CIS 7: Использование проактивной защиты

Способы решения различных задач и проблем, связанных с проактивной защитой Comodo Internet Security 7: Autosandbox и HIPS

Содержание

Установка нового ПО в условиях проактивной защиты
- Временное отключение защиты
- Использование режима обнаружения инсталляторов
- Применение политики «Установка или обновление» без создания правил
- Выделение специального каталога для инсталляторов
- Применение политики «Установка или обновление» с временным созданием правил
- Запуск инсталляторов через программу-посредник
- Занесение в «доверенные» через контекстное меню
- Использование bat-файлов в качестве программы-посредника
Оперативное изменение ограничений
- Оперативное занесение программы в «доверенные»
Разрешение активности программы вне зависимости от рейтинга
Полная блокировка «неопознанных» программ
Защита от клавиатурных и экранных шпионов
Опасность непредвиденного применения политики «Установка или обновление»
- Проблема наследования привилегий при установке нового ПО
- Проблема прикладных программ со статусом «инсталлятора» и ее решение
Проблема запуска «больших» файлов
Защита от уязвимостей анализа командной строки

Установка нового ПО в условиях проактивной защиты

Рассмотрим такой вид конфигурации, при котором проактивная защита опирается на рейтинг файлов, т.е. включена автопесочница в любом режиме, или включен HIPS в «Безопасном режиме», или включены оба компонента. Проактивная защита может препятствовать установке и последующему использованию программ, поставщики которых не входят в список «доверенных».

Перечислим различные способы решения этой проблемы. Сразу отметим, что они предполагают то или иное послабление в защите, поэтому требуется полная уверенность в безопасности устанавливаемого ПО.

Временное отключение защиты

Самый очевидный, но самый нежелательный способ — временно отключить проактивную защиту, это удобно сделать из главного окна CIS или через значок в трее. В крайнем случае понадобится отключить также антивирус. Автопесочница и антивирус автоматически включатся через выбранное время, но отключение HIPS будет постоянным.

Временное отключение защиты

После инсталляции добавляем содержимое папки новой программы в список доверенных.

Добавление каталога в 'доверенные'

Использование режима обнаружения инсталляторов

Режим обнаружения инсталляторов — более безопасный, но менее универсальный путь: он сработает только для программ, требующих права администратора или имеющих размер более 40 МБ. Для его использования должна быть включена автопесочница в любом режиме, кроме блокировки, и с опцией «Обнаруживать программы, требующие повышенных привилегий». При запуске такого инсталлятора появится оповещение.

Режим обнаружения инсталляторов

Если поставить в оповещении галку «Доверять этому приложению» и разрешить запуск, то сам инсталлятор и его дочерние процессы будут работать беспрепятственно, а созданные ими исполняемые файлы автоматически занесутся в «доверенные».

Применение политики «Установка или обновление» без создания правил

Этот метод можно назвать «полуавтоматическим», он годится для разных версий CIS. При каждой инсталляции порядок действий будет следующим:

  • Переводим защиту в следующий режим:
    • автопесочница отключена;
    • HIPS включен в «Безопасном режиме»;
    • для HIPS отключена опция «Не показывать оповещения»;
    • для HIPS отключена опция «Создавать правила для безопасных приложений».
  • Запускаем инсталлятор.
  • Если возникнет оповещение с вопросом о запуске инсталлятора родительским приложением — разрешаем без галки о запоминании.
  • Если возникнет оповещение с вопросом о разрешении активности самого инсталлятора или его дочерних процессов — выбираем политику «Установка или обновление» без галки о запоминании.
  • Если инсталлятор запустит какие-либо приложения (например, браузер), по завершении инсталляции закрываем их.
  • Вручную добавляем в «доверенные» свежеустановленные файлы или содержащие их каталоги.
  • Возвращаем конфигурацию CIS в прежний вид.

Thanks to XenoZ.

Далее рассмотрим способы, при которых установленные файлы автоматически становятся «доверенными». Общая проблема таких методов (в т. ч. применения режима обнаружения инсталляторов) — в «доверенные» заносятся, как правило, exe- и dll-файлы, но не js-, bat- и т.п., а в некоторых случаях не происходит даже этого. Поэтому желательно все равно вручную добавить в «доверенные» новые файлы или содержащие их каталоги. Другая проблема — требуется полная уверенность в безопасности устанавливаемых программ.

