Firewall + HIPS

[isaakhim]

Споменавам това и по молба на isaakhim, макар това да беше в друга тема. Просто не ми се пишеше в две теми. Надявам се, че няма да пропусне този коментар.

Благодаря за съдействието! Винаги може да се разчита на теб.

Говорейки за Malware Defender, обърнах внимание на автора на програмата за забивите при включена мрежова защита и провала на Driver Verifier под Windows 7.

Инсталирах наскоро последната версия на Malware Defender 2.7.3.0002. Включих мрежовата защита (понеже я бях изключил), като се надявах да са оправили проблема със забиването, но уви. След два дена системата заби. При изключена мрежова защита няма никакви проблеми. Ако оправят този проблем в бъдеще ще е страхотно.

 

Night_Raven, дано автора обърне внимание на предложенията, които си направил. Много ми харесаха.

 

Добави и два съвета за да не се стигне до забавяне:

- да не се следи четене на файлове;

Днес нещо съм разсеян и не можах да схвана какво е имал предвид. Някаква отметка ли трябва да се сложи в настройките на програмата?

[Night_Raven]

Инсталирах наскоро последната версия на Malware Defender 2.7.3.0002. Включих мрежовата защита (понеже я бях изключил), като се надявах да са оправили проблема със забиването, но уви. След два дена системата заби. При изключена мрежова защита няма никакви проблеми. Ако оправят този проблем в бъдеще ще е страхотно.

В друг форум един потребител спомена за проблем със забин на син екран, когато са включени едновременно мрежовата защита на Malware Defender и защитната стена на Windows. Ако при теб втората е активна, опитай да я изключиш напълно.

 

Днес нещо съм разсеян и не можах да схвана какво е имал предвид. Някаква отметка ли трябва да се сложи в настройките на програмата?

По подразбиране се следи само запис (триене/промяна), но не и четене. Xiaolin просто имаше предвид да остане така. Да не се добавят правила и да не се затягат текущите дотам, че и четенето на файлове да се следи от Malware Defender.

[isaakhim]

В друг форум един потребител спомена за проблем със забин на син екран, когато са включени едновременно мрежовата защита на Malware Defender и защитната стена на Windows. Ако при теб втората е активна, опитай да я изключиш напълно.

И аз се опасявах точно от това и при последния тест бях напълно изключил стената на Windows, но пак заби, както споменах.

[Night_Raven]

Ясно. Ами, да се надяваме, че Xiaolin ще проучи ситуацията и ще отстрани проблема. Казал съм му, че под Windows XP няма проблеми и съм му дал линк към kernel memory dump файла. Остава само да чакаме и да се надяваме.

[normalizerx]

Night_Raven, може ли 3 въпроса за Malware Defender:

 

1. Коя версия би препоръчал да се използва - последната 2.7.3.2 или последната за Torchsoft - 2.6?

2. Настройките, които сподели за сваляне стават ли и за 2-те версии?

3. При импорт на твоите настройки, препоръчително ли е да се остане известно време на обучителен режим или това компрометира сигурността и е добре директно на стандартен?

 

Благодаря предварително за отговора!

 

P.S. Аз съм с Windows 7 32 bit

 

Четох и че не работи добре под ограничен акаунт - LUA. Така ли е наистина?

[Night_Raven]

1. Категорично 2.7.3.2. Не само има подобрения и отстранени бъгове, но е и безплатна. Просто няма никаква причина да се използва версия 2.6 на Malware Defender.

2. Би трябвало да са съвместими, но не съм тествал лично и не мога да кажа със сигурност.

3. Дали ще се внасят моите настройки или не е без значение за това дали да се ползва обучаващият режим. Т.е. въпросът тук трябва да е не дали след внасянето на моите настройки да ползваш обучаващия режим, а дали по принцип може да се ползва. Отговорът е "зависи". Ако си сигурен, че системата ти е чиста и искаш да приключиш с настройката на програмата по-бързо, можеш да си активираш обучаващия режим и да започнеш да работиш активно със системата, за да си изгради правила Malware Defender. Разбира се трябва да внимаваш да не стартираш нещо нежелателно. Ако се съмняваш, че системата ти е заразена, в никакъв случай не ползвай обучаващия режим. Ако искаш по-подробен и пълен контрол над това какви точно правила да се създават, ще е по-добре да ползваш нормалния режим и в появяващите се прозорци на програмата ще можеш да донастройваш правилата още при създаването им.

