SpyShelter - przegląd ustawień własnych i porad
#1
Wielokrotnie na forum dzieliłem się z użytkownikami swoimi ustawieniami w programie SpyShelter, ale do tej pory nie zdarzyło mi się poświęcić temu całkiem nowego wątku, w którym zebrałbym te fragmentaryczne informacje. Zostałem parę dni temu poproszony, bym to zrobił i w sumie zastanawiam się, czemu do tej pory tego nie zrobiłem Smile Możliwe, że wpływ na to miały dwie rzeczy
- program przez lata rozwijał swoje funkcjonalności i tym samym poszerzał oferowane opcje, co dawało asumpt do kolejnych doświadczeń
- ponadto został tak skonstruowany, że pewne ustawienia nie są oczywiste od razu i niektóre funkcje (labo raczej możliwości) odkrywa się na własny użytek samodzielnie lub dzięki dyskusji z innymi.

No dobra, to do rzeczy - poniższe informacje bazują na ostatniej wydanej wersji czyli 11.2 w wydaniu SpyShelter Firewall...to istotne, ponieważ wersję Firewall od wersji Premium różnią dwie dodatkowe funkcje czyli moduł zapory i moduł kontrola startu aplikacji. Ta informacja jest na stronie programu w tabelce porównawczej wersji, ale z doświadczenia wiem, że funkcjonalności wymieniane w takich porównaniach są dla użytkownika często tylko hasłem...czasem tylko marketingowym. W przypadku tego programu to poważne rzeczy, ale o tym później. Chciałbym jeszcze jedną rzecz powiedzieć...właściwie zastrzec...przedstawione poniżej ustawienia nie są opcjami sugerowanymi...najlepszymi...jednymi prawdziwymi i objawionymi...absolutnie NIE należy ich tak traktować! To moje własne ustawienia, takie jak mi akurat pasują i z oczywistych względów nie każdemu jako takie są potrzebne czy wystarczające.

Przegląd zacznę w naturalnym porządku czyli zgodnie z kolejnością zakładek/modułów od lewej do prawej.

OCHRONA
To ekran główny i sytuacja jest raczej prosta...wszystkie ochrony są włączone i nie wymaga to komentarza.


REGUŁY
Główne - to jakby podsumowanie...lista...wszystkich naszych decyzji na otrzymane komunikaty/ostrzeżenia, a czasem wynik świadomych zmian w istniejących już wcześniej regułach...dwie rzeczy istotne na mojej liście, co ilustrują dwa poniższe obrazki:
- jest kilka reguł blokujących, co wynika bądź z otrzymanych alertów, bądź z późniejszych modyfikacji reguł wcześniejszych (numery dla blokowanych działań znajdziecie w ustawieniach na liście monitorowanych akcji) (ryc. 1)
- w regułach widoczne są również zezwolenia na wszystkie akcje dla wybranych procesów...oprócz aplikacji zabezpieczających znajdziemy także programy do kontroli pracy systemu oraz procesy używanego urządzenia wielofunkcyjnego (tu bywało, że szedłem "na łatwiznę" ponieważ chciałem sobie oszczędzić tworzenie szczegółowych reguł dla programów, które znam od lat i którym ufam albo które potrzebne mi były od razu, a tryb instalacji przy uruchamianiu nie dawał oczekiwanych efektów - brak dalszych alertów) (ryc. 2)

Kontrola startu aplikacji - to moduł obecny tylko w wersji z zaporą, a służyć ma do nadzorowania, która aplikacja może być uruchomiona, a która blokowana (tu istotny jest proces, nie jego akcja...mamy więc w pewien sposób funkcjonalność programów typu anti-exe).
Trudno coś tu sugerować, ale warto na pewno zwrócić uwagę, co dla procesów nadrzędnych tzw. "rodziców" (w górnym oknie) pokazuje się nam jako procesy podrzędne ("dzieci") w oknie dolnym. Przeważnie jest to lista procesów, których obecność tam będziemy sobie jakoś mogli wytłumaczyć np. w przypadku listy dla procesu Explorer.exe albo dla menadżera plików (u mnie FreeCommender.exe)...jeśli znajdziemy coś niepokojącego, to na pewno najszybszy sposób to pozycję usunąć, ale chyba lepiej sprawdzić czego proces dotyczy i czy w takim razie może być uruchamiany przez konkretny inny proces nadrzędny. 
Warto zwrócić uwagę na wpis na liście dolnej oznaczony tylko symbolem gwiazdki "*" tak jak na przykładzie poniżej...to reguły tworzone automatycznie przez SS, a oznaczają dowolny plik z dowolnej lokalizacji...i tu jest niebezpieczeństwo właśnie, ponieważ w skrajnym przypadku bez dalszego alertu umożliwia otwarcie pliku czyli np. szkodnika. Ja wyrzuciłem w większości takie wpisy, zostawiłem tylko dla znanych sobie aplikacji lub takich, których uruchamianie (poprzez inne procesy) chciałem zablokować...jak poniżej właśnie (ryc. 3)

