CIS 7: Пошаговые инструкции для полной настройки и использования CIS

Рекомендуемая настройка для личного использования и для работы ограниченного пользователя. Как итог, приведем примерные варианты конфигурации для 7-й версии CIS на Windows 7

ВАЖНО! По сравнению с предыдущими статьями, инструкции даются в сокращенном виде.

Содержание

Работа с оповещениями (для личного использования)
- Установка и настройка
- Использование
Автоматическая работа (для «новичков» и пользователей с ограниченными правами)

Работа с оповещениями (для личного использования)

Установка и настройка

  • Если системный диск чист от вредоносных файлов, перед установкой CIS выполняем копирование во временный каталог всего его содержимого с фильтром:

    Для этого можно использовать, как предложено, запущенный от администратора Total Commander, Unreal Commander, FreeCommander или другой файловый менеджер. Другой способ — создать и запустить файл filter.bat с единственной строкой:

  • Производим установку аналогично описанному в первой статье:
    • отключаем все опции, кроме установки антивируса и фаервола;
    • после установки включаем конфигурацию «Proactive Security».
  • Открываем окно настройки.
    • На вкладке «Интерфейс» отключаем все опции, кроме:
      • «Показывать информационные сообщения»,
      • «Показывать информационные сообщения, когда окна задач свернуты...»
    • На вкладке «Обновления» снимаем галку «Автоматически загружать обновления программы», задаем при необходимости прокси-сервер.
    • На вкладке «Антивирусный мониторинг» включаем опции:
      • «При загрузке компьютера сканировать память»;
      • «Не показывать оповещения»: «Блокировать угрозы»;
      Отключаем «Поиск потенциально нежелательных приложений».
    • На вкладке «Настройка HIPS» включаем опции:
      • «Использовать HIPS»: «Безопасный режим»;
      • «В оповещениях предоставлять подробные пояснения»;
      • «Время показа оповещений»: 999 секунд;
      • в случае 64-битной Windows: «Включить режим усиленной защиты».
      Отключаем опции:
      • «Не показывать оповещения»;
      • «Создавать правила для безопасных приложений»;
      • «Адаптировать режим работы при низких ресурсах системы»;
      • в случае 32-битной Windows: «Включить режим усиленной защиты».
    • На вкладке «Правила HIPS»:
      • удаляем разрешения для записи «Все приложения»:
        • сначала назначаем этой группе политику «Разрешенное приложение»;
        • затем назначаем пользовательский набор правил — разрешения удалятся;
      • приложению explorer.exe должен быть назначен набор «Разрешенное».
    • На вкладке «Защищенные объекты» добавляем в список «Защищенных файлов» любой файл, затем меняем путь на «*».
    • На вкладке «Наборы правил» в предопределенной политике «Ограниченное приложение» меняем пункт «Защищенные файлы и папки»:
      • действие: «Разрешить»
      • в списке исключений из «заблокированных» удаляем «*» и добавляем группы:
        • «Автозагрузка»,
        • «Важные файлы/папки»,
        • «Файлы/папки Comodo»,
        • «Исполняемые файлы»,
        • «Утилиты управления Windows»,
        • «Драйверы протоколов сторонних разработчиков»,
        • «Сокеты Windows»;
        а также добавляем «D:\*» и другие места с пользовательскими данными.
      (Смысл этих действий: из-за добавления «*» в «Защищенные объекты» политика «Ограниченное приложение» слишком ужесточилась, а изменениями мы возвращаем ее на прежний уровень.)
    • Аналогичные изменения вносим в политику «Изолированное приложение».
    • На вкладке «Поведенческий анализ» включаем опции:
      • «Выполнять эвристический анализ командной строки»
      • «Обнаруживать внедрение shell-кода», заносим в исключения программы Alcohol, VMware.
      Отключаем опции:
      • «Автоматически запускать в Sandbox обнаруженное неизвестное приложение»;
      • «Использовать Viruscope».
    • На вкладке «Настройка фаервола» включаем опции:
      • «Включить фаервол»: «Пользовательский набор правил»;
      • «Уровень частоты оповещений»: «Очень высокий»;
      • «Включить фильтрацию IPv6-трафика»;
      • «Включить фильтрацию loopback-трафика»;
      • «Блокировать фрагментированный трафик»;
      • «Анализировать протокол»;
      • «Включить защиту от ARP-спуфинга».
      Отключаем опции:
      • «Не показывать оповещения»;
      • «Автоматически обнаруживать частные сети»;
      • «Показывать оповещения Trustconnect»;
      • «Создавать правила для безопасных приложений».
    • На вкладке «Контент-фильтр» отключаем его использование.
    • На вкладке «Настройка рейтинга файлов» включаем все опции, кроме «Выполнять облачный анализ неизвестных файлов» (включить, если не требуется экономия трафика).
    • На вкладке «Доверенные файлы» через контекстное меню добавляем к ним временный каталог с безопасными файлами.
  • После нажатия кнопки «Ok» несколько минут дожидаемся закрытия окна настройки, затем удаляем временный каталог.
  • Открываем системный планировщик заданий, выбираем в разделе «Comodo» задание «Comodo Scan...», в его свойствах на вкладке триггеры меняем состояние на «Отключено».
  • Проделываем манипуляции для расширения контекстного меню проводника пунктами открытия в песочнице, применения прав установщика и добавления в «доверенные»:
    • создаем каталог «C:\ContextMenu» и в нем — текстовый файл «RunAsInstaller.bat» с единственной строкой: «start "" /wait %*»;
    • создаем в каталоге «C:\ContextMenu» текстовый файл «AddToTrusted.bat»:

