COMODO Internet Security

[done75]

Quote:

Originariamente inviato da done75

eccomi,stavo cercando una spiegazione nel manuale del CIS:

(* = all files in this directory)

Quote:

Originariamente inviato da cloutz

-------------------------------------

vediamo se così è più chiaro(prima avevo solo tratto un breve pezzo del manuale per spiegare l'asterisco che di fatto serve SOLO ad includere ogni file della dir nella regola)

[nV 25]

Quote:

Originariamente inviato da cloutz

-------------------------------------
tornando al discorso di nV...

-Se io, ad esempio, ho la regola All Application impostata su Ask e sotto ho una regola su Allow...vince l'Ask, e ricevero il popup.
-Se, invece, ho la regola generica Ask per All Application sotto una regola specifica (Allow or Block che sia), vince l'Allow/Block...

...insomma vince chi sta sopra
giusto?

NO, rimandato perchè non hai recepito la "morale"....

Quote:

Originariamente inviato da nV 25

Morale:
D+ processa le regole dall'ALTO in BASSO e, al contempo, ASK ha una priorità minore rispetto ad ALLOW/BLOCK...

In relazione al solito oggetto, dunque,se ho un azione di ASK a monte e un ALLOW (block!) a valle, ALLOW (block) > ASK anche se quest'ultimo (ASK) si trova materialmente in una regola posta più a monte nel RuleSet...

NB-- parlo di "relazione con il solito oggetto" nel senso che si deve avere l'omogeneità dell'azione della quale si stà parlando [ ad es una dll (e quindi un hook), un device driver installation, ecc...]


Il tuo ragionamento, quindi, si trasforma cosi':
-Se io, ad esempio, ho la regola All Application impostata su Ask e sotto ho una regola su Allow...vince l'ALLOW, e NON riceverò alcun popup.

-Se, invece, ho la regola generica Ask per All Application sotto una regola specifica (Allow or Block che sia), vince l'Allow/Block...VERO!
In particolare, è vero perchè la logica di D+ troverà come prima cosa un ALLOW o un BLOCK e quindi termina il suo ciclo senza "passare in rassegna" quello che viene dopo se questo è proprio il solito oggetto!...

Cambiando l'azione (chessò, dal tentativo di scrittura di un file all'accesso a disco di basso livello...), il ragionamento riparte "dall'alto in basso" fino a che D+ non trova la regola corretta per gestire quella nuova azione...

Quote:

Originariamente inviato da cloutz

...Quindi è consigliabile spostare le politiche di sicurezza di cui si è SICURI al di sopra della regola All Application, in modo che vengano seguite...altrimenti, spostate sotto l'All Application, non sarebbero applicate (e vincerebbe la politica di Ask di All Appl)...

mi si è alambriccato il cervello e non ho capito 1 mazza!

------------------------------------
EDIT:
ripensa il passo sopra alla luce di questo post e vedrai che arrivi a conclusioni diverse...

Tengo cmq a precisare che lo "SPOSTAMENTO" non è obbligatorio (il ragionamento di cui sopra, infatti, spiega il motivo per cui non vi sia questa necessità a meno che non si dispongano blocchi come quelli da me operati per Firefox, ecc)...

Ciò non toglie che si possa seguire anche la strada da me proposta ma, per cortesia, non forziamo le mie parole con frasi come "di cui si è sicuri/di cui si è insicuri" visto che la sicurezza in questo discorso non c'entra 1 emerita cippa....

[nV 25]

Quote:

Originariamente inviato da done75

...io non posso agire cosi' perchè altre applicazioni (ad esempio logitech setpoint per il mouse) lo richiamano in continuazione....quindi come agiresti nei miei panni? è un exe pericoloso da lasciare "Trusted"?

Regsvr32, come si vede anche da qui!, è un componente di sistema...

Ciò non toglie che, alla luce della delicatezza delle operazioni che svolge (registrare /annullare la registrazione di controlli OLE quali file DLL o OCX autoregistrabili...), gli attribuirei giusto il grado di libertà che consente al Pc di operare correttamente...

Di sicuro non la policy Trusted...
Non chiedermi xò nello specifico i settaggi perchè non saprei risponderti...


Se Regsvr32 non è invece un componente chiamato freqentemente dalla propria macchina suggerirei di piallarlo....





PS: attenzione a non diventare eccessivamente paranoici!! rovinando l'esperienza d'uso del Pc che deve rimanere sempre (ragionevolmente) piacevole...

