Hardware Upgrade Forum - View Single Post

Romagnolo1973 · 14-09-2010, 20:24

DEFENSE+

il Defense+ è il modulo Hips che accompagna il Firewall di Comodo nella protezione del nostro sistema, monitorizza le parti principali del registro e ad ogni tentativo di modifica ci chiede cosa fare. Si tratta di uno strumento fondamentale visto che i malware hanno sempre bisogno di attivarsi e quindi di variare il registro, così facendo si rendono visibili all'HIPS che lo comunica all'utente, niente male quindi come difesa.

Seguiamo il canovaccio già intrapreso parlando del FW e quindi inizio con il mostrare l'avviso spiegandone i contenuti per poi passare a illustrare le funzioni del D+.

A: ci indica che è un avviso del Defense+, il suo colore rosso ci fa capire che si tratta di una scelta importante e che in base alle analisi euristiche la reputa pericolosa; se il suo colore fosse giallo allora sarebbe di pericolo inferiore, generalmente perché una delle applicazioni coinvolte è sicura.
B: ci indica i file o applicazioni coinvolte in questa azione, cliccando sui loro nomi in blu possiamo vedere dove sono allocati sul pc per farci una idea migliore su come agire.
C: il Defense ci da già una sua valutazione sul tipo di azione e ci suggerisce quasi cosa fare
D: abbiamo alcune azioni sostanzialmente analoghe a quelle già viste per il FW ovvero consentire, bloccare oppure trattarla come una modalità da scegliere dal menù a tendina.
E: in aggiunta alla scelta suddetta è possibile contemporaneamente inviare il tutto a Comodo (utile in caso di virus) e anche creare un punto di ripristino tramite l'apposita utility Microsoft (se l'avete attiva). Questo per salvaguardare l'integrità del vostro Windows se per esempio l'avviso nascesse da un malware e quindi successivamente dovesse “scatenarsi l'inferno”. Per chi avesse installato Comodo Time Machine allora, in luogo del punto di ripristino, si troverebbe la voce relativa al creare una immagine tramite TM.
F: mettendo il baffetto su “Ricorda la mia Risposta” facciamo in modo che CIS non ci avvisi nuovamente al ripetersi di questa situazione. Tra qualche giorno quindi, dopo aver aperto le applicazioni di uso maggiore, il numero di popup calerà.

Nella immagine sopra è possibile vedere anche come il D+ si interfaccia con la tecnologia sandbox che vedremo poi, CIS riesce ora tramite euristica a capire se una applicazione richiede privilegi elevati.
Si tratta di installer, Comodo ci fornisce varie informazioni, la prima è che il setup vuole avere permessi elevati, cosa normale poiché spesso i setup devono installare dei driver a livello del kernel nel sistema, ci avvisa anche chi è il creatore del setup . Notate la differenza tra i 2 avvisi della immagine, quello rosso è dato da una applicazione non firmata, quindi pericolosissima (i virus al 99% non hanno firme digitali e se le hanno le hanno contraffatte), quella gialla è di pericolo minore poiché come si legge il produttore è conosciuto avendo firma digitale ma però non è tra quelli della WhiteList di Comodo. Possiamo dire a CIS di considerare fidato il produttore (in questo caso l’avviso cambia e il tasto sandbox scompare), oppure semplicemente dare “consenti” e alla prossima occasione il pop-up ricomparirà.
Se non siamo sicuri della provenienza del file il tasto “Sandbox” ci viene in aiuto, l’applicazione girerà recintata secondo le impostazioni che vedremo nel prossimo post
Da notare che se diamo il comando “Fidati sempre del produttore di questo file” allora il nome del produttore (in questo caso Returnil Software) apparirà in fondo alla lista che è in “Defense+ - Policy Sicurezza del Computer – Autori Software Fidati.
Se non si risponde all'avviso di default Comodo blocca l'azione oggetto della richiesta.

Analizziamo ora in dettaglio le varie opzioni disponibili per il D+:

Eventi Defense+: analogamente alla funzione vista per il FW, qui trovate l'elenco delle azioni svolte dall'Hips. Cliccando sul tasto in basso “Altro” avete accesso alla vera sezione di log di tutta la suite Cis, dettagliatissima e con possibilità anche di usare filtri. La abbiamo già vista parlando degli eventi del Firewall quindi non mi dilungo oltre.
Processi Attivi: è la lista dei processi in questo momento attivi sul pc. Da notare che cliccando col tasto destro su un processo possiamo terminarlo, terminarlo e bloccarlo col d+, analizzarlo via cloud …
File Sicuri: qui trovate la lista dei file con cui tramite popup abbiamo istruito il D+ perché li tratti come sicuri. In questo elenco vengono inseriti anche i file *.exe e i setup che la SandBox di CIS non conosce e a cui noi al suo avviso diciamo di eseguire comunque fuori dal "recinto". Possiamo aggiungere non solo un file come avviene rispondendo ad un popup ma anche intere cartelle, spostarli in “file non riconosciuti” o bloccarli, rimuoverli dalla lista (ma non eliminarli dal pc) o pulire la tabella da vecchie voci non più presenti nel computer.
Avvia un Programma nella Sandbox: ne parleremo nel prossimo post.
File non Riconosciuti: qui finiscono i file che l’euristica di CIS non conosce, quelli che hanno un certificato che CIS no ha in lista. Se vi ricordate l’avviso del D+ a inizio post, quello relativo a Returnil, ecco ora quel setup si trova in questa sezione proprio a causa di quanto appena detto. Possiamo inserire file o cartelle, spastare gli elementi in “File Sicuri” o bloccarli. Il tasto Controlla fa un check online se fosse stato aggiunto alla lista Master che Comodo ha sui server e che si aggiornerà sui pc ad ogni cambio versione (quindi la nostra lista in locale potrebbe essere non aggiornata), se l’esito è negativo allora CIS ci chiede di inviarlo a loro per analizzarlo. Stessa cosa se si clicca su “Invia”. Attenzione, “Elimina File” elimina definitivamente il file dal pc, quindi cautela. “Pulisci” aggiorna la lista cancellando dalla tabella le voci non più a sistema.
Impostazioni Defence+ : questa è, assieme alla prossima, la finestra principale del D+. Da qui si setta il nostro Hips per avere la migliore sicurezza possibile.
- Impostazioni Generali:
  
