"Тихий" режим фаера

goodbrazer, не знаю нужно это или нет, но всё-таки. Или может уже об этом писали, но я вроде нигде не видел…

Для экономии ресурсов можно отменить загрузку с виндосом GUI от COMODO. Для это надо удалить данный ключ в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run … а ключ забыл ;D я ж его удалил у себя, чтобы никого не смущал значок от фаера и чтобы фаер не задавал глупых вопросов, когда меня нет рядом с компом.
Примерно такой ключик: COMODO Firewall Pro = “C:\Program Files\Comodo\Firewall\cfp.exe” -h

После этого будет загружаться только Служба фаера COMODO в виде файла cmdagent.exe, а GUI можно будет в любой момент запустить, нажав на ярлык COMODO на рабочем столе или выбрав его в меню ПУСК-Программы-COMODO-Firewall-COMODO Firewall Pro

Завтра на работе посмотрю поточнее… Там я вроде оставил запуск GUI на одном из компов…

А при простом снятии галки в разделе Miscellaneous-Settings-Automatically start the application with Windows (Recommended) мы не достигнем того-же результата. Кстати и вышепоказанный ключик тоже удалится.

barsukRed, сейчас посмотрел: у меня стоит эта галочка, но GUI не загружается, потому что ключ стёр.
Попробовал убрать галочку, перегрузился, GUI не загрузился, но загрузив GUI, увидел, что галочка на месте… Не знаю, то ли это сам CFP за меня думает, то ли это Ad-Aware восстанавливает значение (только непонятно, какое значение) в реестре, хотя в логах у Ad-Aware ничего не указано.
Кстати, а у тебя в таком случае (снятия указанной галочки) после перезагрузки служба CFP точно загружается ? А то может в таком случае ничего не загружается…

Да, идея очень неплохая :-TU

Насколько я заметил, CF v3 работает корректно по заданным настройкам и правилам без cfp.exe в памяти.
Как в этом случае (без cfp.exe) работает двойка?

Насчет экономии ресурсов - много не сэкономить (максимум 12.5 mb, 5 mb в среднем - для v3), но все равно…

Есть ли на двойке механизм защиты от пользователей как в v3 - я имею ввиду парольную защиту + опции “supress… events…”? Всегда ли пользователь может беспрепятственно выключить CF v2 или изменить его настройки?

Обманываете нас - говорили, что забыли ;D
Именно этот ключ я и нашел у себя (за исключением того, что диск d:) … Кстати, на двойке такой же ключ авторана?

Проверял на тройке. Убрал галку, перегрузился - ключа нет, галка не появилась. Вроде все как надо.
При снятой галке cmdagent.exe автоматически стартует как положено.

Мне кажется, что удалять ключ вручную не обязательно (кроме проблемных случаев), можно просто отключить галку. Ведь на двойке также включается/отключается авторан через GUI?

P.S.: WIGF, однозначно добавим в FAQ, спасибо за предложение, только нужно подтверждение, что двойка работает без cfp.exe как положено.

goodbrazer, по порядку:

Есть ли на двойке механизм защиты от пользователей как в v3 - я имею ввиду парольную защиту

Пароля нет, не предусмотрен.

...+ опции "supress... events..."?

Там вместо блока Defense+ Монитор компонентов, в котором анализируется какой именно файл выходит в интернет (не название, а именно какой файл... вроде по контрольной сумме определяется) и если файл другой (обновился FireFox), то нужно подтвердить, что это тот самый файл (1 раз), а иначе доступ в интернет будет закрыт. [qoute]Всегда ли пользователь может беспрепятственно выключить CF v2 или изменить его настройки? [/quote] Без проблем выгружается, но некоторые настройки и изменения начинают нормально действовать только после перезагрузки. Например, если произошла блокировка за флуд, то даже поменяв настройки в соответствующем месте, блокировку не снимешь, пока не перегрузишься.

Обманываете нас - говорили, что забыли Именно этот ключ я и нашел у себя

Сам приятно удивлён. Запомнил значит :)

Кстати, на двойке такой же ключ авторана?

