Hardware Upgrade Forum - View Single Post

Romagnolo1973 · 30-03-2010, 20:58

DEFENSE+

il Defense+ è il modulo Hips che accompagna il Firewall di Comodo nella protezione del nostro sistema, monitorizza le parti principali del registro e ad ogni tentativo di modifica ci chiede cosa fare. Si tratta di uno strumento fondamentale visto che i malware hanno sempre bisogno di attivarsi e quindi di variare il registro, così facendo si rendono visibili all'HIPS che lo comunica all'utente, niente male quindi come difesa.

Seguiamo il canovaccio già intrapreso parlando del FW e quindi inizio con il mostrare l'avviso spiegandone i contenuti per poi passare a spiegare le funzioni.

A: ci indica che è un avviso del Defense+, il suo colore giallo ci fa capire che è si tratta di una scelta importante ma che in base alle analisi euristiche CIS non la reputa pericolosissima come sarebbe invece se il colore fosse rosso.
B: ci indica i file o applicazioni coinvolte in questa azione, cliccando sui loro nomi in blu possiamo vedere dove sono allocati sul pc per farci una idea migliore su come agire.
C: il Defense ci da già una sua valutazione sul tipo di azione e ci suggerisce quasi cosa fare
D: abbiamo alcune azioni sostanzialmente analoghe a quelle già viste per il FW ovvero consentire, bloccare oppure trattarla come una modalità da scegliere dal menù a tendina.
E: flaggando “Ricorda la mia Risposta” facciamo in modo che CIS non ci avisi nuovamente al ripetersi di questa situazione. Oltre a questa opzione il pop-up presenta però delle voci nuove rispetto a CIS 3 poiché ora, in aggiunta alla scelta suddetta è possibile contemporaneamente inviare il tutto a Comodo (utile in caso di virus) e anche creare un punto di ripristino tramite l'apposita utility Microsoft (se l'avete attiva). Questo per salvaguardare l'integrità del vostro Windows se per esempio l'avviso nascesse da un malware e quindi successivamente dovesse “scatenarsi l'inferno”. Per chi avesse installato Comodo Time Machine allora, in luogo del punto di ripristino, si troverebbe la voce relativa al creare una immagine tramite TM.

Nelle immagini sopra è possibile vedere anche questa ulteriore novità che si interlaccia con la tecnologia sandbox che vedremo poi, CIS riesce ora tramite euristica a capire se una applicazione richiede privilegi elevati.
Nella prima si tratta di un driver per una webcam, Comodo ci fornisce varie informazioni, la prima è che il setup vuole avere permessi elevati, cosa normale poiché i driver devono installarsi a livello del kernel nel sistema, ci avvisa anche chi è il creatore del setup e poiché non è tra quelli conosciuti come fidati da Comodo ci chiede se fidarsi sempre di quel produttore, in quel caso non avremo pop-up se D+ è settato per non avvisarci per i programmi sicuri. Potremmo anche deselezionare la scelta e dare il solo accetta, in quel caso per esempio alla prossima installazione del driver più aggiornato CIS ci ripeterà l'avviso.
Nella seconda immagine invece una novità presente dalla versione 4.1 di CIS, si tratta di un installer che chiede accesso illimitato al pc e di cui CIS non conosce il creatore, non avendolo tra le firme. In questo caso vi consiglia di sandboxarlo per questioni di sicurezza.

Se avete aderito al Threatcast avrete una ulteriore scheda in ogni avviso con le indicazioni di quante volte altri utenti hanno avuto quell'allerta e cosa hanno scelto; analogamente a quanto visto per il FW può aiutare i meno esperti nel pendere la decisione giusta.

Se non si risponde all'avviso di default Comodo blocca l'azione oggetto della richiesta.

