airatgab
Все уже написано.
Использовать HIPS=>Безопасный режим.
Настройки HIPS=>Не показывать оповещения=>Разрешить запросы.
От HIPS не будет никаких запросов. Естественно и толку не будет, КРОМЕ того что самозащита CIS обеспечивается за счет HIPS. Т.е. включен HIPS хоть и без запросов, самозащита cis включена, выключен - самозащита выключена. Хотя будут еще обрабатываться правила, которые там есть. Смотри П.С. в конце поста.
Что касается HIPS, Песка… все тоже, может чуть под другим соусом было в cis5. И у меня вызывает недоумение ваши сообщения на эту тему.
Да и прочитайте мое сообщение еще раз, хотя и без меня все разжевали в этой теме не один раз. Смысл его в том, что CIS можно настроить для работы без оповещений совершенно по разному. Нет настроек на все случае жизни, выбирается вариант в зависимости от ситуации.
П.С.
По поводу ?:\Recycle?*.
Если открыть правило в HIPS для всех приложений=>Запуск приложения=>Изменить=>Заблокированные файлы/папки, то можно увидеть там путь ?:\Recycle?*
Т.е. в теории при включенном HIPS запуск чего-либо из этой папки не возможен.
Но все равно разработчики Comodo не учли, что HIPS выключен по умолчанию, а в исключениях антивируса этот путь есть.
Я лично предпочитаю более строгие Настройки HIPS=>Не показывать оповещения=>Блокировать запросы.. Т.о. запускаются только доверенные и известные файлы.
Кажется в этом тесте (если не изменяет память, но может быть там же в другом тесте CIS), вредоносные приложения вылезли из песочницы.
А разработчики обычно смеются до тех пор, пока их не тыкнут носом в баг, тогда они или признают его, или ещё сильнее начинают отрицать его.
Крайность - это запускать ненадежные приложения. А для неизвестных, но необходимых для работы, ничто не мешает задать разрешения вручную.
По поводу потенциальной уязвимости песочницы, сообщите об этом COMODO, думая они от души посмеются.
Смеяться можно сколько угодно. Своими глазами видел результаты работы вируса-шифровальщика в песочнице.
[quote="Dementei post:63, topic:289593"]
Настройки HIPS=>Не показывать оповещения=>[b]Разрешить запросы.[/b]
При этом они будут запускаться без каких-либо ограничений.
[/quote]
И какой тогда смысл в HIPS?
[quote="Fyord post:64, topic:289593"]
Я лично предпочитаю более строгие [b]Настройки HIPS=>Не показывать оповещения=>Блокировать запросы.[/b]. Т.о. запускаются только доверенные и известные файлы.
[/quote]
:-TU
Смысл в том, что будет самозащита CIS и будут выполняться правила HIPS.
И как я уже писал, стоит HIPS выставлять в “Разрешить запросы” для пользователей, которые самостоятельно в дальнейшем ставят кучу левых программ, игр… Безопасность сильно пострадает, но это проблемы таких пользователей. Чудес не бывает.
А, например, на предприятии или на компе, на который не планируется в дальнейшем ставить ломаные проги, игры… целесообразно выставить HIPS в “Заблокировать запросы”.
Столкнулся сейчас с одной проблемой при работе в этом режиме.
Стоит Office Starter 2010. Он при запуске создаёт виртуальный диск Q, с которого и запускается собственно
Q:\140066.rus\office14\Winwordc.exe, который и определяется, как неизвестный и соответственно не запускается. Занести его в доверенные невозможно, он исчезает из этого списка при закрытии Оффиса.
Приходиться во время его работы отключать проактивную защиту.
Никакой проблемы нет. Вручную создаются правила для
Q:\140066.rus\office14\winwordc.exe,
Q:\140066.rus\office14\excelc.exe,
Q:\140066.rus\office14\clview.exe,
Q:\140066.rus\office14\offspon.exe
с политикой “Установка или обновление”.
Объясни мне ещё раз, почему это так. Никак не пойму. До этого пробовал так же ставить как частично ограниченные, так приложения и работали как частично ограниченные, а сейчас попробовал снова так поставить - блокирует полностью. Не пойму, на что же эта настройка влияет. И почему же по твоим утверждениям офис тогда работает при частично ограниченных?
Эта опция, по логике, должна относиться к песочнице. Почему оно работает именно так - вопрос к разработчикам. При отключенной песочнице эту опцию также можно отключить - неизвестные файлы будут по-прежнему блокироваться.
И почему же по твоим утверждениям офис тогда работает при частично ограниченных?
Офис работает при наличии заданных разрешений и по заданным разрешениям, а как он определяется - ограниченный, недоверенный или подозрительный - роли уже не играет.
UPD. Вышесказанное, естественно, относится к 5-й версии. В 6.2 подобной проблемы нет (и за это ей плюсик )
Как я уже писал на comss, то можно и на Proactive Security. Только для explorer.exe внести в исключения на запуск * как это сделано в конфигурации Internet Security.
Да и есть один косяк таких настроек, запускать можно программы не только из explorer, например, скачали недоверенный ехешник через firefox и открыли его из него сразу, правил нет - будет запрос - будет блокировка на запуск.
И в поведенческом анализе выключено обнаружение инсталляторов. Будут ли тогда в песке нормально устанавливаться программы…
Я сам пользуюсь Yandex.браузером и могу сказать, что как только скачиваешь вредоносный вирус CIS его проверяет на вредоностность и при выявлении помещает в карантин.
Так и должно быть. Мы же о HIPS говорим.
Ну проверять тут нечего. Это логика работы CIS. Если приложение недоверенное, то если нет правил для запускающего приложения, то будет запрос. Т.к. будет запрос, то запуск заблокируется.
По поводу выключенного обнаружения инсталяторов, все программы лицензионные и нет установленные мной работают нормально.
У меня песок выключен, вообще не понятно, в чем разница при инсталляции без ограничений или с ограничениями наложенныими в песке. Наверно зависит от жесткости ограничений песка.
Стоп, если все программы лицензионные, значит с большей вероятностью доверенные, т.е. они и будут запускаться без ограничений. А вот если программа бесплатная(лицензионная), например, 7+ tweaker, но для comodo недоверенная, то запуск инсталлятора в песке скорее всего приведет к каким-либо проблемам.
Предыдущие настройки хуже, т.к. иногда после сканирования HitmanPro и MBAM, были выявлены временные папки с вирусными exe-файлами. Правда они не запускались и в активных процессах их не было обнаружено.
Ну тут не понятно как hips влияет на это, может разные условия были и просто антивирь не удалил что-то.
Могу скинуть сайт, со свежими зловредами, с ежедневным обновлением, на которых я проверял работу CIS без оповещений.
Как бы не так. Вот позавчера на 5-ке у меня заблокировало системный файл, имеющий цифровую подпись
C:\Windows\HelpPane.exe, после чего справка не смогла работать с интернетом. Через несколько запусков справка заработала, так что делаю вывод, что это работало облако.
Они дают возможность поставить программы без ограничений. Что-то мне подсказывает если инсталлятор запуститься в песке ничего хорошего не будет.
По идее при этих опциях будут запросы, но от поведенческого анализа, а не от HIPS и они не должны блокироваться.
Помещалось в карантин не HIPSом, а модулем "Антивирус"
О чем я и говорю, по идее Hips (вкл/выкл) не должен влиять на наличие остатков вирусов.
)