 

За LUA не мога да кажа с пълна сигурност. Аз не използвам изрично ограничен акаунт, а администраторски такъв с максимални настройки за сигурност на UAC. Поне при мен работи без проблеми, така че предполагам, че и под ограничен би трябвало да е наред, но не съм сигурен.

 

P.S.: тествах набързо и програмата изглежда да работи нормално. Неудобство е това, че трябва да се стартира ръчно. Може и да се стартира автоматично, но трябва да се добави съотвената задач в Task Scheduler, като и тогава ще изисква парола на администраторски акаунт при стартиране. Иначе изглежда, че всичко е наред, но това беше само бърз тест и не мога да съм сигурен за използване в дългосрочен план.

[normalizerx]

Много ти благодаря за изчерпателния отговор!

[randb]

А като цяло как стоят нещата Антивирус срещу HIPS? Мoже би не е това правилното място, но се чудя какво мислите за комбинацията от двете? Има ли смисъл(разбира се при наличието на hardware firewall)? Говорим за операционна система Windows 7, където все пак има и UAC.

[Гост tnn]

Само с HIPS, без антивирус, не е невъзможно човек да си стои.Има доста програми. Само с антивирус, без HIPS, е трагикомично, според мен. И защо Антивирус срещу HIPS? Не е ли най-добре Антивирус с HIPS!? Защото и хардуерните защитни стени също не са непреодолими. Сега съм си инсталирал Avira Free с DW 2.56 от единствената стогодишна промоция от края на 2009-та - изглеждат ми като замислени за съвместно приложение. Мога и без антивируса - но той пък е в групата на тези с най-добра детекция. Понякога го изключвам при преценка за целесъобразност.Иначе при рутера си има и хардуерна защитна стена. Всичко е наред, щом ползваната ОС лети...

[Night_Raven]

Не знам точно какво имаш предвид със "срещу". Напълно възможно е да се защити система и само с едната от двете. Зависи за кои точно програми става въпрос - дали са добри или не. Зависи и от потребителя. Зависи от доста неща. Една добра и пълноценна HIPS програма по принцип е по-добра защита, но определено не е за начинаещи, защото се изискват по-сериозни познания за устройството и работата на операционната система и програмите като цяло.

Комбинация между антивирусна програма и HIPS според мен е напълно редовна. Не би трябвало да има конфликти. Ако става въпрос за качествени програми от двете категории, то нивото на защита се повишава много. Поне на теория. На практика обаче положението е следното: ако човек е достатъчно напреднал, за да ползва HIPS, то значи най-вероятно ще може да се защитава само с една от двете програми и като цяло би бил по-внимателен и би знаел как да опази системата си чиста.

Има смисъл дори и да има и хардуерна защитна стена. Говорим за 3 различни методи на защита: blacklisting (антивирусната), HIPS и филтриране на мрежовите пакети (защитната стена). Те се допълват по принцип. По-странното и ироничното в случая е, че точно тези потребители, които биха знаели как да настроят една защитна стена и как да работят с HIPS, са същите, които по принцип са по-внимателни и по-наясно как да се предпазват. Т.е. те са тези, които биха имали по-големи шансове да останат чисти и без/с по-малко защитни програми.

UAC е много полезна функция, но не е всемогъща, така че допълнителни програми могат да бъдат много полезни, ако са подбрани добре.

[nikikom]

Здравей Night_Raven

 

Не ползвам антивирусна програма в реално време а карам само с ограничен акаунт (Windows_XP).

Преди известно време пробвах този тест Comodo HIPS and Firewall Leak Test Suite с Kaspersky Anti-Virus Windows Workstations срещу само с ограничения акаунт. До колкото си спомням резултата бе в полза на ограничения акаунт, с малко но се представи по-добре от Kaspersky и то без никакви досадни въпроси.