  Le modalità di sicurezza del D+ sono:
  - Disabilitato: il D+ non è attivo quindi nessun avviso a video, in questo stato anche il controllo esecuzione è esso stesso disattivato.
  - Apprendimento: le regole presenti nelle Policy di sicurezza sono rispettate, mentre tutte le nuove applicazioni vengono lasciate libere di fare e il D+ ricorderà queste nuove azioni. Da usare per pochi minuti e solo in caso di necessità. Poi tornate ad un livello di sicurezza più consono.
  - PC Pulito: è lo stato di default che abbiamo appena CIS viene installato, quello che coniuga una sicurezza discreta con un numero di avvisi limitati. In questo caso Cis parte dall'idea che tutti gli applicativi presenti sul pc sono sicuri e quindi ne acconsente l'azione, interverrà solo per i nuovi applicativi che installerete. Gli elementi presenti in “File non Riconosciuti” sono comunque monitorati. Lo consiglio brevemente per chi si avvicina a Comodo la prima volta oppure per chi ha un pc nuovo ed è sicuro sia privo di virus e da quello stato parte installando i suoi programmi. Dopo poche ore o giorni è il caso di settare D+ in modo più stringente.
  - Sicuro: è il livello che usa la maggioranza degli utenti di CIS, è quello che consigliamo un po' a tutti, anche ai neofiti dopo che sono stati un breve periodo in modalità PC Pulito . Il numero di avvisi crescerà ma siamo già capaci di rispondere “con criterio” ai pop-up.
    Le regole delle Policy sono applicate, i file che Comodo conosce come “Sicuri” vengono acconsentiti, per tutti gli altri il Defense ci chiederà cosa fare.
  - Paranoico: D+ ci avviserà di ogni attività tranne che per le sole applicazioni presenti nell'elenco delle Policy di Sicurezza, conseguentemente il numero di avvisi cresce notevolmente. Si tratta di un settaggio per paranoici come me o per chi tratta malware dalla mattina alla sera, non consigliabile ai novizi, ma molti col tempo e la pratica sono arrivati a questo livello e non lo abbassano più.
  Le altre impostazioni presenti sono:
  - Variazione del tempo di permanenza a video del pop-up: di default è 120 secondi, soprattutto se siete nuovi utenti potete aumentarlo a 180, avrete più tempo per rispondere al popup. Se non si sceglie entro la tempistica e la finestra scompare allora il D+ blocca l’azione senza ricordarla.
  - Blocca richieste sconosciute con l'applicazione chiusa: nel caso CIS venga chiuso da noi o da un malware, se questa opzione è stata scelta allora tutto quello che non è acconsentito nelle Policy verrà automaticamente bloccato. Da usare solo se credete che il pc sia infetto e per esigenze di controllo con altri programmi di sicurezza dovete disattivare CIS.
  - Abilità modalità adattativa se con basse risorse di sistema: in alcune circostanze se il pc ha un alto carico di ram usata (tipico di malware nel sistema) CIS potrebbe risultare lento o privo di alcune funzioni, attivando questa opzione CIS riesce comunque a reperire risorse per il suo pieno utilizzo. Poichè potrebbe rallentare il comparire dei pop-up e la reattività di Comodo è una opzione da scegliere solo se si installa su computer che sapete essere già infettati da malware.
  - Disattivare Permanentemente il D+: se il D+ è disabilitato lo avete sempre a disposizione, in questo caso se vorrete usare il D+ dovrete reinstallarlo.
  - Crea regole per applicazioni sicure: se scelta l'opzione allora il D+ creerà automaticamente regole per le applicazioni sicure e le mostrerà in “Policy di Sicurezza del Computer”. Sono sicuri gli applicativi firmati da chi è in “Produttori Software Fidati”, tutte le applicazioni in “File Potetti” , quelle che Comodo ha internamente come Master List di produttori fidati e che poi aggiorna ad ogni versione sui nostri pc. Scegliete l’opzione solo se il numero di avvisi vi sembra eccessivo.
  - Non mostrare gli avvisi: in questo caso il d+ è attivo ma non da popup, si può scegliere se il Defense debba acconsentire tutto o bloccare tutto.
  - Abilità la modalità di protezione avanzata: novità della versione 5.8, sinceramente non hanno spiegato a cosa serva ma solo che aiuta i sistemi a 64bit ad essere protetti quasi quanto quelli a 32bit, quindi è da attivare (a default non lo è) per chi ha windows 64bit, mentre per chi è a 32 direi lasciate disattivato. Se notaste problemi disabilitatelo.
- Impostazioni Controllo Esecuzione : consente al D+ di controllare l'hash degli eseguibili prima che vengano caricati, li confronta con la sua lista interna di software sicuri per evitare che quell'exe sia diverso, sia stato manipolato. Deve restare abilitato.
  
