Показать сообщение отдельно
Старый Добавлено: 26.07.2008, 02:45
  (#1312)
SAlexB
И правил богами Энлиль...
Заслуженный пользователь
 
Аватар для SAlexB

По умолчанию

Итак начнем повествование о правильной настройке агнитума. Не секрет, что разработчики применяют для своих продуктов некие "умолчания" - то есть усредненные значения некоторых параметров настройки, рассчитанные в основном на простоту оперирования с ними. То есть чем реже пользователю приходится лезть в настройки - тем лучше. Однако платой за подобные "простоту и удобство" является безопасность "по умолчанию", то есть уровень средний или ниже среднего (за максимум в данном случае считаем тот уровень, который можно достичь с помощью конкретного программного продукта).
Советую запастись терпением и кофем/чаем/пироженками etc, любой алкоголь лучше отложить до момента завершения работы.
Итак перед нами платформа ОС Win Xp с sp2/3
Рассказ будет вестись на примере флагманского продукта агнитума - oss, включающего в себя все возможные опции; в антивирусе и фаере просто будут отсутствовать некоторые настройки.
Настройка. Основные пункты детально.

Общие.
Загрузка - есть три варианта, но по умолчанию - стандартный, с показом иконок и полным доступом. Его и выбираем.
Опции самозащиты. Общее правило таково. Если продукт есть тестовая сборка - то отключаем, если релизная - то включаем обязательно. Эта опция активирует защиту файлов ангитума (расположенных не только в папке program files\agnitum), защиту ключей реестра и некоторых настроек безопасности винды от отключения (повреждения) сторонним ПО (в том числе и малварами).
Далее настройки конфига - после окончательного варианта настроек их лучше скинуть в отдельный файл в адрес, скажем, "Мои документы", еще лучше на несистемный диск. Даже при жестких крашах (тьфу тьфу тьфу) и удалении в безопасном режиме, после переустановки подхват настроек отнимет несколько секунд и, соответственно, кликов мышью.
Пароль вещь добровольная, у меня установлен на выгрузку и удаление.

Брандмауэр.
Пункт настройка сети (lan). Здесь (автоматически или вручную) указываются все сетевые адреса (с масками), которые логически разделены по уровню доступа. Если у Вас только локальная сеть - здесь будет лишь 1 строка, если используете vpn - то еще и строка относящаяся к нему, если есть вторая сетевая карта - то строка адресов относящаяся к ней и так далее. По умолчанию они определяются автоматически. Почти всегда верно. После того как они определились корректно и сеть заработала имеет смысл отключить их автоопределение. Регистрацию широковещательных сообщений netbios отключить.
В настройках доступа есть 3 пункта
netbios - взаимодействие систем посредством популярного и стандартного протокола транспортного уровня. Как правило, разрешать подобное стоит если, например, у Вас используется роутер, к которому подключено несколько домашних ПК. Именно для передачи данных между ними во внутренней сети и имеет смысл активировать данную опцию. Сам по себе протокол в реализации виндой не сильно безопасен. Для любых публичных сетей - запрещать.
nat - стандартная возможность трансляции адресов в сети. Используется если подобная опция включена у Вас на роутере (домашнем сервере). В общем случае - не используется. Реально в версиях до 6.5 данная опция работала не совсем так как следовало.
Доверенные. С данной опцией надо обращаться крайне аккуратно, лучше ее не использовать. Данная опция имеет так называемый нулевой приоритет, то есть она будет выполняться даже если приложение, инициирующее сетевое соединение, находится в запрещенных. По сути это отключение защиты агнитума на какой то адрес. В случае невозможности (неумения) настроить нетбиос эта опция поможет подключить второй ПК (ноут) и перекинуть какие либо данные. В 99,9% случаев - отключена.
Детектор атак. Вещь несомненно полезная. Включаем оповещалки и всплывающие сообщения с блокировкой атакующего (без подсети). Заходим в настройки.
Ethernet. Модуль которому до сих пор многие вендоры завидуют. Включаем все кроме последнего пункта. В настройках портов все оставляем, а вот в настройках атак отключаем обнаружение сканирований порта/портов. Пользы от него минимум, фолсы могут быть (я говорил о банальном примере торрента), да и неправильно настроенное сетевое оборудорвание провайдера также может восприниматься фаером как угроза.
Сетевые правила.
ICMP - оставляем все, настройки оптимальны. Данный протокол по сути является сервисным (пинги, трейсы).
Системные правила. Тут возможности очень широки. По сути 90 % настроек доступа для приложений можно сделать именно здесь. Но мы не будем так мучаться, тем более особой необходимости в этом нет. В низкоуровневых правилах отключаем ip6. Он конечно потребуется в будущем, но пока неактуален. В глобальных правилах если нет vpn можно отключить pptp коннект. Если винда правильно настроена больше специально ничего блокировать не нужно.

