Kaspersky IS 2013 - zwiększamy poziom zabezpieczeń automatic - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Publikacje (https://safegroup.pl/forum-27.html) +--- Dział: Poradniki (https://safegroup.pl/forum-29.html) +--- Wątek: Kaspersky IS 2013 - zwiększamy poziom zabezpieczeń automatic (/thread-6565.html) |
Kaspersky IS 2013 - zwiększamy poziom zabezpieczeń automatic - tommyklab - 22.02.2013 Jak zwiększyć poziom zabezpieczenia w trybie automatycznym w tym także przeciwko malware typu Trojan-Ransom (tzw. WinLock) używając modułu "Kontrola Aplikacji" w Kaspersky Internet Security 2013? Zapewne część osób posiadająca Kaspersky Internet Security doświadczyła zablokowania PC w związku z działaniem malware typu Trojan-Ransom (tzw. WinLock) - np. [Aby zobaczyć linki, zarejestruj się tutaj] .Jak temu przeciwdziałać samemu zwiększając poziom zabezpieczeń w trybie automatycznym używając Kaspersky opiszę poniżej. Ustawienia te są "kompatybilne" z wersjami 2012, 2011, 2010. Domyślnie Kaspersky każdy uruchamiany program, który nie jest na zaufanej liście (lub nie był w KSN) i nie ma podpisu cyfrowego analizuje heurystycznie i przydziela do określonej grupy: Niski lub Wysoki poziom zabezpieczeń oraz Niezaufany. 1. Metoda "lekka"czyli dodajemy nowe tożsamości i zmieniamy reguły dla niskiego i wysokiego poziomu ograniczeń oraz uprawnienia: 1A. Wchodzimy w: Ustawienia -> Centrum Ochrony -> Kontrola aplikacji -> Ochrona tożsamości W zakładce "Dane tożsamości" wybieramy w menu rozwijanym "Wszystkie zasoby" i niżej klikamy na "Dane tożsamości" i z menu "Dodaj kategorię" dodajemy kategorię o nazwie np. AntiWinLock Następnie do stworzonej kategorii "AntiWinLock" dodajemy klucze rejestru, które będą kontrolowane. Klikamy Dodaj -> Klucz rejestru -> Przeglądaj... (okno "Proszę określić obiekt rejestru") i wpisujemy/wklejamy w poszczególne pola zatwierdzając 2x"OK": Kod: 1:Klucz rejestru: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon [Aby zobaczyć linki, zarejestruj się tutaj] I jak to powinno finalnie wyglądać: [Aby zobaczyć linki, zarejestruj się tutaj] 1B. Wchodzimy w: Ustawienia -> Centrum Ochrony -> Kontrola aplikacji -> Aplikacje W oknie "Aplikacje" upewniamy sie, czy jest zaznaczone "Wszystkie aplikacje" Następnie klikamyW "Grupy i aplikacje" na "Niski poziom zabezpieczeń" i wybieramy "Modyfikuj", otworzy sie okno "Reguły dla grupy" i wybieramy zakładkę "Pliki i rejestr systemu" Znajdujemy zasób "AntiWinLock" i dla akcji "Odczyt", "Zapis", "Usuwanie", "Utworzenie" zmieniamy z domyślnych "Pytaj o akcję" na "Blokuj" Znajdujemy zasób "Ustawienia zabezpieczeń" i dla akcji "Odczyt", "Zapis", "Usuwanie", "Utworzenie" zmieniamy na "Blokuj" Dodatkowo przy wszystkich akcjach "Pytaj o akcję" i "Blokuj" można zaznaczyć "Zapisuj zdarzenia". Będzie to pomocne przy analizowaniu uruchamianych programów/malware. Będąc w oknie okno "Reguły dla grupy", wybieramy zakładkę "Uprawnienia" Wyszukujemy zasób "Wtargnięcie do innych procesów" i zmieniamy akcje "Uprawnienia" na "Blokuj" Dodatkowo można przy wszystkich akcjach "Pytaj o akcję" i "Blokuj" w całej kolumnie "Uprawnienia" zaznaczyć "Zapisuj zdarzenia". Będzie to pomocne przy analizowaniu uruchamianych programów/malware. 1C. Powtarzamy punkt 1B z tym, że w "Grupy i aplikacje" wybieramy "Wysoki poziom ograniczeń" [Aby zobaczyć linki, zarejestruj się tutaj] Można jeszcze zaznaczyć "Blokuj" wedle uznania, np. przy "Dostęp do miejsca przechowywania hasła", "Zakończenie działania Microsoft Windows"... [Aby zobaczyć linki, zarejestruj się tutaj] Warto najpierw zresetować program do domyślnych ustawień, zrobić te dodatkowe wpisy, zapisać sobie gdzieś konfigurację (domyślne+wpisy) [zapisać/wyeksportować do pliku, żeby w razie przywracania ustawień nie wpisywać od nowa wszystkiego ]i skonfigurować po tym resztę ustawień jeśli potrzeba. 