Защитни стени - въпроси, мнения, предимства, недостатъци

[Night_Raven]

След 5 поредни години с непрекъснато ползване на Symantec EP, мога да твърдя, че няма нужда от инсталиране на MBAM.Поздрави

Повярвай ми, има. MBAM е на почти задължително допълнение към всяка антивирусна програма. Тя е проектирана да е точно такава и да допълва антивирусните по най-добрия начин.

[draco_volans]

MBAM и SAS е по-добре да ги имаш и да не ти трябват, отколкото да ги нямаш и да ти трябват. Банално, но факт.

[liver]

Като задам на дадено приложение ''block all activity'', означава , че всяка връзка в мрежата му е пекратена. Поне това пише под него. На anti-leak, обаче има няколко отметки, които си остават на allow ( dde comunication, dns api request и т.н.), a на network rules ми показва, че може да се свързва. На шотовете съм показал. Нещо не ми се връзва. Също така, предполагам по критичните за сигурността процеси са на уиндоус, и ако стане пробив в защитат ще е от тях...но пък какво да им задаеш. На SVCHOST.EXE, DRWTSN32.EXE, DLHOST.EXE, DUMPER.EXE, EXPLORER EXE, SERVICES EXE, VERCLISD EXE, WUAUCLT.EXE. То не са едно и две неща. A не знам ако блокирам нещо, дали няма да се отрази на нормалната работа на компа. Малко разяснение ако може.

[draco_volans]

Аз на плеърчетата и разните странични програмки, които не искам да им давам нет-конекция съм им дал от General: Use custom rulez, а от Network rulez, на портовете които са листнати съм дал Block. Вероятно това не са най-правилните настройки (даже със сигурност), но толкова знам - толкова настройвам. От Anti-leak съм дал Block на Critical object change, Low level network access и Direct disk access. На SVCHOST.EXE съм позволил от Network rulez само DNS UDP DNS UDP connection, Generic host process time sinchronize TCP connection; Generic host process time sinchronize TCP connection. На всички остнали съм дал Block. Anti leak не съм го пипал, защото не разбирам и се опасявам да не направя някоя мизерия... Все пак става въпрос за важни системни файлове... На EXPLORER.EXE и LSASS.EXE съм блокирал достъпа до нета. Anti leak не съм им определял по гореспоменатата причина за риск от мизерия... Засега нямам оплаквания, но съм сигурен, че Night_Raven, ако ми види правилата, пък сигурно и твоите, ще изкараме за бой по врата... Знанието се натрупва бавно и постъпателно, какво да се прави...

[Гост tnn]

Повярвай ми, има. MBAM е на почти задължително допълнение към всяка антивирусна програма. Тя е проектирана да е точно такава и да допълва антивирусните по най-добрия начин.

Благодаря - поради подобни мнения- пак ще я инсталирам. Мен по природа си ме гони параноично настроение със съмнения - тя горката сигурно затова нищо не лови и все я деинсталирам...Защото всевъзможни параноични програми и отнемат правото на изява! Поздрави

[liver]

Аз на плеърчетата и разните странични програмки, които не искам да им давам нет-конекция съм им дал от General: Use custom rulez, а от Network rulez, на портовете които са листнати съм дал Block. Вероятно това не са най-правилните настройки (даже със сигурност), но толкова знам - толкова настройвам. От Anti-leak съм дал Block на Critical object change, Low level network access и Direct disk access. На SVCHOST.EXE съм позволил от Network rulez само DNS UDP DNS UDP connection, Generic host process time sinchronize TCP connection; Generic host process time sinchronize TCP connection. На всички остнали съм дал Block. Anti leak не съм го пипал, защото не разбирам и се опасявам да не направя някоя мизерия... Все пак става въпрос за важни системни файлове... На EXPLORER.EXE и LSASS.EXE съм блокирал достъпа до нета. Anti leak не съм им определял по гореспоменатата причина за риск от мизерия... Засега нямам оплаквания, но съм сигурен, че Night_Raven, ако ми види правилата, пък сигурно и твоите, ще изкараме за бой по врата... Знанието се натрупва бавно и постъпателно, какво да се прави...