Analizziamo ora in dettaglio le varie opzioni disponibili per il D+:

FUNZIONI GENERALI
- Eventi Defense+: analogamente alla funzione vista per il FW, qui trovate l'elenco delle azioni svolte dall'Hips. Cliccando sul tasto in basso “Altro” avete accesso alla vera sezione di log di tutta la suite Cis, dettagliatissima e con possibilità anche di usare filtri. La abbiamo già vista parlando degli eventi del Firewall quindi non mi dilungo oltre.
- File Protetti: qui trovate la lista dei file che D+ monitorizza, utenti molto esperti possono usare questa sezione per inserire tipi di file, aree di registro o cartelle ulteriori.
- File Bloccati: è possibile aggiungere file o cartelle in questa sezione, così il Defense bloccherà ogni azione che vorranno intraprendere.
- File in Sospeso: questa voce assume importanza se D+ si trova settato in modalità “PC Pulito” visto che qui si accumulano tutti i nuovi file sul pc in attesa appunto che noi li controlliamo e diamo i permessi del caso. Cliccando sul tasto controla invieremo il file a Comodo per un check. Come detto, se il D+ è settato in modo più protettivo rispetto alla modalità PC Pulito questa lista sarà sempre vuota.
- File Sicuri: abbiamo già visto in precedenza, parlando del FW, che Comodo ha varie liste di produttori e applicazioni considerate sicure, se un programma, come è facile che sia (ne esistono milioni e dei più svariate) non è conosciuto da CIS, allora avremo moltissimi avvisi a video, possiamo ovviamente dire al D+ di considerare l'applicazione come sicura rispondendo al pop-up ma qui possiamo piazzare anche intere cartelle, cosa molto più comoda che rispondere agli avvisi e dare il “Trusted Application”uno a uno. In questo elenco vengono inseriti anche i file .exe e i setup che la SandBox di CIS non conosce e a cui noi al suo avviso diciamo di eseguire fuori dal "recinto".
- Processi Attivi: è la lista dei processi in questo momento attivi sul pc.
- Produttori Software Fidati: ecco la lista dei produttori conosciuti e fidati, possiamo andare ad aggiungerne altri e rimpolparla, ovviamente dovete avere certezza che sia davvero “safe”.
- Chiavi di registro Protette: qui sono elencate le arre del registro che D+ monitorizza. Utenti esperti possono anche aggiungere aree al controllo.
- Interfacce COM Protette:le COM (Component Object Model) sono modelli comportamentali creati da Microsoft per stabilire come le applicazioni devono interagire tra loro. Qui possiamo aggiungere singole COM o gruppi. Settaggi che lasciamo ai super-esperti.
SANDBOX: ne parleremo dettagliatamente nel prossimo post.
AVANZATE
- Policy di Sicurezza del Computer: come la “sorella” per il FW anche qui è questa una delle sezioni più importanti del Defense. Ci permette di modificare, aggiungere, cancellare o aggiornare le regole fatte per il nostro Hips sulle singole applicazioni del pc. Alcune applicazioni di sistema sono già state preimpostate da Comodo come per esempio gli update Microsoft che sono trattati di default come “Installazione o Aggiornamento” per evitarci molti pop-up in futuro.
  
  Cliccando in una delle applicazioni presenti in elenco andiamo a modificare il comportamento del D+ nei suoi confronti.
  1. Usare una Policy predefinita tra quelle presenti nel menù a tendina.
    Nel caso in figura essendo Prevx un prodotto di sicurezza potremmo anche trattarlo come “Trusted”, in quel caso il D+ non ci informerà più con avvisi a video per ogni azione svolta dal programma antimalware considerandolo sicuro.
  2. Usare una Policy personale andando a definire sia i Diritti di Accesso che le Impostazioni di Protezione, quindi le aree dove quella determinata applicazione può o non può fare modifiche senza che D+ intervenga.
    
