В статьях небольшие добавления о
статусе доверенного инсталлятора и о
проблеме прикладных программ с этим статусом.
Выяснилось, что проблема далеко не редкая. Comodo Internet Security наделяет статусом инсталлятора не только программы, запрашивающие права администратора или превосходящие 40 МБ.
Внезапно «доверенными инсталляторами» оказались некоторые стартеры в сборках PortableApps. По крайней мере, это касается текущих версий
Firefox Portable,
Google Chrome Portable,
Opera Portable.
Вниманию пользователей этих браузеров: вы сидите на пороховой бочке! Полностью отсутствует контроль над программами, запускаемыми из браузера. Более того — скачиваемые программы могут автоматом заноситься в доверенные.
Напомню: чтобы проверить, имеет ли какая-либо программа статус «инсталлятора», следует найти ее в
списке активных процессов. Если указан рейтинг «Доверенный/Установка», то контроль над дочерними процессами отсутствует.
Для CIS 7 есть решение. Следует файлу FirefoxPortable.exe (или GoogleChromePortable.exe и т.п.) назначить в HIPS политику «Системное приложение». И этот же файл добавить в окно «Поведенческий анализ» > «Не блокировать файлы из этого списка» (галку «Исключить дочерние процессы» не ставить). После этого дочерние процессы будут контролироваться.
В CIS 8 Beta проблема пока не решаема.
Видео по теме прикреплено к
моему баг-репорту (требуется регистрация).
Update: Единственное, что остается предложить для CIS 8:
1) на вкладке Sandbox отключить опцию «Обнаруживать программы, требующие повышения привилегий»;
2) включить автопесочницу, причем с правилами наподобие режима Proactive Security;
3) добавить правило автопесочницы:
- действие: «Игнорировать»,
- цель: группа «Средства обновления Windows»,
- опцию «Не применять выбранное действие к дочерним процессам» оставить отключенной,
- расположить это правило вверху;
4) на вкладке настройки рейтинга файлов отключить опцию «Доверять приложениям, установленным с помощью доверенных инсталляторов».
В результате приложения, запускаемые «доверенными инсталляторами», будут контролироваться автопесочницей, и не будет происходить автоматическое занесение файлов в доверенные.
Но даже эти меры отменяют не все привилегии «доверенных инсталляторов»: они и их дочерние процессы останутся не подконтрольны HIPS.