Proaktyvios kompiuterio apsaugos Defence Wall HIPS programos apžvalga. Pridėti arba pašalinti nepatikimus. HIPS naudojimas sudėtingoms formoms kurti
Bendra informacija
Kai komponentas KLUBAIįjungtas, aplikacijų veikla ribojama pagal taisykles. Situacijos, kurioms taisyklė nenustatyta, išsprendžiamos atsižvelgiant į HIPS režimą, programos įvertinimą ir kitas sąlygas.
Paprastai saugusis režimas leidžia patikimoms programoms atlikti bet kokią veiklą, kurios nedraudžia taisyklės, išskyrus neatpažintų failų paleidimą. Neidentifikuotų programų paleidimas, taip pat bet koks šių programų veiksmas blokuojamas įspėjimais.
Paranojinis režimas su perspėjimais sustabdo bet kokią bet kokios programos veiklą, kuri nenumatyta taisyklėse.
Mokymosi režimu bet kokia bet kurios programos veikla, nenumatyta taisyklėse, automatiškai sukurs naujas leidimo taisykles.
Taisyklės pateikiamos skirtuke HIPS → HIPS taisyklės kaip sąrašą programos ir jų paskirtas taisyklių rinkiniai.
Programos gali būti tikslūs failų keliai, kelių šablonai su * ir ? , taip pat failų grupes. Keliuose ir jų raštuose galite naudoti . Failų grupės yra kelių arba šablonų rinkiniai, jie sukonfigūruojami skirtuke Failų įvertinimas → Failų grupės. Pabrėžiu, kad programos HIPS taisyklėse identifikuojamos tik pagal jų kelius, o ne pagal maišas ir pan.
Taisyklių rinkinį, priskirtą programai, sudaro du skirtukai: leidimai ir saugos nustatymai. Pirmajame nustatomos pačios programos teisės, antroje, priešingai, jos apsauga nuo kitų programų. Paraiška gali savo taisyklių rinkinį, arba vienas iš iš anksto sugeneruotų rinkinių: jie sukonfigūruojami skirtuke HIPS → Taisyklių rinkiniai.
Iš anksto įdiegtas taisyklių rinkinys „Windows sistemos programa“ leidžia bet kokią veiklą, rinkinys „Leidžiama programa“ – bet kokią, bet nereglamentuoja antrinių procesų paleidimo; rinkinys „Izoliuota programa“ griežtai draudžia bet kokią veiklą; „Ribotos programos“ rinkinys paneigia beveik viską, išskyrus langų pranešimus ir prieigą prie monitoriaus, ir nereglamentuoja antrinių procesų paleidimo. Galite ne tik kurti savo rinkinius, bet ir pakeisti iš anksto nustatytus.
Nuo CIS 10.0.1.6223 versijos HIPS taisyklių rinkinys "Izoliuota programa" buvo pervadintas į "Programa veikia konteineryje". Mano nuomone, tai yra klaidingas pavadinimo „Contained Application“ vertimas, nes iš tikrųjų HIPS taisyklės neturi nieko bendra su konteineriu (virtualia aplinka). Kad nekiltų painiavos, rekomenduoju šį rinkinį pervadinti atgal į „Isolated Application“, o straipsnyje jis taip ir bus vadinamas.
Ypatingas atvejis yra taisyklių rinkinys „Įdiegti arba atnaujinti“, kuris suteikia . Programos, turinčios tokias teises, laisvai atlieka bet kokius veiksmus (išskyrus tuos, kuriuos aiškiai draudžia taisyklės), įskaitant. paleisti bet kokias programas, o jų antriniai procesai taip pat gauna diegimo programos privilegijas. Tokių programų sukurti vykdomieji failai yra automatiškai patikimi.
Skirtingos pradinės COMODO Internet Security konfigūracijos skiriasi tiek pradiniu taisyklių rinkiniu, tiek kontroliuojamu programos veiklos spektru. Norėdami gauti kuo išsamesnę HIPS apsaugą, iš pradžių turite pasirinkti konfigūraciją Proaktyvus saugumas ir jau iš jo atlikti tolesnę konfigūraciją.
Apribodamas programų prieigą prie įvairių išteklių, HIPS remiasi skaidinio duomenimis HIPS → Saugomi objektai. Pavyzdžiui, failas ar katalogas gali būti apsaugotas nuo pakeitimų tik tuo atveju, jei jis yra pilnas vardas atitinka bet kurį iš šablonų skirtuke „Apsaugoti failai“. Taigi, jei norite, kad jokia programa nekeistų D: disko failų (nepriklausomai nuo jų tipo), pirmiausia turite įtraukti šį diską į apsaugotų sąrašą.
Tada, kuriant konkrečias taisykles, bus galima keisti prieigos prie tam tikrų saugomų objektų apribojimus, stulpelyje „Išimtys“ paspaudus „Redaguoti“.
Labiausiai patartina naudoti HIPS saugus režimas išjungdami parinktį Sukurkite saugių programų taisykles, arba į Paranojiškas. Tada programos prieigos prie išteklių nustatymo tvarka bus tokia:
Kaip matote, HIPS sistemoje „Klausti“ veiksmas išreiškia taisyklės nebuvimą (skirtingai nei ugniasienėje, kur ji nurodo rodyti įspėjimą).
Taigi šiai programai tinkamos aukščiausios taisyklės skirtukas „Leista“ turi aukščiausią prioritetą; tada - skirtukas "Užblokuotas"; tada – šioje taisyklėje nurodytas veiksmas, jei jis nedviprasmiškas; tada – kitos taisyklės skirtuką „Leidžiama“ ir pan. Jei nėra aiškios taisyklės, prieiga leidžiama, jei (i) galioja diegimo programos privilegijos arba (ii) programa yra „patikima“, o HIPS režimas yra „Saugus“ arba (iii) parinktis „Nerodyti įspėjimų“. : Leisti raginimus“ yra pažymėtas. Kai neįvykdoma nė viena iš šių sąlygų, prieiga blokuojama, jei pažymėta parinktis „Nerodyti įspėjimų: blokuoti užklausas“, arba pateikiamas įspėjimas, jei ši parinktis išjungta.
Ypatingas atvejis: jei programa veikia virtualioje aplinkoje ir/ar su Auto-Containment apribojimais, tada nesant taisyklės jai bus suteiktas leidimas (panašiai kaip parinktis „Nerodyti įspėjimų: Leisti užklausas“). Be to, virtualioje aplinkoje nėra jokios failų ir registro apsaugos, net ir su aiškiais draudimais.
Programos teisių valdymas per pranešimus
Atsakant į HIPS įspėjimus, taisyklės priskiriamos programoms laikinai arba visam laikui, atsižvelgiant į parinktį „Prisiminti mano pasirinkimą“.
Svarbus dalykas: taisyklės yra priskirtos programai, kuri nurodyta kairėje įspėjimo pusėje. Pavyzdžiui, jei tyrinėtojas jūsų paklaus apie nežinomos programos paleidimą, tada taisyklės bus priskirtos tyrinėtojui. Tipiškos naujokų klaidos: tokiame įspėjime pasirinkite parinktį „Blokuoti ir nutraukti vykdymą“ (taip žudydami „Explorer“ procesą) arba „Isolated Application“ (vargiai ribojančios „Explorer“ teises) arba parinktį „Įdiegti arba atnaujinti“ (taip prarasite). beveik visa apsauga). Paprastai protingiausias programos paleidimo įspėjimo pasirinkimas yra „Leisti“ arba „Tik blokuoti“.
Įvairių HIPS įspėjimų parinktys „Leisti“ arba „Tik blokuoti“ reiškia, kad leidžiama arba blokuojama tik konkretus išteklius. Pavyzdžiui, jei leidžiate programai sukurti failą C:\test\A.exe , bandymas sukurti failą C:\test\B.exe vėl sukels įspėjimą. Kad programa galėtų kurti bet kokius failus kataloge C:\test, turėsite redaguoti taisyklę per CIS sąrankos langą. Deja, įspėjimai nesuteikia leidimų katalogams, šablonams, grupėms ir pan. Tačiau naudodami pranešimą galite programai taikyti bet kokį taisyklių rinkinį, kurį anksčiau sukūrėte skirtuke HIPS → Taisyklių rinkiniai.
Jei atsakydami į pranešimą įjungsite parinktį „Prisiminti mano pasirinkimą“, pasikeis nurodytai programai priskirtų taisyklių rinkinys; jei šiai programai nėra HIPS taisyklės, ji bus sukurta sąrašo viršuje. Renkantis variantą leisti arba Tik blokuoti leidimas arba draudimas bus įtrauktas į taisykles būtent konkrečiam ištekliui (failui, COM sąsajai ir pan.). Renkantis bet kokį taisyklės naujos taisyklės nebus pridedamos prie senųjų, o visiškai jas pakeis, t.y. anksčiau šiai programai priskirtos taisyklės nebegalios.
Jei pranešime išjungsite parinktį „Prisiminti mano pasirinkimą“, programai priskirti leidimai, apribojimai ar taisyklių rinkiniai nustos galioti pasibaigus programai arba net anksčiau, o CIS konfigūracijos pakeitimai neįvyks. Norint suprasti šių laikinų taisyklių logiką, patogu įsivaizduoti, kad kiekvienas atsakymas į įspėjimą (neprisimindamas) sukuria įsivaizduojamą įrašą HIPS taisyklių sąraše. Visi "įsivaizduojami" įrašai yra taisyklių sąraše žemiau "tikrųjų" įrašų, tačiau nauji "įsivaizduojami" yra aukščiau kitų "įsivaizduojamų". Tai reiškia, kad galite priskirti skirtingus taisyklių rinkinius tai pačiai programai per pranešimus kelis kartus (neprisimindami), ir visi šie taisyklių rinkiniai galios. Šiuo atveju didžiausią prioritetą turės „tikrosios“ taisyklės, vėliau – naujausios iš „įsivaizduojamų“, vėliau – ankstesnė ir pan. Bet kai tik bus sukurta kokia nors „tikra“ taisyklė (su įsiminimu), visos „įsivaizduojamos“ taisyklės visoms programoms bus sunaikintos.
Pavyzdžiui, gavę pranešimą apie programą, neprisimindami priskirsime jai taisyklių rinkinį „Izoliuota programa“. Pagal numatytuosius nustatymus grupei „Visos programos“ leidžiama keisti laikinuosius failus, todėl ši programa vis tiek galės tai padaryti, nepaisant to, kad „Isolated Application“ rinkinys to neleidžia. Jei šį taisyklių rinkinį priskirsite atsiminimui, laikinųjų failų keitimas bus draudžiamas, nes sąrašo viršuje bus sukurta nauja HIPS taisyklė.
Yra keletas aprašytos darbo eigos išimčių, kai parinktis „Prisiminti mano pasirinkimą“ yra išjungta. Pirma, „įsivaizduojami“ leidimai paleisti programas nesukuriami (t. y. vėl paleidus tą pačią programą, vėl pasirodys įspėjimas). Antra, jei kuri nors programa yra leidžiama per pranešimą „pakeisti kitos programos vartotojo sąsają“, ji laikinai galės siųsti lango pranešimus bet kuriai programai, ne tik nurodytai.
Programos paleidimo valdymas
Galimybę paleisti programą HIPS suteikia taisyklė paleidimas programa, ne ta, kuri vykdoma. „Paranojiniame režime“ tyliai paleisti programas leidžiama tik tuo atveju, jei taisyklėse yra aiškus leidimas. „Saugiuoju režimu“, jei nėra taisyklės, paleisti leidžiama, jei patikima ir paleidimo priemonė, ir paleidžiama programa. Išimtys – programų vykdymas su diegimo privilegijomis, taip pat veikiant virtualizavimui ir (arba) automatinio izoliavimo apribojimams.
Taigi, tarkime, kad HIPS „Safe Mode“ veikia parent.exe ir bando paleisti child.exe . Jei nėra papildomų taisyklių, paleidimas įvyks tyliai, tik jei abi programos bus patikimos. Jei programa child.exe neatpažįstama, o HIPS taisyklės, skirtos parent.exe programai (arba grupei, kurioje ji yra), neturi leidimo paleisti child.exe programos (arba grupės, kurioje ji yra), tada neatsižvelgiant į HIPS taisyklės pačiai programai child.exe ir neatsižvelgiant į programos parent.exe įvertinimą, prieš paleidžiant pasirodys pranešimas (be to, apie programą parent.exe).
Taigi, norint leisti vykdyti neidentifikuotą programą, neužtenka nustatyti sau leidimo taisykles – reikalingas leidimas ją paleisti į pirminį procesą, kaip pasirinktis – į grupę Visos programos.
