HIPS Défense + et Parefeu

Bonjour à vous.

Je viens tout juste de revenir à Comodo Internet Security Premium en version gratuite.

Je rencontre une sorte, non pas de soucis, mais d’interrogation sur la configuration de divers éléments (comme pas mal de personnes je suppose).

Je sais qu’il y a les modules Antivirus, Parefeu, Défense + et HIPS.

Mon objectif est, simplement, d’autoriser ou non certains logiciels à se connecter ou non à internet. Non par exemple pour empêcher la recherche des mises à jour à mon insu.
C’est le cas avec Pinancle Studio 16 (légal), qui inclut un Install Manager (ou Download Manager), permettant me semble-t-il de contrôler la version du logiciel et les plug-in installés.
L’exécutable faisant parti de cette fonctionnalité du soft est : avidcloudmanager.exe.

Lors de la première demande de CIS pour autoriser ou non cet exe à se lancer (ou se connecter si il s’agit bien d’une tentative de connexion), j’ai placé avidcloudmanager.exe en bloqué via la fenêtre popup, mais cela n’a à priori pas fonctionné immédiatement. En effet, l’exe en question apparaissait dans mon Gestionnaire des tâches. Pourtant ce même exe était bien présent dans le chemin d’accès suivant, via CIS (et non Windows 7) : Paramètres avancés / Paramètres de sécurité / Objets protégés / Fichiers bloqués.

Plus ■■■■, en passant par l’interface de CIS, j’ai moi-même bloqué cet exécutable, et maintenant, il ne se trouve plus dans le Gestionnaire des tâches, preuve que cela fonctionne donc.
Toutefois, en suivant le chemin d’accès de CIS (ci-dessus), il se trouve bloqué deux fois, et il s’agit bien du même (aucune différence de chemin d’accès W7 ou CIS). Si j’en supprime un, la popup me redemande d’autoriser ou de refuser alors qu’il s’y trouve bien une fois.

Quel intérêt pour CIS de placer deux fois le même élément dans les Fichiers bloqués du Défense + HIPS pour que cela soit effectivement bloqué ?

De plus, c’est bel et bien le Défense + HIPS qui bloque cet exe, et à priori, non le parefeu en lui-même.
Pour refuser un exe à se connecter à internet, le parefeu doit le faire n’est-ce pas ? Hors, dans ma configuration de celui-ci (via Paramètres avancés), je ne vois nul part dans une quelconque règle le refus de sa connexion.

En résumé, même si l’exe avidcloudmanager.exe n’apparaît plus dans mon Gestionnaire des tâches, est-il bloqué pour autant en connexion in et out via le parefeu, grâce au HIPS ?
Ou comment corriger cela pour que tout soit clair ?

De plus, je ne comprends pas pourquoi le HIPS de Défense + était désactivé par défaut au lancement de CIS. Il surveille bien les processus et fichiers contre des actions suspectes non ? N’est-ce pas la base d’une suite de sécurité ?
Je l’ai donc activé, en précisant ceci : sur mon Windws 7, l’UAC (contrôle du compte utilisateur) est lui aussi actif, et je n’ai pas d’autres programmes de sécurité que cela et CIS, donc, pas de conflits ?

Dernière chose : lorsque j’exécute le logiciel en question, le refus de l’exe dans le module HIPS se fait parfois par CIS, parfois par l’exe du programme principal lui-même, et pas une mais au moins trois fois de suite (même heure à la seconde près). Pourquoi autant fois en même temps et par deux éléments différents ? J’y accède via Intrusions bloqués, et je ne compte plus les quelques 100 éléments bloqués, qui sont en fait le même donc, via deux exe différents et souvent en même temps (à raison de trois fois par exécution du logiciel).

