Jump to content
KIS Reader

"Контроль программ" живёт своей жизнью (KIS 2014)

Recommended Posts

Как заставить KIS 2014, помещать запускаемую или устанавливаемую программу, в нужную мне группу

Вы запрос на запуск программам из группы Доверенные поставили?

 

Сейчас же КИС думает, что они безопасные программы, и кидает их в группу "Доверенные" (такому решению вирусописатели весело аплодируют).

Если имеется ввиду то, что через доверенный браузер может запуститься неизвестный эксплоит, то есть Защита от эксплойтов.

Если имеется ввиду то, что некий вирус внедрится в исполняемый файл браузера, то тогда он (браузер) уже не будет доверенным, т.к. будет сбита цифровая подпись и изменена хеш-сумма файла.

Edited by Urotsuki

Share this post


Link to post
Ну смысл все таки есть. Те же браузеры лучше переместить в "Слабые ограничение" и немного поднастроить у них правила. Сейчас же КИС думает, что они безопасные программы, и кидает их в группу "Доверенные" (такому решению вирусописатели весело аплодируют).

И чему они аплодируют? В чём опасность? И как поднастроить для них правила?

Share this post


Link to post
Если имеется ввиду то, что через доверенный браузер может запуститься неизвестный эксплоит, то есть Защита от эксплойтов.

Вот это уже лучше. Только не расшифровано, что подразумевается под "уязвимыми программами".

 

Если имеется ввиду то, что некий вирус внедрится в исполняемый файл браузера, то тогда он (браузер) уже не будет доверенным, т.к. будет сбита цифровая подпись и изменена хеш-сумма файла.

В исполняемый файл браузера вирус конечно же не пишется - обычно чисто в памяти через переполнение буфера или что-то подобное.

 

И чему они аплодируют? В чём опасность? И как поднастроить для них правила?

В "Слабых ограничениях" все таки есть запреты на многие деструктивные действия. Если вирус "захватит" браузер это может помочь. Правила меняются: разрешается сетевая активность и остановка программ, запрашивается разрешение на запуск программ и еще что-то.

Share this post


Link to post
В "Слабых ограничениях" все таки есть запреты на многие деструктивные действия. Если вирус "захватит" браузер это может помочь. Правила меняются: разрешается сетевая активность и остановка программ, запрашивается разрешение на запуск программ и еще что-то.

Я никак не пойму, какая немыслимая причина мешает запретить браузеру все то же самое, что запрещено в "слабых ограничениях"?

Share this post


Link to post
И чему они аплодируют? В чём опасность? И как поднастроить для них правила?

 

Уязвимости браузера (а они были есть и будут открываться новые в IE, Chrome и Opera) ставят под угрозу безопасность всей системы.

Если раньше была возможность ограничить браузер тем, чем он и должен заниматься - смотреть странички в интернете,

то теперь KSN за нас решает, что вашему браузеру позволительно всё.

 

Настроить каким программам можно ходить в инет, а каким нет стало не только сложно - не возможно.

Что бы ограничить вновь регистрируемые процессы нужно менять правила всех групп - и "Доверенные" то же. Потому что один KSN знает что куда попадет.

 

Пытка-попытка настроить фаерволл KIS 2014.

Настраиваю права для групп. Так как новый процесс KSN засунет куда захочет а он не подконтролен, то резать сетевые права придется у всех групп.

После этого мучаюсь (потому что неудобно по сравнению с KIS 2013) с каждым процессом отдельно - забирая или наделяя дополнительными правами.

Успокаиваюсь пока не обнаруживаю, что через время KIS 2014 забывает настройки для процесса и ставит родительские.

Помучившись борьбой с деревянным KSN, делаю вывод что фаерволл в KIS 2014 перестал быть подконтролен.

Share this post


Link to post
Я никак не пойму, какая немыслимая причина мешает запретить браузеру все то же самое, что запрещено в "слабых ограничениях"?

 

В KIS 2013 еще сохранялся механизм контроля, когда новый браузер не санкционированно попавший в систему (например портативная версия) до запуска и исполнения можно было ограничить в правах.

Теперь его нет. Предложите заменить в KIS 2014 такой механизм ?