    Personalizzare le Policy è comunque cosa riservata ai soli utenti esperti, le impostazioni predefinite che il D+ ci offre sono quelle ideali per praticamente tutti gli utenti e tutti gli eventi.
- Policy Predefinite di Sicurezza: sono quelle che possiamo andare a scegliere nel menù a tendina degli avvisi a video. Quelle preconfigurate da CIS sono le più comuni e coprono il 99% dei casi:
  - Trusted Application: Applicazione fidata e sicura. In questo caso il D+ lascerà l'applicazione libera di agire sul nostro sistema limitando i pop-up al solo caso in cui questa applicazione vada a lanciarne un'altra . Da settare se volete solo per i programmi davvero sicuri come per esempio i programmi di sicurezza (a patto di averli scaricati dal sito del produttore).
  - Windows System Application: associate di default da Cis alle applicazioni interne di sistema operativo per evitare all'utente di rispondere a mille avvisi, il Defense resterà muto ad ogni azione svolta da questi applicativi. Inutile dire che dare questi super permessi ad una applicazione che non sia di sistema è pericoloso e sbagliato.
  - Isolated Application: praticamente è un blocco totale di quell'applicazione, utile nel caso sia un malware. Impedisce al processo di girare sul pc.
  - Limited Application: per monitorare una applicazione di cui nutriamo dubbi. Praticamente blocca alcune azioni al programma presunto pericoloso (tipicamente blocca gli accessi al registro) e per altri chiede all'utente se consentirli.
  - Installazione o Aggiornamento: curiosamente non è presente in lista ma è comunque sempre la prima opzione presente nei pop-up. Poiché come abbiamo visto CIS ora riesce spesso autonomamente a distinguere i setup, penso che l'abbiano tolta da questo elenco per impedire all'utente di modificarne l'azione. Con questa scelta consentiremo all'eseguibile di effettuare il suo lavoro di installazione o di upgrade senza dover rispondere a molti avvisi, consiglio di non mettere però mai il “Ricorda” se si sceglie questa modalità.
  Ovviamente si possono creare regole personali andando ad aggiungerle ma sono comunque cose riservate ad utenti esperti e che esulano dalla finalità di questa guida.
- Impostazioni di Controllo Esecuzione Immagine: lo si usa se tenete il D+ in modalità "Sicuro" e “PC Pulito”, consente al D+ di controllare l'hash degli eseguibili prima che vengano caricati, li confronta con la sua lista interna di software sicuri per evitare che quell'exe sia diverso, sia stato manipolato.
  A default è su normale, consiglio di portate il livello su “Aggressivo” e controllate che l'opzione di rilevazione attacchi ShellCode sia attivata e date OK. Così facendo il controllo si estende anche agli eseguibili che si trovano memorizzati nella cache.
- Impostazioni Defence+ : questa è la finestra a mio avviso principale del D+. Da qui si setta il nostro Hips per avere la migliore sicurezza possibile.
  
