Hardware Upgrade Forum - View Single Post - Malware Defender

nV 25 · 27-09-2009, 21:34

C'è un errore:
interfacce COM, *non* file/cartelle...

Regole applicazioni normali ->espandile->cerca la regola asterisco (*)
permessi generici (di default!) su ASK fatto salvo Dll/COM su permit.

Gli accessi alle interfacce COM, dunque, sembrerebbero ammessi.

Ma è proprio cosi'?

NO, perchè esplorando la regola in questione (*) si scopre che 10 interfacce sono non solo elencate ma anche settate su ASK.

ASK, in questo caso, ha priorità> di PERMIT per i motivi che hai spiegato qualche post fà.

Il problema, xò, è che questo filtro sulle 10 interfacce critiche verrebbe effettuato solo sulle applicazioni/processi del ramo "applicazioni normali" MA NON per i processi di sistema settati invece su PERMIT che, in questo caso, hanno priorità > essendo le rispettive regole nel ramo gruppi "System" in basso nel ruleset...

---------------------

La 2° parte si riferisce proprio a quello che dici te...

Eventualmente, le applicazioni fidate del gruppo "normale" possono essere settate su PERMIT per il discorso dll evitando cosi' di appesantire il RuleSet avendo eventualmente cura di lasciare attivo il controllo in questione sulle applicazioni che sono si' sicure ma che hanno cmq una qualche interazione con la rete (browser, pdf reader vari, lettori/riproduttori audio/video alla vlc/media player)....

---------------------
EDIT
---------------------
per renedere ancora + semplice la 1° parte del mio discorso, uso l'immagine che mi hai postato te.

L'ultima voce è "Accesso Interfacce COM".

Bene, è quella voce che dicevo di modificare da permit (default!) ad ignore per explorer/lsass/services/svchost.

In questo modo, se ad es explorer accede ad una delle famose 10 interfacce protette impostate nella regola asterisco[*], è proprio la regola asterisco che entra in gioco visto l'attributo "ignora" che è collegato al processo coinvolto, explorer.exe, per quanto questo nello schema generale abbia priorità > rispetto ad asterisco[*]...

A default, invece, passerebbe qualsiasi azione di questa natura (sulle interfacce!) visto che PERMIT avrebbe priorità > su ASK collegato a[*]...

PS:
ma che vuoi linkare?
Tanto, una volta capito, il software si usa solo noi...

E qui, peraltro, mi viene in mente il mitico Vasco di "SIAMO SOLIIIII, siamo soliiiiiiiiiiii"....

A meno che tu non voglia fare un promemoria...per TE stesso, nel qual caso....

27-09-2009, 21:34	#70
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	C'è un errore: interfacce COM, non file/cartelle... Regole applicazioni normali ->espandile->cerca la regola asterisco () permessi generici (di default!) su ASK fatto salvo Dll/COM su permit. Gli accessi alle interfacce COM, dunque, sembrerebbero ammessi. Ma è proprio cosi'? NO, perchè esplorando la regola in questione () si scopre che 10 interfacce sono non solo elencate ma anche settate su ASK. ASK, in questo caso, ha priorità> di PERMIT per i motivi che hai spiegato qualche post fà. Il problema, xò, è che questo filtro sulle 10 interfacce critiche verrebbe effettuato solo sulle applicazioni/processi del ramo "applicazioni normali" MA NON per i processi di sistema settati invece su PERMIT che, in questo caso, hanno priorità > essendo le rispettive regole nel ramo gruppi "System" in basso nel ruleset... --------------------- La 2° parte si riferisce proprio a quello che dici te... Eventualmente, le applicazioni fidate del gruppo "normale" possono essere settate su PERMIT per il discorso dll evitando cosi' di appesantire il RuleSet avendo eventualmente cura di lasciare attivo il controllo in questione sulle applicazioni che sono si' sicure ma che hanno cmq una qualche interazione con la rete (browser, pdf reader vari, lettori/riproduttori audio/video alla vlc/media player).... --------------------- EDIT --------------------- per renedere ancora + semplice la 1° parte del mio discorso, uso l'immagine che mi hai postato te. L'ultima voce è "Accesso Interfacce COM". Bene, è quella voce che dicevo di modificare da permit (default!) ad ignore per explorer/lsass/services/svchost. In questo modo, se ad es explorer accede ad una delle famose 10 interfacce protette impostate nella regola asterisco[], è proprio la regola asterisco che entra in gioco visto l'attributo "ignora" che è collegato al processo coinvolto, explorer.exe, per quanto questo nello schema generale abbia priorità > rispetto ad asterisco[]... A default, invece, passerebbe qualsiasi azione di questa natura (sulle interfacce!) visto che PERMIT avrebbe priorità > su ASK collegato a[]... PS: ma che vuoi linkare? Tanto, una volta capito, il software si usa solo noi... E qui, peraltro, mi viene in mente il mitico Vasco di "SIAMO SOLIIIII, siamo soliiiiiiiiiiii".... A meno che tu non voglia fare un promemoria...per TE stesso, nel qual caso.... Ultima modifica di nV 25 : 27-09-2009 alle 22:09. Motivo: corretto l'italiano...*