Jei norite sustabdyti programos paleidimą, gavę pranešimą apie pirminį procesą, paprastai turėtumėte išjungti parinktį prisiminti ir pasirinkti Blokuoti → Tik blokuoti. Dėmesio! Įspėjimo elementas „Blokuoti ir užbaigti vykdymą“. apie programos paleidimą reiškia išjungimą tėvų procesas.
Galimybę paleisti bet kurią programą lemia ne tik HIPS taisyklės, bet ir Auto-Containment. Paleidimas bus užblokuotas, jei to reikalauja bent vienas iš šių komponentų. Jei HIPS taisyklėse leidžiama paleisti programą, o automatinio sulaikymo taisyklės nurodo šią programą izoliuoti, ji bus paleista atskirai.
Svarbu žinoti, kad skirtingai nei automatinis sulaikymas, naudojant HIPS, antrinis procesas nepaveldi tėvų apribojimų: jei leidžiate abejotinai programai paleisti saugią programą, saugios programos vardu galima padaryti žalą. .
Automatinis HIPS taisyklių kūrimas „mokymosi režimu“ ir „saugiuoju režimu“
Tam tikrais režimais HIPS taisyklės sukuriamos automatiškai:
- jei įjungtas „Mokymosi režimas“, o parinktis „Nerodyti įspėjimų“ išjungta arba nustatyta į „Blokuoti užklausas“ režimą, bus sukurtos taisyklės, leidžiančios kiekvieną aptiktą bet kokių programų veiksmą;
- jei „Saugus režimas“ įjungtas, parinktis „Kurti taisykles saugioms programoms“ įjungta, o parinktis „Nerodyti įspėjimų“ išjungta arba nustatyta į „Blokuoti užklausas“, bus sukurtos taisyklės, leidžiančios atlikti kiekvieną aptiktą patikimos programos.
Daugeliu atvejų šie režimai nėra naudingi ir naudojami tik testavimui arba pasiruošimui perjungti į „Paranoidinį režimą“.
Programos taisyklės (naudojant „mokymosi režimą“ arba patikimą „saugųjį režimą“) sukuriamos taip:
Naujos taisyklės tipas priklausys nuo prašomo veiksmo:
- Kai viena programa paleidžia kitą, pirmajai sukuriama taisyklė, leidžianti paleisti tą konkrečią programą.
- Kai programa pakeičia failą arba registro raktą, pateiktą skirtuke HIPS → Saugomi objektai, taisyklės tipas priklausys nuo to, kaip parašytas šio šaltinio šablonas.
- Jei šablono gale yra ženklas | , tada bus sukurta taisyklė, leidžianti pakeisti konkretų objektą, kurį programa pasiekė. Pavyzdžiui, programa darbalaukyje sukuria failą text.txt. Ar jis atitinka šabloną?:\Users\*\Desktop\*| . Tai reiškia, kad bus sukurta taisyklė, leidžianti keisti failą C:\Users\Vardas\Desktop\text.txt.
- Jei rašto pabaigoje nėra ženklo | , tada bus sukurta taisyklė, leidžianti pakeisti bet kurį objektą pagal šį šabloną. Pavyzdžiui, programa sukuria failą D:\prog.exe . Saugomų objektų sąraše šis failas atitinka šabloną *.exe . Tai reiškia, kad bus sukurta taisyklė, leidžianti šiai programai keisti bet kokius .exe failus.
- Kai programa pasiekia bet kurį iš šių išteklių, automatiškai sukuriamos taisyklės, leidžiančios jai pasiekti visus juos vienu metu:
- Saugios COM sąsajos,
- „Windows“ kabliukai ir programų kabliukai,
- Tarpprocesų atminties prieiga,
- Taikymo nutraukimas,
- DNS užklausos,
- Diskas(tiesioginė prieiga),
- Klaviatūra,
- Monitorius.
Proceso apsauga
Programos HIPS taisyklių lange galite apriboti ne tik šios programos veiklą, bet ir kitų programų įtaką jos veikimui. Šiam skirtukui Apsaugos Nustatymai nurodo, kurie veiksmai su šia programa bus blokuojami, o išimčių lange (mygtukas Keisti) – kokios programos jiems bus leidžiamos. Pranešimai čia neteikiami – tik leidimas arba draudimas, nepriklausomai nuo reitingo. Tokiu būdu draudžiamas veiksmas bus blokuojamas, nepaisant kitų programų taisyklių ir reitingų.
Visų pirma, ši funkcija naudojama apsaugoti CIS nuo procesų iškrovimo ir prieigos prie atminties. Todėl net ir tada, kai HIPS nereikia, patartina jį įjungti bent jau su parinktimi „Nerodyti įspėjimų: Leisti užklausas“ („Safe“ arba „Paranoid“ režimu).
Šalutinis CIS savisaugos poveikis yra didžiulis įrašų skaičius „Defense Events+“ žurnale naudojant kai kurias programas, tokias kaip ProcessExplorer. Galite atsikratyti nereikalingų užraktų, leisdami atskiroms programoms pasiekti COMODO Internet Security grupės atmintį.
Atkreipiu dėmesį, kad pati programos pertraukimo apsauga neapima visų proceso iškrovimo būdų. Pavyzdžiui, daugelis programų gali būti baigtos naudojant lango pranešimus arba prieigą prie atminties. Norėdami apsaugoti programą nuo tokių nutraukimo būdų, skirtuke „Apsaugos nustatymai“ turėsite patikrinti jos taisykles ne tik „Programų pertraukimas“, bet ir kitas.
Montuotojo privilegijos
Montuotojo teisių reikšmė
Esant tam tikroms sąlygoms, programai suteikiamos diegimo programos teisės, kurios yra šios:
- HIPS leidžia tokiai programai viską, kas jai nėra aiškiai uždrausta taisyklėse, t.y. veikia kaip režimas „Nerodyti įspėjimų: leisti užklausas“;
- „Auto-Containment“ nėra šios programos paleistų programų;
- kol ši programa veikia, jos antriniai procesai (taip pat jų antriniai procesai ir kt.) veikia su diegimo programos teisėmis;
- vykdomieji failai, kuriuos sukuria ši programa (arba antriniai procesai, kurie paveldi jos teises), yra automatiškai patikimi.
Failai automatiškai registruojami kaip patikimi, tik jei skirtuke įjungta parinktis „Pasitikėti programomis, įdiegtomis naudojant patikimus diegimo programas“. . Be to, kai kuriais ypatingais atvejais diegimo programos privilegijos suteikiamos „sutrumpinta“ forma: be , arba kai vartotojas atsako su leidimu (jei programa neatpažįstama ir turi diegimo atributą), arba kai programai priskiriamas atitinkantis , arba kai jam taikoma ši taisyklė, arba kai programa paveldi šias teises iš pirminio proceso.
Automatinis programėlės diegimo privilegijų suteikimas
Programa automatiškai gauna montuotojo teises, jei ji yra patikima ir turi diegimo programos žymą. Aktyvių procesų sąraše galite pamatyti, ar programa turi diegimo programos vėliavėlę.
Buvo pasakyta, kokiose programos ypatybėse slypi diegimo programos ženklas: sprendžiant iš eksperimentų, diegimo programos yra programos, kurių failo pavadinime arba failo versijos informacijoje yra žodis install , setup arba update (skiltyje Failo aprašymas , Produkto pavadinimas , Laukas InternalName arba OriginalFilename); msi failai taip pat laikomi diegimo programa.
Senesnėse CIS versijose diegimo programos funkcijos buvo kitokios, ypač diegėjais buvo laikomos programos, kurios paleidžiant paprašė administratoriaus teisių, programos, kurių dydis viršija 40 MB ir tt Dėl šios priežasties daugeliui taikomųjų programų buvo klaidingai suteiktos diegimo programos. (ypač „PortableApps“ surinkimas), kuris sukėlė akivaizdų pavojų. NVS 10 ši grėsmė yra žymiai mažesnė.
Montuotojo privilegijų priskyrimas naudojant automatinio izoliavimo įspėjimus
Pagal numatytąją Proaktyvios saugos konfigūraciją, kai paleidžiama neatpažinta programa, turinti diegimo programos vėliavėlę, rodomas įspėjimas, siūlantis keturias parinktis: „Blokuoti“, „Izoliuotas paleidimas“, „Paleisti be apribojimų“, kai pasirenkama parinktis „Pasitikėti šiuo“. programa“ yra išjungta ir „Vykdyti be apribojimų“, kai įjungta parinktis „Pasitikėti šia programa“.
Parinktis „Blokuoti“ reiškia, kad paleidimas draudžiamas. Parinktis „izoliuotas paleidimas“ reiškia, kad programa bus paleista atskirai pagal automatinio sulaikymo taisykles.
Jei įjungsite parinktį „Pasitikėti šia programa“ ir pasirinksite parinktį „Vykdyti be apribojimų“, programa taps patikima ir veiks su diegimo programos teisėmis. Tuo pačiu metu bus sukurta automatinio sulaikymo taisyklė, išskirianti antrinius šios programos procesus. Paprastai ši taisyklė neturi prasmės, todėl rekomenduoju ją pašalinti.
Jei pasirinksite parinktį „Vykdyti be apribojimų“, kai parinktis „Pasitikėti šia programa“ išjungta, programa laikinai paleidžiama su „sutrumpintomis“ diegimo programos teisėmis, nepasitikėdama kuriamais failais. Tie. elementai , ir bus vykdomi, bet ne .
Paprastai tariant, toks įspėjimas įvyksta, jei tenkinamos šios sąlygos:
- automatinio sulaikymo komponentas įjungtas,
- skirtukas Apribojimas → Apsaugos nustatymasįjungta parinktis „Aptikti programas, kurioms reikalingos padidintos teisės“,
- ten taip pat išjungta parinktis „Nerodyti pranešimų, kai raginama suteikti padidintas teises“,
- programa, kurią ketinama paleisti, pagal automatinio uždarymo taisykles turi veikti virtualiai ir (arba) su apribojimais,
- paleidžiama programa turi diegimo programos ženklą arba ją paleidžiant prašo administratoriaus teisių.
Kaip matote, paleidžiama programa nebūtinai turi būti neatpažinta, kad būtų rodomas įspėjimas – tereikia, kad automatinio sulaikymo taisyklės reikalauja, kad ji būtų karantine. Be to, programa gali prašyti administratoriaus teisių paleidžiant, bet negali būti diegimo programa.
Jei įjungsite parinktį „Nerodyti įspėjimų, kai raginama suteikti padidintas teises“, tada šios parinkties meniu galite pasirinkti automatiškai izoliuoti (rekomenduojama) arba blokuoti neatpažintus montuotojus be įspėjimų. Taip pat yra parinktys „Bėk be apribojimų“ ir „Bėk be apribojimų ir pasitikėjimo“ – žinoma, juos rinktis labai pavojinga.
Priskirkite montuotojo teises per įspėjimus ir HIPS taisykles
Diegtojo privilegijos gali būti aiškiai priskirtos programai per HIPS: jos atitinka taisyklę „Įdiegti arba atnaujinti“.
Kai atsiranda HIPS įspėjimas dėl programos veiklos, galite pasirinkti įspėjimo laukelyje Apdoroti kaip → Įdiegti arba atnaujinti, su atmintimi arba be jos.
Jei pažymėsite parinktį prisiminti ir pasirinksite Įdiegti arba Atnaujinti, bus sukurta atitinkama HIPS taisyklė ir programa turės diegimo programos teises. Jei pasirinksite šią parinktį be atsiminti parinkties, taisyklė nebus sukurta ir programa gaus „sutrumpintą“ diegimo programos versiją, nepasitikėdama sugeneruotais failais (laikinas neatpažintos diegimo programos paleidimas be automatinio sulaikymo apribojimų ).
CIS sąrankos lange galite iš anksto priskirti programai Diegti arba atnaujinti HIPS taisyklę. Akivaizdu, kad tokiu atveju programa gaus diegimo privilegijas be pranešimų ir visiškai.
Pasitikėkite failais, sukurtais su diegimo programos teisėmis
Kaip jau minėta, vykdomieji failai, sukurti patikimų montuotojų, yra automatiškai patikimi, jei skirtuke yra parinktis „Pasitikėti programomis, įdiegtomis naudojant patikimus diegimo programas“. Failo įvertinimas → Failų įvertinimo nustatymai. Taip pat buvo pasakyta, kad informacija apie patikimų montuotojų sukurtus failus įvedama į duomenų bazę, net jei ši parinktis išjungta.
Sprendžiant iš eksperimentų, kai DPUPDU parinktis išjungta, informacija apie failų kūrimą tiesiogiai patikimų montuotojų, o ne kokių nors programų, turinčių diegimo teises, įvedama į CIS duomenų bazę. Tie. jei failą sukuria patikimo diegimo programos antrinis procesas arba programa, kuri gavo diegimo programos privilegijas pagal HIPS taisykles, failas nėra laikomas sukurtu patikimo diegimo programos. Bet jei DPUPDU parinktis įjungta, failai, sukurti bet kokiomis programomis, kurios kažkokiu būdu gavo diegimo programos teises, duomenų bazėje pažymimi kaip sukurti patikimų montuotojų.