   


OKNO LOGU
Tu nie ma ustawień, tu jest po prostu wykaz wykrytych akcji i podjętych decyzji. Niezbyt wiele można z tą listą zrobić niestety i wydaje się, że faktycznie dobrym pomysłem mogło by być zgłaszane przez użytkowników dodanie możliwości utworzenia reguły z takiego pojedynczego wpisu, co daje się zrobić w niektórych innych aplikacjach tego typu...decyzja dewelopera póki co jest na nie, ale nadzieję mieć trzeba Smile


OGRANICZONE APLIKACJE
Lista ograniczonych aplikacji - ta funkcja jest dla mnie bardzo ważna i mogę tylko marudzić, że tak mało przy tym spopularyzowana. Pozwala ona na ograniczanie uprawnień wybranych procesów i tym samym minimalizowanie specyficznych modyfikacji systemu przez te procesy dokonywanych...umożliwia również na nakładanie restrykcji na obszary "zwiększonego ryzyka" na dysku czyli np. na podłączane przenośne napędy, pliki pobierane z sieci, na obce dokumenty, na kolekcjonowane instalatory programów pochodzącego z rożnych źródeł.
Jest wg na tyle ważna, że jej opis zacytuję dokładnie z pliku pomocy programu
Cytat:Ta funkcja:
-Blokuje automatycznie wszystkie niebezpieczne akcje
-Zwiększa szanse ochrony przed atakami wykorzystującymi dziury w popularnych programach (np. przeglądarki internetowe).
-Ogranicza dostęp do plików systemowych i rejestru.
-Ogranicza dostęp do przechwytywania klawiszy, tworzenia zrzutów ekranu
-Uniemożliwia złośliwemu oprogramowaniu zwiększenie własnych uprawnień
Listę takich lokalizacji/aplikacji tworzymy sami, bo tylko my wiemy, co nam jest potrzebne...to, co u mnie się na niej znajduje widać na screenie zbiorczym poniżej (ryc. 4).

Krótki komentarz jeszcze:
- na liście znajdują się aplikacje podatne, które często wykorzystywane są do wykonania ataku na system...wśród nich przeglądarki internetowe, program do obsługi PDF i notatnik systemowy
- jako lokalizacje mam na liście dyski wymienne (pozwala na uniknięcie nieautoryzowanych uruchomień plików wykonywalnych) oraz dwa foldery, z których jeden jest przeznaczony na pobrane z internetu pliki (Download) a drugi (Instalki) jest moim archiwum programów
- każdej pozycji możemy tymczasowo zdjąć ograniczenia korzystając z polecenia "Uruchom jako nieograniczony" dostępnego z klawisza myszy
- "tajemnicze" oznakowania W i S w osobnych kolumnach oznaczają nadane dla danego procesu/lokalizacji zezwolenia na:
W to nagrywanie obrazu z kamery 
S to nagrywanie dźwięku
przy czym domyślny znaczek w kolumnie to "-" czyli blokada, a my możemy to zmienić na "+" czyli zezwolić, korzystając z menu klawisza myszy przy danej pozycji. U mnie jak widać wszystkie pozycje mają blokadę.
Mała porada - jeśli macie zamiar aktualizować aplikacje z listy ograniczonych...instalować do nich jakieś dodatki, wtyczki, to lepiej będzie uruchomić je w trybie nieograniczonym na co pozwala nam polecenie z prawego klawisza myszy. Wtedy konieczne modyfikacje zostaną wprowadzone bez ograniczeń lokalizacyjnych trybu ograniczonego.

Foldery z dostępem zapisu - lista lokalizacji, którą znajdziemy w tej zakładce wynika z faktu, że obejmując restrykcjami aplikacje/lokalizacje musimy w większości przypadków dodać dla nich możliwość zapisu. To konieczne, ponieważ aplikacje mogę bez tego nie działać poprawnie, a foldery na specyficzne pliki bez funkcji zapisu w nim nowych danych tracą właściwie rację bytu.
Kilka uwag tu:
- dołączając kolejne aplikacje/procesy do listy ograniczonych koniecznie trzeba pamiętać, że w większości przypadków musimy dodać możliwość zapisu do macierzystych folderów tych programów lub powiązanych z nimi folderów plików tymczasowych...tu jest o tyle prościej, że SpyShelter przy dodawaniu aplikacji pyta w osobny komunikacie o akceptację dodania możliwości do wskazanego folderu
- zaś dołączając foldery własne musimy dodać możliwość zapisu do nich ręcznie
- część folderów...zwłaszcza tych powiązanych z systemem...mamy do dyspozycji z menu kontekstowego myszy (tzw, foldery specjalne), a ponadto dodać możemy dyski zewnętrzne jako kategorię ogólną (bez konkretnych nazw napędów) oraz wybrany dowolny folder.
U mnie wygląda to tak, jak na ryc. 5