Edited by kraft1c

Share this post


Link to post
В "Слабых ограничениях" все таки есть запреты на многие деструктивные действия. Если вирус "захватит" браузер это может помочь. Правила меняются: разрешается сетевая активность и остановка программ, запрашивается разрешение на запуск программ и еще что-то.

В Слабых ограничениях нет запретов, а есть запросы. И они будут, если у вас отключен автоматический режим. И вам придётся принимать решения и отвечать на подобные вопросы.

post-41452-1379554875_thumb.png

И таких запросов будет достаточно много. Вам это надо? Мне нет.

А если вирус, как вы говорите , "захватит" браузер, то браузер автоматически перестанет быть доверенным.

Share this post


Link to post
Уязвимости браузера (а они были есть и будут открываться новые в IE, Chrome и Opera) ставят под угрозу безопасность всей системы.

Если раньше была возможность ограничить браузер тем, чем он и должен заниматься - смотреть странички в интернете,

то теперь KSN за нас решает, что вашему браузеру позволительно всё.

 

Настроить каким программам можно ходить в инет, а каким нет стало не только сложно - не возможно.

Что бы ограничить вновь регистрируемые процессы нужно менять правила всех групп - и "Доверенные" то же. Потому что один KSN знает что куда попадет.

...

И раньше KSN всё решало, но вы и сейчас можете настроить как отдельную программу, так как вам надо или, как я писал выше, создать подгруппу, настроить и перетаскивать в неё нужные вам программы.

Что касается уязвимостей в браузерах, а уязвимости в других программах вас не пугают? Почему такая предвзятость?

Share this post


Link to post
В Слабых ограничениях нет запретов, а есть запросы. И они будут, если у вас отключен автоматический режим. И вам придётся принимать решения и отвечать на подобные вопросы.

И таких запросов будет достаточно много. Вам это надо? Мне нет.

Да - запросы, а не запреты. И это как раз то что нужно. Если браузер запускает на мои действия программу-даунлоадер, то я разрешу это сделать. Если же он не с того не с сего вдруг начнет запускать некую программу, то я запрещу это сделать.

 

При минимальной настройке правил (пара разрешений на чтение) запросов почти нет. Многое зависит от программистов этих программ. В Опере вообще нет запросов, но при старте почему-то на три действия в логах есть запись, что эти действия разрешены, хотя я что-то не нашел где именно эти действия я разрешил. Непонятно. В Файерфоксе при старте надо дать пару разрешений, потом он не беспокоит. Можно было бы дать в правилах на эти действия разрешения, но там в этой группе целый букет правил - появится большая дыра в безопасности.

Share this post


Link to post

Ранее, в KIS 2013, если я однажды поместил программу в нужную мне группу, то эта программа всегда оставалась в этой группе.

Сейчас, в KIS 2014, я поместил Opera, WinRAR, Internet Explorer, Mozilla Firefox в группу "Слабые ограничения".

После перезагрузки компьютера и обновления баз, Opera, WinRAR остаются в группе "Слабые ограничения", Internet Explorer, Mozilla Firefox попадают в группу "Сильные ограничения".

Ранее, KIS 2014, помещал Opera в группу "Доверенные", сейчас, Opera находится в группе "Слабые ограничения".

 

Как можно прекратить это хаотическое, непредсказуемое для пользователя, перемещение программ из группы в группу?

Share this post


Link to post
Да - запросы, а не запреты. И это как раз то что нужно. Если браузер запускает на мои действия программу-даунлоадер, то я разрешу это сделать. Если же он не с того не с сего вдруг начнет запускать некую программу, то я запрещу это сделать.

 

При минимальной настройке правил (пара разрешений на чтение) запросов почти нет. Многое зависит от программистов этих программ. В Опере вообще нет запросов, но при старте почему-то на три действия в логах есть запись, что эти действия разрешены, хотя я что-то не нашел где именно эти действия я разрешил. Непонятно. В Файерфоксе при старте надо дать пару разрешений, потом он не беспокоит. Можно было бы дать в правилах на эти действия разрешения, но там в этой группе целый букет правил - появится большая дыра в безопасности.

Если браузер попробует запустить какую-то программу, то эта программа обязательно будет "обнюхана" и помещена в определённую группу. И если эта программа не будет вызывать доверия, если она не будет проходить по базам как чистая, то она попадёт в недоверенные и будет либо запрос (если конечно отключен автоматический режим), либо она будет заблокирована. Нету никаких больших дыр.