Nustatydama, ar failas buvo sukurtas naudojant diegimo programos teises, CIS atskiria failo kūrimą ir kopijavimą. Taigi, jei programa, turinti diegimo programos privilegijas, atlieka įprastą failo kopiją, failas dar nebus patikimas. Bet jei, pavyzdžiui, veikiant diegimo programos privilegijoms, failas išgaunamas iš archyvo, CIS pasitikės šiuo failu ir viskuo, kas jam tapatus (su įjungta DPUPDU parinktimi).
Tam tikru mastu diegimo programos privilegijos veikia virtualioje aplinkoje: jei patikimas diegimo programa veikia virtualiai, bet kuria failus realioje aplinkoje (bendrai naudojamoje srityje), tada šie failai duomenų bazėje pažymimi kaip sukurti patikimo diegimo programos. Panaši situacija susiklosto dirbant realioje aplinkoje su automatinio izoliavimo apribojimais. Mano nuomone, tai yra trūkumas ir potencialiai pavojingas.
Nors DPMD parinktis pagerina CIS naudojimą, yra tam tikrų pranašumų ją išjungti. Visų pirma, kai ši parinktis įjungta, CIS gali pasitikėti potencialiai nepageidaujamomis programomis, kurios yra įdiegtos kartu su saugiomis programomis.
Taip atsitinka, kad programos diegimo programa, net jei ji yra patikima, darbo metu sukuria ir paleidžia neatpažintas programas. Paprastai CIS netrukdo jų darbui, nes jie paveldi montuotojo teises. Tačiau, kaip minėta aukščiau, paveldėtos privilegijos galioja ne visada (tai pateisinama saugumo sumetimais), o kartais diegiant gali veikti aktyvi apsauga. Jei tai rodoma tik kaip HIPS įspėjimas, norint tęsti diegimą, pakanka į jį atsakyti. Tačiau jei HIPS sukonfigūruotas taip, kad blokuotų tyliai arba jei naudojamas automatinis sulaikymas, kyla pavojus, kad programa nebus tinkamai įdiegta. Ši rizika ypač didelė, jei išjungta parinktis „Pasitikėti programomis, įdiegtomis naudojant patikimus diegimo programas“ arba „Aptikti programas, kurioms reikalingos padidintos teisės“.
Kad programų diegimas vyktų be CIS trukdžių, siūlau paleisti diegimo programas per specialų kontekstinio meniu elementą. Tam bus naudojama paprasta programa, kuri paleidžia failą, nurodytą jos komandinės eilutės argumentuose. Turėsite atsisiųsti archyvą su programa (slaptažodis cis), įdėti programą į bet kurią patogią vietą, pridėti ją prie patikimų ir paleisti - būsite paraginti įtraukti naują elementą į naršyklės kontekstinį meniu (tai yra ištrintas paleidus iš naujo). Programa parašyta AutoIt3, šaltinio aplanke pridedamas šaltinio kodas ir konverteris: kilus abejonėms, galite sugeneruoti panašią programą patikrinę jos kodą ir konverterio parašą.
Tada šiai programai turėsite priskirti taisyklę Diegti ir atnaujinti HIPS, taip pat automatinio sulaikymo taisyklę:
- pasirinkite veiksmą "Ignoruoti",
- kriterijuose nurodykite programos vietą,
- parinktį „Netaikyti pasirinkto veiksmo antriniams procesams“ palikite išjungtą.
Dabar, kad bet kurios saugios programos diegimas vyktų sklandžiai, pakaks paskambinti diegimo programai, laikydami nuspaudę klavišą Shift, kontekstinį meniu ir pasirinkti elementą „COMODO: paleisti kaip diegimo programą“. Dėl to, net kai pati diegimo programa išeina, jos antriniai procesai ir toliau veiks su diegimo programos privilegijomis. Šios privilegijos bus pašalintos uždarius specialų langą su tekstu „Paspauskite Gerai, kai diegimas bus baigtas“. Tačiau net ir tada šiems procesams nebus taikoma automatinio sulaikymo kontrolė.
HIPS nustatymų pakeitimus turėtų atlikti tik pažengę vartotojai. Netinkami šių parametrų nustatymai gali sukelti sistemos nestabilumą.
Pagrindinio kompiuterio įsilaužimo prevencijos sistema (HIPS) apsaugo nuo kenkėjiškų programų ir kitos nepageidaujamos veiklos, kuri bando pakenkti jūsų kompiuterio saugumui. Prieglobos įsilaužimo prevencija naudoja pažangią elgsenos analizę kartu su aptikimu pagrįstomis tinklo filtravimo galimybėmis, kad galėtų stebėti vykdomus procesus, failus ir registro raktus. Pagrindinio kompiuterio įsilaužimo prevencija skiriasi nuo failų sistemos apsaugos realiuoju laiku ir nėra ugniasienė; ji seka tik operacinėje sistemoje vykdomus procesus.
HIPS parinktys pateikiamos žemiau Papildomi nustatymai(F5) > Antivirusinė > Pagrindinio kompiuterio įsilaužimo prevencijos sistema > Pagrindinė informacija. HIPS būsena (įjungta / išjungta) rodoma pagrindiniame ESET NOD32 Antivirus lange, skiltyje Įdiegti > Kompiuterio apsauga.
naudoja integruotą savisaugos technologiją, kuri neleidžia kenkėjiškoms programoms sugadinti arba išjungti apsaugos nuo virusų ir šnipinėjimo programų. Dėl šios priežasties vartotojas visada pasitiki kompiuterio saugumu. Norėdami išjungti HIPS arba savigyną, turite iš naujo paleisti „Windows“.
Išplėstinis atminties nuskaitymo variklis veikia kartu su išnaudojimo blokavimo priemone, kad užtikrintų patobulintą apsaugą nuo kenkėjiškų programų, kurios gali išvengti kenkėjiškų programų aptikimo naudojant užmaskavimą arba šifravimą. Išplėstinis atminties skaitytuvas įjungtas pagal numatytuosius nustatymus. Daugiau informacijos apie šio tipo apsaugą rasite žodynėlyje.
Išnaudoti blokatorių sukurta siekiant apsaugoti programas, kurios paprastai yra pažeidžiamos išnaudojimų, pvz., naršyklės, PDF skaitytuvai, el. pašto programos ir MS Office komponentai. Išnaudojimo blokavimo priemonė įjungta pagal numatytuosius nustatymus. Daugiau informacijos apie šio tipo apsaugą rasite žodynėlyje.
Galimi keturi filtravimo režimai.
Automatinis režimas: Visos operacijos yra įjungtos, išskyrus tas, kurios blokuojamos pagal iš anksto nustatytas taisykles, skirtas apsaugoti jūsų kompiuterį.
Išmanusis režimas: Vartotojas bus informuotas tik apie labai įtartinus įvykius.
interaktyvus režimas: vartotojas bus paragintas patvirtinti operacijas.
Politika pagrįstas režimas: operacijos užblokuotos.
Mokymosi režimas: operacijos įjungtos, po kiekvienos operacijos sukuriama taisyklė. Šiuo režimu sukurtas taisykles galima peržiūrėti taisyklių rengyklėje, tačiau jų prioritetas yra mažesnis nei taisyklių, sukurtų rankiniu būdu arba automatiškai. Jei mokymosi režimas pasirenkamas išskleidžiamajame HIPS filtravimo režimų sąraše, ši parinktis tampa prieinama. Treniruotės režimas baigsis. Pasirinkite treniruočių režimo trukmę. Maksimali trukmė yra 14 dienų. Pasibaigus nurodytam laikotarpiui, būsite paraginti pakeisti taisykles, kurias sugeneravo HIPS sistema mokymosi režimu. Taip pat galite pasirinkti kitą filtravimo režimą arba atidėti sprendimo priėmimą ir toliau naudoti mokymosi režimą.
Priimančioji įsilaužimo prevencijos sistema stebi įvykius operacinėje sistemoje ir atitinkamai reaguoja pagal taisykles, panašias į asmeninės užkardos taisykles. Spustelėkite mygtuką Redaguoti, kad atidarytumėte HIPS taisyklių valdymo langą. Čia galite pasirinkti, kurti, keisti ir ištrinti taisykles.
Šis pavyzdys parodys, kaip apriboti nepageidaujamą programos elgesį.
HIPS sistema, naudodama savo tvarkyklę, perima visus programinės įrangos skambučius į OS branduolį. Bandant įvykdyti potencialiai pavojingas veiksmas programinėje pusėje HIPS sistema blokuoja šio veiksmo vykdymą ir pateikia užklausą vartotojui, kuris nusprendžia leisti arba uždrausti atlikti šį veiksmą.
Bet kurio HIPS pagrindas yra taisyklių lentelė. Kai kuriuose produktuose jis niekaip neskirstomas, kituose pagal taisyklių pobūdį suskirstytas į tarpines lenteles (pavyzdžiui, failų taisyklės, tinklų taisyklės, sistemos privilegijų taisyklės ir pan.), kitose lentelė suskirstyta pagal programas ir jų grupes . Šios sistemos stebi tam tikrus sistemos įvykius (pvz., failų kūrimą ar ištrynimą, registro prieigą, prieigą prie atminties, kitų procesų paleidimą), ir kiekvieną kartą, kai šie įvykiai turėtų įvykti, HIPS patikrina savo taisyklių lentelę ir tada veikia pagal parametrus, nurodytus stalas. Veiksmas leidžiamas arba uždraustas, arba HIPS klausia vartotojo, ką jis turėtų daryti šiuo konkrečiu atveju.
HIPS ypatybė yra grupės nuostatos, kuri leidžia taikyti tuos pačius leidimus visoms konkrečios grupės programoms. Paprastai programos skirstomos į patikimas ir nepatikimas, taip pat galimos tarpinės grupės (pavyzdžiui, silpnai apribotos ir stipriai apribotos). Patikimoms programoms niekaip neribojamos teisės ir galimybės, silpnai apribotoms programoms uždraudžiami pavojingiausi sistemai veiksmai, labai apribotoms programoms leidžiami tik tie veiksmai, kurie negali padaryti didelės žalos, o nepatikimos negali atlikti praktiškai jokios sistemos. veiksmai.
HIPS taisyklės susideda iš trijų pagrindinių komponentų: subjekto (t. y. programa arba grupė, kuri iškelia konkretų įvykį), veiksmas (leisti, uždrausti arba paraginti vartotoją) ir objektas (tai, ką programa ar grupė bando pasiekti). Priklausomai nuo objekto tipo, taisyklės skirstomos į tris grupes:
- failai ir sistemos registras (objektas – failai, registro raktai);
- sistemos teisės (objektas – sistemos teisės atlikti tam tikrus veiksmus);
- tinklai (objektas – adresai ir jų grupės, prievadai ir kryptys).
HIPS tipai
- HIPS, kur sprendimą priima vartotojas- Kai programų programavimo sąsajos (API) funkcijos perėmėjas perima bet kurią programos funkciją, rodomas klausimas apie kitą veiksmą. Vartotojas turi nuspręsti, ar paleisti programą, ar ne, su kokiomis privilegijomis ar apribojimais ją paleisti.
- HIPS, kur sprendimą priima sistema- sprendimą priima analizatorius, tam kūrėjas sukuria duomenų bazę, kurioje įvedamos taisyklės ir sprendimų priėmimo algoritmai.
- „Mišri“ HIPS sistema- sprendimą priima analizatorius, bet kai jis negali priimti sprendimo arba įjungti „vartotojo sprendimo priėmimo“ nustatymai, sprendimas ir tolesnių veiksmų pasirinkimas suteikiamas vartotojui.
HIPS privalumai
- Mažas sistemos išteklių suvartojimas.
- Nereiklus kompiuterinei įrangai.
- Jie gali dirbti įvairiose platformose.
- Didelis efektyvumas kovojant su naujomis grėsmėmis.
- Didelis priešpriešinių šakninių rinkinių, veikiančių programos lygiu (vartotojo režimu), efektyvumas.
HIPS trūkumai
- Žemas branduolio lygiu veikiančių šakninių rinkinių efektyvumas.
- Daug skambučių vartotojui.
- Vartotojas turi žinoti veikimo principus
Kaip veikia HIPS (host-based Intrusion Prevention System): išsamus aprašymas. Bendrieji HIPS ir Auto-Sandbox nustatymai Comodo Internet Security 8. Viruscope
KLUBAI
HIPS režimai
Kai įjungtas HIPS komponentas, programos veikla ribojama pagal taisykles. Esamos taisyklės iš pradžių nustato kai kurių sistemos programų leidimus, o kitais atvejais reikia paklausti vartotojo. Vartotojas gali pridėti savo taisykles naudodamas „HIPS taisyklių“ skirtuko sąsają arba jos bus sukurtos per jo atsakymus į įspėjimus arba sukurtos automatiškai, kai įjungtas „Mokymosi režimas“. Galite išjungti įspėjimus nurodydami visada leisti arba visada uždrausti veiklą, jei nėra taisyklės.