    • создаем каталог «C:\ContextMenu\temp»;
    • в правилах HIPS назначаем файлам «RunAsInstaller.bat» и «AddToTrusted.bat» политику «Установка или обновление»;
    • добавляем эти файлы в «доверенные»;
    • вносим изменения в реестр:

  • Дополнительная настройка для работы с исключениями антивирусного сканирования:
    • устанавливаем и заносим в «доверенные» дополнительный файловый менеджер, например, FreeCommander или любой другой;
    • устанавливаем и заносим в «доверенные» программу VirusTotal Uploader или ее аналог;
    • на вкладке «Фаервол» > «Правила для приложений» добавляем «VirusTotal Uploader» с политикой «Веб-браузер»;
    • создаем папку наподобие «C:\Exclusions» и добавляем ее на вкладку «Антивирус» > «Исключения» > «Исключенные пути»;
    • на вкладку «Антивирус» > «Исключения» > «Исключенные приложения» добавляем «VirusTotal Uploader» и FreeCommander (или аналоги);
    • на вкладке «Поведенческий анализ» открываем окно «Не блокировать файлы из этого списка» и добавляем FreeCommander с опцией «Исключить дочерние процессы».
  • Добавляем блокировки для предотвращения обхода анализа командной строки.
  • Выполняем перезагрузку, после чего даем CIS произвести обновление и быстрое сканирование.

Использование

Любые действия, связанные со снятием ограничений с «неопознанных» программ, выполняем, только удостоверившись в их безопасности, например, на Virustotal.

Для установки нового безопасного ПО вызываем, удерживая Shift, контекстное меню на инсталляторе и выбираем пункт «Запустить как установщик».

При запуске «неопознанного», но гарантированно безопасного файла добавляем его «на лету» в «доверенные»:

  • перед запуском «неопознанной» программы получим оповещение HIPS относительно родительского процесса — разрешим запуск без галки о запоминании;
  • в главном окне CIS нажмем на индикатор «Изолировано в Sandbox»;
  • в появившемся окне вызовем контекстное меню и снимем галку «Показать только приложения в Sandbox»;
  • найдем данное приложение (с рейтингом «неизвестное») и добавим в «доверенные» через контекстное меню;
  • в оповещении относительно активности данной программы выберем «Разрешить» без галки о запоминании.

Если необходимо разрешить активность «неопознанной» программе с постоянным местоположением, не занося ее в «доверенные» (и не исключая тем самым из антивирусного сканирования), то действия таковы:

  • перед запуском появится оповещение относительно родительского приложения — ставим галку о запоминании и выбираем «Разрешить»;
  • появится оповещение об активности «неопознанной» программы — в меню «Обработать как...» выбираем политику «Разрешенное» или ниже, с запоминанием.

Если местоположение программы временное, то действуем аналогично, но галки о запоминании не ставим.

Когда получим оповещение перед запуском подозрительной программы, выбираем «Блокировать» > «Только заблокировать», без запоминания.

Сомнительные программы запускаем в виртуальной среде через контекстное меню. Если нет возможности его использовать (запуск происходит не из проводника), применяем ограничения HIPS:

  • перед запуском программы получим оповещение HIPS о запуске — разрешим без запоминания;
  • получим оповещение HIPS об активности — выберем политику «Ограниченное приложение» или «Изолированное», без запоминания.

При оповещениях фаервола выбираем подходящую политику в меню «Обработать как...»; перед этим ставим галку о запоминании, если местоположение программы постоянное.

Можно настроить фаервол, например, так, чтобы он выдавал оповещения только об исходящих соединениях, а входящие в отсутствие правил молча блокировал. Для этого добавим в список правил для приложений группу «Все приложения» и назначим ей правило с действием «Блокировать», протоколом «IP» и направлением «Входящие». Переместим эту запись в самый низ списка. В результате оповещения о входящих соединениях будут подавляться, но сохранится возможность разрешать такие соединения отдельным приложениям (например, торрент-клиенту).

Когда какая-либо программа блокируется антивирусом, прежде всего отправляем ее на VirusTotal через контекстное меню проводника. В случае полной безопасности программы добавляем ее в «доверенные» через окно настройки CIS. В случае сомнений запускаем программу в виртуальной среде посредством контекстного меню. Если требуется активность в реальной системе, то посредством дополнительного файлового менеджера копируем (не перемещаем) программу в каталог «C:\Exclusions» и, на свой страх и риск, запускаем ее.