  Le altre opzioni presenti sono:
  - Tratta i file non riconosciuti come: diciamo a CIS come comportarsi con i file che non vengono riconosciuti dal Controllo Esecuzione. Le scelte possibili vanno dal valore di default "Parzialmente Limitato" fino al Blocco totale, le sfumature tra questi stati sono spiegati nel prossimo post sulla Sandbox visto che sono gli stessi. A default un programma sconosciuto riesce a girare al 90% delle sue capiacità, avendo precluso solo il poter modificare i valori di registro protetti, su blocca invece il programma non si avvia non avendo alcun permesso. Io consiglio di provare a tenere il valore su Bloccato ma in questo caso dovete ricordarvi che ogni nuovo eseguibile beta, sperimentale, poco conosciuto verrà bloccato da CIS dandovi un messaggio analogo a quello della immagine 1 sotto.
    Per sbloccare il file se siete sicuri della sua bontà dovete agire come nella sezione 2 dell'immagine stessa.
    
    Se si utilizza questo metodo io francamente non vedo la necessità di tenere la SandBox su Blocca per esempio, i due sistemi di protezione vanno a sovrapporsi, in questo caso disabiliterei la SB, ed utlizzerei questa funzione di, passatemi il termine, Hash Blocker che trovo molto valida; se anche agendo come da immagine sopra D+ continua a bloccarlo (poichè vi sono molti file relativi al processo sconosciuto) allora mettete temporaneamente il controllo esecuzione su Parzialmente Limitato, svolgete le operazioni e una volta fatto riportatelo su Bloccato.
  - Effettua una analisi euristica da riga di comando: controlla il comportamento di certi script visual basic o java quali wscript.exe, cmd.exe, java.exe, javaw.exe. Tenetela attiva.
  - Effettua una analisi del comportamento Cloud Based per i file non riconosciuti: gli elementi presenti nella sezione “File non Riconosciuti” vengono inviati ai server del “Comodo Instant Malware Analysis” (CIMA) per una analisi del loro comportamento; vengono studiati su una macchina virtuale e il responso rispedito al nostro pc entro 15 minuti. Se risulta sicuro allora può eseguirsi, se malevolo invece verrà eliminato e inserito nelle firme virali dell’Antivirus. Quel famosi setup di Returnil di cui all’avviso a inizio post è stato analizzato ed essendo sicuro ora non è più presente nella lista dei non riconosciuti ma è stato spostato autonomamente in “Regole D+” con una policy personalizzata. Attivate l’opzione. Solo chi ha una internet a consumo (Internet Key) deve disattivarlo o finirà presto il credito. Ecco di seguito un avviso scaturito da questo controllo in Cloud:
  - Scansiona automaticamente in Cloud i file non riconosciuti: gli elementi presenti in “File non Riconosciuti” vengono inviati automaticamente a Comodo per controllare sulla “Master List” presente su server se quel programma è ora nella “white list” dei sicuri o no. Se presente il prodotto è sicuro e CIS si comporterà di conseguenza, se non presente CIS attenderà il verdetto del CIMA di cui alla opzione precedente. Attivate l’opzione. Solo chi ha una internet a consumo (Internet Key) deve disattivarlo.
  - Rileva attacchi di tipo Shellcode Injection: controlla gli eseguibili presenti anche nella cache proteggendo dal c.d. Buffer Overflow ovvero un eseguibile che impegna la cache così tanto da bloccare il pc ed usare questo momento di difficoltà per iniettare virus nel sistema. Possiamo escludere certi file da questo controllo volendo. Tenetelo abilitato.
- Parametri Sandbox: ne parleremo nel prossimo post.
- Aree di Controllo: controllate che tutte le arre siano selezionate, cosa che è fatta di default se siete in Proactive Security ma meglio assicurarcene.
Policy di Sicurezza del Computer: ci permette di modificare, aggiungere, cancellare o aggiornare le regole fatte per il nostro Hips sulle singole applicazioni del pc. Alcune applicazioni di sistema sono già state preimpostate da Comodo come per esempio gli update Microsoft che sono trattati di default come “Installazione o Aggiornamento” per evitarci molti pop-up in futuro.
1. Regole Defense+: nella tabella sono presenti i programmi monitorati e come vengono trattati dall’Hips.
  Cliccando in una delle applicazioni presenti in elenco andiamo a modificare il comportamento del D+ nei suoi confronti.
  1. Usa Policy Predefinita tra quelle presenti nel menù a tendina.
    Nel caso in figura essendo Prevx un prodotto di sicurezza potremmo anche trattarlo come “Applicazione Sicura”, in quel caso il D+ non ci informerà più con avvisi a video per ogni azione svolta dal programma antimalware considerandolo sicuro.
  2. Usa Policy Personalizzata si compone di 2 specchietti specifici. In Diritti di Accesso si imposta come D+ dovrà comportarsi circa l’azione richiamata a destra della tabella (chiedi, blocca, acconsenti) ed impostare anche una eccezione specifica. In Impostazioni di Protezione si determina invece se si vuole proteggere o meno l’applicazione nei confronti di determinate azioni svolte su di lei da altri processi
    
