Обзор AppGuard

2014-03-05 | Автор | комментарии
Обзор AppGuard - дополнительного инструмента проактивной защиты от угроз «нулевого дня». Программа блокирует компьютерные вирусы и вредоносное ПО без необходимости сканирования и постоянного обновления

Можно разработать абсолютно эффективный антивирус – который будет блокировать все программы, в том числе вредоносные.  Его главным недостатком будет являться невозможность запуска проверенных надежных приложений. AppGuard (стоимость лицензии 29,95 долларов) не блокирует все программы, продукт является избирательным. Для того чтобы снизить вероятность заражения новейшими видами вредоносного ПО,  AppGuard блокирует неизвестные программы, скачанные с потенциально опасных сайтов, а также вводит ограничения для изменения важных системных зон для всех программ. Тем не менее, при работе с данным инструментом можно столкнуться с серьезными трудностями.

Обзор AppGuard

Установка AppGuard очень проста, после перезагрузки можно сразу приступать к работе. На главном экране расположен ползунок, с помощью которого можно управлять текущим уровнем безопасности. По умолчанию установлен средний режим (Medium), в этом случае выбранные программы могут устанавливать обновления. При включении режима повышенной защиты (Locked Down) запрещается запускать любые программы или обновления, скачанные с Интернета. Если Вам требуется установить новую программу или разрешить обновление, можно понизить степень защиты, выбрав режим «Установка» (Install).

Лицензия у программы пожизненная, это не годичная подписка. Стоит отметить, что AppGuard не требует регулярных обновлений сигнатур, которые характерны для традиционных  антивирусных продуктов.

Похожий, но не идентичный

Некоторые антивирусные продукты имеют защиту на основе белых списков – программа, которая не входит в белый список при попытке запуска будет заблокирована. Примером может являться Anti-Executable 5.0. Все программы, установленные в системе на момент инсталляции Anti-Executable, попадают в белый список. Все новые программы блокируются, пока Вы самостоятельно не добавите их в белый список.  Принцип работы немного сложнее, но общий смысл понятен.

VoodooShield  работает аналогичным способом, но становится чрезвычайно активным, когда пользователь работает в зоне риска. В частности, продукт блокирует программы, когда пользователь запускает браузер или почтовый клиент или когда вставлен USB накопитель.

Алгоритм работы AppGuard немного сложнее, чем у конкурентов, но эта сложность приводит к некоторым трудностям в процессе работы.

Новые термины

Конечно, ползунок управления режимами – не единственный элемент интерфейса, служащий для конфигурации работы AppGuard. Для эффективного использования продукта нужно будет усвоить несколько новых терминов.

Первый новый термин – «охраняемые приложения» («Guarded Applications»). При установке AppGuard добавляет самые распространенные приложения в «список охраны». Эти программы не смогут изменять важные системные ресурсы, например папку Windows и определенные области системного реестра.

Обзор AppGuard - охраняемые приложения

Такие программы также называются «MemoryGuarded», т.е. они не имеют доступ к памяти другого процесса. Справка предупреждает, что эта опция может привести к неработоспособности некоторых программ и объясняет, как отключить данную функцию.

Следующий термин – «пользовательское пространство» («User Space»). К пользовательскому пространству относятся зоны, к которым в обычном режиме имеют доступ все пользователи, а не только администратор и которые часто  используются вредоносными программами. К таким местам, среди прочего, относятся папки текущего пользователя, а также съемные носители и сетевые диски.

Обзор AppGuard - пользовательское пространство

Поведение AppGuard в пользовательских зонах зависит от выбранного режима защиты. В среднем режиме блокируются только программы без цифровой подписи, остальные можно запускать как «охраняемые приложения». В режиме «Locked Down» оба типа программ будут заблокированы.

Исключения…

Для работы некоторых приложений потребуется отключении опции MemoryGuard. Для установки обновлений некоторых надежных приложений нужно будет снизить уровень защиты. Меню в трее содержит целый ряд опций для применения исключений из правил.

Зачем нужны эти исключения? Дело в том, что при активном AppGuard некоторые безопасные действия невозможно совершить. Нужно помнить, что AppGuard автоматически отменит режим исключений после нескольких минут. Режим «Execution» в Anti-Executable также завершается спустя определенный промежуток времени.

Для установки программ в Anti-Executable или в VoodooShield нужно будет остановить защиту. Например, для установки обновлений Windows Anti-Executable переводится в режим обслуживания (Maintenance Mode). AppGuard аналогично нужно переводить в режим «Install» для применения важных системных патчей и обновлений.

Подобные решения могут приводить к серьезным проблемам, если пользователь сделает что-то не так. Получается, что именно пользователь отвечает за выбор, безопасна определенная программа или нет. Если Вы ошиблись, можно винить только себя. AppGuard здесь имеет определенное преимущество над другими продуктами, использующими белые списки. В случае неверного решения пользователя программа не сможет нанести серьезный вред системе благодаря опции «Guarded Applications».

Расширенные настройки

Как уже отмечалось, главное окно программы позволяет только выбрать необходимый уровень защиты. При нажатии на кнопку параметров («Customize») появляется диалог для выполнения детальной конфигурации AppGuard. Здесь можно указать, какие директории должны принадлежать пользовательскому пространству, добавить программы в список Guarded Applications (или отредактировать существующие записи списка) и добавить издателей, программы с цифровой подписью которых будут запускаться без ограничений. Anti-Executable умеет автоматически добавлять в белый список приложения, подписанные надежными издателями.

Обзор AppGuard - добавить издателей

Неправильные настройки здесь могут привести к серьезным проблемам. Например, удаление Microsoft из списка надежных издателей будет являться неудачной идеей. В тестах, после этой манипуляции компьютер загружался и появлялся рабочий стол, но никакого отзыва на нажатия клавиатуры и мыши не было. Повезло, что тесты выполняются на виртуальной машине!

Если Вы используете AppGuard наряду с традиционным антивирусом нужно определить антивирус как «Power Application». Это означает, что AppGuard оставит программу без внимания, позволив обновлять базы сигнатур и противодействовать вредоносным программам.

Защита настроек

Опция родительского контроля в продукте реализована не традиционно. Сразу после установки AppGuard относится ко всем пользователям системы одинаково, позволяя им вносить любые изменения в конфигурацию. Вызов родительского контроля предусматривает предоставление одной или нескольким учетным записям статуса супер-пользователя и ограничение пав других пользователей.  Anti-Executable, например, запоминает аккаунт, который использовался при установке продукта, он и становится супер-пользователем.

Обзор AppGuard: Родительский контроль

Естественно, обычный пользователь не сможет поменять настройки родительского контроля. Нужно обязательно войти в аккаунт SuperUser для внесения изменений. Очень важно запомнить логин и пароль этой учетной записи!

Тестирование

С AppGuard проводился ряд стандартных испытаний. Естественно, продукт не заблокировал ни одной вредоносной ссылки, т.к. для этого он не предназначен. Не спас AppGuard также от загрузки зараженных исполняемых файлов. Однако, при попытке запуска опасных утилит, скачанных на рабочий стол, появлялось сообщение о системной ошибке, что они  не являются допустимыми исполняемыми файлами. Все правильно: сообщение от Windows, а не от AppGuard. VoodooShield и Anti-Executable по крайней мере знали причину, по которой программа не запускается. Хотелось бы видеть более подробное разъяснение от AppGuard о причинах блокировки.

Аналогичная ситуация произошла при запуске надежных программ с рабочего стола, не удалось открыть ни один файл. Странно, ведь все они имели цифровую подпись достоверных источников, и AppGuard должен был позволить им запуститься в «режиме охраны». Все-таки, вредоносные программы с цифровой подписью встречаются гораздо реже.

После переключения AppGuard в режим Medium  Windows не смогла установить системные обновления. Были проблемы с автоматическим обновлением Firefox. Выходом из ситуации было переключение AppGuard в режим «Install» и ручное обновление программ и ОС.

Используйте в связке

Нет сомнений, что AppGuard поможет в противостоянии угрозам «нулевого дня» - неизвестные программы просто не смогут запуститься. Даже если вы примете неверное решение, вредоносное ПО не сможет нанести какой-либо вред системе благодаря охранным модулям. Таким образом, AppGuard эффективнее, чем стандартное решение, основанное на белых списках.

Как бы то ни было, мы часто выполняем повседневные задачи, для которых потребуется остановка защиты AppGuard, а при блокировке программы появляется системное сообщение Windows.

Перед установкой данного инструмента, убедитесь что на вашей системе отсутсвуют вредоносные программы. Для этого можно использовать Malwarebytes Anti-Malware - «Выбор редакции» портала PC Magazine в категории специализированных утилит очистки. В качестве защиты реального времени стоит рассмотреть Bitdefender Antivirus Plus (2014) или AVG AntiVirus FREE 2014. Воспользуйтесь 10-дневной пробной версией AppGuard для того протестировать программу и принять решение о покупке.

Обзор AppGuard:

Оценка PC Magazine

Достоинства

  • быстрая, простая установка;
  • эффективная блокировка угроз «нулевого дня»;
  • предотвращает доступ к памяти других программ;
  • блокирует изменения в чувствительных системных зонах;
  • простое отключение защиты для установки программ и обновлений;
  • опция супер-пользователя для защиты настроек от изменений.

Недостатки

  • ограничения могут вызвать неработоспособность некоторых программ;
  • ошибки пользователя в расширенных настройках могут привести к серьезным проблемам;
  • многие действия требуют понижения уровня безопасности.

Общая оценка

AppGuard работает в связке с вашим основным антивирусом для усиления защиты от атак «нулевого дня». Неизвестные программы, которые используются вирусами, троянами и другими угрозами просто не смогут запуститься, а запущенные приложения не смогут внести изменения в важные системные зоны. Решение очень эффективное, но для установки надежных программ нужно выполнить ряд несложных манипуляций.

Обзор приводится с некоторыми сокращениями
полная версия на сайте PCMag.ru

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?