Правила для приложений.
Далее объединенный пункт настройки сетевых\локальных правил для конкретных приложений.
Рассмотрим сначала сетевые правила. Запрещеные (красный цвет) - туда кидаем все, чему в сети быть не положено. Туда же должны лететь все кряки, неизвестные файлы и тому подобное.
Основная группа - приложения, имеющие доступ в сеть согласно каких либо правил. Если правило подвечено синим - значит к известному агнитуму приложению применилось одобренное инженерами агнитум правило. Оно оптимально в большинстве случаев. В этом случае приложение выделено зеленым. Также широки возможности самостоятельного создания правил. Это необходимо или в том случае, если агнитум не распознал приложение (очень редкое или, скажем, измененное сторонним ПО) или он создал слишком мягкие (жесткие) правила. Цвет выделения становится желтым, говоря о том что возможно тут не все оптимально.
Из приложений, оказавшимся в списке по умолчанию, будут утилита обновления винды, svchost, application layer и тому подобное. Приведу список правил для системных приложений. Те, что вспомнились
alg - блокировать все
csrcc - блокировать все
ctfmon - блокировать все
dwwin - блокировать все
explorer - блокировать все
lsass - блокировать все
rundll32 - блокировать все
userinit - блокировать все
svchost - из всех правил минимально необходимо local udp и dns tcp/udp
SYSTEM - ничего не трогаем, не добавляем и не удаляем. Это не приложение, а макроопределение.
Список доверенные. В данном списке содержатся приложения, которым разрешена любая сетевая активность. Подсвечены они зеленым. Относиться к подобному стоит с большой осторожностью, считайте что данные приложения могут скачать/закачать все что угодно. В данный список относительно безопасно можно добавить только торрент клиенты. Потому как прописать для них ограничивающие правила очень сложно, они используют сотни портов, тысячи конечных хостов в обоих направлениях. Еще одной настройкой, относящейся к сетевым, является доступ к сокетам (rawsocket). Вариантов всего три: или разрешать, или запрещать, или спрашивать. Сокеты если грубо - это низкоуровневый сетевой порт доступа к системе. Это несколько упрощает работу с сетью приложению, но требует очень специфичных знаний программиста. То есть приложение, инициирующее его, может неконтролируемо оперировать своим траффиком в сети, на уровне ниже чем стандартные tcp, например. По доброй традиции 99,9% ПО данная возможность не нужна. Из того ПО, что мне знакомо, данное соединение необходимо торрент клиенту мторрент и ut3. В первом случае из за недавно измененного механизма работы с траффиком, во втором - для борьбы с некоторыми читами, основанными на игре пакетами (шедоу чит в их числе).
Итак будем считать, что сетевые правила для всех приложений, того требующих, оптимальным образом настроены на конечной системе. Плавно переходим к локальным.

