Comodo Internet Security 7: Настройки поведенческого анализа

2014-02-08 | Автор | комментарии
Руководство пользователя Comodo Internet Security 7: Поведенческий анализ - настройки, основные компоненты и параметры

Перевод на русский язык: Александр Рябов

CIS 7: Настройка поведенческого анализа

Мы начинаем поэтапный перевод руководства пользователя (help.comodo.com) для комплексного антивируса Comodo Internet Security по настройкам компонентов и функций программы. Первые инструкции касаются настроек основных нововведений новой версии 7 - настройка поведенческого анализа с Viruscope.

Обратите внимание, официально руководство пользователя 7 версии пока не доступно, перевод велся из кэша Google, который попал в сеть, но уже недоступен.

Поведенческий анализ

Поведенческий анализ (Behavior Blocker) - важная часть модуля Защита+ (Defense+), ответственная за аутентификацию каждого исполняемого файла, который загружается в память. Поведенческий анализ (Behavior Blocker) перехватывает все файлы, прежде чем они будут загружены в память, а также попытки упреждающего чтения или кэширования со стороны этих файлов. Он вычисляет контрольную сумму исполняемого файла в тот момент, когда тот пытается загрузиться в память. Затем он сверяет эту контрольную сумму со списком известных или распознанных приложений, которые в Comodo считаются надежными. В том случае, если контрольная сумма исполняемой программы соответствует одной из записей, то приложение безопасно, и Поведенческий анализ (Behavior Blocker) позволяет ему запуститься. Если в списке надежных соответствующая контрольная сумма не найдена, то исполняемый файл считается нераспознанным и автоматически запускается в песочнице. Когда это произойдет, программа уведомит вас об этом.

CIS 7: Настройка поведенческого анализа: панель настроек Поведенческого анализа

К панели настроек Поведенческого анализа (Behavior Blocker) можно перейти, щелкнув Задачи > Расширенные задачи > Расширенные настройки > Настройки безопасности > Защита+ > Поведенческий анализ (Tasks > Advanced Tasks > Open Advanced Settings > Security Settings > Defense+ > Behavior Blocker). Эта панель позволяет быстро задать параметры того, насколько активным должен быть Поведенческий анализ (Behavior Blocker) и какие типы файлов он должен проверять.

Viruscope контролирует действия процессов, запущенных на Вашем компьютере, и предупреждает Вас в случае их подозрительного поведения. Кроме формирования еще одного уровня обнаружения вредоносных программ и профилактики подсистема представляет собой ценное дополнение к основной функции Поведенческого анализа (Behavior Blocker) по контролю над процессами, добавляя возможность отмены потенциально нежелательных действий программ без необходимости их полного блокирования. Это обеспечивает более детальное управление иными легальными программами, которые требуют определенных действий для своей правильной работы.

Оповещения Viruscope дают вам возможность изолировать процесс и отменить произведенные им изменения либо позволить процессу продолжить действие. Будьте особенно осторожны, если предупреждение Viruscope появляется "внезапно", когда Вы не производили каких-либо недавних изменений на компьютере.

CIS 7: Настройка поведенческого анализа: Оповещения Viruscope

CIS 7: Настройка поведенческого анализа: Вы хотите также вернуть изменения, произведенные
этим процессом?

Панель настроек Поведенческого анализа (Behavior Blocker) позволяет сконфигурировать следующее: 

Автоматически запускать в Sandbox обнаруженное неизвестное приложение и обрабатывать его как (Auto-sandbox unknown applications as) - позволяет включить или отключить Поведенческий анализ (Behavior Blocker). Если опция включена, Поведенческий анализ (Behavior Blocker) будет запускать нераспознанные приложения внутри песочницы с такими ограничениями доступа, которые будут выбраны в ниспадающем меню (по умолчанию опция включена и выбран режим "Частично ограниченное").

Примечание: настройку Поведенческого анализа (Behavior Blocker) можно выполнить и в Главном окне (Home) в режиме Подробной сводки (Advanced View) рядом со ссылкой состояния Auto-Sandbox в разделе "Защита+ и Sandbox" ("Defense+ and Sandbox").

Примечание: рассмотренного в Задачах Sandbox (Sandbox Tasks). По большей части Auto-Sandbox - невиртуальная среда, в которой нераспознанным приложениям позволено работать с рядом строгих ограничений доступа (режим по умолчанию "Частично ограниченный" ("Partially Limited")). Эти ограничения препятствуют тому, чтобы приложение производило действия, приносящие вред системе. Пользователи, тем не менее, в настройках Поведенческого анализа (Behavior Blocker) могут включить "Полную Виртуализацию" ("Full Virtualization") изолируемых в песочнице файлов.

Настройка ограничений доступа

Поведенческий анализ (Behavior Blocker) автоматически помещает в песочницу неизвестные исполняемые файлы и ограничивает их полномочия согласно уровню ограничения доступа, установленному Вами. Уровень ограничения доступа определяет, какие полномочия должно получить помещенное в песочницу приложение при обращении к ресурсам программного и аппаратного обеспечения на Вашем компьютере:

  • Частично ограниченное (Partially Limited) - приложению разрешен доступ ко всем файлам операционной системы и ресурсам, таким, как буфер обмена. Изменение защищенных файлов или ключей реестра не разрешено. Привилегированные операции - такие, как загрузка драйверов или отладка других приложений, также не позволены (Уровень установлен по умолчанию).
  • Подозрительное (Limited) - приложения могут получить доступ только к выбранным ресурсам операционной системы. Приложению не позволяется выполнять более 10 процессов за один раз, и оно запускается без полномочий Администратора.
  • Ограниченное (Restricted) - приложению будет разрешено получить доступ к очень немногим ресурсам операционной системы. Приложению не позволяется выполнять более 10 процессов за один раз, и оно работает с очень ограниченными правами доступа. Некоторые приложения, как, например, компьютерные игры,  при этом режиме могут перестать работать должным образом.
  • Недоверенное (Untrusted) - приложению не предоставляется доступа ни к каким ресурсам операционной системы. Приложению не позволяется выполнять более 10 процессов за один раз, и оно работает с очень ограниченными правами доступа. Некоторые приложения, которые требуют взаимодействия с пользователем, могут перестать работать должным образом при этом режиме.
  • Заблокированное (Blocked) - приложению вообще не будет позволено запуститься.
  • Полная виртуализация (Fully Virtualized) - приложение будет запущено в виртуальной среде, полностью изолированной от операционной системы и файлов на вашем компьютере.

Обнаруживать программы, требующие повышенных привилегий, например, программы для установки или для обновления приложений: позволяет Вам настроить модуль Поведенческого анализа (Behavior Blocker) на вывод предупреждения в ситуации, когда установщик или программа обновления при запуске будет требовать повышенных полномочий или полномочий администратора. Установщику, которому позволен запуск с повышенными полномочиями, разрешается вносить изменения в важные области компьютера, такие как реестр. Для получения дополнительной информации обратитесь к разделу Understanding Security Alerts (Понимание предупреждений безопасности).

CIS 7: Настройка поведенческого анализа: Обнаруживать программы, требующие повышенных привилегий

Вы можете сделать выбор, основываясь на своей оценке, давать разрешение установщику либо программе обновления или нет, в самом предупреждении (по умолчанию опция включена).

Показывать оповещения, если неизвестные программы требуют повышенных привилегий: позволяет Вам настроить модуль Поведенческого анализа (Behavior Blocker) на вывод предупреждения в ситуации, когда новая или нераспознанная программа, приложение или исполняемый файл при запуске требует повышенных полномочий или полномочий администратора. Вы можете сделать выбор, основываясь на своей оценке, давать разрешение неизвестному приложению или нет, в самом предупреждении (по умолчанию опция включена).

Не блокировать файлы из этого списка - позволяет Вам указать пути к определенным  файлам, которые будут исключены из числа объектов наблюдения со стороны модуля Поведенческий анализ (Behavior Blocker). Исполняемым файлам, добавленным в исключения, позволяется запускаться без проверки подлинности (по умолчанию опция отключена).

Примечание: файлы, добавленные через этот интерфейс, будут выведены из-под наблюдения со стороны только модуля Поведенческий анализ (Behavior Blocker). Чтобы вывести файл из-под наблюдения со стороны всех компонентов CIS, включая Антивирус (Antivirus), Фаерволл (Firewall), HIPS и Поведенческий анализ (Behavior Blocker), внесите его в список Доверенные файлы (Trusted Files).

Чтобы задать исключения:

- Установите флажок "Не блокировать файлы из этого списка" (Define exceptions for behavior blocking) и щелкните ссылку "Исключения" ("Exceptions"). Появится диалоговое окно "Управление исключениями".

- Щелкните стрелку внизу диалога и выберите "Добавить" ("Add")

CIS 7: Настройка поведенческого анализа: Задать исключения

- Вы можете добавить элементы, выбрав нужную опцию в ниспадающем меню:

  • Группы файлов (File Groups) - вы можете выбрать что-либо из предварительно установленных категорий файлов или папок. Например, выбрав "Исполняемые файлы" ("Executables"), вы можете создать набор правил для всех файлов с расширениями .exe .dll .sys .ocx .bat .pif .scr .cpl. Доступны и другие категории, такие как "Системные приложения Windows" ("Windows System Applications"), "Средства обновления Windows" ("Windows Updater Applications"), "Автозагрузка" ("Start Up Folders") и т.д. Для получения дополнительной информации о группах файлов, обратитесь к разделу Группы файлов (File Groups).
  • Запущенные процессы (Running Processes) - в соответствии с названием эта опция позволяет Вам выбрать приложение или исполняемый файл из тех процессов, которые в настоящее время запущены на Вашем ПК.
  • Папки (Browse Folders) - откроется окно "Обзор папок" ("Browse for Folders"), в котором вы сможете найти папку, которую вам нужно добавить. 
  • Файлы ("Browse File") - откроется окно "Открыть" ("Open"), в котором вы сможете найти приложение или файл, который вам нужно добавить.

- После того, как будут добавлены элементы, с помощью переключателя над колонкой "Исключить дочерние процессы" (Exclude Child Process) выберите, должны ли дочерние процессы файлов или приложений также быть исключенными из области контроля модуля Поведенческий анализ (Behavior Blocker).

- Щелкните "OK", чтобы настройки были применены.

Настройки Viruscope

Viruscope отслеживает действия всех процессов, независимо от того, запущены они в песочнице или как обычно. Если будет обнаружено подозрительное действие, то Viruscope показывает предупреждение, которое даст вам возможность разрешить или заблокировать данное действие.

- Использовать Viruscope (рекомендуется) (Enable Viruscope (Recommended)) - позволяет включить или отключить Viruscope. Если опция включена, Viruscope следит за действиями всех запущенных процессов и выводит предупреждения при подозрительных действиях (по умолчанию опция включена).

- Не показывать оповещения (Do NOT show popup alerts) - позволяет указать программе, нужно ли показывать предупреждение от Viruscope в ситуации, когда выявлено подозрительное действие. При выборе "Не показывать оповещения" ("Do not show popup alerts") беспокойства будут сведены к минимуму при некоторой потере осведомленности пользователя. Если Вы указали программе не выводить предупреждения, у Вас есть возможность выбрать реакцию по умолчанию, которую должна производить CIS автоматически, - либо "Изолировать и отменить изменения" ("Quarantine and Revert"), либо "Игнорировать" ("Ignore") (по умолчанию опция выключена).

- Изолировать и отменить изменения (Quarantine and Revert) - процесс и его родительское приложение перемещаются в карантин и отменяются действия, предпринятые этим процессом (по умолчанию).
Игнорировать единожды (Ignore Once) - действие будет разрешено один раз. Если такое же действие будет распознано вновь, то будет показано предупреждение.

Расширенные настройки

- Выполнять эвристический анализ командной строки для определенных приложений - выбор этой опции указывает Comodo Internet Security производить эвристический анализ программ, способных выполнять код, такой как сценарии Visual Basic и приложения Java. Примерами программ, затрагиваемых включением этой опции, являются wscript.exe, cmd.exe, java.exe и javaw.exe. Например, программа wscipt.exe может быть создана, чтобы  выполнять сценарии Visual Basic (расширение файла .vbs) с помощью команды наподобие "wscript.exe c:\tests\test.vbs". Если данная опция включена, CIS обнаруживает c:\tests\test.vbs в командной строке и выполняет все проверки безопасности по этому файлу. Если test.vbs попытается, к примеру, соединиться с Интернетом, то предупреждение уведомит, что "test.vbs" пытается соединиться с Интернетом (по умолчанию опция включена).

Если эта опция выключена, то в предупреждении будет констатировано лишь о том, что wscript.exe пытается соединиться с интернетом. 

Справка: эвристика представляет собой метод анализа файла с целью установить, содержит ли он код, типичный для вируса. Эвристика помогает распознавать характерные для вирусов признаки или поведение, вместо того, чтобы искать точный цифровой "отпечаток" (сигнатуру) вируса, занесенный в заготовленный черный список. Это помогает выявлять ранее неизвестные (новые) вирусы.

- Обнаруживать внедрение shell-кода (Detect shellcode injections (i.e. Buffer overflow protection))- включение этой опции активирует защиту от переполнения буфера.

Справка: переполнение буфера - это аномальное состояние, когда процесс или исполняемый файл пытается сохранить данные за пределами выделенного объема буфера. Результат будет таким, что дополнительные данные перезаписываются в смежные ячейки памяти. Перезаписанные данные могут включать другие буферы, переменные и данные процесса выполнения программы и могут привести к краху или к неправильным результатам. Они могут быть вызваны вводом данных, специально разработанных для выполнения вредоносного кода или с целью заставить программу работать непредусмотренным образом. Также, переполнение буфера создает немало уязвимостей для программного обеспечения и формирует основу для множества проделок.

Включение защиты от переполнения буфера предписывает Comodo Internet Security выдавать всплывающие предупреждения при каждом случае потенциальной атаки переполнения буфера. Вы можете разрешить или отклонить запрашиваемое действие, предпринятое процессом в ходе его работы, в зависимости от надежности программы и ее поставщика. Щелкните здесь для получения дополнительной информации о предупреждениях.

Comodo рекомендует всегда держать эту опцию включенной (по умолчанию опция включена).

Для того, чтобы исключить некоторые типы файлов из числа отслеживаемых со стороны функции обнаружения внедрения shell-кода:

- Установите флажок "Обнаруживать внедрение shell-кода" ("Detect shellcode injections") и щелкните ссылку "Исключения" ("Exceptions"). Появится диалоговое окно "Управление исключениями" ("Manage Exceptions").

- Щелкните стрелку внизу диалога и выберите "Добавить" ("Add")

- Вы можете добавлять что-либо, выбирая соответствующий пункт ниспадающего меню:

CIS 7: Настройка поведенческого анализа: Обнаруживать внедрение shell-кода - Исключения

  • Группы файлов  (File Groups) - позволяет выбрать из предварительно установленных категорию файлов или папок. Например, выбрав "Исполняемые файлы" ("Executables"), вы можете создать набор правил для всех файлов с расширениями .exe .dll .sys .ocx .bat .pif .scr .cpl. Доступны и другие категории, такие как "Системные приложения Windows" ("Windows System Applications"), "Средства обновления Windows" ("Windows Updater Applications"), "Автозагрузка" ("Start Up Folders") и т.д. Для получения дополнительной информации о группах файлов, обратитесь к разделу "Группы файлов" ("File Groups").
  • Запущенные процессы (Running Processes) - в соответствии с названием эта опция позволяет Вам выбрать приложение или исполняемый файл из тех процессов, которые в настоящее время запущены на Вашем ПК.
  • Папки (Browse Folders) - откроется окно "Обзор папок" ("Browse for Folders"), в котором вы сможете найти папку, которую вам нужно добавить. 
  • Файлы ("Browse File") - откроется окно "Открыть" ("Open"), в котором вы сможете найти приложение или файл, который вам нужно добавить.

Примечание: производить эти настройки рекомендуется только опытным пользователям.

- Щелкните "OK", чтобы настройки были применены.

Нашли опечатку? Выделите и нажмите Ctrl+Enter

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества