Bonjour,
je suis un “tout neuf” sur comodo firewall t je rencontre un problème avec la partie " Proactive defense".
J’utilise un launcher qui, à son lancement, créé des fichiers dans un dossier Temp et les détruit lorsque je le ferme.
La partie pro active de comodo me bloque un de ces fichiers créés (lequel ?) et empêche le launcher de faire son boulot. J’ai l’impression que le fait de les ajouter aux fichiers autorisés ne résout pas le pb.
Est ce parce qu’ils sont détruits et recréés à chaque lancement du launcher ?
Est ce que je fais mal l’autorisation ?
Suite à ce constat j’ai positionné la partie proactive sur : “Disabled” => j’ai tjrs le pb.
Si je coche “désactive defense+ en permanence” plus de pb. (mais entraine un redémarrage du Pc pour la prise en compte ce qui ne m’arrange pas forcement.
Quelle est le différence entre “desactive” et “desactiver en permance” ?
Bonjour,
Defense+ contrôle les fichiers exécutables. S’il yen a dans les fichiers temporaires, leur exécution sera soumise à autorisation (sauf si l’application qui les a créé est déclarée “installer/updater” en mode d’installation).
Dans ce cas, il y aura demande à chaque fois, puisqu’il aura mémorisé une action sur un fichier qui a été ensuite détruit.
Vu ta question, il semble que ce ne soit pas le cas. Alors il bloque sûrement un type d’action concernant le launcher.
Essaies en supprimant les règles le concernant, puis en autorisant tout ce qui le concerne lors des alertes (idem dans la section firewall, s’il ouvre des connexions)
Pour supprimer, dans “computer Security policy”, clic droit sur l’appli > remove et cliquer sur apply dans les différentes fenêtres pour mémoriser.
La différence:
Desactivé: Le module est présent mais n’intervient pas, sauf vraisemblablement pour son autoprotection.
En permanence: N’est pas installé.
Si le problème persiste, il est possible que ce soit cette protection qui intervienne: Alors, postes une copie des logs (Defense+ Events)
Le problème semble résolu. J’ai commencé par désinstaller la version3.8 de comodo pour installer la release de la 3.9.
J’ai ensuite configurer comodo defense proactive en “Mode sur” pour être averti des ficheirs executables inconnu.Au message d’avertissement concernant le launcher, je l’ai defini comme installation.
A voir si après redémarrage du PC et si je repasse la défense proactive en mode “Pc propre”, c’est tjrs Ok.
J’ai du mal à définir ce mode “installation”. Est ce qu’il y a un risque à définir une application comme “Installation” ?
Une fois que defense+ a “appris” les applications installées sur la machine, je te conseille de repasser en mode sur.
Le mode “installation” est de loin le plus permissif: Il donne tout les droits aux processus déclarés comme installer ou updater mais aussi à tout leurs processus enfants, c’est à dire les processus qu’ils appellent pendant leur activité, pour réaliser des actions spécifiques. C’est très risqué, puisque si un processus malveillant est appelé, il se verra attribuer des droits maximums.
Rester dans ce mode en permanence est équivalent ou pire que désactiver defense+.
Je n’arrive pas à savoir quel est le comportement de defense+ face à des applications déclarées comme installer quand on est dans un autre mode. Je suppose qu’il les considère comme sûres (trusted), mais ce n’est qu’une supposition. Je suis intéressé par la réponse juste, si quelqu’un la connait.
Dans mon jeu de règles, seuls quelques rares updaters sont déclarés comme tels.
Oui, il y a danger. Les droits attribués sont démesurés pour le simple fonctionnement d’une application: Cela empêche son contrôle. La déclarer comme sûre est bien suffisant.