Edited by Drru

Share this post


Link to post
...

После перезагрузки компьютера и обновления баз, Opera, WinRAR остаются в группе "Слабые ограничения", Internet Explorer, Mozilla Firefox попадают в группу "Сильные ограничения".

...

Даже не представляю каким образом Internet Explorer может оказаться в Сильных ограничениях.

Share this post


Link to post
3. В принципе верно, зачем ограничивать программу, если ей доверяешь. С другой стороны, зачем вообще, что-то ставить, если не уверен?

этот вопрос достоин отдельной многостраничной темы, но постараюсь быть кратким: то что касперские считают доверенным на моем компьютере и то чему я доверяю на своем компьютере - разные вещи :)

ксерокопия вашего паспорта развешанная на столбах в парке тоже вас не убьет, но согласитесь - неприятности могут быть.

 

Заодно подскажите, побеждена ли "поздняя загрузка" контроля в КИСе?

"Проверка в облаке" означает что исполняемый модуль будет передан по сети касперским, это отключаемо?

Документы офиса тоже могут передаваться (например из-за желания макросы посмотреть)?

Share this post


Link to post

getwellsoon Чудес не бывает, что бы скомпрометировать тот же браузер, нужно что то стороннее. И это что то стороннее, будет по идее рассматривается отдельно и не зависимо, от того, где находится браузер и в какой он группе.

Обычно такие претензии к логике продукта должны быть обоснованы примером, на котором можно будет наглядно убедится, что защита от ЛК решето. В вашем случае только хотелки, которых у всех, вагон и маленькая тележка. :)

Edited by evaxp

Share this post


Link to post
"Проверка в облаке" означает что исполняемый модуль будет передан по сети касперским

Это неправда.

Документы офиса тоже могут передаваться (например из-за желания макросы посмотреть)?

Прочитайте соглашение KSN. Там указано что может передаваться.

Share this post


Link to post
этот вопрос достоин отдельной многостраничной темы, но постараюсь быть кратким: то что касперские считают доверенным на моем компьютере и то чему я доверяю на своем компьютере - разные вещи :)

ксерокопия вашего паспорта развешанная на столбах в парке тоже вас не убьет, но согласитесь - неприятности могут быть.

 

Заодно подскажите, побеждена ли "поздняя загрузка" контроля в КИСе?

"Проверка в облаке" означает что исполняемый модуль будет передан по сети касперским, это отключаемо?

Документы офиса тоже могут передаваться (например из-за желания макросы посмотреть)?

Доверенная программа, с точки зрения KIS, как я понимаю, эта программа, которая не является вредоносной. А всё остальное настраивайте сами.

1. Не могу сказать, потому что не понимаю, что такое поздняя - ранняя загрузка. Естественно, пока продукт не загрузиться, он работать не будет.

2. А исполняемый модуль, на сколько я знаю, по сети не передаётся, а передаётся хэш. Это не отключаемо.

3. Нет.

Share this post


Link to post
этот вопрос достоин отдельной многостраничной темы, но постараюсь быть кратким: то что касперские считают доверенным на моем компьютере и то чему я доверяю на своем компьютере - разные вещи :)

ксерокопия вашего паспорта развешанная на столбах в парке тоже вас не убьет, но согласитесь - неприятности могут быть.

 

Заодно подскажите, побеждена ли "поздняя загрузка" контроля в КИСе?

"Проверка в облаке" означает что исполняемый модуль будет передан по сети касперским, это отключаемо?

Документы офиса тоже могут передаваться (например из-за желания макросы посмотреть)?

Ох уж эти сказочники. :)

 

Даже страшно представить какие нужны сервера и мощности, что бы закачать все от всех пользователей сети KNS и не просто хеши как это заявлено в соглашении, а именно сам файл... Я уже не говорю о том сколько времени может эта закачка потребовать.

 

 

thumb.png

 

Ответ из облака получил через 3 секунды! У меня он паковался в 30 раз дольше. :)

Edited by evaxp

Share this post


Link to post
Доверенная программа, с точки зрения KIS, как я понимаю, эта программа, которая не является вредоносной. А всё остальное настраивайте сами.

вредонос - понятие растяжимое, мне наиболее вредоносными кажутся программы отправляющие личные данные, нежели те что портят систему.