Локальная безопасность.
Про настройки локальной безопасности я уже говорил немало, суммирую вкратце.
1. Настройки по умолчанию не дают достаточной безопасности
2. Максимальные настройки снижают производительность, также существенно повышают число запросов к пользователю (особенно первые дни)
3. Следствие из первых двух. Необходимо искать разумный компромисс. Итак лезем в настройки локальной безопасности.
Ранее они были условно разделены на опасные и подозрительные. Теперь разделение изменилось. Для средней защиты достаточно активировать все пункты в nt подсистеме и сетевых приложениях.
Отдельно остановлюсь на пункте детект кейлоггеров - новинку версии 6.5. Это поведенческий детект на попытку приложения перехватить вызов с клавиатуры\мыши. Смысл его в том, чтобы отловить большинство кейлоггеров при запуске даже без наличия их сигнатур в базе антивируса. Однако важно понимать, что подобный детект будет и на игры (идет переназначение кнопок) и на плееры и на драйвера навороченых и не очень клавиатур. Хотя в целом функция очень полезная и практически безфолсная.
Win - 32 подсистема. Имеет смысл активировать обнаружение оконных перехватчиков. Хотя лично у меня все пункты активны.
Все настройки защиты оси, политики, ини файлы и тому подобное (критические объекты) - активируем, потому как
запросы на нх будут очень редко.
Контроль компонентов. Одна из самых надежных в плане безопасности функций, в тоже время наиболее сложная и ресурсоемкая при максимизации настроек. Смысл ее заключается в следующем. При запуске приложения агнитум сохраняет его чексумму в собственной базе (при активации соответствующих настроек - и всех библиотек, прогружаемых данным приложением). В случае если приложение изменено малварой появляется сообщение о том, что приложение изменилось, предоставлять ли ему доступ в сеть. С одной стороны это очень надежно - если мы не обновляли данное приложение (или запускаем его в 1 раз) то имеет смысл запрещать. Однако возникает вопрос что потом с ним делать, так как знакомые вирусные аналитики есть не у каждого, слать на вирустотал или в вирлаб тоже эффективность под большим вопросом. С библиотеками все еще сложнее. Если Вы можете назвать версию установленной у Вас оперы, то сможете ли Вы назвать версии прогружаемых ею библиотек (которых насчитываются десятки), возможно ли точно сказать что какая то из них изменилась вследствие обновления, скажем плагина оперы или какого либо компонента винды, а не действий малвары. Одним словом в большинстве случаев актуальность контроля библиотек сводится на нет огромными затруднениями в выборе правильного ответа даже у очень продвинутых пользователей. Кроме того не у всех есть время (и знания) на длительный "разбор полетов". Поэтому лично я рекомендую контроль исполняемых файлов приложения включить, изменение и добавление компонентов приложений включить, а контроль его компонентов отключить.
Далее одна очень интересная настройка - контроль всех исполняемых файлов в системе. То есть если приложение запущено в 1 раз и его кеша нет в базе агнитума - выдается запрос запускать его или нет. С лучае изменения также будет алерт. Как водится у этой настройки есть свою плюсы и минусы.
Плюсы - тотальный контроль за исполняемыми файлами в системе - загрузившийся троян не сможет выполниться, картинка в формате .jpg.exe не вызовет ничего кроме улыбки, никакие файлы tmp не будут выполены без Вашего согласия, то есть по сути эти файлы даже до модуля поведенческого анализа не дойдут.
Минусы. Вы знаете сколько у Вас в системе исполняемых файлов? Я тоже нет, но их очень много. На запуск каждого один раз будет алерт. Запустили браузер - алерт, запустили конвертер файлов - алерт, запустили блокнот - алерт. То есть в первые дня - три запросов будет очень много, приготовьтесь часто жать на разрешить. При установке софта будет как минимум 2 запроса - запуск exe и запуск распаковавшегося файла из tmp. Одним словом фича очень на любителя. Я для себя ее активировал, но советовать каждому не стал бы.

Антивирус + антиспайвар.
Модуль вирус бастера переработаный + антиспай агнитума (бывший таскан) + технология ускорения проверки агнитум. Вообще говоря, в лидерах он не числится, вирус бастер - это движок второго эшелона. То есть рекордов от него (как и детекта 95...98%) ждать не стоит. Он скорее является дополнением ко всем поведенческим технологиям агнитума. Именно поэтому большинство предпочитает использовать сторонний антивирус с фаером агнитум. Антивирусный модуль не имеет каких либо сложных настроек, практически есть возможность только включить\отключить и выбрать типы объектов с заданием исключений. Со включенным кешем - очень быстр, правда "замусоривает" хард файлами кеша (с атрибутом hide) и также прикрытыми самозащитой. Если используете агнитум фаер - кеш антиспая отключаем, не стоит оно того, если oss в качестве основного средства защиты - то тогда включаем, нагрузка на систему заметно снизится. При наличии в системе второго резидентного антивирусного монитора - должен быть отключен. Разработчики сделали режим совместимости специально чтобы избежать бсодов. Несмотря на то, что его можно отключить некоторым шаманством, делать этого строжайше не рекомендуется.

Антиспам. Прост как пластмассовый кубик. Включаем поддержку соответствующих почтовых клиентов, уровень срабатывания и понеслось обучение. Сам антиспам по сути только алгоритм байеса, то есть частообновляемых списков спам адресатов в нем нет. Для домашнего пользователя ИМХО этого вполне достаточно. У меня он вообще отключен, пару писем в день проще руками удалить, чем потом выяснять почему важное письмо не дошло.

Журналы. Имеет смысл активировать все и поставить лимит лога. Ну, скажем, 5 мегабайт. Этого достаточно, чтобы разобрать любой текущий случай и в тоже время Вы не будете ждать, пока несколько минут открываются десятки мегабйт лога. Если ковыряние в логах не прельщает - поставьте 1 мегабайт. Если что хоть трейсы собрать возможно будет.

Хочется написать вот коротко и все, но проматывая вверх текст, понимаешь, что то здесь не так. На самом деле, чтобы писать подробное руководство нужно иметь кучу свободного времени; руководство будет насчитывать десятки скриншотов, кучу страниц мелкого текста, пачки ссылок на русские и не очень ресурсы сети. Подобной возможности у меня в ближайшее время не будет из - за работы, да и читать подобный трактат возьмутся единицы.
Всем кому что - то непонятно (или слишком поверхностно описано) - пишите, разберем необходимые настройки подробнее.


SAlexB вне форума Отправить личное сообщение для SAlexB
Вверх
Ответить с цитированием
Эти 59 пользователя(ей) сказали cпасибо за это полезное сообщение:
Показать список поблагодаривших
 
Время генерации страницы 0.14876 секунды с 11 запросами