Programos įspėjimų rodymas priklauso nuo programos ir HIPS režimo. „Saugiuoju režimu“ pranešimai bus siunčiami tik apie neatpažintas programas, o patikimoms programoms bus tyliai suteikiamas leidimas (jei nėra draudžiamosios taisyklės) atlikti bet kokius veiksmus, išskyrus neidentifikuotos programos paleidimą. Paranoidiniame režime perspėjimai bus rodomi visoms programoms, nepaisant reputacijos.
„Clean PC“ režimu perspėjimai pasirodo tik apie naujas neatpažintas programas, t.y. kurių anksčiau nebuvo diske, o „senieji“ suvokiami kaip patikimi „saugiame režime“. „Clean PC“ režimas veikia taip: nuo šio režimo įjungimo yra stebimas naujų programų kūrimas, t.y. vykdomuosius failus. Jeigu nauja programa mažesnis nei 40 MB ir neturi „patikimo“ reputacijos, tada jis įrašomas kaip „neidentifikuotas“. Tik programos iš sąrašo „nenustatytos“ bus apribotos. Likusios programos, mažesnės nei 40 MB, bus suvokiamos panašiai kaip patikimos: HIPS, Auto-Sandbox, o ugniasienė jas suvoks kaip tokias.
„Clean PC“ režimas yra labai problemiškas ir nerekomenduoju jo naudoti. Visų pirma, jei šiuo režimu nauja nežinoma programa bus patalpinta į kokį nors katalogą ir pakeistas jos pavadinimas, tada programa bus laikoma „sena“, t.y. gaus leidimą. Nepaisant to, jūs galite įdiegti tinkamai veikiantį režimo „Švarus kompiuteris“ analogą saugiuoju režimu, pridėdami visus vykdomuosius failus prie patikimų, kaip siūloma .
Kaip veikia „Saugusis režimas“, kai įjungta parinktis „Kurti saugių programų taisykles“, taip pat „Mokymosi režimas“. Darbas švaraus kompiuterio režimu yra panašus į saugų, tačiau skiriasi tuo, kad neatpažinti failai, buvę diske prieš įjungiant šį režimą, bus apdorojami panašiai kaip patikimi failai („patikimi“ ne tik HIPS, bet ir Auto-Sandbox, ir ugniasienė).
Padarysiu specialų atvejį: jei programa veikia virtualioje aplinkoje ir/ar su Auto-Sandbox apribojimais, tuomet nesant leisti arba uždrausti taisyklės bus suteiktas leidimas (panašiai kaip ir parinktis „Nerodyti įspėjimų : Leisti užklausas“). Virtualioje aplinkoje failų ir registro apsaugos iš viso nebus, net ir su aiškiais draudimais. Bet, žinoma, virtuali aplinka ir (arba) „Auto-Sandbox“ perdengs šią programą ir jos antrinius procesus.
Programos teisių valdymas per pranešimus
Jei HIPS įspėjime pasirinksite „Leisti“ arba „Tik blokuoti“, šis leidimas arba atsisakymas bus taikomas tik konkrečiam ištekliui. Pavyzdžiui, jei leidžiate programai sukurti failą C:\test\A.exe , bandymas sukurti failą C:\test\B.exe vėl sukels įspėjimą. Kad programa galėtų kurti bet kokius failus kataloge C:\test, turėsite redaguoti taisyklę per CIS sąrankos langą. Deja, įspėjimai nesuteikia leidimų katalogams, šablonams, grupėms ir pan.
Pastebėta viena išimtis: jei kuri nors programa yra leidžiama per pranešimą „pakeičiama kitos programos vartotojo sąsaja“, tada bus sukurta taisyklė, leidžianti šiai programai siųsti lango pranešimus bet kuriai programai, ne tik nurodytai.
Tačiau per įspėjimą programai galite taikyti iš anksto sukurtą politiką. Šios strategijos sukuriamos skirtuke HIPS > Taisyklių rinkiniai. Iš anksto nustatyta politika „Windows sistemos programa“ leidžia bet kokią veiklą, politika „Leidžiama programa“ – bet kokią, bet nereglamentuoja antrinių procesų paleidimo; „Izoliuotos programos“ politika griežtai draudžia bet kokią veiklą; „Apribotos programos“ politika paneigia beveik viską, išskyrus lango pranešimus ir monitorių, ir nereglamentuoja antrinių procesų paleidimo. Galite ne tik kurti savo strategijas, bet ir pakeisti iš anksto nustatytas.
Programai per įspėjimus priskirti leidimai, atsisakymai ir politika veikia skirtingai, atsižvelgiant į tai, ar įspėjime įjungta parinktis „Prisiminti mano pasirinkimą“. Jei įjungsite šią parinktį ir pasirinksite parinktį „Leisti“ arba „Tik blokuoti“, šiai programai priskirtų taisyklių rinkinys pasikeis: jis bus pridėtas, kad būtų leista arba uždrausti tiksliai konkrečiam ištekliui (failui, sąsajai ir pan.) . Jei įjungsite parinktį „Prisiminti mano pasirinkimą“ ir pasirinksite bet kurią taisyklės- naujos taisyklės nebus pridedamos prie senųjų, o visiškai jas pakeis; tie. anksčiau šiai programai priskirtos taisyklės nebegalios. Jei šiai programai nėra HIPS taisyklės, ji bus sukurta sąrašo viršuje.
Jei pranešime išjungsite parinktį „Prisiminti mano pasirinkimą“, programai priskirti leidimai, apribojimai ar politika nustos galioti pasibaigus programai arba net anksčiau, o taisyklių pakeitimų nebus. Norint suprasti šių laikinų taisyklių logiką, patogu įsivaizduoti, kad kiekvienas atsakymas į įspėjimą (neprisimindamas) sukuria „fantominį“ įrašą HIPS taisyklių sąraše. Visi „fantominiai“ įrašai yra taisyklių sąraše žemiau „tikrųjų“ įrašų, tačiau naujieji „fantominiai“ yra aukščiau kitų „fantomų“. Tai reiškia, kad galite priskirti skirtingas strategijas tai pačiai programai kelis kartus per pranešimus (neprisimindami), ir visos šios strategijos galios. Šiuo atveju didžiausią prioritetą turės „tikrosios“ taisyklės, vėliau – naujausios iš „fantominių“, vėliau – ankstesnės ir pan. Bet kai tik bus sukurta bet kokia „tikra“ taisyklė (su įsiminimu), visos „fantominės“ taisyklės visoms programoms bus sunaikintos.
Pavyzdžiui, bet kuriai programai neprisimindami priskirkime strategiją „Izoliuota programa“. Pagal numatytuosius nustatymus grupei „Visos programos“ leidžiama keisti laikinuosius failus, todėl ši programa vis tiek galės tai padaryti, net jei „Sandboxed Application“ politika to neleidžia. Jei šią politiką priskirsite atsiminimui, laikinųjų failų keitimas bus draudžiamas, nes sąrašo viršuje bus sukurta nauja HIPS taisyklė.
Programos paleidimo valdymas
Galimybę paleisti programą HIPS suteikia taisyklė paleidimas programa, ne ta, kuri vykdoma. „Paranoidiniu režimu“ tyliai paleisti programas leidžiama tik tuo atveju, jei taisyklėse yra aiškus leidimas (for). „Saugiuoju režimu“, nesant taisyklės, paleisti leidžiama, jei ir paleidimo priemonė, ir paleidžiama programa turi „patikimą“ reputaciją.
Taigi, tarkime, kad HIPS „Safe Mode“ veikia parent.exe ir bando paleisti child.exe . Jei nėra papildomų taisyklių, paleidimas įvyks tyliai, tik jei abi programos bus patikimos. Jei programa child.exe neatpažįstama, o HIPS taisyklės, skirtos parent.exe programai (arba grupei, kurioje ji yra), neturi leidimo paleisti child.exe programos (arba grupės, kurioje ji yra), tada neatsižvelgiant į HIPS taisyklės pačiai programai child.exe ir neatsižvelgiant į programos parent.exe įvertinimą, prieš paleidžiant pasirodys pranešimas (be to, apie programą parent.exe).
Taigi, norint leisti vykdyti neidentifikuotą programą, neužtenka nustatyti sau leidimo taisykles – reikalingas leidimas ją paleisti į pirminį procesą, kaip pasirinktis – į grupę Visos programos.
Jei norite sustabdyti programos paleidimą, gavę pranešimą apie pirminį procesą, turėtumėte išjungti atsiminimo parinktį ir pasirinkti „Blokuoti“ > „Tik blokuoti“.
Dėmesio! Įspėjimo elementas „Blokuoti ir užbaigti vykdymą“. apie programos paleidimą reiškia išjungimą tėvų procesas. Be to, šiame pranešime pasirinkus politiką (t. y. taisyklių rinkinį), ji bus priskirta pagrindiniam procesui. Atitinkamai, tokiame pranešime įjungus parinktį „Prisiminti mano pasirinkimą“, bus sukurta / pakeista pirminio proceso HIPS taisyklė. Tipiška vartotojų klaida yra politikos pasirinkimas pranešime apie „Explorer“ paleistą programą. Tinkamas veiksmas yra pirmiausia leisti tik paleisti ir pasirinkti politiką vėlesniame pranešime apie pačios programos veiklą.
Svarbu žinoti, kad, skirtingai nei Auto-Sandbox, HIPS, antrinis procesas nepaveldi tėvų apribojimų: jei leisite abejotinai programai paleisti programą, kuri turi leidimus, bus pažeistas saugumas.
Galimybę paleisti bet kurią programą taisyklės lemia ne tik HIPS, bet ir. Paleidimas bus užblokuotas, jei to reikalauja bent vienas iš šių komponentų. Jei paleidimas leidžiamas HIPS taisyklėse, o automatinės smėlio dėžės taisyklės reikalauja izoliuoti šią programą, ji bus paleista atskirai.
Apibūdinta procedūra turi tam tikrų išimčių. Pirmoji išimtis susijusi su programomis, kurios jau yra smėlio dėžėje. Šių programų antriniai procesai bus įvesti smėlio dėžėje taip pat, jiems netaikomos kitos automatinio smėlio dėžės taisyklės. HIPS pranešimo apie jų paleidimą nebus: blokavimas įvyks tik tuo atveju, jei yra aiški HIPS neigimo taisyklė. Kitaip tariant, HIPS veikimas tokioms programoms yra panašus į parinkties „Nerodyti įspėjimų: Leisti raginimus“ įjungimą.
Kita išimtis yra programos, turinčios diegimo programos teises. Jų antriniai procesai nepaklūsta automatinės smėlio dėžės taisyklėms (toks elgesys) ir nekelia HIPS įspėjimų. Jiems taikomi tik aiškūs draudimai HIPS taisyklėse, pvz., parinktis „Nerodyti įspėjimų: leisti raginimus“ yra įjungta (tokio elgesio negalima konfigūruoti).
Trečioji išimtis yra programos, kuriose automatinėje smėlio dėžėje yra veiksmas „Ignoruoti“, kai parinktis „ “ išjungta. Tokios programos tiesiog pašalinamos iš automatinio smėlio dėžės valdymo kartu su antriniais procesais. HIPS taisyklės jiems taikomos įprastu būdu.
Automatinis HIPS taisyklių kūrimas „mokymosi režimu“ ir „saugiuoju režimu“
Tam tikrais režimais HIPS taisyklės sukuriamos automatiškai:
- jei įjungtas „Mokymosi režimas“, o parinktis „Nerodyti įspėjimų“ išjungta arba nustatyta į „Blokuoti užklausas“ režimą, bus stebima visų programų veikla ir sukurtos taisyklės, leidžiančios kiekvieną jų pastebėtą veiksmą. ;
- jei „Saugus režimas“ įjungtas, parinktis „Kurti taisykles saugioms programoms“ įjungta, o parinktis „Nerodyti įspėjimų“ išjungta arba nustatyta į „Blokuoti užklausas“, bus sukurtos taisyklės, leidžiančios atlikti kiekvieną aptiktą patikimos programos.
Daugeliu atvejų šie režimai nėra naudingi ir naudojami tik bandymams arba pasiruošimui perjungti į „Paranoidinį režimą“.
Programos taisyklės (naudojant „mokymosi režimą“ arba patikimą „saugųjį režimą“) sukuriamos taip:
Naujos taisyklės tipas priklausys nuo prašomo veiksmo:
- Kai viena programa paleidžia kitą, pirmajai sukuriama taisyklė, leidžianti paleisti tą konkrečią programą.