  Le modalità di sicurezza del D+ sono:
  - Disabilitato: il D+ non è attivo quindi nessun avviso.
  - Apprendimento: le regole presenti nelle Policy di sicurezza sono rispettate, mentre tutte le nuove applicazioni vengono lasciate libere di fare e il D+ ricorderà queste nuove azioni. Utile in caso abbiate problemi con una particolare applicazione e anche nel caso di GIOCHI ONLINE, la prima volta che giocate mettete D+ in apprendimento e lanciate il gioco, fatte le azioni fondamentali poi rimettete D+ al livello di sicurezza che usate normalmente. Le prossime volte che avviate il gioco D+ avendo appreso come trattarlo non dovrebbe più intervenire e lasciarvi quindi liberi di giocare. Da usare per pochi minuti e solo in caso di necessità. Poi tornate ad un livello di sicurezza più consono.
  - PC Pulito: è lo stato di default,che abbiamo appena CIS viene installato quello che coniuga una sicurezza discreta con un numero di avvisi limitati. In questo caso Cis parte dall'idea che tutti gli applicativi presenti sul pc sono sicuri e quindi ne acconsente l'azione, interverrà solo per i nuovi applicativi che installerete. Lo consiglio brevemente per chi si avvicina a Comodo la prima volta oppure per chi sta installando applicazioni su un pc nuovo. Dopo poche ore o giorni è il caso di settare D+ in modo più stringente.
  - PC Sicuro: è il livello che usa la maggioranza degli utenti di CIS, è quello che consigliamo un po' a tutti, anche ai neofiti dopo che sono stati un breve periodo in modalità PC Pulito . Il numero di avvisi crescerà ma siamo già capaci di rispondere “con criterio” ai pop-up.
    Le regole delle Policy sono applicate, i file che Comodo conosce come “Sicuri” vengono acconsentiti, per tutti gli altri il Defense ci chiederà cosa fare.
  - Paranoico: D+ ci avviserà di ogni attività tranne che per le sole applicazioni presenti nell'elenco delle Policy di Sicurezza, conseguentemente il numero di avvisi cresce notevolmente. Si tratta di un settaggio per paranoici come me o per chi tratta malware dalla mattina alla sera, non consigliabile ai novizi, ma molti col tempo e la pratica sono arrivati a questo livello e non lo abbassano più.
  Le altre impostazioni presenti sono:
  - Variazione del tempo di permanenza a video del pop-up.
  - Fidati di applicazioni digitalmente firmate da autori di software sicuro: flaggato di default per mitigare i numero di avvisi. Comodo è leader nella gestione e creazione di certificati digitali quindi qui sfrutta questa tecnologia per determinare se una applicazione firmata digitalmente è rilasciata da un ente certificato e quindi sia sicura o meno. Se deselezionate l'opzione avrete qualche avviso in più.
  - Blocca tutte le richieste sconosciute se l'applicazione è chiusa: nel caso CIS venga chiuso da noi, se questa opzione è stata scelta allora tutto quello che non è acconsentito nelle Policy verrà automaticamente bloccato. Da usare solo se credete che il pc sia infetto e per esigenze di controllo con altri programmi di sicurezza dovete disattivare CIS.
  - Disattivare Permanentemente il D+: se il D+ è disabilitato lo avete sempre a disposizione, in questo caso se vorrete usare il D+ dovrete reinstallarlo.
  - Crea regole per applicazioni sicure: se scelta l'opzione allora il D+ creerà automaticamente regole per le applicazioni sicure in “Policy di Sicurezza del Computer”. Sono sicuri gli applicativi firmati da chi è in “Produttori Software Fidati”, tutte le applicazioni in “File Potetti” , quelle che CIS internamente ha come lista di produttori fidati e che aggiorna ad ogni versione.
  Ora andate nella seconda scheda della finestra quella denominata “Aree di Controllo” e controllate che tutte le arre siano selezionate, cosa che è fatta di default ma meglio assicurarcene.

Eccoci al consiglio di configurazione:

A default: il Defense è su "PC Pulito"
HARDENING OBBLIGATORIO:

passare a “Sicuro”:
vedete voi se fidarvi o meno degli Autori che fanno Firme Digitali certificate;
se mettete il Blocco alle richieste quando CIS è chiuso allora ricordatevi di aver fatto questa scelta prima di dannarvi l'anima a capire perchè a CIS disattivato quel tale programma non funziona;
consiglio di tenere il “Crea regole per applicazioni sicure” non selezionato e di sceglierlo solo se usando la modalità “Sicuro” la quantità di avvisi vi sembra troppo stressante, aiuta a mitigarne il numero e tutto sommato non diminuisce la sicurezza; Non considerare firme digitali certificate e non creare regole per applicazioni sicure vi porterà ad un numero di pop-up molto vicino a quello del livello Paranoico che è poi il livello che vorrei tutti possano padroneggiare un giorno per avere controllo assoluto del pc;
in "Avanzate - Impostazioni di Controllo Esecuzione Immagine" come già detto portate il valore su "Aggressivo".

Ho indicato queste azioni come un passo obbligatorio, ovvio che per un neofita ci vuole qualche giorno per abituarsi al programma e quindi resterà su “PC Pulito” più di noi che già conosciamo CIS, ma anche i principianti dovranno passare a questo stato per aumentare la sicurezza.
Per chi è pratico di CIS consiglio di valutare anche il passaggio successivamente alla modalità “Paranoico”.

