Почему Kaspersky для Windows стал таким убогим?

[Tim S]

1. Он постоянно мне сообщает о сетевой атаке, блокирует её -- но он такой убогий, что блокирует не IP, а только перебор пароля. Более того, зная MAC-адрес, можно было бы заблокировать его, а не IP, но в настройках антивируса нет возможности блокировать мак-адрес, только IP. Да встроенный фаервол работает лучше. Я уж молчу про то, что вместо автоматического действия мне могли бы предложить выбор

2. Я разрабатывал приложение, каспер видит "вирус" и сносит dll, генерируемую Visual Studio. Да, можно, как предлагает поддержка, добавить папку сразу в исключения, но почему нельзя предоставить выбор???

Edited Monday at 01:36 PM by Tim S
логика

[andrew75]

59 минут назад, Tim S сказал:

но почему нельзя предоставить выбор???

мне интересно, вы Visual Studio тоже изучаете методом "тыка" или все-таки иногда читаете документацию?

Вот старая статья, в которой написано, что нужно сделать. А сама настройка сейчас находится здесь:

Настройки - Настройки безопасности - Исключения и действия с найденными объектами. Снять галочку "Автоматически выполнять рекомендуемые действия".

P.S. а документация, здесь, если что.

[Tim S]

Цитата

мне интересно, вы Visual Studio тоже изучаете методом "тыка" или все-таки иногда читаете документацию?

4 часа назад, andrew75 сказал:

мне интересно, вы Visual Studio тоже изучаете методом "тыка" или все-таки иногда читаете документацию?

Вот старая статья, в которой написано, что нужно сделать. А сама настройка сейчас находится здесь:

Настройки - Настройки безопасности - Исключения и действия с найденными объектами. Снять галочку "Автоматически выполнять рекомендуемые действия".

P.S. а документация, здесь, если что.

@andrew75 Спасибо за ответ.

Документацию я читаю по-русски, а именно -- если не работает.
Антивирус стал контринтуитивным, я его использовал в 6 версии  -- там всё было понятно, с нормальной навигацией в виде дерева, понаделали плашечек а-ля вин 8, не долистать...

Есть что-то по поводу блокировки IP и MAC?

3 минуты назад, Tim S сказал:

@andrew75 Спасибо за ответ.

Документацию я читаю по-русски, а именно -- если не работает.
Антивирус стал контринтуитивным, я его использовал в 6 версии  -- там всё было понятно, с нормальной навигацией в виде дерева, понаделали плашечек а-ля вин 8, не долистать...

Есть что-то по поводу блокировки IP и MAC?

Просто мне вот как-то совсем не нравится, что кто-то пытается перебрать пароли на моей системе

При этом ваш включенный межсетевой экран ничего не делает -- я написал себе скрипт по мониторингу журнала и автоматической блокировке IP-адресов через добавление их в правило Windows Firewall, а ваш -- отключил.

Но это ведь не дело:

1. Этот путь неэффективен

2. Эффективный путь мне реализовывать некогда

3. Почему это должен делать я, если у меня есть платный антивирус?

 

PS по поводу чтения документации -- как домашний пользователь я и не должен разбираться, как что настраивать )

[AlexeyK]

13 часов назад, Tim S сказал:

Документацию я читаю по-русски, а именно -- если не работает.

Как раз настало время почитать, ведь что-то не работает, как хотелось бы.

13 часов назад, Tim S сказал:

ваш включенный межсетевой экран ничего не делает

Но ведь и включенный брандмауэр винды тоже ничего не делает без дополнительной настройки.

13 часов назад, Tim S сказал:

Почему это должен делать я, если у меня есть платный антивирус?

Когда-то давно пришлось-таки разобраться в том, как настраивать брандмауэр платной винды.

13 часов назад, Tim S сказал:

блокировке IP-адресов через добавление их в правило Windows Firewall

Это можно сделать и в сетевом экране. Справка по нему здесь - настройка пакетных правил, там можно добавить один адрес или диапазон через дефис. Например так:

Спойлер

А вообще, у продукта есть техподдержка (и она не на форуме), в которой можно при необходимости получить совет по поводу настройки защиты. В данном случае это обоснованно, т.к. IP в красной зоне.