- Kai programa pakeičia failą arba registro raktą, esantį skirtuke HIPS > Apsaugoti objektai, taisyklės išvaizda priklausys nuo to, kaip parašytas išteklių šablonas.
- Jei šablono gale yra ženklas | , tada bus sukurta taisyklė, leidžianti pakeisti konkretų objektą, kurį programa pasiekė. Pavyzdžiui, programa darbalaukyje sukuria failą text.txt. Tai atitinka šabloną " ?:\Users\*\Desktop\*| “. Tai reiškia, kad bus sukurta taisyklė, leidžianti keisti failą C:\Users\Vardas\Desktop\text.txt.
- Jei rašto pabaigoje nėra ženklo | , tada bus sukurta taisyklė, leidžianti pakeisti bet kurį objektą pagal šį šabloną. Pavyzdžiui, programa sukuria failą D:\prog.exe . Saugomų objektų sąraše šis failas atitinka šabloną *.exe . Tai reiškia, kad bus sukurta taisyklė, leidžianti šiai programai keisti bet kokius .exe failus.
- Kai programa pasiekia bet kurį iš šių išteklių, automatiškai sukuriamos taisyklės, leidžiančios jai pasiekti visus juos vienu metu:
- „Apsaugotos COM sąsajos“,
- „Windows kabliukai ir programų kabliukai“
- „Prieiga tarp procesų atminties“,
- „Programų teikimo nutraukimas“,
- „DNS užklausos“
- "Diskas" (tiesioginė prieiga),
- "Klaviatūra",
- "Monitorius".
Paprastai tikroji HIPS veikimo tvarka yra tokia, kaip aprašyta, tačiau yra įvairių nukrypimų. Pavyzdžiui, kartais HIPS taisyklės sukuriamos automatiškai net programoms, kurios veikia su diegimo programos teisėmis; tai buvo pastebėta išjungus „Auto-Sandbox“. Taip pat buvo situacija, kai „Mokymosi režimu“ sukurtos programos taisyklės „Paranoidiniame režime“ užfiksavo prieigą prie ne visų jos prašomų failų objektų.
Nustatykite programas pagal jų kelius
Aiškiai apibrėžtose taisyklėse atsižvelgiama tik į programos kelią. Jo vientisumas, tiksliau, įvertinimas tikrinamas tik tuo atveju, jei „saugiame režime“ nėra taisyklių. Vietoj nedviprasmiško kelio galite panašiai naudoti šablonus ir aplinkos kintamuosius, taip pat pačias failų grupes.
Anksčiau kartais buvo pastebėta, kad pervadinus ar perkėlus HIPS programos suvokė ją esantį toje pačioje vietoje. Tai išreiškė tuo, kad šiai programai galiojo taisyklės, kur buvo parašyta senuoju būdu, o taisyklės su nauju būdu negaliojo. Problema buvo išspręsta perkrovus.
Kadangi HIPS taisyklės yra pagrįstos keliu, parinktis „Generuoti saugių programų taisykles“ yra pavojinga. Pavyzdžiui, jei jis įjungtas ir Explorer vykdo patikimą (pasirašytą) programą C:\myDownloads\test.exe , HIPS "Safe Mode" automatiškai sukurs taisykles; ir kitą kartą test.exe bus pakeistas kažkuo kitu. Todėl rekomenduoju šią parinktį išjungti.
Proceso apsauga
Programos HIPS taisyklių lange galite apriboti ne tik šios programos veiklą, bet ir kitų programų įtaką jos veikimui. Norėdami tai padaryti, skirtuke „Apsaugos nustatymai“ pasirinkite, kurie veiksmai su šia programa bus blokuojami, o išimčių lange (mygtukas „Keisti“) – kokias programas jiems bus leista atlikti. Pranešimai čia neteikiami – tik leidimas arba draudimas, nepriklausomai nuo reitingo. Tokiu būdu draudžiamas veiksmas bus blokuojamas, nepaisant kitų programų taisyklių ir reitingų.
Visų pirma, ši funkcija naudojama apsaugoti CIS nuo procesų iškrovimo ir prieigos prie atminties. Todėl net ir tada, kai HIPS nereikia, patartina jį įjungti bent jau su parinktimi „Nerodyti įspėjimų: Leisti užklausas“ („Safe“ arba „Paranoid“ režimu).
Šalutinis CIS savisaugos poveikis yra didžiulis įrašų skaičius „Defense Events+“ žurnale naudojant kai kurias programas, tokias kaip ProcessExplorer. Galite atsikratyti nereikalingų užraktų, leisdami atskiroms programoms pasiekti CIS atmintį.
Atkreipiu dėmesį, kad pati programos pertraukimo apsauga neapima visų proceso iškrovimo būdų. Pavyzdžiui, daugelis programų (bet ne CIS procesų) gali būti nutrauktos naudojant lango pranešimus (pvz., „System Explorer“ programą) arba naudojant prieigą prie atminties. Norėdami apsaugoti programą nuo tokių nutraukimo būdų, skirtuke „Apsaugos nustatymai“ turėsite patikrinti ne tik elementą „Programų pertraukimas“, bet ir elementus „Lango pranešimai“ ir „Prieiga prie procesų atminties“. .
Process Hacker naudojamas procesų nutraukimo metodas leidžia iškrauti net CIS. Norėdami išjungti šį metodą, galite pakeisti grupės Visos programos HIPS taisyklę: skiltyje Saugios COM sąsajos spustelėkite Redaguoti ir skirtuke Užblokuota pridėkite eilutę LocalSecurityAuthority.Restore. Tačiau šio draudimo daryti nerekomenduojama, nes tai sukels problemų atnaujinant „Windows“.
Montuotojo privilegijos
Montuotojo teisių reikšmė
Esant tam tikroms sąlygoms, programai suteikiamos diegimo programos teisės, kurios yra šios:
- HIPS leidžia tokiai programai viską, kas jai nėra aiškiai uždrausta taisyklėse, t.y. veikia kaip režimas „Nerodyti įspėjimų: leisti užklausas“;
- „Auto-Sandbox“ nenaudoja šios programos paleistų smėlio dėžės programų;
- kol ši programa veikia, jos antriniai procesai (kaip ir jų antriniai procesai ir kt.) vykdomi su diegimo programos teisėmis;
- vykdomieji failai, kuriuos sukuria ši programa (arba antriniai procesai, paveldintys jos teises), bus automatiškai įtraukti į patikimų failų sąrašą (išskyrus scenarijus ir failus, didesnius nei 40 MB).
Failai automatiškai patikimi, tik jei skirtuke „Failo įvertinimas“ > „Failo įvertinimo nustatymai“ įjungta parinktis „Pasitikėti programomis, įdiegtomis naudojant patikimus diegimo programas“. Be to, kai kuriais ypatingais atvejais diegimo programos privilegijos suteikiamos „sutrumpinta“ forma: be , nepaisant šios parinkties įtraukimo.
Galiausiai atkreipkite dėmesį: kai diegimo programa nutrūks, jos antriniai procesai praras paveldėtas teises, o HIPS juos valdys įprastai. Ir tolesni jų antriniai procesai priklausys „Auto-Sandbox“ valdymui.
Tarkime, diegimo programa „A“ pradeda procesą „B“, o „B“ pradeda procesą „C“. Paprastai dėl to procesas C įgyja diegimo programos teises ir išlaiko jas tol, kol veikia programa A, net ir pasibaigus procesui B. Tačiau pasibaigus programai „A“, procesas „C“ praras šias privilegijas.
Palyginti su diegimo programos privilegijomis, paveldėjimas yra „saugesnis“: jis ir toliau veikia antrinius procesus net ir pasibaigus visiems pirminiams procesams. (Tačiau pastebėta klaida: šios taisyklės paveldėjimas nutrūksta, jei į HIPS įspėjimą nereaguojama 2 minutes prieš pradedant antrinį procesą.)
Programa įgyja montuotojo teises įvairiais būdais: arba kada , arba kada (jei programa neatpažįstama ir turi diegimo programos bruožą), arba kada , arba kada , arba kai programa paveldi šias teises iš pirminio proceso. Programai gali būti suteiktos diegimo programos tik tada, kai ji vykdoma realioje aplinkoje be automatinio smėlio dėžės apribojimų. Jei programa paleidžiama atskirai, ji negauna šių privilegijų, nepaisant jokių ženklų ir taisyklių.
Automatinis programėlės diegimo privilegijų suteikimas
Programa automatiškai gauna diegimo privilegijas, jei ji yra patikima ir turi . Ši būsena priskiriama programoms, kurios paleidžiant prašo administratoriaus teisių, ir kai kurioms kitoms.
Ankstesnėse CIS versijose automatinis diegimo privilegijų suteikimas programai įvyko tik tada, kai aktyvios apsaugos apribojimai priklausė nuo programos įvertinimo. Jei programa buvo pašalinta iš automatinio smėlio dėžės ir jai buvo priskirta visiškai apibrėžta HIPS strategija (pvz., „Sistemos programa“), tada jai nebuvo suteiktos diegimo programos teisės. CIS 8 diegimo privilegijos suteikiamos net ir išjungus HIPS ir automatinį smėlio dėžę. Vienintelė pastebėta situacija, kai programa, turinti patikimo diegimo programos būseną, yra tada, kai jos apribojimai HIPS nepriklauso nuo įvertinimo, o automatinės smėlio dėžės taisyklės ją išskiria iš izoliacijos. tėvų procesą kartu su savo vaikais.
Priskirkite montuotojo teises per įspėjimus ir HIPS taisykles
Diegtojo privilegijos gali būti aiškiai priskirtos programai per HIPS: jos atitinka „Įdiegti arba atnaujinti“ politiką.
Kai atsiranda HIPS įspėjimas dėl programos veiklos, perspėjimo lange galite pasirinkti norimą politiką, atsimindami arba neprisimindami.
Jei pažymėsite parinktį prisiminti ir pasirinksite strategiją „Įdiegti arba atnaujinti“, bus sukurta atitinkama HIPS taisyklė ir programa turės diegimo programos teises. Jei pasirinksite šią politiką be atsiminti parinkties, taisyklė nebus sukurta, o programa gaus „sutrumpintą“ diegimo programos privilegijų versiją: automatiškai nepridedant sukurtų failų prie patikimų (laikinas „neidentifikuoto“ paleidimas diegimo programa“ be automatinio smėlio dėžės apribojimų).
CIS konfigūracijos lange galite iš anksto priskirti diegimo arba naujinimo strategiją programai HIPS taisyklių sąraše. Akivaizdu, kad tokiu atveju programa gaus diegimo privilegijas be pranešimų ir visiškai.
Proaktyvios gynybos bendrosios funkcijos ir parametrai
Panagrinėkime galimybes, kurios turi įtakos aktyvios gynybos veikimui apskritai: tiek HIPS, tiek Auto-Sandbox.
Įvairios aktyvios gynybos galimybės
Skirtuke „HIPS nustatymai“ esanti parinktis „Įgalinti patobulintą apsaugos režimą“ skirta užkirsti kelią aktyviajai apsaugai 64 bitų „Windows“ versijose, todėl tokiose sistemose ją reikia patikrinti. Tačiau tuo pat metu ji apima aparatinės įrangos virtualizavimo palaikymą, o tai kelia grėsmę konfliktui su virtualiosiomis mašinomis.
Parinktis „Pritaikyti darbo režimą mažiems sistemos ištekliams“ reikalinga tik tuo atveju, jei jų trūksta laisvosios kreipties atmintis. Kai įjungta, CIS naudoja atminties taupymo gudrybes, kad išvengtų gedimų atliekant užduotis. Tačiau tai sumažina našumą.
Parinktis „Blokuoti nežinomas užklausas, jei programa neveikia“ skirta tik užkrėstoms sistemoms ir nerekomenduojama naudoti nuolat, nes neleidžia saugioms programoms tinkamai paleisti. Jei ši parinktis įjungta, tol, kol nebus įkelta CIS GUI, visos programos, nepaisant jų įvertinimo, bus užblokuotos nuo bet kokios veiklos, išskyrus tą, kuri aiškiai leidžiama HIPS taisyklėse. Kitaip tariant, kol bus įkelta GUI, HIPS veikimas bus panašus į „Paranoid Mode“ su parinktimi „Nerodyti įspėjimų: blokuoti užklausas“. Blokavimo nebus, jei HIPS išjungtas arba įjungtas pasirinkus „Nerodyti įspėjimų: leisti raginimus“.
Taip pat skirtuke „Failo įvertinimo nustatymai“ esanti parinktis „Pasitikėti programomis, įdiegtomis naudojant patikimus montuotojus“ gali būti priskirta prie bendrųjų aktyvios apsaugos parametrų.
