COMODO Sandbox»?
Вызывали «Очистку Sandbox»?

#14
непосредственно из него запустил excel, и все заработало.
В реальной системе или виртуализированно?
У Вас в блоге нигде не указано, что перед установкой блокируемых, неопознанных Комодо программ и файлов, нужно предварительно удостовериться в их безопасности.
«[url=http://kibinimatik.blogspot.com/2013/10/comodo-internet-security.html#temporary-disable]временно отключить автопесочницу и, в отсутствие угроз, антивирус[/url]» «[url=http://kibinimatik.blogspot.com/2013/10/comodo-internet-security.html#auto-install-problems]Другая проблема — требуется полная уверенность в безопасности устанавливаемых программ.[/url]» «[url=http://kibinimatik.blogspot.com/2013/10/comodo-internet-security.html#step-by-step]...При запуске «неопознанного», но гарантированно безопасного файла добавляем его «на лету» в «доверенные»... Установку нового безопасного ПО производим, применяя политику «Установка или обновление» с временным созданием правил.... Когда получим оповещение перед запуском подозрительной программы, выбираем «Блокировать» > «Только заблокировать», без запоминания.[/url]» Впрочем, действительно, все это изначально писалось именно как обзор принципов работы и проблем использования, а не инструкция для новичков, постепенно материал разросся. Раньше вверху приписка была наподобие: «избегаю дотошного описания очевидных вещей»
#15
а вот для самих документов с расширением xls и doc такой возможности нет
Странно, у меня все ок
Вот видите, даже я не заметил этих фраз, что уж говорить о пользователях, которые не любят читать и вникать в суть дела.
Я готовлю большую переделку, учту пожелание