[Maratka]

19 часов назад, Tim S сказал:

. Более того, зная MAC-адрес, можно было бы заблокировать его, а не IP, н

Может и можно. Если знать чем его. Но насколько я вижу отчёт аудита системы, который вы показали тут, MAC'а там нет.

[Tim S]

1 час назад, Maratka сказал:

Может и можно. Если знать чем его. Но насколько я вижу отчёт аудита системы, который вы показали тут, MAC'а там нет.

Конкретно из событий системы -- не видно, да. Но вот в логах антивируса он светится, а значит, это возможно сделать (если я не путаю с роутером, там точно есть)

[AlexeyK]

4 минуты назад, Tim S сказал:

Но вот в логах антивируса он светится

Это где конкретно?

[Tim S]

1 час назад, AlexeyK сказал:

Как раз настало время почитать, ведь что-то не работает, как хотелось бы.

Но ведь и включенный брандмауэр винды тоже ничего не делает без дополнительной настройки.

Когда-то давно пришлось-таки разобраться в том, как настраивать брандмауэр платной винды.

Это можно сделать и в сетевом экране. Справка по нему здесь - настройка пакетных правил, там можно добавить один адрес или диапазон через дефис. Например так:

  Показать контент

А вообще, у продукта есть техподдержка (и она не на форуме), в которой можно при необходимости получить совет по поводу настройки защиты. В данном случае это обоснованно, т.к. IP в красной зоне.

@AlexeyK  Спасибо за ответ. По поводу брэндмауэра винды -- тут всё же это компонент системы, который сильно вторичен, по сравнению с антивирусом.

По поводу техподдержки -- да, вы правы, безусловно. Однако, на форуме как раз можно и обсудить, что можно переделать в антивирусе:

1. Уйти от плиток в пользу нормального интерфейса, который был раньше -- с древовидной структурой. Да, это не "плиточки для домохозяек", но в и в винде, и в линуксе тот же диспетчер оборудования выклядит именно как дерево слева

2. Мне не хватает фичи блокировки MAC-адреса атакующего. В идеале, если бы антивирус мог DDOSить в обратку, я даже денег за это готов платить.

Уверен, что я такой не один -- как раз повод найти единомышленников

2 минуты назад, AlexeyK сказал:

Это где конкретно?

[AlexeyK]

25 минут назад, Tim S сказал:

компонент системы, который сильно вторичен, по сравнению с антивирусом.

Так можно сказать и про фаервол любого антивируса. В системе ведь тоже есть и антивирус, и фаервол - компоненты единого центра Безопасности Windows.

25 минут назад, Tim S сказал:

а форуме как раз можно и обсудить, что можно переделать в антивирусе

Обсудить можно, но бесполезно в 99,(9)% случаев.

25 минут назад, Tim S сказал:

если бы антивирус мог DDOSить в обратку

Незаконное действие, как Вы понимаете.)

Насчет MAC - единственное, что нашел в справке - как запретить его через роутер.)

А, ну так у Вас срабатывает блокировка сетевой атаки. Тем более, какие тогда вопросы к антивирусу?)

Этот IP тоже недоверенный. И кстати, тут не фаервол блокирует, а другой компонент - защита от сетевых атак.

Edited Tuesday at 11:05 AM by AlexeyK

[Maratka]

18 минут назад, Tim S сказал:

Мне не хватает фичи блокировки MAC-адреса атакующего. В идеале, если бы антивирус мог DDOSить в обратку, я даже денег за это готов платить.

И что произойдет ну например с серверами "В Контакте", в случае ложного срабатывания?

 

20 минут назад, Tim S сказал:

И что должно будет произойти чисто теоретически, если Вы заблокируете MAC, а не IP?

[Tim S]

1 час назад, Maratka сказал:

И что должно будет произойти чисто теоретически, если Вы заблокируете MAC, а не IP?