В определенных случаях «автоматические» методы могут оказаться более рискованными чем временное отключение проактивной защиты: файлы, автоматически занесенные в «доверенные», тем самым будут исключены из антивирусного сканирования и могут быть запущены инсталлятором. Если же временно отключить проактивную защиту (автопесочницу и HIPS), но оставить работать антивирусную, то политика «Установка или обновление» применяться не будет, и не произойдет автоматического занесения файлов в «доверенные».

Выделение специального каталога для инсталляторов

Этот метод годится только для CIS 7 из-за бага в прежней версии. Подготовительные действия таковы:

  • Заведем специальный каталог, например, «C:\Installers». На уровне NTFS-прав ограничим доступ к нему «Системой» и группой «Администраторы».
  • Откроем в параметрах CIS раздел «Защита+» > HIPS > «Защищенные объекты» > «Защищенные файлы» > «Группы», создадим группу «Инсталляторы» и добавим в нее этот каталог.
  • HIPS должен быть включен (желательно в «Безопасном режиме» и без опции «Создавать правила для безопасных приложений»). Если HIPS не нужен, включаем его с опцией «Не показывать оповещения» > «Разрешать запросы».
  • В случае использования HIPS меняем правила для проводника: «Правила HIPS» > «explorer.exe» > «Использовать собственный набор правил» (далее, если нужно, копируем предустановленный набор) > «Запуск приложения» > «Изменить» > вкладка «Разрешенные» > добавляем группу «Инсталляторы». Если используется другой файловый менеджер, например, «Total Commander», назначаем ему копию правил проводника.
  • Добавляем в правила HIPS группу «Инсталляторы» («Добавить» > «Обзор» > «Группы» > «Инсталляторы») и назначаем политику «Установка или обновление».
  • В случае использования автопесочницы на вкладке «Поведенческий анализ» включаем опцию «Не блокировать файлы из этого списка», нажимаем «Исключения», добавляем группу «Инсталляторы» и ставим напротив галку «Исключить дочерние процессы».
  • В параметрах рейтинга файлов должна быть включена опция «Доверять приложениям, установленным с помощью доверенных инсталляторов».

Теперь просто помещаем инсталляторы в каталог «C:\Installers» и производим установку. Если инсталлятор запустит какие-либо приложения (например, браузер), по завершении инсталляции закрываем их. В результате установка должна пройти беспрепятственно, а все созданные инсталлятором исполняемые файлы должны автоматически занестись в «доверенные», но желательно повторно сделать это вручную.

Thanks to Диссидент.

Применение политики «Установка или обновление» с временным созданием правил

Этот метод годится для разных версий CIS. При каждой инсталляции порядок действий будет следующим:

  • Переводим защиту в следующий режим:
    • автопесочница отключена;
    • HIPS включен в «Безопасном режиме»;
    • для HIPS отключена опция «Не показывать оповещения»;
    • для HIPS отключена опция «Создавать правила для безопасных приложений»;
    • в параметрах рейтинга файлов включена опция «Доверять приложениям, установленным с помощью доверенных инсталляторов».
  • Запускаем инсталлятор.
  • Если возникнет оповещение с вопросом о запуске инсталлятора родительским приложением — разрешаем без галки о запоминании.
  • Если возникнет оповещение с вопросом о разрешении активности самого инсталлятора или его дочерних процессов — ставим в оповещении галку «запомнить выбор» и выбираем политику «Установка или обновление».
  • Если инсталлятор запустит какие-либо приложения (например, браузер), по завершении инсталляции закрываем их.
  • В параметрах CIS открываем вкладку «Правила HIPS» и удаляем свежесозданные правила с политикой «Установка или обновление».
  • Возвращаем конфигурацию CIS в прежний вид.

Как и в предыдущем методе, все созданные инсталлятором исполняемые файлы должны автоматически занестись в «доверенные», однако желательно повторно сделать это вручную.

