Jump to content
Sign in to follow this  
WhKitten

Информативность предупреждений файрволла

Recommended Posts

post-5850-1424111885_thumb.png

 

Host Process for Windows Services (какой процесс? что это? где путь к приложению? я могу что угодно в описании приложения написать от иероглифов до Host Process for Windows Services).

Для портов до 1024 можно было бы указать название в скобочках...

 

Теперь главное:

It is possible that this trusted application is being used to perform a privileged operation by an application whose activity was restricted

Yes, it is! But I didn't understand whose application activity was restricted. Host Process for Windows Services? No... How can I find it?

 

Я нажимаю Create Rule и только после этого понимаю, что произошло (C:\Windows\System32\svchost.exe пытается отправить DNS запрос). Согласитесь, что изначально непонятно, что это именно C:\Windows\System32\svchost.exe.

Я разрешаю svchost.exe делать всё, что ему хочется, но сообщение не исчезает. Теперь стало понятнее почему. Потому, что svchost используется другим приложением, которому это делать нельзя. Я понял, это хорошо.

Но вот, каким приложением? Это совершенно непонятно и я должен гадать... и самое неприятно, что я не могу решить проблему.

 

Почему бы не писать сообщение так:

Host Process for Windows Services (C:\Windows\System32\svchost.exe) from the Trusted group is attempting to send a UDP packet to remote computer 192.168.237.1 to remote port 53 (DNS) but this application is used by Windows Start-Up Application (C:\Windows\System32\wininit.exe) whose activity was restricted.

 

В конце концов так:

Windows Start-Up Application from the Trusted group is attempting to send a UDP packet to remote computer 192.168.237.1 to remote port 53.

 

Потому, что последнее сообщение хотя-бы информативно и оно позволяет мне РЕШИТЬ проблему, а сообщение которое выдаёт KIS нет.

 

 

Сравните с 2013 версией!

post-5850-1424115029_thumb.png

Тут и то можно понять, что дело не в Google Chrome, а возможно в Services and Controller app, Host Process for Windows Services и более того, можно прям из этого окна отредактировать правила для них. А также понятно от какого модуля KIS исходит сообщение, в отличии от KIS 2015.

И ещё очень важно, понятно как какой сети в настройках KIS относится адрес удалённого узла (public network group).

Куда всё это делось? :icon20:

Edited by WhKitten

Share this post


Link to post

В 2014-2015 информационная насыщенность алертов упала почти до плинтуса. Увы, к сожалению не только алертов.

Share this post


Link to post
В 2014-2015 информационная насыщенность алертов упала почти до плинтуса. Увы, к сожалению не только алертов.

 

Подтверждаю!!!

 

 

А никто не знает это безобразие хотя бы собираются исправлять??? есть такое в планах на будущее???

Share this post


Link to post
В 2014-2015 информационная насыщенность алертов упала почти до плинтуса. Увы, к сожалению не только алертов.

 

Если включить расширенные настройки в KIS 2015 и снять галки с инерактивной защиты - это поможет?

Share this post


Link to post
Если включить расширенные настройки в KIS 2015 и снять галки с инерактивной защиты - это поможет?

Нет, такие алерты в принципе только на интерактиве и возможны. Не понятная логика у разрабов, если мы говорим об интерактивной режиме, он должен давать много инфы, не надо уже уповать на то, что врубает его очередная блонди и множество инфы её убьёт.

Edited by Threat#47

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.