Ну, теоретически, сменить MAC чуть-чуть сложнее, чем IP

 

1 час назад, Maratka сказал:

И что произойдет ну например с серверами "В Контакте", в случае ложного срабатывания?

с ними -- ничего, у них получше с резервированием канала )

2 часа назад, AlexeyK сказал:

Незаконное действие, как Вы понимаете.)

Понимаю, но не до конца -- это ж самооборона ) У нас в стране с законами о самообороне очень всё плохо                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                     

 

2 часа назад, AlexeyK сказал:

А, ну так у Вас срабатывает блокировка сетевой атаки. Тем более, какие тогда вопросы к антивирусу?)

Вопросы в том, почему продолжаются переборы пароля?

 

2 часа назад, AlexeyK сказал:

Насчет MAC - единственное, что нашел в справке - как запретить его через роутер.)

Это я и без инструкции нашёл, но надо именно в Каспере

 

2 часа назад, AlexeyK сказал:

И кстати, тут не фаервол блокирует, а другой компонент - защита от сетевых атак.

Да, это я включил защиту от сетевых атак, для демонстрации. Фаервол виндовый эти логи не пишет -- он просто блокирует подключение, но для этого приходится отключать защиту от сетевых атак... В этом и претензия, собственно

[Maratka]

14 минут назад, Tim S сказал:

Вопросы в том, почему продолжаются переборы пароля?

а на сколько у настроена блокировка?

16 минут назад, Tim S сказал:

Это я и без инструкции нашёл, но надо именно в Каспере

Вам нужно запретить в Каспере, или сделать так, чтобы атак не было?
И опять же, возвращаясь к первому моему вопросу: что изменится, если блокировка будет по MAC-адресу?

[andrew75]

32 минуты назад, Tim S сказал:

Вопросы в том, почему продолжаются переборы пароля?

а почему они должны прекратиться? Там ботнет с достаточным количеством ip адресов. И пока вы не закроете порт тупой скрипт будет пытаться подобрать пароль.

Вам уже намекали на пакетные правила 🙂

[Tim S]

1 час назад, andrew75 сказал:

а почему они должны прекратиться? Там ботнет с достаточным количеством ip адресов. И пока вы не закроете порт тупой скрипт будет пытаться подобрать пароль.

Вам уже намекали на пакетные правила 🙂

Потому что, внезапно, там с одного и того же адреса атака. и я рассчитываю, что заблокированная атака -- это навсегда заблокированный IP, а не блокировка доступа на 5 минут, ну это же тупо (блокировать на время) 

Я не понимаю, почему я должен вносить пакетные правила, а не антивирус формирует чёрный список автоматически.
 

2 часа назад, Maratka сказал:

а на сколько у настроена блокировка?

Вам нужно запретить в Каспере, или сделать так, чтобы атак не было?
И опять же, возвращаясь к первому моему вопросу: что изменится, если блокировка будет по MAC-адресу?

Мне нужно, чтобы атак не было. У меня есть антивирус, пусть это делает автоматически, а не я этим занимаюсь.

По поводу того, что изменится, я отвечал: "Ну, теоретически, сменить MAC чуть-чуть сложнее, чем IP".

Соответственно, меньшее кол-во атак, меньше размер чёрного списка

[Maratka]

55 минут назад, Tim S сказал:

Мне нужно, чтобы атак не было. У меня есть антивирус, пусть это делает автоматически, а не я этим занимаюсь.

Антивирус и делает автоматически, блокирует на час (максимум 999 минут). А зачем навсегда блокировать? А если это ложное срабатывание? Потом автоматически разблокировать? На каком основании?

55 минут назад, Tim S сказал:

, теоретически, сменить MAC чуть-чуть сложнее, чем IP".

Соответственно, меньшее кол-во атак, меньше размер чёрного списка

Мне очень понятно почему он будет меньше-это во-первых. И во-вторых что даст уменьшение списка допустим на 20%, или даже в три раза, то есть будет у вас пять адресов а не 15 какая из этого реальная польза?

55 минут назад, Tim S сказал:

я рассчитываю, что заблокированная атака -- это навсегда заблокированный IP, а не блокировка доступа на 5 минут, ну это же тупо (блокировать на время) 

А я не рассчитываю. Я 15 лет назад раздал интернет по wi-fi, подключение кабелем к нетбуку, на ноутбук, запустил на нём торрент, и IDS на нетбуке с ума сошёл от количества атак. Ну а что собственно говоря он должен был подумать если идёт массовый запрос не пойми чего с разных IP, исчисляемых тысячами? Так что он лучше не надо мне его блокировать!

Edited Tuesday at 04:23 PM by Maratka

[Tim S]

2 часа назад, Maratka сказал:

Мне очень понятно почему он будет меньше-это во-первых. И во-вторых что даст уменьшение списка допустим на 20%, или даже в три раза, то есть будет у вас пять адресов а не 15 какая из этого реальная польза?

У меня прямой IP-адрес, атак много -- так что меньше список, эффективнее работа.

 

2 часа назад, Maratka сказал:

А я не рассчитываю. Я 15 лет назад раздал интернет по wi-fi, подключение кабелем к нетбуку, на ноутбук, запустил на нём торрент, и IDS на нетбуке с ума сошёл от количества атак. Ну а что собственно говоря он должен был подумать если идёт массовый запрос не пойми чего с разных IP, исчисляемых тысячами? Так что он лучше не надо мне его блокировать!

На самом деле, надо блокировать. Но траффик от брутфорса пароля по рдп сильно отличается от траффика в торрентах. И сетевой фильтр обязан эти активности уметь различать. Или нет?

[Friend]

3 минуты назад, Tim S сказал:

И сетевой фильтр обязан эти активности уметь различать. Или нет?

Да, где-то на форуме обсуждалось это. - https://threats.kaspersky.com/ru/threat/Bruteforce.Generic.RDP/
Если у вас не детектирует, тогда нужно собирать отчеты (трассировки, дампы трафика) и отправлять в поддержку, чтобы ВирЛаб правил детекты.
В целом лучше создать пару сетевых правил, которое будут ограничивать и разрешать с нужного IP доступ.
Также там же сможете оставить ваши пожелания по улучшению продукта с вашими аргументами, может когда-нибудь реализуют.

[AlexeyK]

12 минут назад, Friend сказал:

нужно собирать отчеты (трассировки, дампы трафика)

ваши пожелания по улучшению продукта с вашими аргументами, может когда-нибудь реализуют.

Вот человек купил антивирус на свою голову... Мало того, что тот не работает, как хочется, так теперь надо учиться его настраивать, собирать логи для каких-то там исправлений, да еще и идеи с аргументами безвозмездно предоставлять в надежде на реализацию. Жесть, зачем вообще это все надо?😄

 

[AlexeyK]

Внешний IP имеет соответствующие недостатки, которые нужно учитывать. Что может, антивирус делает - блокирует атаки на некоторое время. Дополнительно можно настроить блокировки IP, следить за ситуацией и вносить корректировки при необходимости. Возникает впечатление, что ТС хочет, чтобы домашний антивирус обеспечивал полноценную защиту сети на уровне защитных систем провайдера - это нереально.

[Maratka]

3 часа назад, Tim S сказал:

Но траффик от брутфорса пароля по рдп сильно отличается от траффика в торрентах.

Зато не сильно отличается от атаки "сканирование адресов". То есть начнет он это дело блокировать, да ещё и навсегда, а не на время. И как мне тогда торрент качать? А так у меня блокируется на небольшое время, ну пока 50 адресов заблокировано, он с остальных 150 качать может, и всё нормально.

И да, если у вас открыты доступы по RDP, то закрывайте. Оно само по себе плохо, когда оно открыто: упадет антивирус - кто вас защищать будет?

[Tim S]

19 часов назад, Maratka сказал:

И да, если у вас открыты доступы по RDP, то закрывайте. Оно само по себе плохо, когда оно открыто: упадет антивирус - кто вас защищать будет?

так мне и нужен как раз доступ по рдп к моему компьютеру)

22 часа назад, Friend сказал:

Да, где-то на форуме обсуждалось это. - https://threats.kaspersky.com/ru/threat/Bruteforce.Generic.RDP/
Если у вас не детектирует, тогда нужно собирать отчеты (трассировки, дампы трафика) и отправлять в поддержку, чтобы ВирЛаб правил детекты.
В целом лучше создать пару сетевых правил, которое будут ограничивать и разрешать с нужного IP доступ.
Также там же сможете оставить ваши пожелания по улучшению продукта с вашими аргументами, может когда-нибудь реализуют.

спасибо )

[andrew75]

3 минуты назад, Tim S сказал:

так мне и нужен как раз доступ по рдп к моему компьютеру)

а про впн вы ничего не слышали? ) Открытый наружу РДП по нынешним временам крайне небезопасно.

[Tim S]

22 часа назад, AlexeyK сказал:

Вот человек купил антивирус на свою голову... Мало того, что тот не работает, как хочется, так теперь надо учиться его настраивать, собирать логи для каких-то там исправлений, да еще и идеи с аргументами безвозмездно предоставлять в надежде на реализацию. Жесть, зачем вообще это все надо?😄

 

Вообще говоря, да, именно так -- на свою голову: всего год пользуюсь антивирусом -- решил поставить ради эксперимента и забил. До этого комп стоял 3,5 года без антивируса, при этом так вот торчал наружу rdp портом, проброшенным через роутер. На роутере просто периодически мониторил журнал, блочил ip-адреса, с которых видел атаки или скан портов. А потом заметил, что адреса не блокируются, хотя добавлял -- тупо память у роутера закончилась и фактического добавления не было. Настроил правила блокирования на компе. Затем вот решил антивирус поставить из любопытства, сделал полный скан -- и ни одного вируса не нашлось. Но это у меня пароль слишком долбанутый, чтобы его взломать, а гостевая и админская учётки отключены. 

3 минуты назад, andrew75 сказал:

а про впн вы ничего не слышали? ) Открытый наружу РДП по нынешним временам крайне небезопасно.

слышали, но не получится -- предполагалось изначально, что это будет сервер для парочки моих проектов, которые бы были доступны без впн )

а в итоге это мой комп для работы, к которому я могу и сам подключаться откуда угодно и не думаю, что корпоративная сеть пропустит впн подключение из офиса

21 час назад, AlexeyK сказал:

Внешний IP имеет соответствующие недостатки, которые нужно учитывать. Что может, антивирус делает - блокирует атаки на некоторое время. Дополнительно можно настроить блокировки IP, следить за ситуацией и вносить корректировки при необходимости. Возникает впечатление, что ТС хочет, чтобы домашний антивирус обеспечивал полноценную защиту сети на уровне защитных систем провайдера - это нереально.

во-первых, РТК как будто и не может обеспечить защиту (как минимум, нет такой опции для ФЛ в личном кабинете) -- это если я понял правильно, а не имелось ввиду что у провайдера есть защитные системы и ои защищают сети провайдера.

во-вторых -- почему нет?)  другое дело, что это будет, скорее некое enterprise решение...

[Maratka]

11 минут назад, Tim S сказал:

До этого комп стоял 3,5 года без антивируса, при этом так вот торчал наружу rdp портом, проброшенным через роутер.

Последние лет так двенадцать таковых в магазинах нету. 😉

12 минут назад, Tim S сказал:

А потом заметил, что адреса не блокируются, хотя добавлял -- тупо память у роутера закончилась и фактического добавления не было.

И купить новый роутер - не наш путь?

[Tim S]

17 часов назад, Maratka сказал:

Последние лет так двенадцать таковых в магазинах нету.

это не совсем понял, о чем речь)

 

17 часов назад, Maratka сказал:

И купить новый роутер - не наш путь?

надо, но я жду большей распространённости wifi 7, роутер за 50+ тысяч мне не очень хочется покупать.