   

Naruszenia dostępu do plików - tu znajdziemy w postaci listy procesy, które jako ograniczone próbowały uzyskać dostęp do zabronionych dla nich lokalizacji  oraz wykaz tych lokalizacji. To o tyle może być ważne, że w miarę potrzeby (dla poprawnego działania aplikacji) możemy dodać możliwość zapisu do takiej wybranej pozycji.
Na screenie (ryc. 6) widać przykładową listę lokalizacji (wraz z plikami, które miały być zmienione) po testowym wyłączeniu możliwości zapisu dla folderu macierzystego Firefoxa w wersji portable

Uruchomione jako ograniczone - tu znajdziemy wykaz procesów, które pracują jako ograniczone...na potrzeby opisu włączyłem przeglądarkę PDF (1 proces), Firefox (2 procesy) i Chrome (6 procesów), a każdy z nich możemy zakończyć jeśli jest taka konieczność (ryc .7).

   


FIREWALL
Strefy sieciowe - zapora to kolejny moduł/funkcja, który wyróżnia wersję z zaporą od "Premium" i zastępuje jej moduł "Bezpieczny internet" ("AntiNetworkSpy"zapewniając jednocześnie znacznie większą funkcjonalność. Na pierwszej zakładce widzimy listę wykrytych sieci z przydzielonym jej atrybutem zaufania - u mnie jest tylko jedna sieć (domowa), z której na co dzień korzystam, ale w przypadku kiedy laptopa używamy w różnych miejscach pokazać się na liście powinny dodatkowe pozycje.
Moja sieć domowa ma przydzielona kategorię "Nieokreślona", co oznacza, że zostaniemy powiadomieni o próbie nawiązania nowego połączenia (o ile ustawiony poziom ochrony oraz ustanowione automatyczne zezwolenia dla wybranych zaufanych dostawców nie pozwalają na to automatycznie).

Aktywność sieciowa - na tej zakładce widzimy wszystkie procesy, które są podłączone do sieci oraz statystyki transferu dla nich, ale to nie wszystko, co w tej funkcji znajdziemy. Wklikanie się w wybraną pozycję daje nam nowe okienko wraz z listą konkretnych połączeń/adresów (nazwa i adres IP) również z danymi transferu...natomiast uruchomienie menu z prawego klawisza myszy na wybranym adresie daje nam jeszcze dodatkowe możliwości m.in. zablokowanie wg nazwy serwera albo wg IP (widać to na screenie poniżej). Ponadto kliknięcie na nagłówki kolumn prędkości prawym klawiszem pozwala wybrać z menu wyświetlanie prędkości aktualnej albo średniej (ryc. 8). 

OK...to było o ustawieniach, a teraz chwila o regułach. U mnie wynikają z odpowiedzi na pokazywane alerty oraz własnych późniejszych modyfikacji, a szczególnie z zastosowania funkcji tzw. reguły grupowej. SpyShelter pozwala na stworzenie wzorca reguły, który po zapisaniu będzie mógł być zastosowany dla wybranego dowolnego procesu - u mnie to reguła blokująca ruch w obie strony przeznaczona dla aplikacji, które wg mnie nie wymagają dostępu do sieci.
Regułę taką tworzymy w oknie opcji zaawansowanych (polecenie "Twórz reguły dla składnika") wybierając w polu u góry polecenie "wybierz" - w nowym okienku polecenie "utwórz"- w oknie reguły określamy potrzebne nam parametry i zatwierdzamy zmiany w każdym zamykanym oknie. Od tej pory w menu wyboru reguł pojawia się nam nazwa naszej nowej reguły (dodatkowe info w pliku pomocy dla SS). Zastosowanie tej nowej reguły daje nam na liście reguł nową akcję oznaczoną numerem 59 z nazwą "Niestandardowa reguła sieciowa 'NAZWA'" przydzieloną do modułu "Firewall" (ryc. 9)...co ciekawe reguły z tym numerem nie znajdziecie na liście monitorowanych akcji...mamy nr 58, a potem od razu 60 Smile