Если включить автопесочницу, то у дополнительного файлового менеджера появится еще одно применение: запускаемые им «неопознанные» программы будут работать без ее ограничений. Очевидно, использовать этот файловый менеджер для «повседневных» целей нельзя.

Для большего удобства можно воспользоваться каким-либо клавиатурным менеджером, например, HoeKey, и назначить горячие клавиши командам вызова различных окон CIS, например:

  • журнал событий: "C:\Program Files\Comodo\COMODO Internet Security\cis.exe" --logsUI
  • выполняемые задачи CIS: "C:\Program Files\Comodo\COMODO Internet Security\cis.exe" --mainUI /TaskTaskManager
  • активные процессы (до снятия галки — только изолированные): "C:\Program Files\Comodo\COMODO Internet Security\cis.exe" --mainUI /TaskShowSandboxed
  • очистка виртуальной среды: "C:\Program Files\Comodo\COMODO Internet Security\cis.exe" --mainUI /TaskSBReset
  • защищенные файлы: "C:\Program Files\Comodo\COMODO Internet Security\cis.exe" --configUI=CeDfProtectedFilesPage.html

Автоматическая работа (для «новичков» и пользователей с ограниченными правами)

  • Если системный диск чист от вредоносных файлов, перед установкой CIS выполняем копирование во временный каталог всего его содержимого с фильтром по исполняемым файлам, как описано выше.
  • Производим установку аналогично описанному в первой статье:
    • отключаем все опции, кроме установки антивируса и фаервола;
    • после установки включаем конфигурацию «Proactive Security».
  • Открываем окно настройки.
    • На вкладке «Интерфейс» отключаем все опции, кроме защиты паролем.
    • На вкладке «Обновления» задаем при необходимости прокси-сервер.
    • На вкладке «Антивирусный мониторинг» включаем опции:
      • «При загрузке компьютера сканировать память»;
      • «Не показывать оповещения»: «Блокировать угрозы»;
      Отключаем «Поиск потенциально нежелательных приложений».
    • На вкладке «Настройка HIPS» включаем опции:
      • «Использовать HIPS»: «Безопасный режим»;
      • «Не показывать оповещения»: «Разрешать запросы»;
      • в случае 64-битной Windows: «Включить режим усиленной защиты».
      Отключаем опции:
      • «Создавать правила для безопасных приложений»;
      • «Адаптировать режим работы при низких ресурсах системы»;
      • в случае 32-битной Windows: «Включить режим усиленной защиты».
    • На вкладке «Поведенческий анализ» включаем опции:
      • «Автоматически запускать в Sandbox обнаруженное неизвестное приложение»: «Полная виртуализация»;
      • «Выполнять эвристический анализ командной строки»
      • «Обнаруживать внедрение shell-кода», заносим в исключения программы Alcohol, VMware.
      Отключаем опции:
      • «Обнаруживать программы, требующие повышенных привилегий»;
      • «Использовать Viruscope».
    • На вкладке «Настройка фаервола» включаем опции:
      • «Включить фаервол»: «Безопасный режим»;
      • «Не показывать оповещения»: «Блокировать запросы»;
      • «Включить фильтрацию IPv6-трафика»;
      • «Включить фильтрацию loopback-трафика»;
      • «Блокировать фрагментированный трафик»;
      • «Анализировать протокол»;
      • «Включить защиту от ARP-спуфинга».
      Отключаем опции:
      • «Автоматически обнаруживать частные сети»;
      • «Показывать оповещения Trustconnect»;
      • «Создавать правила для безопасных приложений».
    • На вкладке «Настройка рейтинга файлов» включаем все опции, кроме «Выполнять облачный анализ неизвестных файлов» (включить, если не требуется экономия трафика).
    • На вкладке «Доверенные файлы» через контекстное меню добавляем к ним временный каталог с безопасными файлами.
  • После нажатия кнопки «Ok» несколько минут дожидаемся закрытия окна настройки, затем удаляем временный каталог.
  • Открываем системный планировщик заданий, выбираем в разделе «Comodo» задание «Comodo Scan...», в его свойствах на вкладке триггеры меняем состояние на «Отключено».
  • Проделываем вышеописанные манипуляции для расширения системного контекстного меню. Но на уровне NTFS-прав запрещаем пользователю доступ к каталогу ContextMenu.
  • При необходимости настраиваем доступ к локальной сети.
  • Добавляем блокировки для предотвращения обхода анализа командной строки.
  • Выполняем перезагрузку, после чего даем CIS произвести обновление и быстрое сканирование.

В результате у ограниченного пользователя не будет прав для отключения защиты. Установку нового ПО будет выполнять администратор, удостоверившись в его безопасности.

Подобная конфигурация подойдет также для личного использования «новичком», но с небольшими отличиями: разрешением «информационных сообщений» на вкладке «Интерфейс», отсутствием пароля и разрешением доступа к каталогу ContextMenu. Также будет полезно установить программу VirusTotal Uploader и добавить ее на вкладку «Антивирус» > «Исключения» > «Исключенные приложения».

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?