15.06.2009, 11:47
X26 napisał(a):Witam. Testuję właśnie wychwalany pod niebiosa geswall i mam kilka pytań. Używam ESET SS 4 + Geswall = wystarczające zabezpieczenie? A co do samego programu to potrzebuje troche wyjaśnień. Do tej pory używałem D+ z COMODO. Jakie są różnicę w działaniu tych Hipsów? Zainstalowałem reguły Pro z tego wątku i to wystarczy? Program się pyta cały czas czy izolować aplikację. Co to dokładnie oznacza? Może mi ktoś wyjaśnić na czym dokładnie polega ta izolacja? Przy wyizolowanym programie Geswall wyświetla mi jakieś restricted operations. Co to dokładnie oznacza? Uruchomiłem np. izolowanego Winampa i wyświetla mi jakieś REDIRECT. O co tu chodzi? I ostatnia sprawa to instalowanie nowych programów. Uruchamiać izolowane (wtedy są problemy) czy nieizolowane. Trochę dużo tych pytań ale mam nadzieję, że ktoś mi wytłumaczy to jak człowiekowi, który do tej pory używał hipsa typu dopuść/zablokuj. Pozdrawiam.
Zalecam przeczytać pierwszy post watku i tam znajdziesz wiele odpowiedzi.
Redirect , czyli przeadresuj - aplikacja może czytać zasób, lecz gdy próbuje modyfikować go, to GeSWall tworzy kopię pliku lub klucza rejestru, który jest modyfikowany zamiast oryginalnego. Dzięki tej opcji aplikacja pracuje bezproblemowa, a jednocześnie zapobiega to modyfikacjom zaufanych zasobów. Kopia nie jest trwała, gdyż jest kasowana po zakończeniu pracy z aplikacją.
Cytat: Używam ESET SS 4 + Geswall = wystarczające zabezpieczenie?
Tak, wystarczające. Do tego dodaj image backup. Polecam ściągnąć obraz bootowalny CD z Paragon Drive Backup Express Free. Nie musisz nic instalować, wystarczy wrzucić plyte podczas uruchamiania komputera i zabootować CD i wybierasz opcje backupu.
Jeżeli ściągasz jakieś pliki z niepewnych źródeł to sprawdzaj je dodatkowo na
[Aby zobaczyć linki, zarejestruj się tutaj]
i ew.[Aby zobaczyć linki, zarejestruj się tutaj]
Klasyczny HIPS (Defense+) informuje Cię o każdym zdarzeniu, czynności, która wystąpiła w systemie, takich jak uruchamianie plików wykonywalnych, zamykanie procesów, uzyskanie dostępu do pamięci, modyfikacje chronionych kluczy w rejestrze badź plików w katalogach systemowych, instalowaniu sterowników itp. Ten typ HIPS jest najmniej lubianym przez początkujących użytkowników, ponieważ wymaga częstych reakcji ze strony użytkownika i podejmowania decycji. Jeżeli np. nie czytasz uważnie alertów albo ich nie rozumiesz, to nie zda on u Ciebie egzaminu.
Natomiast "Polityka piaskownicy", na której oparty jest GW różni się od klasycznego HIPS''a tym, że nie musisz odpowiedać na pytania. Niezaufane aplikacje są tutaj uruchamiane z ograniczonymi prawami, restrykcjami do modyfikacji krytycznych parametrów systemu.
Czy potrzebny Ci klasyczny HIPS jeżeli będziesz mial program oparty na Polityce piaskownicy (tutaj GeSWall)?
Twój system jest perfekcyjnie chroniony przez GeSWall, jezeli malware (złośliwy program) próbuje Cię zainfekowac to chce zmodyfikować system, rejestr itd., aby móc egzystować. Niestety dla niego - nie bedzie on miał na to pozwolenia. Malware tutaj jest po prostu bezużyteczny, nieaktywny.