 

Ето и резултата от ограничения акаунт

 

http://store.picbg.net/pubpic/75/24/93fde26ecd787524.JPG

 

http://store.picbg.net/pubpic/3F/38/347bd3aaa5fc3f38.JPG

 

Да вметна, бях спрял стената на Kaspersky, понеже стената на Windows_XP не контролира изходящия трафик. Другия вариант бе да инсталирам чиста защитна стена за ограничения акаунт, че да се компенсира тази разлика.

Явно ограничения акаунт предлага доста добра защита, но защо във форумите за защита, никой не споменава за него, дори и в комбинация с антивирусна програма? Бих казал, че при компютър ползван от няколко човека, това е идеалното решение.

Би ли написал малко по-подробно как точно защитава регистрите, автоматичното стартиране и проникване дълбоко в системата.

 

Благодаря ти предварително.

[randb]

Така - инсталирах Malware Defender, но като я оставя на Normal mode след рестарт не ми се зареждат Nod32 и Sanboxie. Пробвах и с Microsoft Security Essencial , но и тя не се стартира. Ако някой може да сложи едно рамо и да помогне с правилата ? Версията на MD е 2.7.3.002, a OS е Windows 7 SP1.

[Night_Raven]

Явно ограничения акаунт предлага доста добра защита, но защо във форумите за защита, никой не споменава за него, дори и в комбинация с антивирусна програма? Бих казал, че при компютър ползван от няколко човека, това е идеалното решение.

Би ли написал малко по-подробно как точно защитава регистрите, автоматичното стартиране и проникване дълбоко в системата.

По форумите не се говори много за ограничени акаунти и хората не се интересуват от тях, защото предпочитат администраторски такива. nikikom, надценяваш потребителите. Доста при това. Сигурно всеки втори или трети потребител спира User Account Control под Windows Vista/7, та камо ли да работи конкретно под стандартен акаунт.

Да, стандартен (ограничен) акаунт осигурява доста добро ниво на защита по самосебе си. Не е панацея - не спира всичко, но може да предотврати напълно някои зарази, а други да ги смекчи дотам, че само да има следи, но не и същинска зараза. Всичко това не изисква никакви допълнителни ресурси. За сметка на това изисква малко търпение и свикване от страна на потребителя. Системни настройки, инсталации на програми и някои действия изискват администраторски права. Това значи, че се налага превключване в администраторски акаунт, когато трябва да се извърши нещо такова, или да се използва функцията Run As от контекстново мено, която позволява на потребителя да стартира дадения файл с други права (все едно се стартира под друг акаунт). Това обаче трябва да стане ръчно в повечето случаи. Има инсталатори, които автоматично предлагат прозореца Run As, но повечето (поне по мои впечатления) не го правят. Под Windows Vista и 7 обаче всичко това е улесенено значително. Тези операционни системи засичат почти винаги кои действия изискват администраторски права и автоматично извеждат прозорец за потвърждение (ако се работи под администраторски акаунт с включен UAC) или прозорец за въвеждане на акаунт и парола (ако се работи под изрично създаден стандартен акаунт). Хората обаче продължават да вършат глупости, като спират UAC и работят под чисти администраторски акаунти. После Windows е скапана и несигурна, 'щото е проникнала гадинка.

Може би ги знаеш тези неща, но ги споменавам за всеки случай. А и колкото повече ги повтарям (включително и в блога ми), шансът, на някого да му дойде акъла и да остави UAC включен, се повишава.

 

Много ясно, че акаунтите пасват много добре на системи, които се ползват от няколко души. Те точно за тази цел са създадени. Всеки си има свой акаунт (администраторски или ограничен) и така всеки разполага с прилагащите му се права и може да си прави свои настройки, да си задава свой тапет и прочее. И ако под Windows XP имаше някои ръбове за изглаждане, то под Windows Vista и 7 акаунтите са усъвършенствани. Нужно е само потребителите да поумнеят и да започнат да ги използват по предназначение.

