Tim S Posted February 10 Posted February 10 (edited) 1. Он постоянно мне сообщает о сетевой атаке, блокирует её -- но он такой убогий, что блокирует не IP, а только перебор пароля. Более того, зная MAC-адрес, можно было бы заблокировать его, а не IP, но в настройках антивируса нет возможности блокировать мак-адрес, только IP. Да встроенный фаервол работает лучше. Я уж молчу про то, что вместо автоматического действия мне могли бы предложить выбор 2. Я разрабатывал приложение, каспер видит "вирус" и сносит dll, генерируемую Visual Studio. Да, можно, как предлагает поддержка, добавить папку сразу в исключения, но почему нельзя предоставить выбор??? Edited February 10 by Tim S логика
andrew75 Posted February 10 Posted February 10 On 2/10/2025 at 1:28 PM, Tim S said: но почему нельзя предоставить выбор??? Expand мне интересно, вы Visual Studio тоже изучаете методом "тыка" или все-таки иногда читаете документацию? Вот старая статья, в которой написано, что нужно сделать. А сама настройка сейчас находится здесь: Настройки - Настройки безопасности - Исключения и действия с найденными объектами. Снять галочку "Автоматически выполнять рекомендуемые действия". P.S. а документация, здесь, если что.
Tim S Posted February 10 Author Posted February 10 Цитата мне интересно, вы Visual Studio тоже изучаете методом "тыка" или все-таки иногда читаете документацию? Expand On 2/10/2025 at 2:43 PM, andrew75 said: мне интересно, вы Visual Studio тоже изучаете методом "тыка" или все-таки иногда читаете документацию? Вот старая статья, в которой написано, что нужно сделать. А сама настройка сейчас находится здесь: Настройки - Настройки безопасности - Исключения и действия с найденными объектами. Снять галочку "Автоматически выполнять рекомендуемые действия". P.S. а документация, здесь, если что. Expand @andrew75 Спасибо за ответ. Документацию я читаю по-русски, а именно -- если не работает. Антивирус стал контринтуитивным, я его использовал в 6 версии -- там всё было понятно, с нормальной навигацией в виде дерева, понаделали плашечек а-ля вин 8, не долистать... Есть что-то по поводу блокировки IP и MAC? On 2/10/2025 at 7:40 PM, Tim S said: @andrew75 Спасибо за ответ. Документацию я читаю по-русски, а именно -- если не работает. Антивирус стал контринтуитивным, я его использовал в 6 версии -- там всё было понятно, с нормальной навигацией в виде дерева, понаделали плашечек а-ля вин 8, не долистать... Есть что-то по поводу блокировки IP и MAC? Expand Просто мне вот как-то совсем не нравится, что кто-то пытается перебрать пароли на моей системе При этом ваш включенный межсетевой экран ничего не делает -- я написал себе скрипт по мониторингу журнала и автоматической блокировке IP-адресов через добавление их в правило Windows Firewall, а ваш -- отключил. Но это ведь не дело: 1. Этот путь неэффективен 2. Эффективный путь мне реализовывать некогда 3. Почему это должен делать я, если у меня есть платный антивирус? PS по поводу чтения документации -- как домашний пользователь я и не должен разбираться, как что настраивать )
AlexeyK Posted February 11 Posted February 11 On 2/10/2025 at 7:40 PM, Tim S said: Документацию я читаю по-русски, а именно -- если не работает. Expand Как раз настало время почитать, ведь что-то не работает, как хотелось бы. On 2/10/2025 at 7:40 PM, Tim S said: ваш включенный межсетевой экран ничего не делает Expand Но ведь и включенный брандмауэр винды тоже ничего не делает без дополнительной настройки. On 2/10/2025 at 7:40 PM, Tim S said: Почему это должен делать я, если у меня есть платный антивирус? Expand Когда-то давно пришлось-таки разобраться в том, как настраивать брандмауэр платной винды. On 2/10/2025 at 7:40 PM, Tim S said: блокировке IP-адресов через добавление их в правило Windows Firewall Expand Это можно сделать и в сетевом экране. Справка по нему здесь - настройка пакетных правил, там можно добавить один адрес или диапазон через дефис. Например так: Reveal hidden contents А вообще, у продукта есть техподдержка (и она не на форуме), в которой можно при необходимости получить совет по поводу настройки защиты. В данном случае это обоснованно, т.к. IP в красной зоне.
Maratka Posted February 11 Posted February 11 On 2/10/2025 at 1:28 PM, Tim S said: . Более того, зная MAC-адрес, можно было бы заблокировать его, а не IP, н Expand Может и можно. Если знать чем его. Но насколько я вижу отчёт аудита системы, который вы показали тут, MAC'а там нет.
Tim S Posted February 11 Author Posted February 11 On 2/11/2025 at 9:10 AM, Maratka said: Может и можно. Если знать чем его. Но насколько я вижу отчёт аудита системы, который вы показали тут, MAC'а там нет. Expand Конкретно из событий системы -- не видно, да. Но вот в логах антивируса он светится, а значит, это возможно сделать (если я не путаю с роутером, там точно есть)
AlexeyK Posted February 11 Posted February 11 On 2/11/2025 at 10:34 AM, Tim S said: Но вот в логах антивируса он светится Expand Это где конкретно?
Tim S Posted February 11 Author Posted February 11 On 2/11/2025 at 8:53 AM, AlexeyK said: Как раз настало время почитать, ведь что-то не работает, как хотелось бы. Но ведь и включенный брандмауэр винды тоже ничего не делает без дополнительной настройки. Когда-то давно пришлось-таки разобраться в том, как настраивать брандмауэр платной винды. Это можно сделать и в сетевом экране. Справка по нему здесь - настройка пакетных правил, там можно добавить один адрес или диапазон через дефис. Например так: Reveal hidden contents А вообще, у продукта есть техподдержка (и она не на форуме), в которой можно при необходимости получить совет по поводу настройки защиты. В данном случае это обоснованно, т.к. IP в красной зоне. Expand @AlexeyK Спасибо за ответ. По поводу брэндмауэра винды -- тут всё же это компонент системы, который сильно вторичен, по сравнению с антивирусом. По поводу техподдержки -- да, вы правы, безусловно. Однако, на форуме как раз можно и обсудить, что можно переделать в антивирусе: 1. Уйти от плиток в пользу нормального интерфейса, который был раньше -- с древовидной структурой. Да, это не "плиточки для домохозяек", но в и в винде, и в линуксе тот же диспетчер оборудования выклядит именно как дерево слева 2. Мне не хватает фичи блокировки MAC-адреса атакующего. В идеале, если бы антивирус мог DDOSить в обратку, я даже денег за это готов платить. Уверен, что я такой не один -- как раз повод найти единомышленников On 2/11/2025 at 10:39 AM, AlexeyK said: Это где конкретно? Expand
AlexeyK Posted February 11 Posted February 11 (edited) On 2/11/2025 at 10:40 AM, Tim S said: компонент системы, который сильно вторичен, по сравнению с антивирусом. Expand Так можно сказать и про фаервол любого антивируса. В системе ведь тоже есть и антивирус, и фаервол - компоненты единого центра Безопасности Windows. On 2/11/2025 at 10:40 AM, Tim S said: а форуме как раз можно и обсудить, что можно переделать в антивирусе Expand Обсудить можно, но бесполезно в 99,(9)% случаев. On 2/11/2025 at 10:40 AM, Tim S said: если бы антивирус мог DDOSить в обратку Expand Незаконное действие, как Вы понимаете.) Насчет MAC - единственное, что нашел в справке - как запретить его через роутер.) А, ну так у Вас срабатывает блокировка сетевой атаки. Тем более, какие тогда вопросы к антивирусу?) Этот IP тоже недоверенный. И кстати, тут не фаервол блокирует, а другой компонент - защита от сетевых атак. Edited February 11 by AlexeyK
Maratka Posted February 11 Posted February 11 On 2/11/2025 at 10:40 AM, Tim S said: Мне не хватает фичи блокировки MAC-адреса атакующего. В идеале, если бы антивирус мог DDOSить в обратку, я даже денег за это готов платить. Expand И что произойдет ну например с серверами "В Контакте", в случае ложного срабатывания? On 2/11/2025 at 10:40 AM, Tim S said: Expand И что должно будет произойти чисто теоретически, если Вы заблокируете MAC, а не IP?