2. Metoda bardziej restrykcyjna- każdy uruchamiany program który nie jest zaufany (nie jest na zaufanej liście), bez podpisu cyfrowego od razu jest oznaczany jako Niezaufany (nie ma uprawnień do wykonania żadnej akcji). Metoda ta jest warta polecenia, szczególnie jeśli znamy już znane swoje uruchamiane programy, które Kaspersky sobie "powciagał" już na zaufane listy. Kłopotliwa trochę przy dużej ilości nowych uruchamianych programów, gdyż często trzeba będzie odwiedzać moduł Kontrola aplikacji. Od tej pory kontrolujemy uruchamiane programy metodą; jeśli przejdzie przez heurystykę, skanowanie AV "niewykryty", nie ma go w KSN jako zaufany i nie ma podpisu cyfrowego jest oznaczany jako niezaufany. Wtedy "odwiedzamy" kontrolę aplikacji w Kaspersky i decydujemy sami; jaka lokalizacja pliku, czy znamy czy nie znamy dany program, dopuszczamy lub nie. W przypadku, gdy w "sidła" wpadnie nasz od dawna znany program, po prostu oznaczamy go w kontroli aplikacji jako zaufany lub jako niski poziom ograniczeń. [Aby zobaczyć linki, zarejestruj się tutaj] Znany program dla użytkownika, który został oznaczony jako niezaufany - przywracanie: [Aby zobaczyć linki, zarejestruj się tutaj] Znany program dla użytkownika, który został oznaczony jako zaufany - brak akcji: [Aby zobaczyć linki, zarejestruj się tutaj] ----------------------------------------- A więc sprawdźmy metodę 1 na przykładzie (Kaspersky zainstalowany bez udziału w KSN, wyłączona ochrona plików, nieaktualizowany, własne+dodatkowe wpisy AntiWinLock)): [Aby zobaczyć linki, zarejestruj się tutaj] Metoda 1 bazuje na: [Aby zobaczyć linki, zarejestruj się tutaj] Re: Kaspersky IS 2013 - zwiększamy poziom zabezpieczeń automatic - PascalHP - 22.02.2013 Dzięki za świetny poradnik. Czy Kaspersky nie powinien wrzucić metody 1 do automatycznej aktualizacji, bo jednak ransomy sieją spustoszenie na całym świecie. Re: Kaspersky IS 2013 - zwiększamy poziom zabezpieczeń automatic - tommyklab - 02.03.2013 Mi się wydaje, że jakoś to kalkulują globalnie (jeśli to tak można nazwać) i dobrze wiedzą, że jak za dużo poblokują w automacie to będą zasypani od groma korespondencją co się dzieje z kogoś zaufanymi programami. A wystarczy tylko odwiedzać moduł "Kontrola aplikacji" tak po prostu (ale ludziki to lenie przeważnie, nie wszyscy ) Mimo wszystko w tej klasie programów AV/IS nie powinno być takich wpadek jak wpuszczanie przez Kaspra WinLock''a. No powinni w wersji 2014 te wpisy trojan-ransom uwzględnić (z moich doświadczeń, co widać na filmiku, wychodzi, że jeszcze trzeba blokować przynajmniej "Wtargnięcie do innych procesów", bo po prostu w automacie Urausy "wchodził" i blokował system mimo samych wpisów tożsamości AntiWinLock . Przecież co im zależy, mogą porobić jakieś profile specyficzne do danego "środowiska", przecież jest możliwość eksportu i importu konfiguracji (dlaczego user ma to robić jak "zaliczy już wpadkę"? Przecież jak ten artykuł większość przeczyta, to im się odechce używania produktów Kaspersky (bo za dużo wpisywania) Edit: Sprawdziłem po kilku dniach na nowych próbkach (na domyślnych ustawieniach), niby dodali sygnatury BSS (behavior stream signatures) i wykrywa że PDM.Trojan, ale zdąży się wstrzyknąć do procesu explorer.exe, po restarcie plansza z blokowaniem Urausy. Re: Kaspersky IS 2013 - zwiększamy poziom zabezpieczeń automatic - PascalHP - 02.03.2013 tommyklab, po dodaniu odpowiednich wpisów AntiWinLock czy na domyślnych? Re: Kaspersky IS 2013 - zwiększamy poziom zabezpieczeń automatic - tommyklab - 02.03.2013 PascalHP napisał(a):tommyklab, po dodaniu odpowiednich wpisów AntiWinLock czy na domyślnych? Na domyślnych od KLab, wykrywa niby PDM.Trojana, ale udaje mu się wstrzyknąć, i albo