Обновление статей, видео.

CIS 8: Использование проактивной защиты

Двойной контроль рейтинга с автоматической виртуализацией
Расширен список защищенных объектов


Пошаговая инструкция для полной настройки и использования CIS 8

Основная настройка
Расширен список защищенных объектов

Видео по настройке!




Привилегии доверенного инсталлятора у браузера Opera!
Раздача привилегий установщика кому ни попадя уже давно дошла до абсурда. Но сейчас ее опасность очевидна, как никогда. Спасибо Диссиденту за информацию.

Лишнее подтверждение правильности моего подхода: отрубать привилегии установщика вообще.
Отписался на оффоруме и сделал видео:

Изменен рекомендуемый подход к защите

Использование проактивной защиты

Новый пункт «Двойной контроль рейтинга программ»

Пункт контекстного меню «Запустить как установщик без повышения прав»


Защита от уязвимостей Comodo Internet Security

Рекомендация отключить облачную проверку
(Спасибо DeathCat'у и Диссиденту за образцы)

К спискам интерпретаторов добавлен regsvr32.exe


Пошаговая инструкция для полной настройки и использования CIS 8

Рекомендуемый подход изменен:
введен двойной контроль рейтинга на случай системной уязвимости;
включены оповещения HIPS (но они будут редкими);
улучшена защита реестра и др.

Изменен пункт «Основная настройка»

Изменен пункт «Использование»

Запуск без ограничений через контекстное меню

Мелкое изменение в файлах RunUnrestricted и RequireAdminToRunUnrestricted для контекстного меню: убран значок из трея.

По другим вопросам читателя.

Удаляю пункт «Защита данных от чтения» из статьи «Использование проактивной защиты»

Мой совет по использованию папки ReadProtected привел к BSOD'у. Ситуация воспроизвелась несколько раз при использовании AdvOR'а и запуске браузера в виртуальной среде.

Поэтому удаляю пункт с инструкцией по занесению группы «ReadProtected» в список «Папок с защищенными данными».

По идее, опасна не сама группа, а входящий в нее шаблон «*\ReadProtected\*». Однако без него и смысла в группе мало остается.

Строки наподобие «\Device\TrueCryptVolume*\*» пока не вызвали у меня синего экрана, но ситуация слишком мутная.

Для желающих поэкспериментировать привожу текст удаленного пункта. Я предупредил.

Защита данных от чтения

В предыдущих статьях уже объяснялось назначение вкладки «HIPS» > «Защищенные объекты» > «Папки с защищенными данными». Добавленные на эту вкладку каталоги в определенной мере защищаются от чтения:

• программы, запущенные виртуально, воспринимают эти каталоги пустыми;
• программам, запущенным в реальной среде с ограничениями Auto-Sandbox, запрещается обзор содержимого этих каталогов;
• программам, которым посредством HIPS заблокирован ресурс «Диск», запрещается обзор содержимого этих каталогов (но остается возможным открытие содержащихся в них файлов).

Через интерфейс CIS можно добавлять в список «Папок с защищенными данными» только отдельные каталоги, имеющиеся на локальном диске, но не шаблоны путей и не группы файлов. Формально можно добавить в этот список съемные устройства или виртуальные диски, но для них защита работать не будет.

Чтобы сделать защиту данных более удобной и функциональной, предложу метод добавления в список «Папок с защищенными данными» группы файлов.

Внимание! Данная операция не является официально разрешенной и осуществляется на страх и риск пользователя.

Последовательность действий следующая:

• создать каталог с уникальным именем, например, «C:\zyx495»;
• добавить этот каталог в список на вкладке «HIPS» > «Защищенные объекты» > «Папки с защищенными данными»;
• на вкладке «Рейтинг файлов» > «Группы файлов» создать группу «ReadProtected»;
• нажать «Ok» для применения конфигурации, затем снова открыть окно настройки CIS;
• на вкладке «Конфигурация» выбрать активную конфигурацию и экспортировать в файл;
• открыть этот файл в текстовом редакторе и найти в нем строку, содержащую «zyx495»;
• в этой строке код «Flags="0" Filename="C:\zyx495\*" DeviceName="C:\zyx495\"» заменить кодом «Flags="1" DeviceName="ReadProtected"»;
• сохранить изменения в файле конфигурации;
• на вкладке «Конфигурация» импортировать этот файл как новую конфигурацию с новым именем и сделать эту конфигурацию активной;
• каталог «C:\zyx495» и файл конфигурации можно удалить.

Теперь вместо добавления каталогов непосредственно в список «Папок с защищенными данными» будем добавлять их в группу «ReadProtected». Такой способ позволит заносить в этот список любые пути и шаблоны, а не только те, которые доступны через интерфейс выбора каталога.

Например, можно добавить в группу «ReadProtected» шаблон «*\ReadProtected\*». В результате данные в любой папке с именем «ReadProtected», будут защищены от чтения виртуализированными программами (проверялось на Windows 7 x64). Однако это касается только папок на локальном диске.

Данные на сменных носителях не защищаются от чтения из виртуальной среды (хотя все же защищаются от программ, которым заблокирован ресурс «Диск»). Аналогично не защищаются данные на виртуальных шифрованных дисках, которые подключаются как сменные носители.

Таким образом, чтобы данные на виртуальном шифрованном диске были защищены от чтения из виртуальной среды, следует подключать этот диск как локальный, а не как сменный носитель. (В программах TrueCrypt и VeraCrypt тома по умолчанию и монтируются как локальные диски, но существует возможность монтировать их как сменные.) На виртуальном диске можно создать каталог, наподобие предложенного «ReadProtected», — и программы, выполняющиеся в виртуальной среде, будут воспринимать этот каталог пустым. Внимание! Невозможно заранее гарантировать работу этого метода; рекомендую перепроверить защиту после очистки виртуальной среды, повторного подключения виртуальных дисков и перезагрузки компьютера.

Еще один способ защиты данных на виртуальных шифрованных дисках TrueCrypt или VeraCrypt — добавить в группу «ReadProtected» строку «\Device\TrueCryptVolume*\*» или «\Device\VeraCryptVolume*\*» соответственно; диски также подключать как локальные. В этом случае шифрованный диск будет защищаться целиком. Опять же, рекомендую тщательно проверить этот способ защиты перед использованием.

Изменения в статьях о Comodo

Изменен батник, фильтрующий исполняемые файлы
Теперь он может запускаться от имени администратора через контекстное меню

Подавление привилегий инсталляторов на съемных устройствах

Упрощенная защита от шифровальщиков (разбросана в пошаговой инструкции):
http://www.comss.ru/page.php?id=2348#manual-setup-main-rating
http://www.comss.ru/page.php?id=2348#manual-setup-main-base-writeprotect
http://www.comss.ru/page.php?id=2348#manual-using-writeprotect

Новое в статьях о Comodo Internet Security

Установка и предварительная настройка Comodo Internet Security

Команды для открытия списка активных процессов и открытия списка файлов


Рейтинг файлов. Группы файлов

Изменения компонента «Рейтинг файлов» в версии CIS 8.2


Автоматическая песочница (Auto-Sandbox)

Возможность отключить учет происхождения файлов

Назначение символа «|»

Смысл кнопки «Больше не изолировать» в CIS 8.2

Изменена инструкция в архиве по исключению из изоляции через контекстное меню: в правиле Auto-Sandbox необходимо указывать расположение


HIPS. Общие параметры проактивной защиты

Особенности защиты файлов


Использование проактивной защиты

Запрет доступа к веб-камере и другим устройствам

Защита данных от чтения

Подавление привилегий доверенных инсталляторов

Изменена инструкция «Разрешение активности программы вне зависимости от рейтинга»
(теперь разрешение запускать группу AllowedProgs задается в правилах не для группы «Все приложения», а для отдельной записи «*»)


Защита от уязвимостей Comodo Internet Security

Защита от обхода фаервола в CIS 8.2


Пошаговая инструкция для полной настройки и использования CIS 8

Удалена инструкция по защите от поддельных интерпретаторов за ненадобностью для версии CIS 8.2

Рекомендация отключать учет происхождения файлов

Изменена группа «Java»: к шаблонам дописано расширение *.exe
(чтобы предотвратить возможный обход фаервола)

Защита от обхода фаервола в CIS 8.2

Изменена инструкция «Группа разрешенных программ»

Das ist polnische Oblomeitung...

Что я там говорил? Что в бете 8.2 уязвимость к ложным интерпретаторам устранили? Накось выкусь...

В общем-то я сразу предупреждал насчет виртуального запуска шпионской программы от имени скрипта. Пускает ли кто скрипты в интернет? Все же некоторые пускают: например, скрипты для загрузки обновлений или какие-нибудь java-приложения.

Но оказалось, что виртуально запущенная программа может выдавать себя и за некоторые exe-файлы. В чем специфика этих exe-файлов, не знаю, но факт, что пара таких файлов есть в группе «Системные приложения Windows». А этой группе разрешен интернет.

Образец, который сам запускается в виртуальной среде и обходит фаервол, прикреплен к комментарию на оффоруме (требуется регистрация). Как это выглядит:

Мера по защите пока такая: исключить из группы «Системные приложения Windows» файлы smss.exe и csrss.exe.

И еще. Хотел я кое-что в статьях рассказать (о защите файлов, веб-камеры...), а вот пока не расскажу. Потому что  шкаф пересунули  выход новой версии отложили.