Cela fait pas mal de question sur la configuration de CIS, je m’en excuse, et cet exemple de Pinancle Studio 16 et son exe n’est qu’un exemple, puisque je devrais aussi bloqué d’autres programmes via CIS en interdisant certains de leurs composants à se connecter sans mon accord. Défense + et / ou HIPS, Parefeu, UAC… C’est le foutoir et je n’y comprends plus rien !
Quant aux tutos du net sur la configuration “idéal” du dernier CIS de A à Z, ils n’entrent pas vraiment dans les configurations approfondies.
Mais bon, mes soucis de compréhension et de réglages entre Parefeu et HIPS restent simples à comprendre, non ?

Souhaitant simplement autoriser ou refuser divers programmes à se connecter à internet définitivement, ou bien me le demander. Que ce soit grâce au HIPS ou au Parefeu, voire les deux s’il le faut (différence ?).

Merci de votre aide et… de votre patience sur ce pavé !

Bonjour,
Ne pas confondre HIPS qui protége le systéme d’exploitation (OS) et règle de Pare Feu.
Pour bloquer un programme via le pare feu voici un exemple que j’ai créé pour compréhension, j’ai choisi CCleaner:
http://www.zimage.fr/photo.php?id=165603
Le pare feu de Comodo permet de programmer les règles sur les softs installés.
Perso j’utilise le mode Sandbox pour l’utilisation de certaines applications en lieu et place de HIPS.
Voilà…

• Donc, si je souhaite que Pinnacle Studio 16 ne communique pas du tout avec internet, je peux appliquer les réglages identiques à ton exemple, si je comprends bien. Ainsi que pour tout autre logiciel auquel je ne veux pas attribuer de connexion IN et / ou OUT.
  Mais bon, à priori, suite à divers réglages, CIS ne m’indique aucune connexion entrante ou sortante de la part de mon logiciel d’exemple. Cela signifie que c’est OK, je suppose.
  Mais par la suite, je ferai comme tu le dis.

• Par contre, pour le HIPS actif, ne rentre-t-il pas en conflit avec le service UAC (contrôle du compte utilisateur) de Windows 7, vu qu’ils ont si je comprends bien le même principe de fonctionnement (empêcher les modifications de l’OS) ? On peut ou on doit laisser les deux ?

• Dernier élément. Dans les réglages du HIPS (Paramètres de sécurité / Défense + / HIPS / Paramètres HIPS), dois-je cocher ou non la case suivante : “Crée des règles pour les applications saines” ?
  Idem dans les réglages du Parefeu, faut-il cocher cette case ?

Merci !

1)- C’est un exemple mais d’autres règles sont disponibles (TCP-UDP-etc…)
2)- Non, mais je ne l’utilise pas (HIPS) afin de ne pas alourdir la charge de l’UC, perso j’utilise le mode virtuel qui protège l’OS, la défense + se charge de vérifier le comportement de l’ensemble des opérations.
3)- Perso sur mon PC certaines applications sont contrôlées via les fonctions précitées, en effet le mot sain est une porte ouverte…

Exemple de protection (ou test) en mode Sandbox > 2 softs = CCleaner + Winrar, les barres indique le mode virtuel (Sandbox = Bac à sable) pour info: Sandbox (sécurité informatique) — Wikipédia
Maintenant Comodo gérant 2 applications en mode virtuel:
http://www.zimage.fr/photo.php?id=165624
http://www.zimage.fr/photo.php?id=165625

OK pour le 1 et le 3.

Pour le 2, HIPS et UAC, il vaut donc mieux choisir l’un ou l’autre. On peut donc désactiver HIPS vu que UAC contrôle l’OS, ou bien le contraire. Si je comprends bien ta réponse.
En cas de désactivation de HIPS, cela n’empêche pas la Sandbox de virtualiser les fichiers qui réagiraient à ce même HIPS (comme à UAC).

Si je suis clair bien sûr, ce qui n’est pas gagné. ^^

En fait, je suis comme ceci :

Antivirus : Dynamique (j’hésite à le passer en “Temps réel”…).
Sandbox automatique : Partiellement limité (j’hésite à le passer en “Entièrement virtualisé au vu du message d’avertissement…”).
HIPS : Mode sécurisé.
Pare feu : Mode sécurisé.