Kita parinktis, turinti įtakos aktyvios apsaugos veikimui, nors ji yra kitoje skiltyje, yra „Maksimalus failo dydis“ skirtuke „Antivirusinė stebėjimas“. Jei failo nepasirašė patikimas teikėjas, o jo dydis viršija nurodytą, tada šis failas bus traktuojamas kaip neatpažintas, net jei rankiniu būdu įtrauksite jį į patikimų sąrašą. Numatytasis dydis yra 40 MB, jį galima padidinti, bet ne sumažinti. Jei failą pasirašo patikimas tiekėjas, šis apribojimas netaikomas.
Parinktys, kurias nustatote skiltyje HIPS > Apsaugoti objektai, yra svarbios ne tik HIPS, bet ir automatiniam smėlio dėžei. Taigi, jei programa veikia, bus apsaugoti būtent tie failai ir registro raktai, kurie nurodyti atitinkamuose šio skyriaus skirtukuose. Programoms, veikiančioms virtualioje aplinkoje, taip pat svarbūs šio skyriaus nustatymai: skirtuke „Aplankai su apsaugotais duomenimis“ išvardytų katalogų turinys bus paslėptas.
Objektams, įtrauktiems į sąrašą „HIPS“ > „Apsaugoti objektai“ > „Užrakinti failai“, neleidžiama bet kokia prieiga, įskaitant rašymą ir skaitymą. Šiame sąraše yra keliai ir failų kelių šablonai. Blokavimas veikia tik tada, kai įjungtas HIPS.
Nurodysiu specialų atvejį: režimą „Išvalyti kompiuterį“. Formaliai šis režimas reiškia HIPS, tačiau iš tikrųjų jis lemia visos aktyvios gynybos veikimą. Jei įjungsite šį režimą, tik vėliau diske esantys failai bus laikomi „neidentifikuotais“. Failai, kurie buvo diske prieš įjungiant šį režimą, gaus patikimas teises: ir HIPS, ir automatinė smėlio dėžė, ir ugniasienė laikys šiuos „senus“ failus taip, lyg jie būtų įtraukti į patikimų sąrašą. kad „Clean PC“ režimas turi tam tikrų problemų ir jo nerekomenduojama naudoti.
Failų apsaugos funkcijos
Kaip jau minėta, tik tie failai, kurie yra sąraše „HIPS“ > „Apsaugoti elementai“ > „Apsaugoti failai“, yra apsaugoti per HIPS arba „Auto-Sandbox“ (jei nėra virtualizacijos). Norėdami nurodyti šiuos failus, galite naudoti pakaitos simbolius (* ir ?) ir aplinkos kintamuosius (%temp% , %windir% ir kt.), kaip ir .
Pastebėsiu šablonų naudojimo ypatumą saugant katalogus. Paprastai, jei nurodysite bet kurį katalogą per CIS sąsają, jis bus parašytas kaip šablonas: D:\Docs\* . Šis šablonas atitinka failus ir aplankus, esančius pasirinktame kataloge D:\Docs, taip pat jo pakatalogiuose. Šio šablono įtraukimas į apsaugotų failų sąrašą reiškia, kad jį atitinkantys failai ir aplankai yra apsaugoti nuo modifikavimo ir keitimo. Tačiau pats pasirinktas dokumentų katalogas nėra apsaugotas nuo pervadinimo. Jei jį pervadinsite, jo turinys nebebus apsaugotas. Norėdami apsaugoti katalogą nuo pervadinimo, pabaigoje parašykite jį be pasvirojo brūkšnio ir žvaigždutės: D:\Docs . Taigi, norint visiškai apsaugoti katalogą ir jo turinį, į saugomų sąrašą reikėtų įtraukti dvi eilutes: D:\Docs\* ir D:\Docs . (Galimas variantas su viena eilute - palikite žvaigždutę pabaigoje, bet be pasvirojo brūkšnio: D:\Docs* . Bet toks raštas vienu metu apsaugos katalogus D:\Docs , D:\Docs2 ir kt.)
Sąraše HIPS > Apsaugoti objektai > Apsaugoti failai daugelis šablonų baigiasi | . Šio ženklo naudojimas turi įtakos ir riboja „Auto-Sandbox“ nustatytus apribojimus. Jei kuri nors programa paleidžiama automatinėje smėlio dėžėje su apribojimais be virtualizavimo, jai nebus leidžiama kurti, ištrinti ar keisti failų, kurie nurodyti šablonais su simboliu | pabaigoje. Failai, nurodyti šablonais be | pabaigoje jie taip pat bus apsaugoti nuo pakeitimų, tačiau Auto-Sandbox apribotai programai leidžiama kurti tokius failus, taip pat ištrinti (bet ne modifikuoti) sukurtus. Pavyzdžiui, pagal numatytuosius nustatymus programai, veikiančiai su iš dalies apriboto apribojimo lygiu, leidžiama kurti vykdomuosius failus kataloge %PROGRAMFILES%, bet ne paleisties kataloge. Pabrėžiu, kad simbolis | tai turi įtakos automatinio smėlio dėžės riboms ne virtualizacijos režimuose. Kai apsaugotas HIPS, kurti, ištrinti ir keisti failus draudžiama, neatsižvelgiant į tai, ar yra simbolis | jų šablonuose.
Nurodant kelius išimamuose įrenginiuose kilo problema. Formaliai galite sukurti HIPS, automatinio smėlio dėžės ar kito komponento taisyklę naudodami nuimamo įrenginio kelią, pvz., H:\Docs\* , tačiau ši taisyklė neveiks: CIS nepriima išimamų disko raidžių. Tačiau taisyklės, nesusietos su disko raide, veiks naudojant keičiamąją laikmeną, pavyzdžiui, apsaugant exe failus. Kita vertus, vis dar galima sukurti automatinės smėlio dėžės taisykles, kurios bus vykdomos specialiai programoms, esančioms keičiamojoje laikmenoje. Pateikiamas tokios taisyklės pavyzdys.
Kaip ir keičiamų įrenginių atveju, CIS netinkamai veikia su tinklo disko raidėmis: tinklo disko Y: duomenys gali neatitikti nei šablono Y:\*, nei net ?:\* . Vietoj šablonų su tinklo disko raide galite naudoti tokius šablonus kaip \\network_share_name* – eksperimentai parodė, kad jie veikia teisingai. Visų pirma, norėdami apsaugoti duomenis „Yandex.Disk“, prijungtame kaip tinklo diskas per WebDAV protokolą, galite įtraukti eilutę \\webdav.yandex* į sąrašą Apsaugoti objektai > Apsaugoti failai.
Taip pat reikia pasakyti, kad CIS kaip „failus“ suvokia ne tik fizinius failus, bet ir įvairius sistemos objektus, pavyzdžiui, fizinius ar virtualius įrenginius. Viena vertus, tai suteikia lankstumo tinkinant. Kita vertus, atminkite tai. Todėl tokie objektai nebus apsaugoti nuo virtualiai veikiančių programų, net jei HIPS taisyklėse yra griežti draudimai.
Registro apsaugos funkcijos
Kaip ir failų atveju, vieninteliai HIPS ir automatinio smėlio dėžės apsaugoti registro raktai yra išvardyti HIPS > Apsaugoti elementai > Registro raktai.
Nustatydami registro raktus, galite rašyti registro kelio šablonus naudodami * ir ? .
Apsvarstykite, pavyzdžiui, eilutę *\Software\Microsoft\Windows\CurrentVersion\Run*. Jo pradžioje esantis * reiškia, kad jis apima ir HKEY_LOCAL_MACHINE sistemos registro raktą, ir kiekvieno vartotojo HKEY_CURRENT_USER raktą. Atminkite, kad šios eilutės pabaigoje esantis * nėra atskirtas pasviruoju brūkšniu. Tai reiškia, kad eilutė apima abu dalinius raktus: Run ir RunOnce . Šios konkrečios eilutės reikšmė yra apsaugoti vienu metu skirtingų tipų automatinį įkėlimą: ir bendrą automatinį įkėlimą, ir vartotojo automatinį įkėlimą; tiek nuolatiniai, tiek vienkartiniai.
Registrų grupėse, iš anksto įdiegtose CIS, naudojami sutrumpinti skyrių pavadinimai: HKLM , HKCU ir HKUS . Be to, nurodant registro kelius per CIS sąsają, šie sutrumpinti pavadinimai automatiškai pakeičiami. Tačiau HIPS taisyklės, kurios sutrumpina registro raktus, iš tikrųjų gali neveikti. Todėl visada turėtumėte nurodyti pilnus registro raktų pavadinimus: pavyzdžiui, ne HKCU\SOFTWARE\Policies\* , o HKEY_CURRENT_USER\SOFTWARE\Policies\* . Taip pat turėsite pataisyti kelius iš anksto nustatytose grupėse skirtuke HIPS grupės > Registro grupės:
- pakeisti HKLM į HKEY_LOCAL_MACHINE
- pakeisti HKCU į HKEY_CURRENT_USER
- pakeisti HKUS į HKEY_USERS
Mano pastebėjimais, CIS neteisingai suvokia šakninių registro raktų santrumpas tais atvejais, kai nurodytas kelias yra nuoroda, o ne „tikra“ vieta registre. Tokių nuorodų kelių pavyzdžiai yra HKLM\SYSTEM\CurrentControlSet\*, HKCU\*.
Galimas variantas nurodant sekciją HKEY_CURRENT_USER - šabloną HKEY_USERS* . Prie šio šablono galite pridėti dalį vartotojo ID. Pavyzdžiui, eilutė HKEY_USERS*1002\SOFTWARE\Policies\* nurodo rakto HKEY_CURRENT_USER šaką SOFTWARE\Policies vienam konkrečiam vartotojui. Ši technika gali būti naudojama siekiant neleisti apribotam vartotojui keisti automatinio įkėlimo, asociacijų ir kitų nustatymų.
Norint patogiai ir vizualiai kurti taisykles, rekomenduojama naudoti registro grupes:
- atidarykite skirtuką „HIPS“ > „HIPS grupės“ > „Regitros grupės“ ir kontekstiniame meniu sukurkite naują grupę;
- pridėti registro raktus prie šios grupės ir, jei reikia, redaguoti kelius;
- atidarykite skirtuką „HIPS“ > „Apsaugoti objektai“ > „Registro raktai“ ir įtraukite į sąrašą naują grupę;
- skirtuke "HIPS taisyklės" nustatykite reikiamus leidimus ir draudimus naudojant grupes.
Skaityti apsaugą
Duomenis galite apsaugoti ne tik nuo pakeitimų, bet ir tam tikru mastu nuo kai kurių programų skaitymo. Norėdami tai padaryti, naudokite skirtuką „HIPS“ > „Apsaugoti objektai“ > „Aplankai su apsaugotais duomenimis“. Katalogai, įtraukti į šio skirtuko sąrašą, yra apsaugoti taip:
- paleistos programos šiuos katalogus praktiškai suvokia kaip tuščius;
- programoms, veikiančioms realioje aplinkoje su automatinio smėlio dėžės apribojimais, neleidžiama naršyti šių katalogų turinio;
- Disko šaltinyje HIPS blokuotoms programoms neleidžiama naršyti šių katalogų turinio (tačiau vis tiek gali atidaryti juose esančius failus).
Pabrėžiu, kad būtent tada, kai naudojama virtualizacija, apsaugotus aplankus izoliuotos programos suvoks kaip tuščius, o jų failus – kaip neegzistuojančius. Jei programa apribota tik HIPS, ji galės atidaryti failus „žinodama“ jų kelius.
Naudodamiesi CIS sąsaja, į sąrašą „Aplankai su apsaugotais duomenimis“ galite įtraukti tik tuos katalogus, kurie matomi naršyklėje. Jei reikia apsaugoti duomenis paslėptame kataloge, turėtumėte laikinai leisti rodyti paslėptus failus ir aplankus naršyklėje (pavyzdžiui, per „Valdymo skydą“).
CIS sąsaja leidžia sąraše „Aplankai su apsaugotais duomenimis“ nurodyti tik nedviprasmiškus katalogų kelius, bet ne tokius šablonus kaip *\ReadProtected\* . Bandymas įtraukti šabloną į šį sąrašą redaguojant konfigūracijos failą gali sukelti BSOD.
Sąraše „Aplankai su apsaugotais duomenimis“ turėtumėte įtraukti katalogus, esančius tik vietiniuose diskuose. Formaliai į šį sąrašą galite įtraukti keičiamąsias laikmenas arba virtualius šifruotus diskus, tačiau paprastai apsauga jiems neveikia.