Такой: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run -> COMODO Firewall Pro="C:\Program Files\Comodo\Firewall\CPF.exe" /background

Проверял на тройке. Убрал галку, перегрузился - ключа нет, галка не появилась. Вроде все как надо.

Значит, точно у меня Ad-Aware блюдит за всем ;)

Ведь на двойке также включается/отключается авторан через GUI?... ...нужно подтверждение, что двойка работает без cfp.exe как положено.

Пока не могу проверить... Подопытный кролик занят ;D Наверное, теперь только завтра проверю...

WIGF, спасибо за информацию о двойке :-TU

Будем ждать результатов 8)

При отключенном C:\Program Files\COMODO\Firewall\cfp.exe не работает журнал, алерты на новые соединения без правил. Не пойму-в чем прикол такой экономии ресурсов? Ведь практически контроля за системой нет…

Проверил двойку сегодня: если в Мониторе приложений есть запрещающее правило, то блокировка происходит, а если нет, то тупо разрешается… фаер как бы умывает руки в таком случае… Что не есть хорошо.
Так что по двойке данную идею точно не стоит воплощать. Точнее можно, но если прописать все правила по всем приложениям и не запускать ничего нового… но это какой-то лабораторный вариант использования компа получается…

Для тех, кто вдруг это уже сделал, напишу текст файла, который внесёт необходимые поправки в реестр и вернёт автозагрузку GUI для второй версии:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"COMODO Firewall Pro"="\"C:\\Program Files\\Comodo\\Firewall\\CPF.exe\" /background"

Этот текст надо будет сохранить через Блокнот в файле с расширением .reg (путь к файлу надо свой прописать, у меня файл GUI находится на диске C: ), потом запустить данный файл и согласиться на внесение изменений в реестр.

По поводу тройки:

При отключенном C:\Program Files\COMODO\Firewall\cfp.exe не работает журнал, алерты на новые соединения без правил. Не пойму-в чем прикол такой экономии ресурсов? Ведь практически контроля за системой нет…

С первой частью соглашусь, но не полностью:
• если в фаере прописаны запреты с логированием по конкретному приложению, то записи в журнал идут (эксперементировал с IE, правда без перезагрузки, а просто загружал/выгружал GUI);
• если для приложения нет правил, то оно тупо блокируется без логирования в журнале, но я использовал случай, в котором в GR в конце нет правила, запрещающего и логирующего ВСЁ, там только входящие запрещены… возможно, что в случае присутствия последнего правила, запрещающего всё в GR, будет логирование для неизвестных приложений.
По поводу второй части данного поста.
barsukRed, смысл такой операции прост: настроил фаер, отключил GUI и забыл о его существовании. Всё там работает, а то что в журнале не логируется что-то… так у меня нет такой привычки лазить в журнале и смотреть какой там негодяй ко мне пытался подключиться или какая прога пыталась проверить обновления для себя в интернете. Ну, а если что-то будет работать неправильно или же надо будет настроить/перенастроить правила для какого-то приложения, то проблем с загрузкой GUI никаких нет. Ну и экономия в виде отсутствия одного процесса, причём активного процесса. Да и смущать других пользователей компа значок фаера и вообще его присутствие не будут.
В общем, некоторая склонность к минимализму у меня присутствует. Не люблю ничего лишнего. Ну и ещё важный момент забыл упомянуть: я не использую Defense+.

У меня есть в GR последнее правило все блокирующее. Лог по всем правилам указан. Я удалил все правила для (к примеру) proga.exe и выгрузил GUI. Запускаю proga.exe и лезу в инет. При запуске GUI про proga.exe в журнале ни одной записи… Значит без правила для proga.exe и без GUI в инет proga.exe пускают…
Дефенс я использую. В параноидальном режиме. На прошедший запуск proga.exe он среагировал.

Возможно кому-нибудь пригодится такой вариант. Главное, что двойка все же не пропускает того, чего нет в политике, если все настроить как надо.

Насчет логирования на тройке: на время проверки сделал IE blocked application (где правило block and log). При выгруженном gui IE блокировался, но при загрузке gui никаких записей в логе не было.

...в случае присутствия последнего правила, запрещающего всё в GR...

Off topic: Имеется ввиду правило block/ip/in-out/any..? Насколько помню с таким правилом не мог подключить даже любую trusted application.