Запуск инсталляторов через программу-посредник

Метод годится для разных версий CIS. Для его применения необязательно использовать HIPS: можно включить только автопесочницу, можно только HIPS, можно оба компонента. Метод основан на том, что к «доверенным» приложениям, требующим права администратора, автоматически применяется политика «Установка или обновление», и эта политика наследуется дочерними процессами. Подготовительные действия:

  • Программой WinRar создаем пустой SFX-архив «RunCmdAsInst.exe» со следующими параметрами:
    • выполнить после распаковки: «cmd»;
    • ждать и устанавливать код возврата;
    • распаковка во временную папку;
    • запрос административного доступа.
  • Создаем каталог «C:\ContextMenu» и помещаем в него файл «RunCmdAsInst.exe».
  • Добавляем этот файл в «доверенные».
  • В параметрах рейтинга файлов включаем опцию «Доверять приложениям, установленным с помощью доверенных инсталляторов».
  • Вносим изменения в реестр (т.е. сохраняем код в файле «RunAsInstaller.reg» и запускаем):

Теперь для установки вызываем, удерживая клавишу Shift, контекстное меню на программе-инсталляторе и выбираем «Запустить как установщик». По завершении установки закрываем все запущенные инсталлятором приложения, последним — консольное окно. Как и в предыдущих методах, созданные инсталлятором исполняемые файлы должны автоматически занестись в «доверенные», но для надежности лучше повторно сделать это вручную.

В случае «Параноидального режима» HIPS без автопесочницы потребуется CIS версии 7; программе «C:\ContextMenu\RunCmdAsInst.exe» понадобится назначить политику «Установка или обновление».

При использовании автопесочницы в CIS 7 имеет смысл занести программу «RunCmdAsInst.exe» в список исключений автопесочницы с опцией «Исключить дочерние процессы». Эта мера предотвратит некорректную установку в случае обрыва наследования привилегий.

Есть определенный риск использования файла «RunCmdAsInst.exe» злоумышленником (если пользователь запустит поддельный ярлык). Решение — любой из пунктов или их комбинация:

  • включить UAC;
  • установить пароль на архив «RunCmdAsInst.exe»;
  • использовать уникальный путь к файлу «RunCmdAsInst.exe» (и соответственно отредактировать reg-файлы).

Занесение в «доверенные» через контекстное меню

Для предыдущих методов подразумевалось наличие программы-инсталлятора. Следующий метод предназначен для уже установленных или портативных программ. Условия применения и подготовительные действия идентичны предыдущему. Дополнительные действия:

  • Создаем каталог «C:\ContextMenu\temp».
  • Вносим изменения в реестр (т.е. сохраняем код в файле «AddToTrusted.reg» и запускаем):

Если теперь, удерживая клавишу Shift, вызвать контекстное меню каталога или exe-файла, появится пункт добавления в «доверенные».

Процедура добавления в «доверенные» представляет собой обычное копирование файлов во временный каталог; при следующем ее вызове этот каталог очищается. На занесение в «доверенные» может потребоваться несколько секунд. Как и прочие «автоматические» методы, этот способ не годится для добавления в «доверенные» крупных файлов (больше 40 МБ), скриптов, chm-файлов и т.п.

Использование bat-файлов в качестве программы-посредника

В предыдущих двух методах применялась коммерческая программа WinRar. Можно избежать этого и обойтись обычными bat-файлами. Однако тогда понадобится использовать версию CIS 7 и включить HIPS (если он не нужен, включаем его с опцией «Не показывать оповещения: Разрешать запросы»). Подготовительные действия:

  • создаем каталог «C:\ContextMenu» и в нем — текстовый файл «RunAsInstaller.bat» с единственной строкой: «start "" /wait %*»;
  • создаем в каталоге «C:\ContextMenu» текстовый файл «AddToTrusted.bat»:

  • создаем каталог «C:\ContextMenu\temp»;
  • включаем HIPS и в правилах назначаем файлам «RunAsInstaller.bat» и «AddToTrusted.bat» политику «Установка или обновление»;
  • на вкладке «Поведенческий анализ» включаем опцию «Эвристический анализ командной строки»;
  • добавляем эти файлы в «доверенные»;
  • в параметрах рейтинга файлов включаем опцию «Доверять приложениям, установленным с помощью доверенных инсталляторов»;
  • вносим изменения в реестр (т.е. сохраняем код в файле «RunAsInstaller_AddToTrusted.reg» и запускаем):

Применение контекстного меню аналогично предыдущим двум методам. Возникнет аналогичная проблема с безопасностью, поэтому желательно использовать нестандартный путь к bat-файлам.