Jeszcze jedna ciekawostka związana z zaporą i zmianą ustawień programu - jeśli wyłączymy wszystkie moduły ochrony poza zaporą (nie da się wyłączyć wszystkich głównym suwakiem "Status ochrony", a potem włączyć "Firewall"...trzeba wyłączać każdy moduł pojedynczo poza statusem i zaporą) do dyspozycji pozostaną nam aktywna opcja monitorowania akcji przydzielonych do zapory. Na ich liście (ryc. 10) znajdziemy akcję nr 53 "Uruchamianie aplikacji"...i dzięki tej akcji będziemy mieli ze SpySheltera aplikację z podstawową funkcją anty-exe tzn. zezwalania i blokowania uruchamiania określonych aplikacji, którą możemy oczywiście poszerzyć o funkcjonalność wynikającą z funkcji "Kontrola uruchamiania aplikacji" (patrz wyżej "Reguły")

   


SZYFROWANIE KLAWISZY
Filtrowanie procesów - to funkcja programu, której rolą jest szyfrowanie znaków wpisywanych z klawiatury, a tym samym ochrona przed przechwytywaniem naszych danych przez ewentualne szkodniki. Ten konkretny jej moduł pozwala ustalić sposób filtrowania...może prościej - wyznaczania...procesów, w których to szyfrowanie ma się odbywać. Do dyspozycji mamy 4 możliwości:
- włączenie szyfrowania dla wszystkich procesów - może przysporzyć kłopotów we współpracy z procesami, które tego nie tolerują, dlatego mamy opcję kolejną...
- szyfrowanie dla wszystkich za wyjątkiem wskazanych na liście - to lista wbudowana fabrycznie, do której możemy dopisać wskazane przez nas dowolne procesy, w których szyfrowania nie chcemy (to ustawienie zalecane przez producenta)...jeśli ta lista to dla nas zbyt dużo, to mamy...
- szyfrowanie tylko w wybranych procesach - tu wskazujemy tylko te procesy, w których szyfrowania chcemy (reszta będzie go pozbawiona), co pozwala wskazać nam tylko na procesy podatne na przechwytywanie danych jak przeglądarki, edytory tekstów, komunikatory, itp.
- wyłączenie szyfrowania - nie potrzeba wyjaśnień.
U mnie jest wyznaczony poziom "drugi" czyli brak szyfrowania dla wyjątków...jak widać na screenie (ryc. 11) do listy wbudowanej dodałem procesy dwóch ważnych i życiowych dla mnie aplikacji zabezpieczających - Shadow Defender i Keriver 1-Click. 

A propos dodawania procesów - poza wskazaniem procesu w systemowym menadżerze plików, możemy skorzystać z unikalnej...bo występującej tylko w tym module...funkcjonalności jaką jest menadżer procesów. Listę działających procesów uruchamia polecenie "Wybierz proces z listy". I tu dygresja, która już była podnoszona w propozycjach zmian w programie - chyba wszystkie znane mi programy typu HIPS/BB posiadają...i posiadały...moduł, w którym wskazane były działające procesy, a nawet usługi, co pozwalało bez używania dodatkowych narzędzi kontrolować pracę systemu,a ponadto ustalać czasem reguły dla nich. Póki co funkcji takiej SS nie posiada, ale może kiedyś się doczekamy Smile

Zaawansowane - to zakładka z zaawansowanymi funkcjami, które powinny być zmieniane tylko przy pełnej świadomości dokonywanych zmian, ponieważ mają istotny wpływ na całą funkcjonalność. U mnie poważniejszych ingerencji tu nie ma i ten moduł wygląda jak na zrzucie (ryc. 12)
- brak obsługi języków azjatyckich oraz powiadomień
- zmiana poziomu ochrony przed hakami na "Lepszy tryb ochrony"

   

-----------
edit:
06.11 - Mam małe kłopoty techniczne na swojej maszynie, więc postanowiłem opublikować część artykułu...tak na wszelki wypadek. Reszta będzie dopisana i opublikowana jako kontynuacja, a nie osobna część. Dajcie znać, co z widocznością obrazków.
13.11 - Dodałem kolejną część (zapora, szyfrowanie) i zmieniłem grafiki na zbiorcze, co wynika z pewnych ograniczeń technicznych...mam nadzieję, że będzie OK.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
Podziękowania
#2
wielkie dzięki @ichito za poświęcenie swojego prywatnego czasu jestem bardzo wdzięczny no i czekamy na resztę Smile, zabieram się do lektury i ustawiania programu Smile jeśli chodzi o widoczność obrazków do jak dla mnie jest okay wszystko jest czytelne

Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości