Офлайн-установщик фаервола
По многочисленным просьбам, вернули возможность ставить фаервол без антивируса офлайн-установщиком.
Прежде любителям чистого фаервола приходилось либо удалять лишние компоненты после его установки, либо выковыривать из установщика msi-файл и запускать его с аргументами CIS_LANGUAGE_ID=1049 INSTALLFIREWALL=1 INSTALLANTIVIRUS=0
.
Автоматическое обновление
Чтобы поспевать, как заявлено, за обновлениями Windows, разработчики сделали автоматическим обновление программных компонентов CIS — правда, только на критические случаи. Раньше для каждого обновления программы требовалось согласие пользователя. Можно и сейчас отключить эту автоматику.
Кстати, из-за самовольного обновления CIS может в неожиданный момент показать оповещение о необходимости перезагрузки. Как заявлено, это оповещение теперь не будет забирать фокус и по умолчанию в нем будет выбран вариант «Отложить» — чтобы избежать перезагрузки от случайного нажатия.
Сбор статистики
Продолжая... хм... стратегию регулярных и своевременных исправлений и усовершенствований, компания уделила больше внимания сбору информации о падениях. Это изменение заметят лишь пользователи, отказавшиеся отправлять в COMODO анонимную статистику: в случае сбоя они получат оповещение с просьбой поделиться-таки данными об инциденте.
Профиль ручного сканирования
Отдельно настраиваемым стало антивирусное сканирование, которое запускается через контекстное меню. Для этого в списке профилей сканирования добавился соответствующий пункт (несколько сбивает с толку, что он «невключаемый» — логичнее было бы делать его «неотключаемым»). Теперь ручное сканирование по умолчанию будет задействовать облако.
На самом деле, ручное сканирование можно было настроить и раньше: оно использовало параметры «Полного сканирования». Однако, признаюсь, сам узнал об этой зависимости только сейчас.
Сканирование корневых сертификатов
К более серьезным, на мой взгляд, нововведениям относится сканирование корневых сертификатов. Это сканирование призвано выявить изменения, внесенные вредоносным ПО, например, с целью MitM-атаки.
Запускаться эта проверка может разными способами:
- автоматически, сразу после установки комплекса (содержащего антивирус);
- вручную, запуском «быстрого» антивирусного сканирования;
- вручную, запуском «Рейтингового сканирования» (этот вариант доступен также в COMODO Firewall);
- по расписанию, если создать свой профиль сканирования, добавить в него область сертификатов и настроить график.
Что странно, при «Полном сканировании» корневые сертификаты не проверяются.
При обнаружении корневых сертификатов, не соответствующих списку Microsoft, их будет предложено удалить, добавить в исключения или оставить до следующей проверки.
Корневые сертификаты, добавленные пользователем в исключения, отмечаются на вкладке Усиленная защита → Scan Exclusions → Exluded Certificate Authorities. Там же можно менять этот список исключений. Отмечу, что он привязан к конфигурации, а не к базе данных CIS (которая от конфигурации не зависит).
Предупрежу, что пока сканирование корневых сертификатов сопряжено с некоторыми странностями и багами.
Антивирусные исключения для фаервола
Список корневых сертификатов, добавленных пользователем в доверенные, помещен в одну секцию с антивирусными исключениями. А сама эта секция переехала из раздела настройки антивируса в «Усиленную защиту». Хотя такая компоновка и сбивает с толку, есть в ней одно достоинство: список антивирусных исключений стал доступен в COMODO Firewall. Дело в том, что даже «чистый фаервол» препятствует работе программ, которые он считает «вредоносными» (этот рейтинг присваивается при включенной облачной проверке). Теперь стало возможным исключить определенные пути в случае ложного детекта.
Впрочем, возможность эта слегка не доработана: «исключенные пути» можно добавлять только в окне настройки, а не через оповещения облачного сканера. Также в настройке COMODO Firewall красуется чисто антивирусная вкладка Исключенные приложения — она, по-моему, для фаервола не играет никакой роли.
Отмечу, что вообще-то в большинстве случаев добавлять файлы в «Исключенные пути» — ошибка. Обычно наилучшее решение проблем с ложным детектом — сделать файл доверенным. В «Исключенные пути» же имеет смысл добавлять, например, каталоги с меняющимся содержимым.