Оперативное изменение ограничений

Рассмотрим ситуацию, когда одно приложение пытается запустить другое «неопознанное».

К сожалению, обычно уже нельзя повлиять на способ обработки «неопознанного» приложения автопесочницей в этот момент. Через всплывающее при запуске уведомление можно лишь занести приложение в «доверенные», чтобы оно не ограничивалось в другой раз. Исключение — приложения, которые CIS считает инсталляторами.

Еще одно исключение — программы-скрипты, когда они запускаются при включенном HIPS. В этом случае, получив оповещение HIPS о разрешение запуска скрипта, можно включить или выключить автопесочницу, а после ответить на оповещение разрешением без запоминания — и скрипт будет обработан согласно измененному состоянию автопесочницы.

Однако в остальных случаях, если включена автопесочница, а хипс выдал оповещение на запуск «неопознанного» приложения, уже не удастся избежать изоляции. Даже если, к примеру, во время показа оповещения добавить приложение и в «доверенные», и в исключения автопесочницы, автопесочницу выключить, а потом выбрать в оповещении политику «Установка или обновление» с запоминанием — все равно приложение будет изолировано. Обратно: нельзя оперативно изолировать запускаемое приложение, когда автопесочница отключена.

Очевидно, что, если одной программе потребуется для корректной работы выполнить другую, а та попадет в автопесочницу, это может привести к проблеме.

Подобная ситуация будет и при использовании HIPS в «Безопасном режиме» с блокировкой вместо оповещений.

Оперативное занесение программы в «доверенные»

При интерактивном режиме HIPS и отключенной автопесочнице можно «на лету» заносить программы в «доверенные», не нарушая корректности их выполнения. Считаем конфигурацию такой:

  • HIPS включен в «Безопасном режиме»;
  • для HIPS отключена опция «Не показывать оповещения»;
  • для HIPS отключена опция «Создавать правила для безопасных приложений»;
  • в правилах HIPS для «explorer.exe» выбрана политика «Разрешенное приложение» (как по умолчанию в конфигурации «Proactive Security»);
  • время показа оповещений HIPS: 300 секунд;
  • для HIPS включена опция «В оповещениях предоставлять подробные пояснения»;
  • автопесочница выключена.

Действия таковы:

  • перед запуском «неопознанной» программы получим оповещение HIPS относительно родительского процесса — пока не делаем выбора;
  • удостоверимся в безопасности программы, например, на Virustotal;
  • в оповещении разрешим запуск без галки о запоминании;
  • получим оповещение относительно активности данной программы — пока не делаем выбора;
  • в главном окне CIS нажмем на индикатор «Изолировано в Sandbox»;
  • в появившемся окне вызовем контекстное меню и снимем галку «Показать только приложения в Sandbox»;
  • найдем данное приложение (с рейтингом «неизвестное») и добавим в «доверенные» через контекстное меню;
  • в оповещении относительно активности данной программы выберем «Разрешить» без галки о запоминании;
  • дальнейшая активность этой программы должна автоматически разрешиться.

Разрешение активности программы вне зависимости от рейтинга

Иногда требуется разрешить с запоминанием программе или группе программ любую активность без занесения ее в «доверенные». Причины этого могут быть разными:

  • недостаточно уверенности в безопасности программы для исключения ее из антивирусного сканирования;
  • бывают ситуации, когда на программу накладываются ограничения автопесочницы или HIPS, несмотря на то, что она занесена в «доверенные»; это характерно для исполняемых файлов большого размера;
  • пользователь занимается программированием и часто создает новые исполняемые файлы.