się sam po ok. 5min. aktywuje i blokuje system, albo restarcie jest zablokowany system. Dalej lipa. Re: Kaspersky IS 2013 - zwiększamy poziom zabezpieczeń automatic - shinjiru - 06.04.2013 hm jest w kaspru możliwość importowania ustawień, czy wyeksportowany plik zawiera również dodane klucze? Jak tak to mógłbyś te ustawienia nam tu dać do pobrania? Re: Kaspersky IS 2013 - zwiększamy poziom zabezpieczeń automatic - tommyklab - 06.04.2013 shinjiru napisał(a):hm jest w kaspru możliwość importowania ustawień, czy wyeksportowany plik zawiera również dodane klucze? Jak tak to mógłbyś te ustawienia nam tu dać do pobrania? Tak; jest Reset/Zapisz/Importuj ; importować można ofc wcześniej zapisane ustawienia. Re: Kaspersky IS 2013 - zwiększamy poziom zabezpieczeń automatic - shinjiru - 06.04.2013 yyy ...ale odpowiedz normalnie, a nie jak po cpaniu ''tak''... wszystkie ustawienia? Wraz z zapisanymi kuczami i innymi? no to udostepnij w pierwszym poscie plik gotowy. Re: Kaspersky IS 2013 - zwiększamy poziom zabezpieczeń automatic - tommyklab - 06.04.2013 Nie, nie ma zawartych kluczy; tylko same ustawienia Klucz się liczy od pierwszego wrzucenia na dany komputer, można dodawać/sumować; licencje się dodają czasowo (jedna obowiązuje, druga czeka w kolejce) I klucz jest parowany z hardware (inny CLSID w regedit+dokładny czas); (jak np. jest na 3 kompy to dopuści 3 konfiguracje (niezależnie od IP), a przy czwartym powie, że jest na blacklist), co jeszcze chcesz wiedzieć? to odnoście komercyjnych kluczy Klucze ENG mogą raczej działać z wersjami PL, a na odwrót raczej nie, chyba, ze się "przebukuje" w oddziale kasperkiego w PL po prostu jest inny zawarty plik cbi.dll odpowiedzialny za akceptowanie licencji. Re: Kaspersky IS 2013 - zwiększamy poziom zabezpieczeń automatic - ktośtam - 06.04.2013 To się dogadali... Wydaje mi się, że shinjiru miał na myśli klucze rejestru dodane do ochrony... Re: Kaspersky IS 2013 - zwiększamy poziom zabezpieczeń automatic - tommyklab - 06.04.2013 Klucz, a klucz rejestru to jest dla mnie bardzo duża różnica; tak, zapisze z tymi dodanymi kluczami rejestru Re: Kaspersky IS 2013 - zwiększamy poziom zabezpieczeń automatic - shinjiru - 06.04.2013 yyy hahaha rozwalia mnie ta odpowiedz o licencjach ale nvm czekam, az wrzucisz plik z kluczami rejestru z ustawieniami domyslnymi programu, ja sobie to spowrotem po przestawiam co tam mialem Re: Kaspersky IS 2013 - zwiększamy poziom zabezpieczeń automatic - kacper200111 - 14.04.2013 Świetny poradnik +1. Co do kspersky''ego to wprowadzą twój poradnik ,,w życie''''? Re: Kaspersky IS 2013 - zwiększamy poziom zabezpieczeń automatic - tommyklab - 27.08.2013 Dzisiaj znowu doświadczyłem wpadki KISa 2013 w trybie automatic, tym razem przepuścił programikmalware "ściągający" partycje z HDD gdyż malware dostał heurystyką "Low restricted" i uzyskał dostęp bęzpośredni do dysku. To zaznaczone czerwona strzałką, to już zarejestrowana akcja po "wzmocnieniu" [Aby zobaczyć linki, zarejestruj się tutaj] i próbka: [malware] [Aby zobaczyć linki, zarejestruj się tutaj] pass: infected[/malware][Aby zobaczyć linki, zarejestruj się tutaj] Głupi joke, naprawa prosta, bo testdisk''iem znalazło partycje i płytką startowa naprawiła mbr; oczywiście mam kopie zapasową tego kompa testowego Re: Kaspersky IS 2013 - zwiększamy poziom zabezpieczeń automatic - chomikos - 25.10.2013 Złoty odkop, ale dzięk za poradniki. W K.PURE 3.0 jest niemalże identycznie, tylko że zamiast Cytat: Następnie klikamy W "Grupy i aplikacje" na "Niski poziom zabezpieczeń" i wybieramy"Modyfikuj" , otworzy sie okno "Reguły dla grupy" i wybieramy zakładkę "Pliki i rejestr systemu" Są "Ograniczenia niskiego/wysokiego poziomu" oraz zamiast "Modyfikuj" należy wybrać "Reguły Grupy" (oczywiście z prawokliku) |