С free версията си предполагам? Аз съм с security suite pro и има доста настройки. За сега съм дал всичко на макс. защита, след което съм оставил програмата да създаде правила за всички прилложения. Аз след това пък ги ''оправям''. На всички програми им давам block all activity, което уж значи , че нямат връзка с мрежата. След което пък се започва в антилийк контрола едно по едно спиране на memory injection и critical object change, и наблюдаване дали ще има проблем. За човек, който не разбира, така мисля е най-сигурно. Едно по едно. Иначе целия пакет яде на моменти на 100 мб памет-като слушам радио или браузвам, но пък никакво забавяне нямам. Компа лети. Все eдно току що съм инсталирал уина и не съм сложил и една програма. Оутпост все повече ме карат да им харесвам продуктите. Pросто няма за какво да се хвана. Дори като сканирам с антивируса на оутпост, нямам типичното забавяне , което се наблюдава при повечето антивируси-като стартираш приложения.

Добре ще е Night_Raven да се включи по някое време, да помага, че сигурно като види и моите правила...

[draco_volans]

Да с безплатната съм си, но и на нея могат да се правя настройките, които си показал. И недей да дърпаш дявола за опашката с тия похвали, че точно когато решиш, че всичко е OK, то... закона за всемирната гадост напомня за себе си... Така, че пали по една свещичка...

[Night_Raven]

Като задам на дадено приложение ''block all activity'', означава , че всяка връзка в мрежата му е пекратена. Поне това пише под него. На anti-leak, обаче има няколко отметки, които си остават на allow ( dde comunication, dns api request и т.н.), a на network rules ми показва, че може да се свързва. На шотовете съм показал. Нещо не ми се връзва. Също така, предполагам по критичните за сигурността процеси са на уиндоус, и ако стане пробив в защитат ще е от тях...но пък какво да им задаеш. На SVCHOST.EXE, DRWTSN32.EXE, DLHOST.EXE, DUMPER.EXE, EXPLORER EXE, SERVICES EXE, VERCLISD EXE, WUAUCLT.EXE. То не са едно и две неща. A не знам ако блокирам нещо, дали няма да се отрази на нормалната работа на компа. Малко разяснение ако може.

Когато опцията "Block all activity" е избрана, всякакъв достъп до интернет на програмата е забранен. Това не значи, че в подпрозорец Network Rules не може да има правила или че не могат да се добавят и премахват такива. Просто при опция "Block all activity" стената не се съобразява с тях и ги пренебрегва, все едно си казал на Outpost Firewall "не гледай правилата, ами директно забранявай". Т.е. настройките за пълен достъп или пълен блокаж в подпрозорец General са с по-голяма сила спрямо отделните правила. Нещо като команда от по-висш командващ, която отхвърля другите. Ако се избере "Use custom rules", тогава вече стената започва да хвърля око какви правила има създадени и да ги спазва. Тази опция е различна от Anti-Leak настройките, които се отнасят за HIPS механизмите, които се настройват отделно. Нещо като това да те контролират двамата родители поотделно - всеки си има своите изисквания и те контролира за различни неща и в някои случаи ти трябва разрешението и на двамата, за да направиш нещо. Някои настройки са ти на Allow, защото или стената те е питала за тях за съответната програма и ти си ги разрешил, или си е създала правила автоматично, защото е разпознала програмата. По-вероятно да е второто, защото по подразбиране автоматичното създаване на правила е разрешено.

Пробив в защитата може да стане от много места. А относно настройките, то затова програмата създава автоматично правила за приложения, за да не занимава потребителя с това, а за HIPS си има обучаващ режим, който е създаден, за да се ползва. Идеята му е следната: инсталираш програмата на чиста система, активираш обучаващия режим и работиш да речем някой-друг ден, стараейки се да извършваш колкото се може повече от обичайните си дейности. Програмата следи какво правиш и се настройва сама. Така, след излезеш от обучаващия режим програмата ще те пита за неща, които са й непознати, които трябва да са доста малко и ще знаеш, че когато се появи съобщение, то ще заслужава повече внимание. Разбира се в никакъв случай не гарантира, че ще е нещо зловредно, а че е нещо, което не е особено често за системата. Иначе трябва да се настройва ръчно всичко, което в общи линии значи, да се създават правила за всяко действие, защото ако системата е чиста, надали ще има нещо нередно и всички съобщения на HIPS модула ще са за валидни действия на програми. Вече след като се кротне програмата и се е понаучила как да се държи, тогава започва да става по-важно и ... интересно.