30-03-2010, 20:58	#3
Romagnolo1973 Senior Member Iscritto dal: Nov 2005 Città: Cervia (RA) Messaggi: 17635	DEFENSE+ il Defense+ è il modulo Hips che accompagna il Firewall di Comodo nella protezione del nostro sistema, monitorizza le parti principali del registro e ad ogni tentativo di modifica ci chiede cosa fare. Si tratta di uno strumento fondamentale visto che i malware hanno sempre bisogno di attivarsi e quindi di variare il registro, così facendo si rendono visibili all'HIPS che lo comunica all'utente, niente male quindi come difesa. Seguiamo il canovaccio già intrapreso parlando del FW e quindi inizio con il mostrare l'avviso spiegandone i contenuti per poi passare a spiegare le funzioni. A: ci indica che è un avviso del Defense+, il suo colore giallo ci fa capire che è si tratta di una scelta importante ma che in base alle analisi euristiche CIS non la reputa pericolosissima come sarebbe invece se il colore fosse rosso. B: ci indica i file o applicazioni coinvolte in questa azione, cliccando sui loro nomi in blu possiamo vedere dove sono allocati sul pc per farci una idea migliore su come agire. C: il Defense ci da già una sua valutazione sul tipo di azione e ci suggerisce quasi cosa fare D: abbiamo alcune azioni sostanzialmente analoghe a quelle già viste per il FW ovvero consentire, bloccare oppure trattarla come una modalità da scegliere dal menù a tendina. E: flaggando “Ricorda la mia Risposta” facciamo in modo che CIS non ci avisi nuovamente al ripetersi di questa situazione. Oltre a questa opzione il pop-up presenta però delle voci nuove rispetto a CIS 3 poiché ora, in aggiunta alla scelta suddetta è possibile contemporaneamente inviare il tutto a Comodo (utile in caso di virus) e anche creare un punto di ripristino tramite l'apposita utility Microsoft (se l'avete attiva). Questo per salvaguardare l'integrità del vostro Windows se per esempio l'avviso nascesse da un malware e quindi successivamente dovesse “scatenarsi l'inferno”. Per chi avesse installato Comodo Time Machine allora, in luogo del punto di ripristino, si troverebbe la voce relativa al creare una immagine tramite TM. Nelle immagini sopra è possibile vedere anche questa ulteriore novità che si interlaccia con la tecnologia sandbox che vedremo poi, CIS riesce ora tramite euristica a capire se una applicazione richiede privilegi elevati. Nella prima si tratta di un driver per una webcam, Comodo ci fornisce varie informazioni, la prima è che il setup vuole avere permessi elevati, cosa normale poiché i driver devono installarsi a livello del kernel nel sistema, ci avvisa anche chi è il creatore del setup e poiché non è tra quelli conosciuti come fidati da Comodo ci chiede se fidarsi sempre di quel produttore, in quel caso non avremo pop-up se D+ è settato per non avvisarci per i programmi sicuri. Potremmo anche deselezionare la scelta e dare il solo accetta, in quel caso per esempio alla prossima installazione del driver più aggiornato CIS ci ripeterà l'avviso. Nella seconda immagine invece una novità presente dalla versione 4.1 di CIS, si tratta di un installer che chiede accesso illimitato al pc e di cui CIS non conosce il creatore, non avendolo tra le firme. In questo caso vi consiglia di sandboxarlo per questioni di sicurezza. Se avete aderito al Threatcast avrete una ulteriore scheda in ogni avviso con le indicazioni di quante volte altri utenti hanno avuto quell'allerta e cosa hanno scelto; analogamente a quanto visto per il FW può aiutare i meno esperti nel pendere la decisione giusta. Se non si risponde all'avviso di default Comodo blocca l'azione oggetto della richiesta. Analizziamo ora in dettaglio le varie opzioni disponibili per il D+: FUNZIONI GENERALI Eventi Defense+: analogamente alla funzione vista per il FW, qui trovate l'elenco delle azioni svolte dall'Hips. Cliccando sul tasto in basso “Altro” avete accesso alla