Рассмотрим последний пример, остальные реализуются аналогично:

  • создадим группу файлов «myProgs» и добавим в нее каталог, где создаются новые программы;
  • на вкладке «Правила HIPS» зададим для группы «myProgs» политику «Разрешенное приложение»;
  • на вкладке «Поведенческий анализ» включим опцию «Не блокировать файлы из этого списка» и в окно исключений добавим группу «myProgs»; опцию «Исключить дочерние процессы» не используем;
  • на оповещения, связанные с этими программами, будем отвечать разрешением с запоминанием;
  • дополнительная настройка при необходимости работы без оповещений:
    • создадим группу файлов «Development», в которую внесем среду разработки (например, строку «C:\Programming\Dev-Cpp\*»);
    • на вкладке «Правила HIPS» добавим группу «Development»: «Использовать собственный набор правил» > «Копировать из» > «Разрешенное приложение» > пункт «Запуск приложения» > «Исключения» > «Разрешенные» > добавим группы «myProgs» и «Development»;
    • при необходимости изменим правила для группы «myProgs», в крайнем случае, до уровня «Системное приложение».

Сделанное послабление в защите опасно возможностью подмены файлов.

Можно принять дополнительные меры против умышленного запуска вредоносных программ через среду разработки самим пользователем, однако сколько-нибудь эффективная защита от этого — отдельная тема. Впрочем, простейший путь — не делать никаких вышеуказанных послаблений, а просто запускать среду разработки виртуализированно и добавить группу «myProgs» в список «Не виртуализировать доступ к указанным файлам и папкам».

Полная блокировка «неопознанных» программ

Есть два способа настроить CIS так, чтобы любая активность «доверенных» программ разрешалась и пресекался запуск остальных, причем без лишних оповещений.

Первый способ — включить автопесочницу в режиме блокировки, компонент HIPS не требуется, но для самозащиты CIS лучше его включить в «Безопасном режиме» с опцией «Не показывать оповещения: Разрешать запросы». Отметим, что для использования программы «Sandboxie» в условиях полной блокировки «неопознанных» приложений нужен именно этот способ.

Второй способ — включить HIPS в «Безопасном режиме», автопесочницу выключить. Правила HIPS для приложений должны быть аналогичными конфигурации «Proactive Security»: приложению «explorer.exe» следует назначить политику «разрешенное приложение» (а не «системное», как по умолчанию в конфигурации «Internet Security»); в параметрах HIPS должна быть отключена опция «Создавать правила для безопасных приложений» и включена — «Не показывать оповещения: Блокировать запросы».

В обоих способах запуск «неопознанных» приложений (даже chm-файлов) будет жестко блокироваться, но останется возможность запускать их в виртуальной среде через контекстное меню. Чтобы виртуализированно запускать из контекстного меню не только exe-, но и bat-, js-, chm- и прочие файлы, понадобится внести изменения в реестр, как предложено в статье о виртуальной среде.

Проблему с просмотром «неопознанных» chm-файлов можно решить по-другому:

  • открываем окно «Защита+» > «HIPS» > «Защищенные объекты» > «Защищенные файлы» > «Группы», создаем группу «CHM-файлы», добавляем в нее строку «*.chm»;
  • при использовании автопесочницы открываем «Защита+» > «Поведенческий» анализ», ставим галку «Не блокировать файлы из этого списка», в список исключений добавляем группу «CHM-файлы»;
  • при использовании HIPS открываем вкладку «Защита+» > «HIPS» > «Правила HIPS» > «Все приложения» > «Запуск приложения» > «Изменить» > «Разрешенные файлы», добавляем группу «CHM-файлы» (если в правилах HIPS нет записи «Все приложения», добавляем ее и располагаем в самом низу);
  • в целях защиты открываем «Защита+» > «Sandbox» и добавляем в список программу «C:\Windows\hh.exe», чтобы она всегда запускалась в песочнице.

Защита от клавиатурных и экранных шпионов

Программы, запущенные в виртуальной среде, способны наблюдать за нажатиями клавиш, буфером обмена и изображением на мониторе. Однако возможна конфигурация CIS, при которой данная активность будет запрещена для «неопознанных» программ. Идея конфигурации предложена пользователем Диссидент: запретить в HIPS всем приложениям доступ к клавиатуре и монитору, но при этом включить опцию «Создавать правила для безопасных приложений» — тогда для «доверенных» программ будут автоматически создаваться разрешающие правила, а для «непознанных» будет срабатывать запрет, даже если запускать их в виртуальной среде.

При следующей конфигурации «неопознанные» приложения автоматически (без оповещений) запускаются в виртуальной среде и при этом не могут перехватывать нажатия клавиш, следить за буфером обмена и монитором. Порядок настройки:

  • на вкладке «Настройка HIPS»:
    • включить HIPS в «Безопасном режиме»;
    • отключить опцию «Не показывать оповещения»;
    • включить опцию «Создавать правила для безопасных приложений»;
  • на вкладке «Правила HIPS» следует удалить правило для группы «Все приложения», затем добавить новую запись:
    • в поле имя вписать знак «*»;
    • выбрать «Использовать собственный набор правил» и задать «Права доступа»:
      • пункт «Запуск приложения» > «Изменить» > добавить группу «Все приложения»;
      • в пунктах «Защищенные файлы и папки» и «Защищенные ключи реестра» выбрать действие «Разрешить» (это делается для повышения производительности);
      • в пунктах «Клавиатура» и «Монитор» выбрать действие «Блокировать»;
      • в остальных пунктах оставить «Спросить»;
    • переместить новое правило в самый низ списка;
  • на вкладке «Защищенные объекты» > «COM-интерфейсы» добавить любой COM-компонент, а затем изменить его на знак «*»;
  • на вкладке «Наборы правил» открыть набор «Изолированное приложение» > пункт «Защищенные COM-интерфейсы»:
    • выбрать действие «Разрешить»;
    • нажать «Изменить» > «Заблокированные COM-интерфейсы» и добавить группы:
      • «Internet Explorer/Оболочка Windows»,
      • «Утилиты управления Windows»,
      • «Разнообразные классы»,
      • «Псевдо COM интерфейсы - Привилегированные»,
      • «Псевдо COM интерфейсы - Важные порты»;
  • точно так же в наборе правил «Ограниченное приложение» изменить пункт «Защищенные COM-интерфейсы»;
  • на вкладке «Поведенческий анализ» включить автопесочницу в режиме «Полная виртуализация».

Следует знать о проблемах данной конфигурации:

  • Автоматическое создание правил способно замедлить работу системы.
  • «Доверенная» программа может не получить доступа к клавиатуре, если она запускается впервые. Правила, разрешающие обращение к клавиатуре и монитору, создадутся после того, как данная программа обратится как какому-либо из следующих ресурсов:
    • «Защищенные COM-интерфейсы» (поэтому понадобилось расширить их список),
    • «Хуки Windows и хуки приложений»,
    • «Межпроцессный доступ к памяти»,
    • «Прерывание работы приложений»,
    • «DNS-запросы»,
    • «Диск» (прямой доступ).
    (Запросы на запуск приложений, доступ к файлам и к реестру не приводят к разрешению клавиатуры, поэтому их незачем контролировать в данной конфигурации.)
  • Для программ, выполняющихся с привилегиями «Установка или обновление», правила автоматически не создаются. Соответственно, доступа к клавиатуре такие программы не получат. При необходимости правила можно создать вручную.
  • Если вместо какой-либо «доверенной» программы на том же месте и с тем же именем окажется «неопознанная» — она получит доступ к клавиатуре и монитору. Впрочем, она все равно будет выполняться в виртуальной среде и не должна нанести ущерб.
  • Данная конфигурация несовместима с использованием программы «Zemana AntiLogger Free».

Отметим, что это не единственный и, по-видимому, не лучший способ защититься от слежения за клавиатурой. Возможный, хотя и не рекомендуемый вариант — виртуальный рабочий стол. Удобным и эффективным средством против перехвата нажатий клавиш (но не буфера обмена) является программа Zemana AntiLogger Free. Чтобы запретить приложению обращаться к буферу обмена, можно через контекстное меню запустить его в виртуальной среде с ограничениями.

Опасность непредвиденного применения политики «Установка или обновление»

Важно учитывать особенности применения политики «Установка или обновление», чтобы избежать ненамеренного занесения в «доверенные» вредоносных файлов.