    Personalizzare le Policy è comunque cosa riservata ai soli utenti esperti, le impostazioni predefinite che il D+ ci offre sono quelle ideali per praticamente tutti gli utenti e tutti gli eventi.
2. Policy Predefinite: sono quelle che possiamo andare a scegliere nel menù a tendina degli avvisi a video. Quelle preconfigurate da CIS sono le più comuni e coprono il 99% dei casi:
  - Applicazione Sicura: in questo caso il D+ lascerà l'applicazione libera di agire sul nostro sistema limitando i pop-up al solo caso in cui questa applicazione vada a lanciarne un'altra . Da settare se volete solo per i programmi davvero attendibili come per esempio i programmi di sicurezza (a patto di averli scaricati dal sito del produttore).
  - Applicazione di Sistema: associate di default da Cis alle applicazioni interne di sistema operativo per evitare all'utente di rispondere a mille avvisi, il Defense resterà muto ad ogni azione svolta da questi applicativi. Inutile dire che dare questi super permessi ad una applicazione che non sia di sistema è pericoloso e sbagliato.
  - Applicazione Isolata: praticamente è un blocco totale di quell'applicazione, utile nel caso sia un malware. Impedisce al processo di girare sul pc.
  - Applicazione Limitata: per monitorare una applicazione di cui nutriamo dubbi. Praticamente blocca alcune azioni (tipicamente gli accessi al registro) e per altre chiede all'utente se consentirli.
  - Installazione o Aggiornamento: curiosamente non è presente in lista ma è comunque sempre la prima opzione presente nei pop-up. Poiché come abbiamo visto CIS ora riesce spesso autonomamente a distinguere i setup. Non è modificabile e per questo non è nominata qui Con questa scelta consentiremo all'eseguibile di effettuare il suo lavoro di installazione o di upgrade senza dover rispondere a molti avvisi, consiglio di non mettere però mai il “Ricorda” se si sceglie questa modalità.
  Ovviamente si possono creare regole personali andando ad aggiungerle ma sono comunque cose riservate ad utenti esperti e che esulano dalla finalità di questa guida.
3. Sandboxa Sempre: ne parleremo nel prossimo post.
4. File Bloccati: è possibile aggiungere file o cartelle in questa sezione, così il Defense bloccherà ogni azione che vorranno intraprendere. Attenzione al tasto “Elimina File” perché lo cancella dal sistema.
5. File e Cartelle Protette: elenco dei file e cartelle di sistema che sono monitorate dal D+. Possiamo aggiungerne di nuove (come per esempio il file host (c:\windows\system32\drivers\etc\hosts) , le altre applicazioni possono leggere quel file ma e se vogliono modificarlo allora avremo un avviso da parte del D+.
6. Chiavi di Registro Protette: idem come sopra ma relativo al registro di sistema. Aggiunte o modifiche sono riservate ad utenti molto esperti.
7. Interfacce COM Protette: :le COM (Component Object Model) sono modelli comportamentali creati da Microsoft per stabilire come le applicazioni devono interagire tra loro. Qui possiamo aggiungere singole COM o gruppi. Settaggi che lasciamo ai super-esperti.
8. Autori Software Fidati: ecco la lista dei produttori conosciuti e fidati, possiamo andare ad aggiungerne altri e rimpolparla, ovviamente dovete avere certezza che sia davvero “safe”. Se invece volete eliminare tale lista in pochi click allora guardate l'apposito quesito nelle FAQ.

Eccoci al consiglio di configurazione:

A default: il Defense è su "PC Pulito"
HARDENING OBBLIGATORIO:

passare a “Sicuro”:
se mettete il Blocco alle richieste quando CIS è chiuso allora ricordatevi di aver fatto questa scelta prima di dannarvi l'anima a capire perchè a CIS disattivato quel tale programma non funziona;
“Crea regole per applicazioni sicure” non selezionato;
per chi è pratico di CIS valutare anche il passaggio successivamente alla modalità “Paranoico”.

Come diminuire gli avvisi ? Rimanendo in "Sicuro" selezionate "Crea regole per applicazioni sicure".