 

Да обяснявам как ограничен акаунт защитава потребителя? Не знам точно какво искаш да напиша. Накратко: стандартният/ограниченият акаунт е лишен от достъп до важни системни настройки, папки и редове в регистратурата. Потребител със стандартен акаунт може да прави промени разбира се, но това са промени, които важат само за него самия. Глобални промени, които влияят на цялата система, могат да се извършат само от администратор. Нека дам пример. В регистратурата има 2 дървета: HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER. Първото съдържа настройки и информация, които се отнасят за системата и са валидни/активни за всички потребители. Второто важи само за текущият потребител. Потребител с ограничен акаунт може да си човърка и съсипва HKEY_CURRENT_USER, защото то си е неговото дърво. До HKEY_LOCAL_MACHINE обаче достъп няма. За там е нужен администраторски акаунт. Така потребител с ограничен акаунт може да си човърка (и евентуално съсипе) своя акаунт, но не и системата. Когато се работи под стандартен акаунт гадинките също са осакатени. Повечето поне. Някои могат да си свършат работата и да направят бели и под стандартен акаунт - програми за запис на клавиши например. Гадинките, които искат да се нагнездят дълбоко в системата, няма да могат да го направят, защото те ще трябва да извършат промени, които да са валидни за цялата системата (било в регистратура, файлове, драйвери и т.н.), не само за конкретния потребител, а това няма да могат да го направят, защото ще са с ограничени права - операционната система просто не им позволява да пипат, където не им е работата.

 

Ей така, за шоуто, наскоро реших да подложа ограничен акаунт под Windows XP и администраторски акаунт с активиран UAC под Windows 7 на тестовете на Matousec. Не съм им особен фен, но реших да го направя от любопитство. Тези тестове са предназначени общо взето за HIPS програми и на мен ми беше интересно как би се справила една система без абсолютно никакъв допълнителен софтуер. Под Windows XP това значеше създаване на нов, ограничен акаунт. Под Windows 7 се използваше системата 1:1 след приключване на инсталацията, защото тя е с включен UAC още от самото начало. Над 50% от тестовете бяха издържани. Не е перфектен резултат, но повече от добре за вградена защита, която не изисква никакви допълнителни ресурси.

Споменавам тази информация за онези, които се водят по тестовете на Matousec и се впечатляват от тях.

 

Така - инсталирах Malware Defender, но като я оставя на Normal mode след рестарт не ми се зареждат Nod32 и Sanboxie. Пробвах и с Microsoft Security Essencial , но и тя не се стартира. Ако някой може да сложи едно рамо и да помогне с правилата ? Версията на MD е 2.7.3.002, a OS е Windows 7 SP1.

Е, естествено, че няма да ти се стартират въпросните приложения. Malware Defender е програмирана така, че по време на зареждането на системата всичко, което не е изрично разрешено в правилата, бива блокирано, защото на този етап интерфейсът на програмата още не е стартиран и няма как потребителят да бъде попитан за правило. Ти нямаш създадено правило за стартирането на тези програми с Windows и понеже те се стартират преди графичния интерфейс на Malware Defender биват блокирани. Решението е да включиш режима на обучение и да рестартираш компютъра. Така Malware Defender ще си създаде правила за всички обекти, които се стартират с компютъра. Неслучайно програмата се стартира директно точно в режим на обучение.

[Бетонов]

Предполагам, че тук е мястото за въпроса ми!

Понеже днес си инсталирах втора операционна система- Уиндоус 7, и това ми е първи ден със 7-цата, да попитам- при значително подобрената защитна стена на 7-ицата, дали изобщо има нужда от външна стена. И другият ми въпрос е- този Уиндоус Дефендер, какво да го правя- да го изключа ли или да го оставя да си работи заедно със антивирусна програма?

[Night_Raven]

Според мен не е наложително да ползваш отделна защитна стена, освен ако не е с HIPS и ти искаш точно това. Ако е само за филтриране на трафика, вградената се справя достатъчно добре. Малко по-неудобна е за работа само.

Windows Defender не е нужно да го правиш нищо. Windows 7 ще го изключи автоматично, ако засече инсталирана антивирусна.