Разяснения е трудно да се дадат, особено спрямо HIPS настройки, защото не знам ти какво ползваш и кой процес какви нужди ще има. Това е доста индивидуално по принцип.

 

Аз на плеърчетата и разните странични програмки, които не искам да им давам нет-конекция съм им дал от General: Use custom rulez, а от Network rulez, на портовете които са листнати съм дал Block. Вероятно това не са най-правилните настройки (даже със сигурност), но толкова знам - толкова настройвам. От Anti-leak съм дал Block на Critical object change, Low level network access и Direct disk access. На SVCHOST.EXE съм позволил от Network rulez само DNS UDP DNS UDP connection, Generic host process time sinchronize TCP connection; Generic host process time sinchronize TCP connection. На всички остнали съм дал Block. Anti leak не съм го пипал, защото не разбирам и се опасявам да не направя някоя мизерия... Все пак става въпрос за важни системни файлове... На EXPLORER.EXE и LSASS.EXE съм блокирал достъпа до нета. Anti leak не съм им определял по гореспоменатата причина за риск от мизерия... Засега нямам оплаквания, но съм сигурен, че Night_Raven, ако ми види правилата, пък сигурно и твоите, ще изкараме за бой по врата... Знанието се натрупва бавно и постъпателно, какво да се прави...

По принцип аз много, много рядко задавам нещо изрично на Block, преди да съм бил попитан за това. Говоря за HIPS. Оставям всичко на настройки да си ме пита, а аз ще преценявам според ситуацията. Просто е трудно да се (предс)каже коя програма какви нужди има и доколко са важни са те за правилната й работа.

По принцип това е недостатъкът на HIPS програмите, искат доста настройки и знания и почти всички техни съобщения са за легитимни дейности и потребител лесно може да се загуби в многото въпроси и да пропусне някоя зловредна активност. То затова и HIPS програмите се препоръчват само за напреднали потребители.

 

Благодаря - поради подобни мнения- пак ще я инсталирам. Мен по природа си ме гони параноично настроение със съмнения - тя горката сигурно затова нищо не лови и все я деинсталирам...Защото всевъзможни параноични програми и отнемат правото на изява! Поздрави

Не мога да те накарам да я инсталираш, но аз ти казвам, че самата тя е проектирана и създадена да попълва дупките на антивирусните. Malwarebytes' Anti-Malware е доста интересна програма. Не се сещам друга такава в момента. Тя се прицелва в онези заплахи, с които традиционните антивирусни не се справят. Ако дадена заплаха е достатъчно опасна, коварна и разпространена и минава под радара на антивирусните, то MBAM се прицелва в нея. Ако заплахата е дребна или антивирусните вече се справят с нея без проблем, то не представлява интерес за MBAM. Както казах, тя е проектирана да допълва всички антивирусни решения, а не да се съревновава с тях. Освен това заплахи, които се позагубят от хоризонта и станат много редки, е напълно възможно да бъдат премахнати от базата от данни на MBAM. Авторите не гонят бройка дефиниции и високи проценти на засичане. Идеята е програмата е максимално ефективна и бърза срещу всички текущи и актуални заплахи, на които има "епидемии" и са проспивани от антивирусните.

Това го казвам като отклонение, защото все пак темата е за защитни стени. Ако имаш въпроси за MBAM, спокойно можеш да си пуснеш обща тема и да си попиташ за всичко, което те интересува. А дали ще можем да отговорим на всичко, е вече отделен въпрос.

[liver]

Night_Raven, благодаря за подробното разяснение. Ако може да попитам още нещо. Оutpost security suite pro си създава правилата, но при влизане в опасен сайт, някои от тези правила на дадена програма дали могат да се използват за пробив в защитата. Ето например скайп. На доста места в антилийка е allow, въпреки, че са създадени при всичко дадено на макс.-anti-malware, host protection, web control, с изключение на firewall(block most).

EDIT: дали е добре да дам block на ...critical object change, process memory injection или друго? Може някои от въпросите ми да са не на място, но не са ми ясни доста неща свързани с защитата.