Проблема наследования привилегий при установке нового ПО

Прежде всего такая угроза может возникнуть при установке нового ПО: многие программы-инсталляторы автоматически запускают свежеустановленную программу или браузер. Привилегии установщика наследуются дочерними процессами. Поэтому, если запущенная программа выполнит какие-либо операции с файлами, эти файлы могут автоматически занестись в «доверенные». Если же будет запущен браузер, то «доверенными» могут стать любые файлы из интернета. Поэтому по завершении работы инсталлятора следует всегда закрывать запущенные им приложения.

Напомню, что политика «Установка или обновление» применяется к программе автоматически, без всяких оповещений и правил HIPS, если программа является «доверенной» и имеет статус «инсталлятора» для CIS.

Проблема прикладных программ со статусом «инсталлятора» и ее решение

Рассмотрим ситуацию, когда некая прикладная программа имеет признак «инсталлятора» для CIS: например, запрашивает права администратора при запуске.

Пример такой программы — прокси-сервер «CCProxy», его использование в режиме кэширования будет крайне опасным: загруженные из интернета файлы автоматически станут «доверенными». Другой пример — средство административного доступа файлового менеджера «Total Commander». Когда он запущен с обычными правами, но копирует какие-либо файлы в защищенный каталог, то фактически копирование выполняет приложение TCMADMIN.EXE. Оно запрашивает при запуске права администратора, поэтому копируемые файлы автоматически заносятся в «доверенные».

Особая опасность связана с тем, что статусом «доверенного инсталлятора» наделяются не только программы, запрашивающие права администратора или превосходящие 40 MB, но и некоторые другие. Например, этот статус обнаружился у стартеров портативных браузеров. Программы, запускаемые из такого браузера, будут выполняться без ограничений. Чтобы вовремя выявлять такие проблемы, необходимо открывать список активных процессов и смотреть статус используемых программ.

Отображение статуса доверенного инсталлятора

Решение проблемы — занести такую программу в исключения автопесочницы и назначить ей правила HIPS, содержащие только действия «Разрешить» или «Блокировать», т.е. не содержащие действия «Спросить». (Пункт «Запуск приложения» не имеет действия «Разрешить», но его можно реализовать, если открыть окно исключений и добавить маску «*» на вкладку «Разрешенные файлы». Конечно, желательно добавлять не маску «*», а только пути, нужные для работы.)

Подавление привилегий установщика в автопесочнице
Подавление привилегий установщика в HIPS

При такой настройке политика «Установка или обновление» не будет автоматически применяться к программе, несмотря на ее статус «доверенного инсталлятора».

Проблема запуска «больших» файлов

Если исполняемый файл не имеет подписи доверенного поставщика, и его размер превышает некоторую границу, то автопесочница и HIPS будут обрабатывать этот файл как «неопознанный», даже если вручную занести его в «доверенные».

В частности, если включена автопесочница и активен режим обнаружения инсталляторов, то при запуске такого файла появится оповещение, в котором можно будет отметить «доверие» файлу и разрешить активность — тогда к нему в полной мере будет применена политика «Установка или обновление», как к доверенному инсталлятору. Но при следующих его запусках снова появится такое же оповещение.

По умолчанию граница размера таких файлов равна 40 МБ. Она задается в поле «Максимальный размер файла» на вкладке «Антивирусный мониторинг».

Это значение может быть увеличено, но не уменьшено. Если антивирусный компонент не установлен, данную границу можно увеличить редактированием файла конфигурации:

  • на вкладке «Конфигурация» выбрать активную конфигурацию и экспортировать в файл;
  • открыть этот файл в текстовом редакторе и изменить в нем следующие значения:
    • MaxScanFileSize="100500"
    • MaxScanFileSizeOn="1"
  • измененный файл импортировать как новую конфигурацию с новым именем;
  • сделать эту конфигурацию активной.

Однако увеличение значения «Максимальный размер файла» не влияет на поведение CIS в других ситуациях:

  • исполняемые файлы, создаваемые под действием политики «Установка или обновление», заносятся в «доверенные», только если имеют размер меньше 40 МБ;
  • исполняемые файлы, имеющие размер больше 40 МБ, получают статус «инсталлятора».

