До настоящего момента я думал, что в восьмерке детект инсталляторов стал независимым от конфигурации хипса и автопесочницы. Все оказалось куда кривее и нелепее...
Напомню суть. Некоторые программы Comodo считает доверенными инсталляторами. И наделяет их за это стремными привилегиями типа отсутствия контроля над ними и их дочерними процессами и автоматического доверия к созданным ими файлам.
Но может и не наделить. То, что Comodo считает некую программу инсталлятором, определяется внутренними ее свойствами. Означенные привилегии эта программа не получит, если ее права полностью определяются ее местоположением, а не содержимым. Скажем, если программа имеет в хипсе политику «Системное приложение» и исключена из автопесочницы. Или если автопесочница с хипсом вообще выключены — вариантов много.
А вот если хипс включен и программе назначена политика «Разрешенное приложение», то она получит все свои привилегии, потому что данная политика не целиком однозначна: разрешение на запуск других приложений будет определяться рейтингом. Аналогично, если включена автопесочница: чтобы определить, следует ли изолировать данную программу, понадобится проверить ее рейтинг. Тут-то Comodo и увидит, что рейтинг этот — «доверенный инсталлятор», и примет соответствующие меры.
Так было в версии CIS 7. С непривычки это может и ломать мозг, но я назову данное поведение еще более-менее логичным. Главное — эту особенность можно было использовать, когда требовалось забрать привилегии инсталлятора у какой-либо конкретной программы: назначаем ей политику «Системное приложение», исключаем из атопесочницы, и дело сделано.
Версия же CIS 8 еще в с первой беты озадачила меня тем, что инсталляторы получали свои привилегии и при исключении их из автопесочницы, и даже при полном отключении автопесочницы и хипса. Я уж было сделал вывод, что теперь эти привилегии отвязали от конфигурации...
Однако новость: подавить привилегии инсталяторов таки можно и в восьмерке. Но теперь вместо исключения из автопесочницы самого инсталлятора придется исключать... его родительское приложение! Именно в таком случае автопесочница не будет вызывать проверку рейтинга запускаемой программы. Однако в остальных случаях — будет, даже когда она отключена. Да, вот такой бред.
Устав писать, сообщаю главный полезный вывод: если вы используете для защиты хипс, не отключайте автопесочницу. Если уж она вам не нужна, включите ее с таким правилом:
Так что по проблеме с портативными браузерами решение таки нашлось, целых два... М-да.
Update (07.12.2014): Обнаружил изъян в этом методе. Проблема в том, что некоторые приложения запускаются раньше автопесочницы. Поэтому не сработает правило, исключающее из автопесочницы их дочерние процессы. Сами-то по себе процессы эти исключатся, но не посредством того правила, которое лишило бы их привилегий доверенного инсталлятора. Короче: если запустить портативный браузер прямо ярлыком с рабочего стола или подобным образом — он получит все свои злосчастные привилегии.
Напомню суть. Некоторые программы Comodo считает доверенными инсталляторами. И наделяет их за это стремными привилегиями типа отсутствия контроля над ними и их дочерними процессами и автоматического доверия к созданным ими файлам.
Но может и не наделить. То, что Comodo считает некую программу инсталлятором, определяется внутренними ее свойствами. Означенные привилегии эта программа не получит, если ее права полностью определяются ее местоположением, а не содержимым. Скажем, если программа имеет в хипсе политику «Системное приложение» и исключена из автопесочницы. Или если автопесочница с хипсом вообще выключены — вариантов много.
А вот если хипс включен и программе назначена политика «Разрешенное приложение», то она получит все свои привилегии, потому что данная политика не целиком однозначна: разрешение на запуск других приложений будет определяться рейтингом. Аналогично, если включена автопесочница: чтобы определить, следует ли изолировать данную программу, понадобится проверить ее рейтинг. Тут-то Comodo и увидит, что рейтинг этот — «доверенный инсталлятор», и примет соответствующие меры.
Так было в версии CIS 7. С непривычки это может и ломать мозг, но я назову данное поведение еще более-менее логичным. Главное — эту особенность можно было использовать, когда требовалось забрать привилегии инсталлятора у какой-либо конкретной программы: назначаем ей политику «Системное приложение», исключаем из атопесочницы, и дело сделано.
Версия же CIS 8 еще в с первой беты озадачила меня тем, что инсталляторы получали свои привилегии и при исключении их из автопесочницы, и даже при полном отключении автопесочницы и хипса. Я уж было сделал вывод, что теперь эти привилегии отвязали от конфигурации...
Однако новость: подавить привилегии инсталяторов таки можно и в восьмерке. Но теперь вместо исключения из автопесочницы самого инсталлятора придется исключать... его родительское приложение! Именно в таком случае автопесочница не будет вызывать проверку рейтинга запускаемой программы. Однако в остальных случаях — будет, даже когда она отключена. Да, вот такой бред.
Устав писать, сообщаю главный полезный вывод: если вы используете для защиты хипс, не отключайте автопесочницу. Если уж она вам не нужна, включите ее с таким правилом:
- цель: *
- действие: игнорировать
- все прочие опции отключите
Так что по проблеме с портативными браузерами решение таки нашлось, целых два... М-да.
Update (07.12.2014): Обнаружил изъян в этом методе. Проблема в том, что некоторые приложения запускаются раньше автопесочницы. Поэтому не сработает правило, исключающее из автопесочницы их дочерние процессы. Сами-то по себе процессы эти исключатся, но не посредством того правила, которое лишило бы их привилегий доверенного инсталлятора. Короче: если запустить портативный браузер прямо ярлыком с рабочего стола или подобным образом — он получит все свои злосчастные привилегии.