Se non siete neofiti di Comodo e seguite la sua traiettoria da qualche anno, allora potreste preferire una gestione del Defense più vicina a quella del passato, ovvero settandolo come un vero Hips puro senza tutte le nuove funzioni atte a ridurre gli avvisi, ecco come fare:

Clicca qui per Defense+ con settaggi OLD STYLE by Cloutz

14-09-2010, 20:24	#4
Romagnolo1973 Senior Member Iscritto dal: Nov 2005 Città: Cervia (RA) Messaggi: 16842	DEFENSE+ il Defense+ è il modulo Hips che accompagna il Firewall di Comodo nella protezione del nostro sistema, monitorizza le parti principali del registro e ad ogni tentativo di modifica ci chiede cosa fare. Si tratta di uno strumento fondamentale visto che i malware hanno sempre bisogno di attivarsi e quindi di variare il registro, così facendo si rendono visibili all'HIPS che lo comunica all'utente, niente male quindi come difesa. Seguiamo il canovaccio già intrapreso parlando del FW e quindi inizio con il mostrare l'avviso spiegandone i contenuti per poi passare a illustrare le funzioni del D+. A: ci indica che è un avviso del Defense+, il suo colore rosso ci fa capire che si tratta di una scelta importante e che in base alle analisi euristiche la reputa pericolosa; se il suo colore fosse giallo allora sarebbe di pericolo inferiore, generalmente perché una delle applicazioni coinvolte è sicura. B: ci indica i file o applicazioni coinvolte in questa azione, cliccando sui loro nomi in blu possiamo vedere dove sono allocati sul pc per farci una idea migliore su come agire. C: il Defense ci da già una sua valutazione sul tipo di azione e ci suggerisce quasi cosa fare D: abbiamo alcune azioni sostanzialmente analoghe a quelle già viste per il FW ovvero consentire, bloccare oppure trattarla come una modalità da scegliere dal menù a tendina. E: in aggiunta alla scelta suddetta è possibile contemporaneamente inviare il tutto a Comodo (utile in caso di virus) e anche creare un punto di ripristino tramite l'apposita utility Microsoft (se l'avete attiva). Questo per salvaguardare l'integrità del vostro Windows se per esempio l'avviso nascesse da un malware e quindi successivamente dovesse “scatenarsi l'inferno”. Per chi avesse installato Comodo Time Machine allora, in luogo del punto di ripristino, si troverebbe la voce relativa al creare una immagine tramite TM. F: mettendo il baffetto su “Ricorda la mia Risposta” facciamo in modo che CIS non ci avvisi nuovamente al ripetersi di questa situazione. Tra qualche giorno quindi, dopo aver aperto le applicazioni di uso maggiore, il numero di popup calerà. Nella immagine sopra è possibile vedere anche come il D+ si interfaccia con la tecnologia sandbox che vedremo poi, CIS riesce ora tramite euristica a capire se una applicazione richiede privilegi elevati. Si tratta di installer, Comodo ci fornisce varie informazioni, la prima è che il setup vuole avere permessi elevati, cosa normale poiché spesso i setup devono installare dei driver a livello del kernel nel sistema, ci avvisa anche chi è il creatore del setup . Notate la differenza tra i 2 avvisi della immagine, quello rosso è dato da una applicazione non firmata, quindi pericolosissima (i virus al 99% non hanno firme digitali e se le hanno le hanno contraffatte), quella gialla è di pericolo minore poiché come si legge il produttore è conosciuto avendo firma digitale ma però non è tra quelli della WhiteList di Comodo. Possiamo dire a CIS di considerare fidato il produttore (in questo caso l’avviso cambia e il tasto sandbox scompare), oppure semplicemente dare “consenti” e alla prossima occasione il pop-up ricomparirà. Se non siamo sicuri della provenienza del file il tasto “Sandbox” ci viene in aiuto, l’applicazione girerà recintata secondo le impostazioni che vedremo nel prossimo post Da notare che se diamo il comando “Fidati sempre del produttore di questo file” allora il nome del produttore (in questo caso Returnil Software) apparirà in fondo alla lista che è in “Defense+ - Policy Sicurezza del Computer – Autori Software Fidati. Se non si risponde all'avviso di default Comodo blocca l'azione oggetto della richiesta. Analizziamo ora in dettaglio le varie opzioni disponibili per il D+: Eventi Defense+: analogamente alla funzione vista per il FW, qui trovate l'elenco delle azioni svolte dall'Hips. Cliccando sul tasto in basso “Altro” avete accesso alla vera sezione di log di tutta la suite Cis, dettagliatissima e con possibilità anche di usare filtri. La abbiamo già vista parlando degli eventi del Firewall quindi non mi dilungo oltre. Processi Attivi: è la lista dei processi in questo momento attivi sul pc. Da notare che cliccando col tasto destro su un processo possiamo terminarlo, terminarlo e bloccarlo col d+, analizzarlo via cloud … File Sicuri: qui trovate la lista dei file con cui tramite popup abbiamo istruito il D+ perché li tratti come sicuri. In questo elenco vengono inseriti anche i file .exe e i setup che la SandBox di CIS non conosce e a cui noi al suo avviso diciamo di eseguire comunque fuori dal "recinto". Possiamo aggiungere non solo un file come avviene rispondendo ad un popup ma anche intere cartelle, spostarli in “file non riconosciuti” o bloccarli, rimuoverli dalla lista (ma non eliminarli dal pc) o pulire la tabella da vecchie voci non più presenti nel computer. Avvia un Programma nella Sandbox: ne parleremo nel prossimo post. File non Riconosciuti: qui finiscono i file che l’euristica di CIS non conosce, quelli che hanno un certificato che CIS no ha in lista. Se vi ricordate l’avviso del D+ a inizio post, quello relativo a Returnil, ecco ora quel setup si trova in questa sezione proprio a causa di quanto appena detto. Possiamo inserire file o cartelle, spastare gli elementi in “File Sicuri” o bloccarli. Il tasto Controlla fa un check online se fosse stato aggiunto alla lista Master che Comodo ha sui server e che si aggiornerà sui pc ad ogni cambio versione (quindi la nostra lista in locale potrebbe essere non aggiornata), se l’esito è negativo allora CIS ci chiede di inviarlo a loro per analizzarlo. Stessa cosa se si clicca su “Invia”. Attenzione, “Elimina File” elimina definitivamente il file dal pc, quindi cautela. “Pulisci” aggiorna la lista cancellando dalla tabella le voci non più a sistema. Impostazioni Defence+* : questa è, assieme alla prossima, la finestra principale del D+. Da qui si setta il nostro Hips per avere la migliore sicurezza possibile. Impostazioni Generali: Le modalità di sicurezza del D+ sono: Disabilitato: il D+ non è attivo quindi nessun avviso a video, in questo stato anche il controllo esecuzione è esso stesso disattivato. Apprendimento: le regole presenti nelle Policy di sicurezza sono rispettate, mentre tutte le nuove applicazioni vengono lasciate libere di fare e il D+ ricorderà queste nuove azioni. Da usare per pochi minuti e solo in caso di necessità. Poi tornate ad un livello di sicurezza più consono. PC Pulito: è lo stato di default che abbiamo appena CIS viene installato, quello che coniuga una sicurezza discreta con un numero di avvisi limitati. In questo caso Cis parte dall'idea che tutti gli applicativi presenti sul pc sono sicuri e quindi ne acconsente l'azione, interverrà solo per i nuovi applicativi che installerete. Gli elementi presenti in “File non Riconosciuti” sono comunque monitorati. Lo consiglio brevemente per chi si avvicina a Comodo la prima volta oppure per chi ha un pc nuovo ed è sicuro sia privo di virus e da quello stato parte installando i suoi programmi. Dopo poche ore o giorni è il caso di settare D+ in modo più stringente. Sicuro: è il livello che usa la maggioranza degli utenti di CIS, è quello che consigliamo un po' a tutti, anche ai neofiti dopo che sono stati un breve periodo in modalità PC Pulito . Il numero di avvisi crescerà ma siamo già capaci di rispondere “con criterio” ai pop-up. Le regole delle Policy sono applicate, i file che Comodo conosce come “Sicuri” vengono acconsentiti, per tutti gli altri il Defense ci chiederà cosa fare. Paranoico: D+ ci avviserà di ogni attività tranne che per le sole applicazioni presenti nell'elenco delle Policy di Sicurezza, conseguentemente il numero di avvisi cresce notevolmente. Si tratta di un settaggio per paranoici come me o per chi tratta malware dalla mattina alla sera, non consigliabile ai novizi, ma molti col tempo e la pratica sono arrivati a questo livello e non lo abbassano più. Le altre impostazioni presenti sono: Variazione del tempo di permanenza a video del pop-up: di default è 120 secondi, soprattutto se siete nuovi utenti potete aumentarlo a 180, avrete più tempo per rispondere al popup. Se non si sceglie entro la tempistica e la finestra scompare allora il D+ blocca l’azione senza ricordarla. Blocca richieste sconosciute con l'applicazione chiusa: nel caso CIS venga chiuso da noi o da un malware, se questa opzione è stata scelta allora tutto quello che non è acconsentito nelle Policy verrà automaticamente bloccato. Da usare solo se credete che il pc sia infetto e per esigenze di controllo con altri programmi di sicurezza dovete disattivare CIS. Abilità modalità adattativa se con basse risorse di sistema: in alcune circostanze se il pc ha un alto carico di ram usata (tipico di malware nel sistema) CIS potrebbe risultare lento o privo di alcune funzioni, attivando questa opzione CIS riesce comunque a reperire risorse per il suo pieno utilizzo. Poichè potrebbe rallentare il comparire dei pop-up e la reattività di Comodo è una opzione da scegliere solo se si installa su computer che sapete essere già infettati da malware. Disattivare Permanentemente il D+: se il D+ è disabilitato lo avete sempre a disposizione, in questo caso se vorrete usare il D+ dovrete reinstallarlo. Crea regole per applicazioni sicure: se scelta l'opzione allora il D+ creerà automaticamente regole per le applicazioni sicure e le mostrerà in “Policy di Sicurezza del Computer”. Sono sicuri gli applicativi firmati da chi è in “Produttori Software Fidati”, tutte le applicazioni in “File Potetti” , quelle che Comodo ha internamente come Master List di produttori fidati e che poi aggiorna ad ogni versione sui nostri pc. Scegliete l’opzione solo se il numero di avvisi vi sembra eccessivo. Non mostrare gli avvisi: in questo caso il d+ è attivo ma non da popup, si può scegliere se il Defense debba acconsentire tutto o bloccare tutto. Abilità la modalità di protezione avanzata: novità della versione 5.8, sinceramente non hanno spiegato a cosa serva ma solo che aiuta i sistemi a 64bit ad essere protetti quasi quanto quelli a 32bit, quindi è da attivare (a default non lo è) per chi ha windows 64bit, mentre per chi è a 32 direi lasciate disattivato. Se notaste problemi disabilitatelo. Impostazioni Controllo Esecuzione : consente al D+ di controllare l'hash degli eseguibili prima che vengano caricati, li confronta con la sua lista interna di software sicuri per evitare che quell'exe sia diverso, sia stato manipolato. Deve restare abilitato. Le altre opzioni presenti sono: Tratta i file non riconosciuti come: diciamo a CIS come comportarsi con i file che non vengono riconosciuti dal Controllo Esecuzione. Le scelte possibili vanno dal valore di default "Parzialmente Limitato" fino al Blocco totale, le sfumature tra questi stati sono spiegati nel prossimo post sulla Sandbox visto che sono gli stessi. A default un programma sconosciuto riesce a girare al 90% delle sue capiacità, avendo precluso solo il poter modificare i valori di registro protetti, su blocca invece il programma non si avvia non avendo alcun permesso. Io consiglio di provare a tenere il valore su Bloccato ma in questo caso dovete ricordarvi che ogni nuovo eseguibile beta, sperimentale, poco conosciuto verrà bloccato da CIS dandovi un messaggio analogo a quello della immagine 1 sotto. Per sbloccare il file se siete sicuri della sua bontà dovete agire come nella sezione 2 dell'immagine stessa. Se si utilizza questo metodo io francamente non vedo la necessità di tenere la SandBox su Blocca per esempio, i due sistemi di protezione vanno a sovrapporsi, in questo caso disabiliterei la SB, ed utlizzerei questa funzione di, passatemi il termine, Hash Blocker che trovo molto valida; se anche agendo come da immagine sopra D+ continua a bloccarlo (poichè vi sono molti file relativi al processo sconosciuto) allora mettete temporaneamente il controllo esecuzione su Parzialmente Limitato, svolgete le operazioni e una volta fatto riportatelo su Bloccato. Effettua una analisi euristica da riga di comando: controlla il comportamento di certi script visual basic o java quali wscript.exe, cmd.exe, java.exe, javaw.exe. Tenetela attiva. Effettua una analisi del comportamento Cloud Based per i file non riconosciuti: gli elementi presenti nella sezione “File non Riconosciuti” vengono inviati ai server del “Comodo Instant Malware Analysis” (CIMA) per una analisi del loro comportamento; vengono studiati su una macchina virtuale e il responso rispedito al nostro pc entro 15 minuti. Se risulta sicuro allora può eseguirsi, se malevolo invece verrà eliminato e inserito nelle firme virali dell’Antivirus. Quel famosi setup di Returnil di cui all’avviso a inizio post è stato analizzato ed essendo sicuro ora non è più presente nella lista dei non riconosciuti ma è stato spostato autonomamente in “Regole D+” con una policy personalizzata. Attivate l’opzione. Solo chi ha una internet a consumo (Internet Key) deve disattivarlo o finirà presto il credito. Ecco di seguito un avviso scaturito da questo controllo in Cloud: Scansiona automaticamente in Cloud i file non riconosciuti: gli elementi presenti in “File non Riconosciuti” vengono inviati automaticamente a Comodo per controllare sulla “Master List” presente su server se quel programma è ora nella “white list” dei sicuri o no. Se presente il prodotto è sicuro e CIS si comporterà di conseguenza, se non presente CIS attenderà il verdetto del CIMA di cui alla opzione precedente. Attivate l’opzione. Solo chi ha una internet a consumo (Internet Key) deve disattivarlo. Rileva attacchi di tipo Shellcode Injection: controlla gli eseguibili presenti anche nella cache proteggendo dal c.d. Buffer Overflow ovvero un eseguibile che impegna la cache così tanto da bloccare il pc ed usare questo momento di difficoltà per iniettare virus nel sistema. Possiamo escludere certi file da questo controllo volendo. Tenetelo abilitato. Parametri Sandbox: ne parleremo nel prossimo post. Aree di Controllo: controllate che tutte le arre siano selezionate, cosa che è fatta di default se siete in Proactive Security ma meglio assicurarcene. Policy di Sicurezza del Computer: ci permette di modificare, aggiungere, cancellare o aggiornare le regole fatte per il nostro Hips sulle singole applicazioni del pc. Alcune applicazioni di sistema sono già state preimpostate da Comodo come per esempio gli update Microsoft che sono trattati di default come “Installazione o Aggiornamento” per evitarci molti pop-up in futuro. Regole Defense+: nella tabella sono presenti i programmi monitorati e come vengono trattati dall’Hips. Cliccando in una delle applicazioni presenti in elenco andiamo a modificare il comportamento del D+ nei suoi confronti. Usa Policy