Таким образом, если увеличить значение «Максимальный размер файла» и занести в «доверенные» программу большого размера, то она не просто получит разрешения, а будет выполняться с привилегиями политики «Установка или обновление». Очевидно, эта ситуация опасна, поэтому рекомендуется не менять данную опцию: оставить исходное значение 40 МБ. Для запуска же программы большого размера следует сделать разрешения, основанные на путях:

  • добавить эту программу в исключения автопесочницы;
  • назначить ей правила HIPS: например, «Разрешенное приложение»;
  • в правилах HIPS для родительского приложения добавить разрешение на запуск данной программы.

Иногда встречаются прикладные программы, исполняемые файлы которых подписаны доверенными поставщиками и имеют размер больше 40 МБ. Такие программы автоматически получают привилегии политики «Установка или обновление». Чтобы этого избежать, следует использовать прием, описанный выше.

Защита от уязвимостей анализа командной строки

Существуют способы обойти анализ командной строки и выполнить вредоносный скрипт, java-приложение и т.п. Для предотвращения этого следует прежде всего заблокировать запуск ярлыков на съемных носителях:

  • нажать Win+R, набрать «secpol.msc» и запустить;
  • вызвать контекстное меню на пункте «Политики ограниченного использования программ» и выбрать «Создать политику ограниченного использования программ»;
  • открыть раздел «Дополнительные правила»;
  • через контекстное меню создать «правило для пути»:
    • путь: «*.lnk»,
    • уровень безопасности: «Запрещено»;
  • аналогично создать правила с уровнем безопасности «Неограниченный» для следующих путей:
    • %HOMEDRIVE%\*\*\*\*\*\*\*\*\*\*\*\*.lnk
    • %HOMEDRIVE%\*\*\*\*\*\*\*\*\*\*\*.lnk
    • %HOMEDRIVE%\*\*\*\*\*\*\*\*\*\*.lnk
    • %HOMEDRIVE%\*\*\*\*\*\*\*\*\*.lnk
    • %HOMEDRIVE%\*\*\*\*\*\*\*\*.lnk
    • %HOMEDRIVE%\*\*\*\*\*\*\*.lnk
    • %HOMEDRIVE%\*\*\*\*\*\*.lnk
    • %HOMEDRIVE%\*\*\*\*\*.lnk
    • %HOMEDRIVE%\*\*\*\*.lnk
    • %HOMEDRIVE%\*\*\*.lnk
    • %HOMEDRIVE%\*\*.lnk

Данная политика блокирует запуск ярлыков отовсюду, кроме системного диска. Рекомендуется также запретить ярлыки в других каталогах, где им не место. Например, средствами CIS удобно заблокировать ярлыки в подкаталогах рабочего стола (любого уровня вложенности):

  • открыть вкладку «HIPS» > «Защищенные объекты» > «Заблокированные файлы»;
  • занести в список любой файл и отредактировать путь: изменить на «*\Desktop\*\*.lnk».

Новая уязвимость появилась в версии CIS 7 (устранена в CIS Beta 8.0.0.4314): не контролируются скрипты с длинными путями. Одно из возможных решений — ограничить активность интерпретаторов:

  • включить HIPS (если он не нужен, можно включить в «Безопасном режиме» с опцией «Не показывать оповещения: Разрешать запросы»);
  • открыть «HIPS» > «Защищенные объекты» > «Защищенные файлы» > контекстное меню > «Группы»;
  • создать группу «Interpreters» и добавить в нее строки «*\wscript.exe», «*\mshta.exe», «%windir%\hh.exe», «*\javaw.exe»;
  • открыть «Правила HIPS» и назначить группе «Interpreters» политику «Изолированное приложение».

Данное правило будет ограничивать активность именно тех скриптов, которые не обнаруживаются анализом командной строки. Оно не должно помешать работе доверенных скриптов и Java-приложений с короткими именами, выполнению Java-апплетов, а также автообновлению Java (проверено для 32-битной версии Java на Windows 7).

Однако возможны проблемы с конфигурированием и ручным обновлением Java через апплет в панели управления. Поэтому для работы с этим апплетом понадобится временно снять ограничения для группы «Interpreters». В любом случае при проблемах с Java, CHM-файлами или скриптами следует смотреть журнал «События Защиты+»: если записей нет — причина не в ограничениях.

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?