Šią apsaugą gali visiškai apeiti programos, veikiančios kaip administratorius. Tokios programos galės matyti apsaugoto katalogo turinį ir skaityti jame esančius duomenis, net jei joms bus užblokuota prieiga prie disko, net jei jos veikia virtualioje aplinkoje ir net jei yra smėlio dėžėje automatinėje smėlio dėžėje. kaip „Iš dalies apribotas“ arba „Įtartinas“. Primygtinai rekomenduoju, kad UAC būtų įjungta.
Proceso atminties apsauga
CIS gali neleisti vienam procesui pakeisti kitų atminties. Taigi programoms, kurios veikia virtualiai ir/ar su Auto-Sandbox apribojimais, neleidžiama keisti realioje aplinkoje veikiančių procesų atminties. Papildomi procesų atminties modifikavimo apribojimai nurodyti HIPS taisyklėse.
CIS apsaugo proceso atmintį nuo pakeitimų, bet ne nuo skaitymo. Net jei užblokuosite kenkėjišką programą „Inter-Process Memory Access“ ir net paleisite ją virtualiai, ji galės nuskaityti jautrius duomenis iš tikroje aplinkoje veikiančių procesų atminties. Pastebiu, kad ši problema susijusi ne tik su Comodo Sandbox virtualia aplinka, bet ir su Sandboxie.
Tuo pačiu metu apsauga nuo tarpprocesinių atminties modifikacijų neleidžia sukurti atminties iškrovos. Matyt, draudžiamas proceso, reikalingo norint sukurti sąvartyną, sustabdymas, bet ne pats atminties skaitymas.
Komandinės eilutės analizė
Kai kurių tipų programos vykdomos ne savarankiškai, o naudojant vertėjų programas. Pavyzdžiui, bat scenarijus vykdo cmd.exe sistemos interpretatorius, vbs scenarijus vykdo wscript.exe sistemos interpretatorius, jar programas vykdo javaw.exe programa, kuri yra dalis Virtuali mašina Java ir kt. Kai paleidžiamas scenarijus (ar panaši programa), su juo susijusi interpretatoriaus programa iš tikrųjų paleidžiama, atsižvelgiant į šio scenarijaus kelią komandų eilutės argumentuose.
CIS stebi kai kurių interpretatorių paleidimą ir taiko jiems apribojimus, kuriuos turi komandų eilutės argumentuose nurodytas failas. Dėl šios priežasties kai kuriuos scenarijų tipus CIS suvokia kaip nepriklausomas programas: jų veiklą riboja HIPS taisyklės arba suaktyvina įspėjimus, o „Auto-Sandbox“ izoliuoja scenarijų, kuriais nepasitiki, darbą. (Kai kurios funkcijos, kaip Auto-Sandbox veikia su scenarijais, aprašytos atitinkamame straipsnyje: neįmanoma arba .) Be to, jų vykdomi scenarijai rodomi vietoje interpretatorių.
Paleidimas ir veikla kontroliuojami aprašytu būdu. Įvairios rūšys programos: *.bat, *.cmd, *.js, *.vbs, *.wsf, *.hta, *.chm, *.msi, *.jar ir kt. Bibliotekos failai valdomi panašiai, kai juos vykdo sistemos rundll32.exe programa.
Šią elgseną valdo parinktis „Atlikti konkrečių programų komandinės eilutės euristinę analizę“, esančią skirtuke „HIPS konfigūracija“, kuri įgalinta pagal numatytuosius nustatymus. Jei jis išjungtas, scenarijai ir panašios programos bus vykdomos su tomis pačiomis teisėmis, kurias turi jų vertėjai.
CIS 7 versijoje buvo klaida: nebuvo kontroliuojamas scenarijų su ilgais keliais paleidimas. Klaida ištaisyta CIS 8.0 versijoje. Be to, visose versijose nuo 5.10 iki 8.1 buvo rimtas komandinės eilutės analizės pažeidžiamumas, leidžiantis vienai programai paleisti kitos programos teises. Šis pažeidžiamumas beveik ištaisytas CIS 8.2 versijoje.
Shell kodo įpurškimo apsaugos parinktis
Skirtuke „HIPS konfigūracija“ yra parinktis „Aptikti apvalkalo kodo įterpimą“. Kaip rodo pavadinimas, jo įjungimas yra skirtas užkirsti kelią buferio perpildymo atakoms.
Tačiau parinktis „Aptikti apvalkalo kodo įterpimą“ vis tiek turi įtakos CIS veikimui. Atvirkščiai, šios parinkties išimčių sąrašas turi įtakos, neatsižvelgiant į tai, ar ji pati įjungta. Programos, įtrauktos į „apsaugos nuo apvalkalo kodo“ sąrašą, turi šias funkcijas:
Tuo pačiu metu HIPS kontroliuoja programas, kurioms netaikoma „apsauga nuo apvalkalo kodo“, skirta paleisti programas, pasiekti kitų procesų atmintį, siųsti lango pranešimus, keisti failus ir registrą, pasiekti klaviatūrą ir pasiekti diską. Be to, jei šios programos paleidžiamos virtualiai (rankiniu būdu arba remiantis automatinio smėlio dėžės taisyklėmis), failų ir registro pakeitimai neturėtų turėti įtakos realiai aplinkai.
Matyt, būtent saugos(32|64).dll bibliotekos įgyvendinimas yra atsakingas už tas CIS funkcijas, kurios neveikia programoms, kurioms netaikoma "apsauga nuo apvalkalo kodo".
Kartais programų neįtraukimas iš parinkties „Aptikti apvalkalo kodo įterpimą“ pašalina kai kuriuos konfliktus. Taigi, dažniausiai rekomenduojama prie šių išimčių įtraukti VMware Player/Workstation programų katalogą, Alcohol programą, programą ir jos smėlio dėžės katalogą. Taip pat kilo konfliktas tarp CIS 8.2.0.4674 versijos ir Google Chrome 45.0.2454.85 naršyklės, kuri buvo išspręsta įtraukus chrome.exe failą prie šios parinkties išimčių.
Viruskopas
Viruscope įspėjimai
Be pagrindinių aktyvių apsaugos priemonių – HIPS ir Auto-Sandbox – yra Viruscope komponentas, skirtas dinamiškai aptikti įtartiną procesų veiklą. Ji turėtų aptikti pavojingą elgesį neatpažintas programas ir paskelbti įspėjimą su pasiūlymu atšaukti tam tikros programos ir jos antrinių procesų atliktus pakeitimus bei ištrinti pačią programą.
Jei „Virusscope“ skirtuke įjungta parinktis „Nerodyti pranešimų“, tada programos pašalinamos ir pakeitimai bus grąžinti automatiškai (panašiai, jei neatsakysite į pranešimą per 2 minutes).
Pakeitimų grąžinimas rankiniu būdu
Programas galima nutraukti ir jų pakeitimus atšaukti ne tik aptikus įtartiną veiklą, bet ir rankiniu būdu. Norėdami tai padaryti, paleiskite „KillSwitch“ užduočių tvarkyklę, iškvieskite norimo proceso kontekstinį meniu ir pasirinkite elementą „Baigti proceso medį ir grąžinti pakeitimus“. Programos failas nėra ištrintas. Šis kontekstinio meniu „KillSwitch“ elementas pasiekiamas tik įjungus „Viruscope“.
Kitas būdas rankiniu būdu nutraukti programas ir atšaukti jų pakeitimus yra HIPS ir ugniasienės įspėjimai. Įjungus „Viruscope“, šiuose pranešimuose pasirodo papildomas elementas: „Užrakinti, užbaigti vykdymą ir atmesti pakeitimus“. Pasirinkus šį elementą, pranešime nurodyta programa ir visi jos antriniai procesai baigsis, o jų atlikti pakeitimai bus anuliuoti; programos failas nebus ištrintas.
Veiklos ataskaita
Įjungus „Viruscope“, kontekstiniame meniu pasirodo naujas elementas, vadinamas pagrindiniame CIS lange: „Rodyti veiklą“. Paspaudus ant jo atsidarys langas su ataskaita apie pasirinktos programos veiklą ir antrinius jos procesus.
Be to, kai įjungtas „Viruscope“, įvairių CIS komponentų pranešimuose pasirodo mygtukas „Rodyti veiklą“. Paspaudus ant jo taip pat atsidaro perspėjime nurodytos programos veiklos ataskaita.
Reikėtų pasakyti, kad ataskaitų teikimas NVS lange toli gražu nėra patogus. Tačiau galite eksportuoti šią ataskaitą į XML failą naudodami kontekstinį meniu ir ištirti ją atskirai.
Taip pat veiklos ataskaitą galima peržiūrėti per KillSwitch užduočių tvarkyklę: proceso ypatybių lange, iškviečiamame per kontekstinį meniu, yra skirtukas Proceso veikla. Tačiau „KillSwitch“ ši ataskaita pateikiama dar blogiau nei CIS, ir nėra eksporto į failą funkcijos.
„Viruscope“ valdymas apribojamas tik smėlio dėžėmis
Pagal numatytuosius nustatymus Proaktyvios saugos konfigūracijos skirtuke „Virusscope“ įjungta parinktis „Naudoti Viruscope“ ir išjungta parinktis „Taikyti Viruscope veiksmą tik programoms smėlio dėžėje“. Šioje konfigūracijoje stebimi visi procesai realioje ir virtualioje aplinkoje. Viruscope darbas aprašytas aukščiau šiam konkrečiam režimui.
Jei pažymėsite parinktį „Taikyti Viruscope veiksmą tik aplikacijoms smėlio dėžėje“, tuomet bus stebima tik tų programų, kurios veikia virtualioje aplinkoje arba riboja „Auto-Sandbox“, veikla. Programoms, veikiančioms realioje aplinkoje be automatinio smėlio dėžės apribojimų, veikla nebus įrašoma, todėl apie ją nebus pranešama.
Tačiau įjungus šią parinktį, HIPS ir ugniasienės įspėjimuose vis tiek bus elementas „Blokuoti, užbaigti vykdymą ir atmesti pakeitimus“, o kontekstiniame „KillSwitch“ meniu taip pat bus elementas „Užbaigti proceso medį ir grąžinti atliktus pakeitimus“. Tiesą sakant, šių elementų pasirinkimas neatšauks pakeitimų, o tik nutrauks pasirinktą programą ir jos antrinius procesus.
Atpažinimo valdymas
Virusscope skirtuke pateikiamas failas, pagal kurį tam tikra programos veikla laikoma įtartina. Šis failas apibrėžia veiksmus, kurie turėtų suaktyvinti Viruscope įspėjimus. Jei tokio failo būsena nustatyta kaip išjungta, atitinkamas programų elgesys nesukels įspėjimų ir „Viruscope“ blokų; Tuo pačiu metu išliks programos veiklos stebėjimas.
Viruscope naudojimo apribojimai ir problemos
Viruscope negali atšaukti veiksmų, tokių kaip failų ištrynimas iš disko. Be to, per ankstesnius įtartino proceso ciklus atlikti pakeitimai negali būti atšaukti. Klaidingai pavojingais pripažinto proceso veiksmų atšaukimas gali sukelti duomenų praradimą (ši rizika kyla režimu „Nerodyti įspėjimų“).
CIS 7 versijoje iškilo rimta problema – įjungus Viruscope, saugių programų veikime įvyko nenuspėjamų gedimų. Šie gedimai atsirado nesant jokių pranešimų ir įrašų CIS žurnaluose, todėl sunku rasti jų priežastį. Matyt, nesėkmes išprovokavo pats procesų stebėjimas, o ne įtartino elgesio aptikimas.
Ankstesni žinomi konfliktai neberodomi CIS 8. Problema gali būti išspręsta. Tačiau dėl jo rimtumo ir sunkumų jį aptikti vis tiek rekomenduoju atsisakyti „Viruscope“. Nepaisant visų apribojimų, „Viruscope“ apsauga nėra labai naudinga.
Norėdami saugiai naudoti „Viruscope“, galite jį įjungti naudodami parinktį „Taikyti Viruscope veiksmą tik programoms smėlio dėžėje“. Tačiau šiuo atveju Viruscope tikslas bus ne apsauga, o virtualioje aplinkoje veikiančių programų veikimo tyrimas.
Įgalinkite „JavaScript“, kad peržiūrėtumėteŠiame lyginamajame teste išanalizavome populiarias asmenines antivirusines programas ir ugniasienes, kurių sudėtyje yra HIPS (Host Intrusion Prevention Systems) komponentų, kad būtų išvengta kenkėjiškų programų įsiskverbimo į branduolio lygį (toliau – 0 žiedas). Operacinė sistema Microsoft Windows. Jei kenkėjiška programa sugeba prasiskverbti per branduolio lygį, ji įgyja visišką aukos kompiuterio kontrolę.
Santrauka:
Įvadas
Antivirusinių programų, užkardų (ugniasienės) ir kitų apsaugos nuo kenkėjiško kodo priemonių gamintojų populiarėja elgsenos analizės technologijos ir pagrindinio lygio įsibrovimų prevencijos sistemos (HIPS). Pagrindinis jų tikslas – atpažinti ir blokuoti kenkėjišką veiklą sistemoje ir užkirsti kelią jos užkrėtimui.