Jeżeli instalujesz aplikację z godnego zaufania źródła, to w przyapdku GeSWalla nadajesz mu status - "zaufany" a w przypadku klasycznego HIPS przełączasz się na tryb instalacyjny i nie jesteś o niczym informowany podczas instalacji. A jeżeli chcesz zainstalwać oprogramowanie z niezaufanego źródła, czego nie pochwalam, to w obu przypadkach sprawdzasz to AVem, wrzucasz na VT badź CIMA.
Teraz pozostają jeszcze dwa pytania, na które sam sobie odpowiedz:
1 - czy nie dawałbyś pozwolenia na wszystkie działania w klasycznym HIPSie w przypadku zaufanej aplikacji? Myślę, że większość z nas włącza tryb instalacyjny lub pozwala na wszytko.
2 -czy w przypadku instalowania aplikacji z niezaufanego źródła, która okazałaby się malware, byłbyś w stanie właściwie odczytać alerty o niebezpiecznym zachowaniu? Sądzę, że w większości przypadkach sredniozaawansowanemu użytkownikowi komputera to by się nie udało.
-------------
Jeżeli izolujesz jakąs aplikacje np. przegladarkę internetową, to nie będzie ona miała możliwości zapisania, modyfikować plikow w folderach systemowych, rejestrze itp. Wszystkie pliki, które sciągasz za pomoca izolowanej aplikacji są oznaczane jako niezaufane (czerwona obwódka i małą literą "G") i one też nie mogą modyfikować newralgicznych punktów systemu. Dodatkowo można też ograniczyć dostęp do swoich własnych folderów, np. dokumentów i zabronić niezaufanym plikom, izolowanym aplikacją dostępu do nich, zapisu, modyfikacji czy nawet jakiegokolwiek odczytu.
W przypadku, gdy chcesz zainstalować coś, to musisz zmienić jego status na zaufany, ponieważ np. wymagana jest modyfikacja rejestru... Jeżeli robisz update, to też uruchom program jako nieizolowany. Można to zrobić np. przestawiając security level na nerver isolate, isolate on access lub też klikając na ikonkę "G" izolowanej aplikacji PPM i wybranie Restart as Non-isolated.
Musisz pamietać, że mając GW możesz mieć wirusy na dysku, bo on ich nie usuwa, ale nie daje im mozliwości zainfekowania systemu. Wirusy te są nieaktywne i wystarczy je recznie usunąć. Polecam przeskanować AVem od czasu do czasu dysk i pousuwać takie "przybłędy". Pamiętaj też o czyszczeniu katalogów tymczasowych.
zord napisał(a):dajmy na to że potrzebuje wersji programu niedostępnej na stronie producenta bo np działa mi tylko jego starsza wersja
i muszę niestety pobrać z innego źródła
nie wszystko też da się zainstalować w piaskownicy a plik jest za duży żeby wysłać go na serwisy typu vt czy jotti
to jak mam jedynie zabezpieczenie typu gw czy dw to jedynym wyjściem jest postawienie wirtualnego systemu co nie jest zbyt wygodnym rozwiązaniem...
W takich sytuacjach skanujesz dobrym AV i masz duże prawdopodobieństwo, że plik jest czysty, ale oczywiście nie da Ci nikt 100% gwarancji. Wypada mieć dostępny pod ręką jakiś skaner na żądanie...
roofman napisał(a):Tak z ciekawości spytam... oczywiście u siebie wpisałem w to miejsce poprawną ścieżkę ale... co właściwie ta reguła daje? Zezwala na zapis do katalogu? To pozostałość po testach z FF jakiś chyba? (teraz dokładnie nie pamiętam zawartości tej reguły, nadaję "mobilnie" bez GW)
Tak zezwala ona na zapis w przypadku ustawienia Type - Files, Access - Alow. Reguły domyślne poza tą są wystarczające. Podkreslam, że nie jest ona potrzebna.