[Koldy]

Quote:

Originariamente inviato da Roby_P

@ Koldy e boba

Avete risolto i problemi con l'antivirus?

Il problema non si è più verificato, solo che quando effettuo una scansione e contemporaneamente voglio aprire altre applicazioni come ad es.. l'apertura del semplice browser, o qualsiasi altra operazione ci impiega un'eternità, pur avendo un uso della cpu ed un uso di ram molto contenuti.
la cosa strana sai qual'è? Prima di questa suite avevo provato per un pò di tempo PCtools Internet Seurity 2009, l'ho tolto perchè avevo un assorbimento di memoria alto ed un uso della cpu a tratti elevato, però avevo anche la possibilità di aprire altre applicazioni più fluidamente.In conclusione insisto ancora nel tenere questa suite perchè mi ha molto impressionato il suo firewall, potresti anche dirmi ma puoi tenere solo il firewall ed installare un altro antivirus bè... quando ho fatto la prima scansione con comodo av mi ha tolto un pochino di cosette che avira per un anno non ha visto stò nella speranza che, con la prossima release le cose migliorino.
Per quanto riguarda le scansioni, quando le effetuo lascio tutto il pc a comodo
in questo modo evito eventuali blocchi di sistema.

Ciao koldy

[Roby_P]

Potresti provare ad impostare la priorità in scansione su low (io con Avira ho fatto così), però non mi chiedere come si fa perchè non lo so

[Koldy]

Quote:

Originariamente inviato da Roby_P

Potresti provare ad impostare la priorità in scansione su low (io con Avira ho fatto così), però non mi chiedere come si fa perchè non lo so

Comodo av non ha priorità di scansione bassa media oppure alta, puoi soltanto settare l'euristica in: off- low- medium- high,io l'ho messo su high.

ciao koldy

[boba66]

io credo di aver risolto penso fosse solo una cosa momentanea dovuta forse al fatto che si era "inc......o" sabato quando stavo facendo un qualcosa (sinceramente proprio non ricordo cosa) Mi si è chiusa tutta l'applicazione di comodo se non ricordo quando l'ho avviata nuovamente (senza riavviare il pc) probabilmente l'AV non ha gradito molto . . . cmq terrò la situazione sotto controllo.

Credo inoltre di poter affermare con la quasi totale certezza che installato su un'utenza con una certa impostazione anche l'altro utente è "obbligato" a tenerselo con le stesse impostazioni. Ecco questa potrebbe essere l'unica nota negativa ma sinceramente se è tutto qui . . .

ciao
boba

[Andrea9907]

Forse è una domanda da prima elementare, ma sto usando CIS per la prima volta e allora vi chiedo:
"system is trying to receive a connection...... ecc"; (devo anche dire che questo tipo di messaggio appare molto frequentemente)
application System
port MS-ds (445).
Che cosa devo fare? permetto o blocco?
E sulla porta 135?
Un'ultima cosa: CIS richiede una RAM di almeno 512Mb?

[Romagnolo1973]

Quote:

Originariamente inviato da Andrea9907

Forse è una domanda da prima elementare, ma sto usando CIS per la prima volta e allora vi chiedo:
"system is trying to receive a connection...... ecc"; (devo anche dire che questo tipo di messaggio appare molto frequentemente)
application System
port MS-ds (445).
Che cosa devo fare? permetto o blocco?
E sulla porta 135?
Un'ultima cosa: CIS richiede una RAM di almeno 512Mb?

Se non hai una rete System va bloccato andando in FW-Advanced-Network Security Policy
lo trovi e fai Edit e lo blocchi poi apply e ancora apply
Se hai una rete alora invece acconsenti
CIS gira anche a meno di 512 di ram, in quello che ho a casa dei miei va e lì ho 256 mega mi sa, quindi girare gira

[Andrea9907]

Quote:

Originariamente inviato da Romagnolo1973

Se non hai una rete System va bloccato andando in FW-Advanced-Network Security Policy
lo trovi e fai Edit e lo blocchi poi apply e ancora apply

Ciao Romagnolo. Anch'io sono romagnolo.....
A parte questo, ti chiedo: per rete system si intendono dei PC collegati in rete? Se è così non ho una rete system ma ho un PC per uso singolo.
Un'altra cosa nelle regole in prima pagina, nella configurazione del firewall ad un certo punto dice:
Adesso proviamo noi a fare delle regole. Queste sono valide ed aumentano la sicurezza per chi si connette ad internet direttamente, ad esempio con un modem classico (tipo 56K), mentre chi per connettersi intermedia con router o altro (tipo ADSL), non ne ha bisogno..
Allora per me che ho un modem ADSL (non router) non devo impostare niente di quello che dice di seguito?
Ti ringrazio molto per le risposte

[Roby_P]

Quote:

Originariamente inviato da Romagnolo1973

Se non hai una rete System va bloccato andando in FW-Advanced-Network Security Policy
lo trovi e fai Edit e lo blocchi poi apply e ancora apply
Se hai una rete alora invece acconsenti
CIS gira anche a meno di 512 di ram, in quello che ho a casa dei miei va e lì ho 256 mega mi sa, quindi girare gira

Romagnoloooo

Ben tornato
Sei in pausa?