 

Это неправда.

у меня project1.exe на диске, скомпилировал минуту назад, каким образом он может быть проверен сотрудниками касперского и занесен в базу? при ручной отправке или есть механизмы автоматической отправки?

 

Drru

1. поздняя загрузка, это вот это: http://forum.kaspersky.com/index.php?showtopic=200756 , или http://forum.kaspersky.com/index.php?showtopic=195070

2. Понятно :) значит "облачное" все маркетинг и этим модным словом обозвали полтора селекта хэша, которое и раньше было =)

Share this post


Link to post
Ох уж эти сказочники.

не надо путать утверждения и вопросы, это глупо смотрится

Share this post


Link to post
не надо путать утверждения и вопросы, это глупо смотрится

А я не путаю, не надо писать и фантазировать о том о чем нет представления.

 

Вопрос был тут, нормальный здравый вопрос:

 

у меня project1.exe на диске, скомпилировал минуту назад, каким образом он может быть проверен сотрудниками касперского и занесен в базу? при ручной отправке или есть механизмы автоматической отправки?

 

 

Берется хэш файла, который проверяется по базе облака и там же остается.

 

https://ru.wikipedia.org/wiki/Хеш-сумма

Edited by evaxp

Share this post


Link to post
Вопрос был тут:

вопрос был тут: "Проверка в облаке" означает что исполняемый модуль будет передан по сети касперским, это отключаемо?. Если не передается, то ответ нет. без всяких фантазий.

 

а то что вы отквотили содержит другой вопрос: существует ли механизм автоматической отправки файлов для проверки касперскими? как раз для того чтобы хэш потом появился в базе

 

спасибо за внимание :)

Share this post


Link to post
вопрос был тут: "Проверка в облаке" означает что исполняемый модуль будет передан по сети касперским, это отключаемо?. Если не передается, то ответ нет. без всяких фантазий.

 

а то что вы отквотили содержит другой вопрос: существует ли механизм автоматической отправки файлов для проверки касперскими? как раз для того чтобы хэш потом появился в базе

 

спасибо за внимание :)

Зачем писать то про столбы с паспортами? Неужели нельзя сразу нормально спросить, нас же и дети читают. :)

 

 

 

 

 

 

Share this post


Link to post
вопрос был тут: "Проверка в облаке" означает что исполняемый модуль будет передан по сети касперским, это отключаемо?.
А прочитать соглашение KSN?

"Также для дополнительной проверки в Лабораторию Касперского могут отправляться файлы, в отношении которых существует риск использования их злоумышленником с целью нанесения вреда компьютеру Пользователя, или их части, в том числе объекты, обнаруженные по вредоносным ссылкам." Снимите галочку и отправляться файл не будет.

Share this post


Link to post

Денис-НН

спасибо, значит таки файлы могут автоматом отправляться :) Но можно отключить отправку, но нельзя процерку хэша (как сказал Drru)? раньше хеш проверялся UDS, она переименована?

Share this post


Link to post
вредонос - понятие растяжимое, мне наиболее вредоносными кажутся программы отправляющие личные данные, нежели те что портят систему.

...

Какие проблемы, считаете опасной - ограничьте эту программу в правах. Кстати, вирусы, как правило, пишутся не для того, чтобы испортить систему.

 

у меня project1.exe на диске, скомпилировал минуту назад, каким образом он может быть проверен сотрудниками касперского и занесен в базу? при ручной отправке или есть механизмы автоматической отправки?
Ни как. Его нет в базах. Программу "обнюхают", "потрогают", "пощупают" и примут решение в какую группу её разместить.

Drru

1. поздняя загрузка, это вот это: http://forum.kaspersky.com/index.php?showtopic=200756 , или http://forum.kaspersky.com/index.php?showtopic=195070

2. Понятно :) значит "облачное" все маркетинг и этим модным словом обозвали полтора селекта хэша, которое и раньше было =)

1. Читал я и эти темы и многие другие. Там же можно найти и моё отношение к этой "проблеме". Могу сказать точно, если в Контроле программ выставить запрет на запуск для какой-нибудь программы, то эта программа будет заблокирована до загрузки продукта. Не рекомендую запрещать загрузку системным файлам, система может не запуститься.

2. А как вы себе представляли "облако"?

Edited by Drru

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.