ЕDIT2: draco volans, ами като от почти 2 години не съм лепвал никакви гадинки, как да се науча практически, като никакви зарази не прихващам? Аз реално не знам какво е това. Компа ми също. Честно. Остава с четене и питане, нали?

За да се научат някои неща , при липсата на инфо на бг език си е направо предизвикателство, особено за по-специфичните неща. За тях трябва И да се пита. Не бих го нарекъл фикс идея. Дугия начин да се научат е както някои хора правят тук- като влизат в опасни сайтове, теглят различни боклуци, за да видят до колко е добра защитата им. Пробват различни неща....Не е за мен това. Същевременно си влизам ...навсякъде, без ограничение. Предпочитам да разбера някои неща без да се сблъскавам с тях, освен по принуда или случайност. Другия вариант води до допълнителна работа в последствие. Я преинсталация, я въпроси от рода- хванах вирус, какво да правя? А и е по-добре като се пробва нещо, да се пита. Обичам да знам какво правя, не да дам block allow защото така ми се струва. Та за това са форумите- да се пита. Въпрос на мнение.

[draco_volans]

Не съм напреднал, но без практика и сблъскване с проблеми няма как да се стане напреднал... Колкото повече се работи с една програма, толкова повече тя те кара да привикваш с изискванията й и да се учиш от грешките си. Това си е бавен процес, амо още по-бавно става, когато човек се опитва да получи знанията в съпътстващ режим, без съответния проблем да му е идея фикс. На някой им се отдават нещата, на други по-малко и така...

[tanganika]

liver,няма проблеми тези правила са създадени само за съответното приложение,но ако друго приложение опита да се добере до скайп ще бъдеш информиран.Въпреки че давам пример с Комодо нещата са принципни.

 

http://i34.tinypic.com/1582lav.jpg

 

Тъй като непознато приложение за HIPS-а иска достъп до браузъра бивам информиран въпреки че съм дал пълни права на браузъра те се отнасят само за него и никое друго приложение.

[draco_volans]

Първо стената ли си инсталирал или антивируса? При мен са активни, само ако инсталирам стената първо, а след това антивируса. При наличие на антивирус, outpost винаги изключва 2-та си модула( web contol\anti-spyware) заради възможен конфликт. Яено се застъпват функциите им...знам ли

 

Един приятел е с Outpost Pro и Avira Free, като първо е инсталирал антивирусната и след това стената. Сблъскал се е с твоя проблем първоначално, но го е разрешил (от втория път) като при инсталацията на Outpost, когато стената е детектирала антивирусната, е махнал отметката, която те пита дали това е твоята антивирусна. След това въпросните модули - web control/anti-spyware са си работили коректно. Нямало е други конфликти.

[damto]

Един приятел е с Outpost Pro и Avira Free, като първо е инсталирал антивирусната и след това стената. Сблъскал се е с твоя проблем първоначално, но го е разрешил (от втория път) като при инсталацията на Outpost, когато стената е детектирала антивирусната, е махнал отметката, която те пита дали това е твоята антивирусна. След това въпросните модули - web control/anti-spyware са си работили коректно. Нямало е други конфликти.

 

Силно се съмнявам в това,което ти е казал.При инсталиране на Outpost Pro докато не сложиш чавките за съвместимост не продължава инсталацията. За да работят web contol и anti-spyware модулите трябва да инсталираш първо стената и после анти-вируса.Единствено се препоръчва обратното - с продуктите на Касперски Лаб и то от ANDYBOND

[draco_volans]

Силно се съмнявам в това,което ти е казал.При инсталиране на Outpost Pro докато не сложиш чавките за съвместимост не продължава инсталацията. За да работят web contol и anti-spyware модулите трябва да инсталираш първо стената и после анти-вируса.Единствено се препоръчва обратното - с продуктите на Касперски Лаб и то от ANDYBOND

 

Тъй като не съм видял лично и не съм ползвал Pro версия, а разчитам на описание от трета страна, нямам намерение да споря. Споделих нещо, което ми се видя интересно и като потенциално решение на проблем. Ти си прав.

[liver]

При инсталацията на outpost pro вече махам отметките на web control-a и anti-malware. Сега съм и с Avira premium, която така или иначе ги има тези модули. Естествено, никакъв конфликт. Оutpost с който и антивирус да го съчетаеш , няма проблем.