vera sezione di log di tutta la suite Cis, dettagliatissima e con possibilità anche di usare filtri. La abbiamo già vista parlando degli eventi del Firewall quindi non mi dilungo oltre. File Protetti: qui trovate la lista dei file che D+ monitorizza, utenti molto esperti possono usare questa sezione per inserire tipi di file, aree di registro o cartelle ulteriori. File Bloccati: è possibile aggiungere file o cartelle in questa sezione, così il Defense bloccherà ogni azione che vorranno intraprendere. File in Sospeso: questa voce assume importanza se D+ si trova settato in modalità “PC Pulito” visto che qui si accumulano tutti i nuovi file sul pc in attesa appunto che noi li controlliamo e diamo i permessi del caso. Cliccando sul tasto controla invieremo il file a Comodo per un check. Come detto, se il D+ è settato in modo più protettivo rispetto alla modalità PC Pulito questa lista sarà sempre vuota. File Sicuri: abbiamo già visto in precedenza, parlando del FW, che Comodo ha varie liste di produttori e applicazioni considerate sicure, se un programma, come è facile che sia (ne esistono milioni e dei più svariate) non è conosciuto da CIS, allora avremo moltissimi avvisi a video, possiamo ovviamente dire al D+ di considerare l'applicazione come sicura rispondendo al pop-up ma qui possiamo piazzare anche intere cartelle, cosa molto più comoda che rispondere agli avvisi e dare il “Trusted Application”uno a uno. In questo elenco vengono inseriti anche i file .exe e i setup che la SandBox di CIS non conosce e a cui noi al suo avviso diciamo di eseguire fuori dal "recinto". Processi Attivi: è la lista dei processi in questo momento attivi sul pc. Produttori Software Fidati: ecco la lista dei produttori conosciuti e fidati, possiamo andare ad aggiungerne altri e rimpolparla, ovviamente dovete avere certezza che sia davvero “safe”. Chiavi di registro Protette: qui sono elencate le arre del registro che D+ monitorizza. Utenti esperti possono anche aggiungere aree al controllo. Interfacce COM Protette:le COM (Component Object Model) sono modelli comportamentali creati da Microsoft per stabilire come le applicazioni devono interagire tra loro. Qui possiamo aggiungere singole COM o gruppi. Settaggi che lasciamo ai super-esperti. SANDBOX: ne parleremo dettagliatamente nel prossimo post. AVANZATE Policy di Sicurezza del Computer: come la “sorella” per il FW anche qui è questa una delle sezioni più importanti del Defense. Ci permette di modificare, aggiungere, cancellare o aggiornare le regole fatte per il nostro Hips sulle singole applicazioni del pc. Alcune applicazioni di sistema sono già state preimpostate da Comodo come per esempio gli update Microsoft che sono trattati di default come “Installazione o Aggiornamento” per evitarci molti pop-up in futuro. Cliccando in una delle applicazioni presenti in elenco andiamo a modificare il comportamento del D+ nei suoi confronti. Usare una Policy predefinita tra quelle presenti nel menù a tendina. Nel caso in figura essendo Prevx un prodotto di sicurezza potremmo anche trattarlo come “Trusted”, in quel caso il D+ non ci informerà più con avvisi a video per ogni azione svolta dal programma antimalware considerandolo sicuro. Usare una Policy personale andando a definire sia i Diritti di Accesso che le Impostazioni di Protezione, quindi le aree dove quella determinata applicazione può o non può fare modifiche senza che D+ intervenga. Personalizzare le Policy è comunque cosa riservata ai soli utenti esperti, le impostazioni predefinite che il D+ ci offre sono quelle ideali per praticamente tutti gli utenti e tutti gli eventi. Policy Predefinite di Sicurezza: sono quelle che possiamo andare a scegliere nel menù a tendina degli avvisi a video. Quelle preconfigurate da CIS sono le più comuni e coprono il 99% dei casi: Trusted Application: Applicazione fidata e sicura. In questo caso il D+ lascerà l'applicazione libera di agire sul nostro sistema limitando i pop-up al solo caso in cui questa applicazione vada a lanciarne un'altra . Da settare se volete solo per i programmi davvero sicuri come per esempio i programmi di sicurezza (a patto di averli scaricati dal sito del produttore). Windows System Application: associate di default da Cis alle applicazioni interne di sistema operativo per evitare all'utente di rispondere a mille avvisi, il Defense resterà muto ad ogni azione svolta da questi applicativi. Inutile dire che dare questi super permessi ad una applicazione che non sia di sistema è pericoloso e sbagliato. Isolated Application: praticamente è un blocco totale di quell'applicazione, utile nel caso sia un malware. Impedisce al processo di girare sul pc. Limited Application: per monitorare una applicazione di cui nutriamo dubbi. Praticamente blocca alcune azioni al programma presunto pericoloso (tipicamente blocca gli accessi al registro) e per altri chiede all'utente se consentirli. Installazione o Aggiornamento: curiosamente non è presente in lista ma è comunque sempre la prima opzione presente nei pop-up. Poiché come abbiamo visto CIS ora riesce spesso autonomamente a distinguere i setup, penso che l'abbiano tolta da questo elenco per impedire all'utente di modificarne l'azione. Con questa scelta consentiremo all'eseguibile di effettuare il suo lavoro di installazione o di upgrade senza dover rispondere a molti avvisi, consiglio di non mettere però mai il “Ricorda” se si sceglie questa modalità. Ovviamente si possono creare regole personali andando ad aggiungerle ma sono comunque cose riservate ad utenti esperti e che esulano dalla finalità di questa guida. Impostazioni di Controllo Esecuzione Immagine: lo si usa se tenete il D+ in modalità "Sicuro" e “PC Pulito”, consente al D+ di controllare l'hash degli eseguibili prima che vengano caricati, li confronta con la sua lista interna di software sicuri per evitare che quell'exe sia diverso, sia stato manipolato. A default è su normale, consiglio di portate il livello su “Aggressivo” e controllate che l'opzione di rilevazione attacchi ShellCode sia attivata e date OK. Così facendo il controllo si estende anche agli eseguibili che si trovano memorizzati nella cache. Impostazioni Defence+ : questa è la finestra a mio avviso principale del D+. Da qui si setta il nostro Hips per avere la migliore sicurezza possibile. Le modalità di sicurezza del D+ sono: Disabilitato: il D+ non è attivo quindi nessun avviso. Apprendimento: le regole presenti nelle Policy di sicurezza sono rispettate, mentre tutte le nuove applicazioni vengono lasciate libere di fare e il D+ ricorderà queste nuove azioni. Utile in caso abbiate problemi con una particolare applicazione e anche nel caso di GIOCHI ONLINE, la prima volta che giocate mettete D+ in apprendimento e lanciate il gioco, fatte le azioni fondamentali poi rimettete D+ al livello di sicurezza che usate normalmente. Le prossime volte che avviate il gioco D+ avendo appreso come trattarlo non dovrebbe più intervenire e lasciarvi quindi liberi di giocare. Da usare per pochi minuti e solo in caso di necessità. Poi tornate ad un livello di sicurezza più consono. PC Pulito: è lo stato di default,che abbiamo appena CIS viene installato quello che coniuga una sicurezza discreta con un numero di avvisi limitati. In questo caso Cis parte dall'idea che tutti gli applicativi presenti sul pc sono sicuri e quindi ne acconsente l'azione, interverrà solo per i nuovi applicativi che installerete. Lo consiglio brevemente per chi si avvicina a Comodo la prima volta oppure per chi sta installando applicazioni su un pc nuovo. Dopo poche ore o giorni è il caso di settare D+ in modo più stringente. PC Sicuro: è il livello che usa la maggioranza degli utenti di CIS, è quello che consigliamo un po' a tutti, anche ai