Avec l’UAC actif.

Voilà pour la config de base.
Si je dois augmenter un des quatre modules, me précisez pourquoi svp.

Merci.

Bonjour,
L’un ou l’autre bien sur la logique parle, à quoi bon faire un doublon (qui surveille qui ?), pour ma part l’UAC est désactivée autant que Windows defender, de toute façon à chaque soft ou script ou … l’utilisateur doit réfléchir avant toute installation ou modification.
Dans ta config. ci-dessus c’est largement suffisant, Comodo gére la Sandbox en fonction des événements (voir le journal d’événements).
HIPS à mon gout peut-être utilisée en mode “Dans le doute” suite à une incertidute.
Tout virtualisé pénalise l’UC en terme d’exécution donc…
Voilà…

Je reviens juste pour une question :

• Quelle est la différence entre le mode Dynamique et En temps réel de l’antivirus Comodo ?

Pour rappel, ma config de CIS citée ci-dessus :

Antivirus : Dynamique
Sandbox automatique : Partiellement limité
HIPS : Mode sécurisé
Pare feu : Mode sécurisé

• UAC de Windows 7 actif (je l’ai laissé activé malgré qu’il peut faire double emploi avec le HIPS de Défense +)

Pour le doublon possible HIPS Défense + et UAC, j’ai déjà une réponse, donc à moins d’un autre avis sur le fait de oui ou non laisser ces deux-la actif, ne répondre qu’à ma question sur le mode de l’AV.

Merci à vous !

Bonjour,

1)- Antivirus en temps réel :
L’antivirus s’incruste profondément dans le système d’exploitation et détecte n’importe quelle demande d’accès à une ressource (On-Access - En temps réel), quel qu’elle soit, dont les programmes exécutables. L’antivirus prend le contrôle de cette demande, vérifie la ressource souhaitée, et n’autorise son ouverture que si elle est saine. La ressource infectée est détruite ou bloquée ou mise en quarantaine, ou soumise à la décision de l’utilisateur, selon les caractéristiques de l’antivirus et les réglages faits.

2)- Antivirus à analyse heuristique (ou dynamique)
L’analyse heuristique consiste à charger l’objet à analyser (programme exécutable, script, document pdf, etc. …), dans un environnement virtuel, une Sandbox (Bac à sable).
Sandbox ?
« Sandbox » (« Environnement virtuel » - « Machine virtuelle » - « Ordinateur fictif complet » à l’intérieur d’un ordinateur hôte - assimilable au « bac à sable » des artificiers, permettant de faire exploser une charge en absorbant ses effets - un programme peut y être exécuté sans avoir aucune influence sur la machine hôte et sans laisser aucune trace dans l’hôte de la « Machine virtuelle »).
On regarde ce que tente de faire l’objet analysé, en fonction de sa nature (tentative d’exploitation d’une faille de sécurité, révélation d’un code viral camouflé lors d’une analyse statique…). Une analyse par signature est exécutée sur le code monté dans la mémoire de l’environnement virtuel. Toutes les actions qui se traduiraient, dans un environnement réel, par des atteintes à l’intégrité de l’ordinateur (protection par un « Packer » rendant une retro-ingénierie impossible, destruction de fichiers qui ne sont pas des fichiers temporaires, modification de fichiers, lancement de processus, désactivation et arrêt de processus (on regarde le nom des processus tués : pare-feu, antivirus et autres logiciels de sécurité…), inscription parmi les processus qui se lancent automatiquement au démarrage de Windows, créations ou modifications dans la base de registre, modification des réglages des navigateurs, etc. …). Pour avoir une idée des traces de l’activité d’un processus, on peut utiliser la Sandbox , et regarder tout ce qu’a tenté de faire l’application, dans un journal ordonné et annoté automatiquement.

Voilà…

[attachment deleted by admin]

Désolé pour le temps de réponse.

Tout est OK désormais.

Merci beaucoup !