Sunkiausia apsaugos užduotis šiuo atveju yra užkirsti kelią kenkėjiškų programų įsiskverbimuioperacinės sistemos branduolio lygis (angl. Kernel Level), veikiantis „nuliniame procesoriaus žiede“ (Ring 0). Šis lygis turi maksimalias privilegijas vykdant komandas ir pasiekiant visos sistemos skaičiavimo išteklius.
Jei kenkėjiška programa sugebėjo prasiskverbti per branduolio lygį, tai leis jai įgyti visišką ir, tiesą sakant, neribotą aukos kompiuterio kontrolę, įskaitant galimybę išjungti apsaugą ir paslėpti jos buvimą sistemoje. Kenkėjiška programa gali perimti vartotojo įvestį, siųsti šlamštą, vykdyti DDoS atakas, suklaidinti paieškos užklausų turinį arba daryti ką tik nori, nepaisant oficialiai veikiančios antivirusinės apsaugos. Todėl už šiuolaikinėmis priemonėmis apsauga, tampa ypač svarbu užkirsti kelią kenkėjiškoms programoms patekti į 0 žiedą.
Šiame teste palyginome populiarias antivirusines ir ugniasienes, kurių sudėtis turi HIPS komponentus, siekdami neleisti kenkėjiškoms programoms įsiskverbti į Microsoft Windows XP SP3 operacinės sistemos branduolio lygį (toliau – žiedas 0).
Kenkėjiškos programos pasirinkimas testavimui
Nusprendėme ne imituoti įsiskverbimo į žiedą 0 jokiomis dirbtinėmis priemonėmis, o išbandyti jį su tikromis kenkėjiškomis programomis. Tuo pačiu metu pastarieji buvo parinkti taip, kad apimtų visus 0 žiede naudojamus įrašymo būdus, kurie faktiškai naudojami „ laukinė gamta" (Laukinėje gamtoje):
- StartServiceA- Kenkėjiška tvarkyklė įkeliama pakeičiant sistemos tvarkyklės failą kataloge %SystemRoot%\System32\Drivers ir vėliau įkeliama. Leidžia įkelti tvarkyklę nekeičiant registro.
ITW įvykis: didelis - SCM- naudokite paslaugų valdymo tvarkyklės tvarkyklei užregistruoti ir įkelti. Šį metodą naudoja ir teisėtos programos, ir kenkėjiškos programos.
ITW įvykis: didelis - KnownDlls- \KnownDlls skyriaus modifikavimas ir vienos iš sistemos bibliotekų kopija, kad sistemos procesas įkeltų kenkėjišką kodą.
ITW atvejis: vidutinis - RPC- tvarkyklės sukūrimas ir įkėlimas naudojant RPC. Naudojimo pavyzdys: garsusis Rustock.C krautuvas
ITW atvejis: retas - ZwLoadDriver- sistemos tvarkyklės pakeitimas kenkėjiška, perkeliant ir vėliau tiesiogiai atsisiunčiant.
ITW įvykis: didelis - ZwSystemDebugControl- Pašalinkite HIPS nustatytus kabliukus, kad galėtumėte valdyti sistemos įvykius SDT naudojant derinimo teises.
ITW įvykis: didelis - \
prietaisas\
Fizinė atmintis- Pašalinkite HIPS nustatytus kabliukus, skirtus sistemos įvykiams valdyti SDT naudojant įrašymą į fizinės atminties skyrių.
ITW atvejis: vidutinis - „ZwSetSystemInformation“.- tvarkyklės įkėlimas nekuriant raktų registre, skambinant ZwSetSystemInformation su parametru SystemLoadAndCallImage.
ITW atvejis: vidutinis - CreateFileA\\.\PhysicalDriveX- disko skaitymas / rašymas po sektorių (failų arba disko pagrindinio įkrovos įrašo modifikavimas).
ITW atvejis: vidutinis
Taigi buvo pasirinktos devynios skirtingos kenkėjiškos programos, kurios naudoja aukščiau nurodytus būdus, kad prasiskverbtų į žiedą 0, kurios vėliau buvo panaudotos testuojant.
Lyginamosios analizės metodika
Testavimas buvo atliktas naudojant VMware Workstation 6.0. Bandymui buvo pasirinktos šios asmeninės antivirusinės apsaugos priemonės ir ugniasienės:
- PC Tools Firewall Plus 5.0.0.38
- Jetico Personal Firewall 2.0.2.8.2327
- Online Armor Personal Firewall Premium 3.0.0.190
- Kaspersky Internet Security 8.0.0.506
- Agnitum Outpost Security Suite 6.5.3 (2518.381.0686)
- Comodo Internet Security 3.8.65951.477
Deja, dėl techninių priežasčių F-Secure ir Norton antivirusinės programos buvo pašalintos iš testo. Juose įmontuotas HIPS neveikia atskirai nuo pridedamo antivirusinio monitoriaus. O kadangi atrinktus kenkėjiškų programų pavyzdžius buvo galima aptikti parašu, jie negalėjo būti naudojami. Netinka naudoti šių antivirusų su senomis antivirusinių duomenų bazėmis (siekiant išvengti parašu pagrįsto aptikimo). šių produktų atnaujinimo procesas gali turėti įtakos ne tik antivirusinėms duomenų bazėms, bet ir vykdomiesiems moduliams (apsaugos komponentams).
Kodėl į testą įtraukėme kitus populiarius antivirusinius produktus ir ugniasienes, kurių yra daug? Taip, nes jų sudėtyje nėra HIPS modulio. Be to jie objektyviai neturi galimybių užkirsti kelią įsiskverbimui į OS branduolį.
Visi produktai buvo įdiegti maksimaliais nustatymais, jei juos buvo galima nustatyti be tikslaus rankinio HIPS nustatymų pakeitimo. Jei diegimo metu buvo pasiūlyta naudoti automatinio mokymosi režimą, tada jis buvo naudojamas iki kenkėjiškų programų paleidimo.
Prieš testavimą buvo paleista teisėta cpu-z programa (maža programa, kuri praneša informaciją apie kompiuteryje įdiegtą procesorių) ir buvo sukurta taisyklė, siūlanti išbandytą produktą (jo HIPS komponentą). Sukūrus šios priemonės taisyklę, automatinio mokymosi režimas buvo išjungtas ir buvo sukurta sistemos būsenos momentinė nuotrauka.
Tada po vieną buvo paleistos specialiai testui parinktos kenkėjiškos programos, fiksuojama HIPS reakcija į įvykius, tiesiogiai susijusius su tvarkyklės įdiegimu, registravimu, įkėlimu ir kitus bandymus rašyti į Ring 0. Kaip ir kituose testuose, prieš tikrinant kitą kenkėjišką programą, sistema buvo grąžinta į išsaugotą paveikslėlio pradžioje.
Teste dalyvaujančiose antivirusinėse programose failų monitorius buvo išjungtas, o „Kaspersky Internet Security 2009“ kenkėjiška programa buvo rankiniu būdu įvesta į silpnus apribojimus iš nepatikimos zonos.
Bandymo žingsniai:
- Sukurkite švarios virtualios mašinos (pagrindinės) momentinį vaizdą.
- Išbandyto gaminio įdiegimas su maksimaliais nustatymais.
- Darbas sistemoje (įdiegimas ir paleidimas Microsoft programos Office, Adobe Reader, Internet Explorer), įgalinkite mokymosi režimą (jei yra).
- Pažymėkite pranešimų skaičių iš bandomojo produkto, paleiskite teisėtą cpu-z įrankį ir sukurkite jam taisykles.
- Išjungti automatinio mokymosi režimą (jei yra).
- Bandomojo produkto perkėlimas į interaktyvų veikimo režimą ir dar vienos virtualios mašinos momentinės nuotraukos su įdiegtu produktu (pagalba) sukūrimas.
- Sukurkite visų išbandytų produktų momentines nuotraukas grįždami į pagrindinį momentinį vaizdą ir iš naujo atlikdami 2–4 veiksmus.
- Momentinės nuotraukos su bandomu produktu pasirinkimas, OS įkėlimas ir kenkėjiškų programų paleidimas po vieną kiekvieną kartą grąžinant pradinę būseną, stebint HIPS reakciją.
Lyginamosios analizės rezultatai
Pliusas lentelėje reiškia, kad buvo HIPS reakcija į tam tikrą įvykį iš kenkėjiškos programos pusės, siekiant prasiskverbti į žiedą 0, ir buvo įmanoma šį veiksmą sustabdyti.
Minusas- jei kenkėjiškam kodui pavyko patekti į 0 žiedą arba atidaryti diską, kad būtų galima skaityti ir rašyti po sektorių.
1 lentelė: HIPS komponentų lyginamosios analizės rezultatai
Žiedo 0 įsiskverbimo metodas | PC įrankiai | Jetico | Internetinis šarvai | Kaspersky | Agnitum | Comodo |
StartServiceA |
- |
+ | + | + | - |
+ |
SCM |
- |
+ | + | + | - |
+ |
KnownDlls |
- |
+ | + | - |
+ | + |
RPC |
- |
+ | + | + | - |
+ |
ZwLoadDriver |
+ |
- |
+ | + | - |
+ |
ZwSystemDebugControl |
- |
+ | + | + | + | + |
\Įrenginys\PhysicalMemory |
+ | + | + | + | + | + |
„ZwSetSystemInformation“. |
- |
+ | + | + | + | + |
CreateFileA\\.\PhysicalDriveX |
- |
- |
+ |
+ | + | + |
Iš viso slopinama: |
2 |
7 |
9 |
8 |
5 |
9 |
Įspėjimų ir naudotojo veiksmų užklausų skaičius |
Nedaug |
Daug | Lot | Nedaug | Vidutinis |
Lot |
Pažymėtina, kad visiškai išjungus mokymosi režimą, kai kurie iš testuotų produktų (pavyzdžiui, Agnitum Outpost Security Suite 6.5) gali parodyti geresnius rezultatus, tačiau tokiu atveju vartotojas garantuotai susidurs su daugybe įvairių įspėjimų. ir faktiniai sunkumai dirbant sistemoje, tai atsispindėjo rengiant šio testo metodiką.
Kaip rodo rezultatai, geriausi produktai, užkertantys kelią kenkėjiškų programų įsiskverbimui į OS branduolio lygį, yra „Online Armor Personal Firewall Premium 3.0“, „Comodo Internet Security 3.8“, „Kaspersky Internet Security 2009“.
Pažymėtina, kad Online Armor Personal Firewall Premium yra pažangi ugniasienė ir joje nėra klasikinių antivirusinių komponentų, o kiti du nugalėtojai yra kompleksiniai Internet Security klasės sprendimai.
Atvirkštinė ir neigiama visų HIPS komponentų veikimo pusė yra jų rodomų visų rūšių pranešimų ir užklausų atlikti vartotojo veiksmus skaičius. Netgi kantriausias iš jų atsisakys patikimo HIPS, jei jis per dažnai vargina įtartinos veiklos aptikimu ir reikalavimu nedelsiant reaguoti.
Mažiausias vartotojo veiksmų užklausų skaičius buvo pastebėtas „Kaspersky Internet Security 2009“, „PC Tools Firewall Plus 5.0“ ir „Agnitum Outpost Security Suite 6.5“. Likę produktai dažnai erzino įspėjimais.
„Elgesio analizė yra efektyvesnis būdas užkirsti kelią nežinomų kenkėjiškų programų užkrėtimui nei euristiniai metodai, pagrįsti vykdomųjų failų kodo analize. Tačiau jie savo ruožtu reikalauja tam tikrų vartotojo žinių ir jo reakcijos į tam tikrus įvykius sistemoje (failo sukūrimas sistemos kataloge, automatinio įkėlimo rakto sukūrimas naudojant nežinomą programą, sistemos proceso atminties modifikavimas ir kt. .)“, – komentuoja Vasilijus Berdnikovas, svetainės ekspertas.
„Šiame palyginime buvo atrinkti žinomiausi produktai, kuriuose yra HIPS. Kaip matote, tik trys produktai sugebėjo tinkamai užkirsti kelią įsiskverbimui į nulinį žiedą. Kitas labai svarbus parametras – pranešimų (perspėjimų), atsirandančių kasdien dirbant kompiuteriu ir reikalaujančių vartotojo apsisprendimo, skaičius. Būtent čia ir nustatomas technologinis gaminių pranašumas – kiek įmanoma labiau valdyti sistemą ir tuo pačiu pasitelkti visokias technologijas, kad sumažėtų HIPS užduodamų klausimų skaičius paleidžiant, diegiant programas“, – sakė ekspertas. Pastabos.