Разблокировка приложений
В продолжение темы исключений — изменения затронули легендарную «Разблокировку приложений». Нет, мне по-прежнему не удается найти хоть какую-то пользу этой функции, но все же она стала более гибкой в своей бессмысленности.
Напомню, что приложение попадает в список «заблокированных», если какой-то компонент CIS когда-либо в чем-либо это приложение ограничил. Например, проводник вывешивается на эту доску позора, если им лишь пытались запустить неопознанный файл; или утилита вроде Process Explorer, имевшая неосторожность поинтересоваться памятью CIS. Возможности очистить список «Заблокированных приложений» раньше не предоставлялось, т.е. он превращался в своего рода малоинформативный, зато неудаляемый журнал событий.
Теперь разработчики позволили очищать список «заблокированных»: полностью (отметив чекбокс «Все») или частично, если какая-то запись окажется пользователю слишком мила.
Сама же кнопка «Разблокировать» раздвоилась на варианты «для всех защитных компонентов» и «для сработавших».
Первый вариант почти совпадает со знакомым нам поведением: программа заносится в доверенные, в исключения антивируса, в исключения автопесочницы, для нее создаются правила HIPS и фаервола. Единственное отличие — теперь создаваемое правило автопесочницы опирается только на расположение программы (раньше оно учитывало рейтинг, чем усугубляло свою бессмысленность).
Второй вариант «разблокировки» захламляет конфигурацию лишь компонентов, перечисленных в соответствующем столбце (изменить этот набор невозможно). Что примечательно, доверенным приложение при этом не становится, хотя в большинстве случаев именно рейтинг — настоящая причина «блокировки». Делать приложение доверенным — это все, что в действительности было нужно.
Отмечу, что «выборочная разблокировка» не только не делает нужного, не только делает лишнее, но и попросту портит существующие правила. Так, если у вас уже есть правила, разрешающие проводнику что-либо запускать, то после «разблокировки» они уничтожатся: проводнику будет разрешено все, кроме запуска приложений. Ну а поскольку рейтинг программы, которую он пытался запустить, так и останется неопознанным, ее запуск по-прежнему будет пресечен.
Уведомления Auto-Containment
Отдельный вид «разблокировки» — через уведомления автопесочницы об изоляции какой-либо программы. Вид этих уведомлений зависит от ОС, и раньше на Windows 10 они были чисто информационными, без кнопок. Теперь в них добавлена кнопка «Скрывать», позволяющая отказаться от дальнейших уведомлений, и кнопка «Разблокировать».
Эффект этой «разблокировки»: программа становится доверенной, что разумно, однако зачем-то еще создается правило автопесочницы, которое исключает из контроля дочерние процессы этой программы (а также их дочерние процессы и т.д.). Кстати, точно такое же правило автопесочницы создает и вышеупомянутая «Разблокировка приложений».
Надо ли говорить, что подобные правила вносят путаницу и потенциальную опасность? Как и прежде, рекомендую удалять мусорные правила и вообще держаться подальше от всевозможных «разблокировок».
Частично исправлен анализ командной строки AutoIt
Может показаться, что контроль AutoIt-скриптов введен еще в CIS 10.0.1.6246, однако это не совсем так. Работа анализа командной строки существенно различается для предустановленных записей и для записей, добавленных пользователем в конфигурацию. А контроль AutoIt-скриптов был реализован лишь на уровне конфигурации, т.е. как «пользовательский». Это значит, что AutoIt-интерпретатор определялся лишь на основании имени файла.
Важное свойство «настоящих» предустановленных записей анализа командной строки — интерпретаторы определяются на основании рейтинга и данных File Version Info. Это позволяет, во-первых, отличить интерпретатор от вредоносного приложения, маскирующегося под него, во-вторых — распознать интерпретатор, когда он переименован и пытается выполнить вредоносный скрипт.
В выпущенной бета-версии ситуация с AutoIt'ом исправлена наполовину: проверяется File Version Info, но не рейтинг. По крайней мере, это может предотвратить исполнение вредоносного скрипта переименованным интерпретатором.