смысл такой операции прост: настроил фаер, отключил GUI и забыл о его существовании. Всё там работает, а то что в журнале не логируется что-то... так у меня нет такой привычки лазить в журнале и смотреть какой там негодяй ко мне пытался подключиться или какая прога пыталась проверить обновления для себя в интернете. Ну, а если что-то будет работать неправильно или же надо будет настроить/перенастроить правила для какого-то приложения, то проблем с загрузкой GUI никаких нет. Ну и экономия в виде отсутствия одного процесса, причём активного процесса. Да и смущать других пользователей компа значок фаера и вообще его присутствие не будут.

Согласен, идея абсолютно рабочая, т. к. фаер при соотв. настройках ничего лишнего не пропустит, несмотря на то, что отсутствует (или частично отсутствует?) логирование.

Странно, но при проверке я получил другие результаты. Фаер в custom policy, глобальных правил нет, gui выгружен.

Если приложения нет в списке AR - приложение блокируется при попытке соединиться, если приложение есть в списке, соединения разрешаются согласно правилам, причем последнее запрещающее правило не обязательно, чтобы резать все неразрешенные соединения. Т. е. CFP работает как надо.

Defense+; paranoid mode. Чтобы d+ блокировал все приложения, не упомянутые в computer security policy, обязательно нужно, чтобы была включена опция “block unknown requests if application is closed”. При данных настройках CFP разрешает известным приложениям только то, что упомянуто в computer security policy, по крайней мере я не заметил никаких исключений, и молча блокирует все неизвестные приложения. Т. е., если не ошибаюсь, d+ также может отлично работать без gui.

Предлагаю добавить в FAQ, чем больше народу проверит, тем лучше
Ведь в данный момент у нас результаты тестирования расходятся, а так можно собрать больше результатов и отзывов…
…Готово. Вот ссылка…

Идея действительно классная. Покопаюсь в своих настройках,может что и пропустил по невнимательности.

goodbrazer, :-TU

Стоко много буков… В выходные почитаю внимательнее… сейчас не смог напрячь мозги ;D

WIGF, возможно еще одно применение “тихого” режима: ссылка.
Учитывая, что багов именно GUI достаточно, способ может оказаться полезным для некоторых.
Так что, 5 баллов за идею :-TU

Если блокируется все, кроме явно прописанного в правилах для приложений, почему Вы переживаете что не будет работать? В крайнем случае сработает запрещающее в сетевом мониторе. Или нет?

barsukRed, в том то и дело, что к сожалению в двойке, например, при отсутствии правил в Мониторе приложений для Оперы и присутсвии правил для IE (а значит и разрешения подобных соединений в Сетевом мониторе) при выключении GUI через Оперу можно спокойно открывать всё, что угодно (всё, что разрешено в Сетевом мониторе… а может и вообще всё… не пробовал ограничивать по портам Сетевой монитор и выключать GUI).
И неизвестно какова будет судьба новых входящих соединений от кого-либо при выключенном GUI и даже при запрете этих соединений в Сетевом мониторе.
Попробовать эти вещи негде, т.к. комп у меня один, а на работе второго свободного в данный момент нет и не предвидется…
В общем, одни вопросы без ответов по двойке…

WIGF, еще одно применение метода по ссылке: вкратце суть проблемы в том, что чел не хочет чтобы всплывающие окошки показывались “гостям” и др. ограниченным пользователям, но не хочет использовать парольную защиту, т. к. желает, чтобы на его (администраторской записи) все было как обычно: окошки и т. д. Мой ответ.

Не перестаю удивляться, насколько крут способ :-TU

Провел несколько сканирований системы,защищенной 3.20.320. Использовал сканер иксспайдер и суперскан 4. В комодо отключил D+ и в фаерволе во вкладке GR прописал одно единственное правило: Block ICMP In from IP any to IP any where ICMP Message is ECHO REQUEST. При отключенном GUI фаер заблокировал сканирование по портам. И что самое интересное, в журнале отражены попытки скана! Я специально не логировал ВСЕ правила и не пойму откуда лог? Есть догадка что использовались правила+log из другого профиля. Это надо проверить. Тогда задумка разработчиков,если это специально сделано достойна аплодисментов! Получается,если пользователь имеет еще один профиль скажем№2,то находясь под профилем №1 и попав под атаку с переводом в демократичный режим(например,отключение логирования для некоторых прог) в лог попадет запись от атаки и о несанкционированом выходе в СЕТЬ. Но, могу ошибаться или что-то по невнимательности не так делать. Буду еще проверять. Пока-браво COMODO!