Predefinita tra quelle presenti nel menù a tendina. Nel caso in figura essendo Prevx un prodotto di sicurezza potremmo anche trattarlo come “Applicazione Sicura”, in quel caso il D+ non ci informerà più con avvisi a video per ogni azione svolta dal programma antimalware considerandolo sicuro. Usa Policy Personalizzata si compone di 2 specchietti specifici. In Diritti di Accesso si imposta come D+ dovrà comportarsi circa l’azione richiamata a destra della tabella (chiedi, blocca, acconsenti) ed impostare anche una eccezione specifica. In Impostazioni di Protezione si determina invece se si vuole proteggere o meno l’applicazione nei confronti di determinate azioni svolte su di lei da altri processi Personalizzare le Policy è comunque cosa riservata ai soli utenti esperti, le impostazioni predefinite che il D+ ci offre sono quelle ideali per praticamente tutti gli utenti e tutti gli eventi. Policy Predefinite: sono quelle che possiamo andare a scegliere nel menù a tendina degli avvisi a video. Quelle preconfigurate da CIS sono le più comuni e coprono il 99% dei casi: Applicazione Sicura: in questo caso il D+ lascerà l'applicazione libera di agire sul nostro sistema limitando i pop-up al solo caso in cui questa applicazione vada a lanciarne un'altra . Da settare se volete solo per i programmi davvero attendibili come per esempio i programmi di sicurezza (a patto di averli scaricati dal sito del produttore). Applicazione di Sistema: associate di default da Cis alle applicazioni interne di sistema operativo per evitare all'utente di rispondere a mille avvisi, il Defense resterà muto ad ogni azione svolta da questi applicativi. Inutile dire che dare questi super permessi ad una applicazione che non sia di sistema è pericoloso e sbagliato. Applicazione Isolata: praticamente è un blocco totale di quell'applicazione, utile nel caso sia un malware. Impedisce al processo di girare sul pc. Applicazione Limitata: per monitorare una applicazione di cui nutriamo dubbi. Praticamente blocca alcune azioni (tipicamente gli accessi al registro) e per altre chiede all'utente se consentirli. Installazione o Aggiornamento: curiosamente non è presente in lista ma è comunque sempre la prima opzione presente nei pop-up. Poiché come abbiamo visto CIS ora riesce spesso autonomamente a distinguere i setup. Non è modificabile e per questo non è nominata qui Con questa scelta consentiremo all'eseguibile di effettuare il suo lavoro di installazione o di upgrade senza dover rispondere a molti avvisi, consiglio di non mettere però mai il “Ricorda” se si sceglie questa modalità. Ovviamente si possono creare regole personali andando ad aggiungerle ma sono comunque cose riservate ad utenti esperti e che esulano dalla finalità di questa guida. Sandboxa Sempre: ne parleremo nel prossimo post. File Bloccati: è possibile aggiungere file o cartelle in questa sezione, così il Defense bloccherà ogni azione che vorranno intraprendere. Attenzione al tasto “Elimina File” perché lo cancella dal sistema. File e Cartelle Protette: elenco dei file e cartelle di sistema che sono monitorate dal D+. Possiamo aggiungerne di nuove (come per esempio il file host (c:\windows\system32\drivers\etc\hosts) , le altre applicazioni possono leggere quel file ma e se vogliono modificarlo allora avremo un avviso da parte del D+. Chiavi di Registro Protette: idem come sopra ma relativo al registro di sistema. Aggiunte o modifiche sono riservate ad utenti molto esperti. Interfacce COM Protette: :le COM (Component Object Model) sono modelli comportamentali creati da Microsoft per stabilire come le applicazioni devono interagire tra loro. Qui possiamo aggiungere singole COM o gruppi. Settaggi che lasciamo ai super-esperti. Autori Software Fidati: ecco la lista dei produttori conosciuti e fidati, possiamo andare ad aggiungerne altri e rimpolparla, ovviamente dovete avere certezza che sia davvero “safe”. Se invece volete eliminare tale lista in pochi click allora guardate l'apposito quesito nelle FAQ. Eccoci al consiglio di configurazione: A default: il Defense è su "PC Pulito" HARDENING OBBLIGATORIO: passare a “Sicuro”: se mettete il Blocco alle richieste quando CIS è chiuso allora ricordatevi di aver fatto questa scelta prima di dannarvi l'anima a capire perchè a CIS disattivato quel tale programma non funziona; “Crea regole per applicazioni sicure” non selezionato; per chi è pratico di CIS valutare anche il passaggio successivamente alla modalità “Paranoico”. Come diminuire gli avvisi ? Rimanendo in "Sicuro" selezionate "Crea regole per applicazioni sicure". Se non siete neofiti di Comodo e seguite la sua traiettoria da qualche anno, allora potreste preferire una gestione del Defense più vicina a quella del passato, ovvero settandolo come un vero Hips puro senza tutte le nuove funzioni atte a ridurre gli avvisi, ecco come fare: Clicca qui per Defense+ con settaggi OLD STYLE by Cloutz __________________ Smartphone entro i 250 € - Huawei MateBook D 14" AMD Ryzen - Huawei Mobile Services Ultima modifica di Romagnolo1973 : 17-02-2012 alle 08:54.