neofiti dopo che sono stati un breve periodo in modalità PC Pulito . Il numero di avvisi crescerà ma siamo già capaci di rispondere “con criterio” ai pop-up. Le regole delle Policy sono applicate, i file che Comodo conosce come “Sicuri” vengono acconsentiti, per tutti gli altri il Defense ci chiederà cosa fare. Paranoico: D+ ci avviserà di ogni attività tranne che per le sole applicazioni presenti nell'elenco delle Policy di Sicurezza, conseguentemente il numero di avvisi cresce notevolmente. Si tratta di un settaggio per paranoici come me o per chi tratta malware dalla mattina alla sera, non consigliabile ai novizi, ma molti col tempo e la pratica sono arrivati a questo livello e non lo abbassano più. Le altre impostazioni presenti sono: Variazione del tempo di permanenza a video del pop-up. Fidati di applicazioni digitalmente firmate da autori di software sicuro: flaggato di default per mitigare i numero di avvisi. Comodo è leader nella gestione e creazione di certificati digitali quindi qui sfrutta questa tecnologia per determinare se una applicazione firmata digitalmente è rilasciata da un ente certificato e quindi sia sicura o meno. Se deselezionate l'opzione avrete qualche avviso in più. Blocca tutte le richieste sconosciute se l'applicazione è chiusa: nel caso CIS venga chiuso da noi, se questa opzione è stata scelta allora tutto quello che non è acconsentito nelle Policy verrà automaticamente bloccato. Da usare solo se credete che il pc sia infetto e per esigenze di controllo con altri programmi di sicurezza dovete disattivare CIS. Disattivare Permanentemente il D+: se il D+ è disabilitato lo avete sempre a disposizione, in questo caso se vorrete usare il D+ dovrete reinstallarlo. Crea regole per applicazioni sicure: se scelta l'opzione allora il D+ creerà automaticamente regole per le applicazioni sicure in “Policy di Sicurezza del Computer”. Sono sicuri gli applicativi firmati da chi è in “Produttori Software Fidati”, tutte le applicazioni in “File Potetti” , quelle che CIS internamente ha come lista di produttori fidati e che aggiorna ad ogni versione. Ora andate nella seconda scheda della finestra quella denominata “Aree di Controllo” e controllate che tutte le arre siano selezionate, cosa che è fatta di default ma meglio assicurarcene. Eccoci al consiglio di configurazione: A default: il Defense è su "PC Pulito" HARDENING OBBLIGATORIO: passare a “Sicuro”: vedete voi se fidarvi o meno degli Autori che fanno Firme Digitali certificate; se mettete il Blocco alle richieste quando CIS è chiuso allora ricordatevi di aver fatto questa scelta prima di dannarvi l'anima a capire perchè a CIS disattivato quel tale programma non funziona; consiglio di tenere il “Crea regole per applicazioni sicure” non selezionato e di sceglierlo solo se usando la modalità “Sicuro” la quantità di avvisi vi sembra troppo stressante, aiuta a mitigarne il numero e tutto sommato non diminuisce la sicurezza; Non considerare firme digitali certificate e non creare regole per applicazioni sicure vi porterà ad un numero di pop-up molto vicino a quello del livello Paranoico che è poi il livello che vorrei tutti possano padroneggiare un giorno per avere controllo assoluto del pc; in "Avanzate - Impostazioni di Controllo Esecuzione Immagine" come già detto portate il valore su "Aggressivo". Ho indicato queste azioni come un passo obbligatorio, ovvio che per un neofita ci vuole qualche giorno per abituarsi al programma e quindi resterà su “PC Pulito” più di noi che già conosciamo CIS, ma anche i principianti dovranno passare a questo stato per aumentare la sicurezza. Per chi è pratico di CIS consiglio di valutare anche il passaggio successivamente alla modalità “Paranoico”. __________________ Smartphone entro i 250 € - Huawei MateBook D 14" AMD Ryzen - Huawei Mobile Services Ultima modifica di Romagnolo1973 : 21-07-2010 alle 15:19.