Интересное сообщение по теме от известного эксперта по защите ИТ по ником p2u здесь Вот выдержка:

Это будущее покажет... Конечно, сама защита от отсутствия этого ярлыка не зависит - для безопасности даже лучше, чтобы GUI не было совсем. Только возможные практические проблемы вижу в случае, если что-то начинается НЕ работать... Потом, когда ярлык отсутствует КОГДА ОН ДОЛЖЕН БЫТЬ, можно делать вывод о том, что есть проблема (защита погибла, допустим, драйвера слетели, или ещё что-то). А так вы знать не будете.

Paul

Давно я не появлялся тут. А теперь аж целая тема возникла из случайной идеи по уменьшению нагрузки на слабый комп… :-TU

goodbrazer, почитал… Тяжело, однако, не зная толком аглицкого разбираться ;D
Я даже в переводчик засунул, но там такой бред мне выдали в качестве перевода, что я вернулся обратно на английский текст и кое-как его понял.
Добавлю к этому, что я то без Defense+ использую CFP 3 (т.е. только в качестве стенки). При этом службу фаера можно выгрузить без проблем, но если ничего нехорошего не пускать на комп, то и выгружать фаер будет некому.
В связи с этим вопрос: нельзя ли обойтись без дифанса, но при этом запретить выгрузку фаера ? И если нет, то не собираются ли разработчики как-то включить в будущем эту функцию ?

barsukRed, спасибо за идею об организации отдельного топика по данному вопросу !

Провел несколько сканирований системы,защищенной 3.20.320. Использовал сканер иксспайдер и суперскан 4. В комодо отключил D+ и в фаерволе во вкладке GR прописал одно единственное правило: Block ICMP In from IP any to IP any where ICMP Message is ECHO REQUEST. При отключенном GUI фаер заблокировал сканирование по портам.

Я сам не очень в таких вещах понимаю, но получается, что эти 2 сканера только пингуют указанный им IP и всё, раз хватило одного единственного запрещающего правила по входящему пингу. А xSpider разве только пингует ? Я его когда-то давно запускал и игрался (со вторым COMODO)... и мне кажется, что в нём не только пингом всё ограничивается, но я могу ошибаться...

И что самое интересное, в журнале отражены попытки скана! Я специально не логировал ВСЕ правила и не пойму откуда лог? Есть догадка что использовались правила+log из другого профиля.

Может так, а может быть это из разряда непредсказуемого поведения фаера: протоколируются только ICMP-срабатывания, а UDP и TCP - нет.

Да всё верно, если ставить проги и следить всегда самому, а если надо настроить для домохозяйки/ребёнка комп и разрешить выход в интернет только определённому кругу программ, тогда стоит отключить.
Я ведь не с проста дома убрал GUI. Убрал именно из-за того, чтобы мне вопросы не задавали, когда меня нет рядом с компом: ну заблочит он что-нить, ну прийду с работы и донастрою.
Было недавно следующее: немного изменились настройки у провайдера… точнее зачем то vpn-сервер решил меня попинговать, прежде чем разрешить подключиться к интернету через себя. А фаер всё заблочил. Пришёл я домой, добавил правило по пингу с vpn-сервера и всё заработало.
А то ведь пытливым умам только дай лазейки, они ведь так настроят всё на компе (понажимают на всё подряд и не запомнят на что нажимали), что потом будешь долго разбираться… ;D

нельзя ли обойтись без дифанса, но при этом запретить выгрузку фаера ?

Только с помощью сторонней HIPS (или antispyware?), сам фаер никак не может себя защитить без d+.

не собираются ли разработчики как-то включить в будущем эту функцию ?

Точно не знаю, но уверен, что нет.