Tim S Posted February 11 Author Posted February 11 On 2/11/2025 at 11:01 AM, Maratka said: И что должно будет произойти чисто теоретически, если Вы заблокируете MAC, а не IP? Expand Ну, теоретически, сменить MAC чуть-чуть сложнее, чем IP On 2/11/2025 at 11:01 AM, Maratka said: И что произойдет ну например с серверами "В Контакте", в случае ложного срабатывания? Expand с ними -- ничего, у них получше с резервированием канала ) On 2/11/2025 at 10:52 AM, AlexeyK said: Незаконное действие, как Вы понимаете.) Expand Понимаю, но не до конца -- это ж самооборона ) У нас в стране с законами о самообороне очень всё плохо On 2/11/2025 at 10:52 AM, AlexeyK said: А, ну так у Вас срабатывает блокировка сетевой атаки. Тем более, какие тогда вопросы к антивирусу?) Expand Вопросы в том, почему продолжаются переборы пароля? On 2/11/2025 at 10:52 AM, AlexeyK said: Насчет MAC - единственное, что нашел в справке - как запретить его через роутер.) Expand Это я и без инструкции нашёл, но надо именно в Каспере On 2/11/2025 at 10:52 AM, AlexeyK said: И кстати, тут не фаервол блокирует, а другой компонент - защита от сетевых атак. Expand Да, это я включил защиту от сетевых атак, для демонстрации. Фаервол виндовый эти логи не пишет -- он просто блокирует подключение, но для этого приходится отключать защиту от сетевых атак... В этом и претензия, собственно
Maratka Posted February 11 Posted February 11 On 2/11/2025 at 12:55 PM, Tim S said: Вопросы в том, почему продолжаются переборы пароля? Expand а на сколько у настроена блокировка? On 2/11/2025 at 12:55 PM, Tim S said: Это я и без инструкции нашёл, но надо именно в Каспере Expand Вам нужно запретить в Каспере, или сделать так, чтобы атак не было? И опять же, возвращаясь к первому моему вопросу: что изменится, если блокировка будет по MAC-адресу?
andrew75 Posted February 11 Posted February 11 On 2/11/2025 at 12:55 PM, Tim S said: Вопросы в том, почему продолжаются переборы пароля? Expand а почему они должны прекратиться? Там ботнет с достаточным количеством ip адресов. И пока вы не закроете порт тупой скрипт будет пытаться подобрать пароль. Вам уже намекали на пакетные правила ?
Tim S Posted February 11 Author Posted February 11 On 2/11/2025 at 1:27 PM, andrew75 said: а почему они должны прекратиться? Там ботнет с достаточным количеством ip адресов. И пока вы не закроете порт тупой скрипт будет пытаться подобрать пароль. Вам уже намекали на пакетные правила ? Expand Потому что, внезапно, там с одного и того же адреса атака. и я рассчитываю, что заблокированная атака -- это навсегда заблокированный IP, а не блокировка доступа на 5 минут, ну это же тупо (блокировать на время) Я не понимаю, почему я должен вносить пакетные правила, а не антивирус формирует чёрный список автоматически. On 2/11/2025 at 1:09 PM, Maratka said: а на сколько у настроена блокировка? Вам нужно запретить в Каспере, или сделать так, чтобы атак не было? И опять же, возвращаясь к первому моему вопросу: что изменится, если блокировка будет по MAC-адресу? Expand Мне нужно, чтобы атак не было. У меня есть антивирус, пусть это делает автоматически, а не я этим занимаюсь. По поводу того, что изменится, я отвечал: "Ну, теоретически, сменить MAC чуть-чуть сложнее, чем IP". Соответственно, меньшее кол-во атак, меньше размер чёрного списка 1
Maratka Posted February 11 Posted February 11 (edited) On 2/11/2025 at 3:27 PM, Tim S said: Мне нужно, чтобы атак не было. У меня есть антивирус, пусть это делает автоматически, а не я этим занимаюсь. Expand Антивирус и делает автоматически, блокирует на час (максимум 999 минут). А зачем навсегда блокировать? А если это ложное срабатывание? Потом автоматически разблокировать? На каком основании? On 2/11/2025 at 3:27 PM, Tim S said: , теоретически, сменить MAC чуть-чуть сложнее, чем IP". Соответственно, меньшее кол-во атак, меньше размер чёрного списка Expand Мне очень понятно почему он будет меньше-это во-первых. И во-вторых что даст уменьшение списка допустим на 20%, или даже в три раза, то есть будет у вас пять адресов а не 15 какая из этого реальная польза? On 2/11/2025 at 3:27 PM, Tim S said: я рассчитываю, что заблокированная атака -- это навсегда заблокированный IP, а не блокировка доступа на 5 минут, ну это же тупо (блокировать на время) Expand А я не рассчитываю. Я 15 лет назад раздал интернет по wi-fi, подключение кабелем к нетбуку, на ноутбук, запустил на нём торрент, и IDS на нетбуке с ума сошёл от количества атак. Ну а что собственно говоря он должен был подумать если идёт массовый запрос не пойми чего с разных IP, исчисляемых тысячами? Так что он лучше не надо мне его блокировать! Edited February 11 by Maratka
Tim S Posted February 11 Author Posted February 11 On 2/11/2025 at 4:07 PM, Maratka said: Мне очень понятно почему он будет меньше-это во-первых. И во-вторых что даст уменьшение списка допустим на 20%, или даже в три раза, то есть будет у вас пять адресов а не 15 какая из этого реальная польза? Expand У меня прямой IP-адрес, атак много -- так что меньше список, эффективнее работа. On 2/11/2025 at 4:07 PM, Maratka said: А я не рассчитываю. Я 15 лет назад раздал интернет по wi-fi, подключение кабелем к нетбуку, на ноутбук, запустил на нём торрент, и IDS на нетбуке с ума сошёл от количества атак. Ну а что собственно говоря он должен был подумать если идёт массовый запрос не пойми чего с разных IP, исчисляемых тысячами? Так что он лучше не надо мне его блокировать! Expand На самом деле, надо блокировать. Но траффик от брутфорса пароля по рдп сильно отличается от траффика в торрентах. И сетевой фильтр обязан эти активности уметь различать. Или нет? 1
Friend Posted February 11 Posted February 11 On 2/11/2025 at 6:22 PM, Tim S said: И сетевой фильтр обязан эти активности уметь различать. Или нет? Expand Да, где-то на форуме обсуждалось это. - https://threats.kaspersky.com/ru/threat/Bruteforce.Generic.RDP/ Если у вас не детектирует, тогда нужно собирать отчеты (трассировки, дампы трафика) и отправлять в поддержку, чтобы ВирЛаб правил детекты. В целом лучше создать пару сетевых правил, которое будут ограничивать и разрешать с нужного IP доступ. Также там же сможете оставить ваши пожелания по улучшению продукта с вашими аргументами, может когда-нибудь реализуют. 1
AlexeyK Posted February 11 Posted February 11 On 2/11/2025 at 6:32 PM, Friend said: нужно собирать отчеты (трассировки, дампы трафика) ваши пожелания по улучшению продукта с вашими аргументами, может когда-нибудь реализуют. Expand Вот человек купил антивирус на свою голову... Мало того, что тот не работает, как хочется, так теперь надо учиться его настраивать, собирать логи для каких-то там исправлений, да еще и идеи с аргументами безвозмездно предоставлять в надежде на реализацию. Жесть, зачем вообще это все надо?? 1 1
AlexeyK Posted February 11 Posted February 11 Внешний IP имеет соответствующие недостатки, которые нужно учитывать. Что может, антивирус делает - блокирует атаки на некоторое время. Дополнительно можно настроить блокировки IP, следить за ситуацией и вносить корректировки при необходимости. Возникает впечатление, что ТС хочет, чтобы домашний антивирус обеспечивал полноценную защиту сети на уровне защитных систем провайдера - это нереально. 1
Maratka Posted February 11 Posted February 11 On 2/11/2025 at 6:22 PM, Tim S said: Но траффик от брутфорса пароля по рдп сильно отличается от траффика в торрентах. Expand Зато не сильно отличается от атаки "сканирование адресов". То есть начнет он это дело блокировать, да ещё и навсегда, а не на время. И как мне тогда торрент качать? А так у меня блокируется на небольшое время, ну пока 50 адресов заблокировано, он с остальных 150 качать может, и всё нормально. И да, если у вас открыты доступы по RDP, то закрывайте. Оно само по себе плохо, когда оно открыто: упадет антивирус - кто вас защищать будет? 1
Tim S Posted February 12 Author Posted February 12 On 2/11/2025 at 9:57 PM, Maratka said: И да, если у вас открыты доступы по RDP, то закрывайте. Оно само по себе плохо, когда оно открыто: упадет антивирус - кто вас защищать будет? Expand так мне и нужен как раз доступ по рдп к моему компьютеру) On 2/11/2025 at 6:32 PM, Friend said: Да, где-то на форуме обсуждалось это. - https://threats.kaspersky.com/ru/threat/Bruteforce.Generic.RDP/ Если у вас не детектирует, тогда нужно собирать отчеты (трассировки, дампы трафика) и отправлять в поддержку, чтобы ВирЛаб правил детекты. В целом лучше создать пару сетевых правил, которое будут ограничивать и разрешать с нужного IP доступ. Также там же сможете оставить ваши пожелания по улучшению продукта с вашими аргументами, может когда-нибудь реализуют. Expand спасибо )
andrew75 Posted February 12 Posted February 12 On 2/12/2025 at 5:06 PM, Tim S said: так мне и нужен как раз доступ по рдп к моему компьютеру) Expand а про впн вы ничего не слышали? ) Открытый наружу РДП по нынешним временам крайне небезопасно.
Tim S Posted February 12 Author Posted February 12 On 2/11/2025 at 6:48 PM, AlexeyK said: Вот человек купил антивирус на свою голову... Мало того, что тот не работает, как хочется, так теперь надо учиться его настраивать, собирать логи для каких-то там исправлений, да еще и идеи с аргументами безвозмездно предоставлять в надежде на реализацию. Жесть, зачем вообще это все надо?? Expand Вообще говоря, да, именно так -- на свою голову: всего год пользуюсь антивирусом -- решил поставить ради эксперимента и забил. До этого комп стоял 3,5 года без антивируса, при этом так вот торчал наружу rdp портом, проброшенным через роутер. На роутере просто периодически мониторил журнал, блочил ip-адреса, с которых видел атаки или скан портов. А потом заметил, что адреса не блокируются, хотя добавлял -- тупо память у роутера закончилась и фактического добавления не было. Настроил правила блокирования на компе. Затем вот решил антивирус поставить из любопытства, сделал полный скан -- и ни одного вируса не нашлось. Но это у меня пароль слишком долбанутый, чтобы его взломать, а гостевая и админская учётки отключены. On 2/12/2025 at 5:11 PM, andrew75 said: а про впн вы ничего не слышали? ) Открытый наружу РДП по нынешним временам крайне небезопасно. Expand слышали, но не получится -- предполагалось изначально, что это будет сервер для парочки моих проектов, которые бы были доступны без впн ) а в итоге это мой комп для работы, к которому я могу и сам подключаться откуда угодно и не думаю, что корпоративная сеть пропустит впн подключение из офиса On 2/11/2025 at 7:49 PM, AlexeyK said: Внешний IP имеет соответствующие недостатки, которые нужно учитывать. Что может, антивирус делает - блокирует атаки на некоторое время. Дополнительно можно настроить блокировки IP, следить за ситуацией и вносить корректировки при необходимости. Возникает впечатление, что ТС хочет, чтобы домашний антивирус обеспечивал полноценную защиту сети на уровне защитных систем провайдера - это нереально. Expand во-первых, РТК как будто и не может обеспечить защиту (как минимум, нет такой опции для ФЛ в личном кабинете) -- это если я понял правильно, а не имелось ввиду что у провайдера есть защитные системы и ои защищают сети провайдера. во-вторых -- почему нет?) другое дело, что это будет, скорее некое enterprise решение...
Maratka Posted February 12 Posted February 12 On 2/12/2025 at 5:14 PM, Tim S said: До этого комп стоял 3,5 года без антивируса, при этом так вот торчал наружу rdp портом, проброшенным через роутер. Expand Последние лет так двенадцать таковых в магазинах нету. ? On 2/12/2025 at 5:14 PM, Tim S said: А потом заметил, что адреса не блокируются, хотя добавлял -- тупо память у роутера закончилась и фактического добавления не было. Expand И купить новый роутер - не наш путь?
Tim S Posted February 13 Author Posted February 13 On 2/12/2025 at 5:26 PM, Maratka said: Последние лет так двенадцать таковых в магазинах нету. Expand это не совсем понял, о чем речь) On 2/12/2025 at 5:26 PM, Maratka said: И купить новый роутер - не наш путь? Expand надо, но я жду большей распространённости wifi 7, роутер за 50+ тысяч мне не очень хочется покупать.
Recommended Posts
Please sign in to comment
You will be able to leave a comment after signing in
Sign In Now