State facendo un grande lavoro....grazie ragazzi

[Roby_P]

Quote:

Originariamente inviato da Andrea9907

Ciao Romagnolo. Anch'io sono romagnolo.....
A parte questo, ti chiedo: per rete system si intendono dei PC collegati in rete? Se è così non ho una rete system ma ho un PC per uso singolo.
Un'altra cosa nelle regole in prima pagina, nella configurazione del firewall ad un certo punto dice:
Adesso proviamo noi a fare delle regole. Queste sono valide ed aumentano la sicurezza per chi si connette ad internet direttamente, ad esempio con un modem classico (tipo 56K), mentre chi per connettersi intermedia con router o altro (tipo ADSL), non ne ha bisogno..
Allora per me che ho un modem ADSL (non router) non devo impostare niente di quello che dice di seguito?
Ti ringrazio molto per le risposte

Ciao Andrea9907,
sì, Romagnolo quando parla di rete, intende proprio una rete locale (LAN), cioè più pc collegati tra loro. Tu ne hai uno solo, quindi non è il tuo caso e tu puoi bloccare tranquillamente system
Le regole di blocco delle porte 135-139 e 445 non ti servono, ma se preferisci puoi metterle lo stesso. Io non le ho messe, mentre Romagnolo sì.....fai un pò tu

Ciao ciao

[Roby_P]

@ nV

Ho un piccolo problema con YouTube
Da quando ho messo le nuove regole nel D+ per i browser (quelle che ti ho spudoratamente copiato ), non mi funziona più YouTube.
Siccome recentemente ho incasinato un pò firefox, non riesco a capire se il problema è nelle nuove regole o in firefox. A te funziona bene?

Mi daresti un'occhiata al log del D+?!? In questi giorni ho cambiato un pò di cose nelle regole del D+ e non so bene da dove cominciare a metter mano



me lo fa quando apro la pagina.

Ciao ciao

[@Sirio@]

Ciao bella

Dovresti risolvere mettendo MSCTF.dll nelle eccezioni (tab Allowed Hooks) di firefox per Windows/WinEvent Hooks.

[@Sirio@]

Quote:

Originariamente inviato da Andrea9907

Forse è una domanda da prima elementare, ma sto usando CIS per la prima volta e allora vi chiedo:
"system is trying to receive a connection...... ecc"; (devo anche dire che questo tipo di messaggio appare molto frequentemente)
application System
port MS-ds (445).
Che cosa devo fare? permetto o blocco?
E sulla porta 135?
Un'ultima cosa: CIS richiede una RAM di almeno 512Mb?

Quote:

Originariamente inviato da Andrea9907

...

Se è così non ho una rete system ma ho un PC per uso singolo.

Allora devi bloccare senza pietà
Chi non ha una rete domestica (più PC collegati a casa) DEVE bloccare tutte le connessioni in entrata per System e per svchost.exe.

Quote:

Un'altra cosa nelle regole in prima pagina, nella configurazione del firewall ad un certo punto dice:
Adesso proviamo noi a fare delle regole. Queste sono valide ed aumentano la sicurezza per chi si connette ad internet direttamente, ad esempio con un modem classico (tipo 56K), mentre chi per connettersi intermedia con router o altro (tipo ADSL), non ne ha bisogno..
Allora per me che ho un modem ADSL (non router) non devo impostare niente di quello che dice di seguito?
Ti ringrazio molto per le risposte

Ti consiglio (come scritto nelle FAQ) di scaricarti un tool per il tuo SO (per esempio WWDC per XP) e disabilitare i servizi/porte in questione.

Ciao

[Roby_P]

Quote:

Originariamente inviato da @Sirio@

Ciao bella

Dovresti risolvere mettendo MSCTF.dll nelle eccezioni (tab Allowed Hooks) di firefox per Windows/WinEvent Hooks.

Sirioooo

Ben tornato anche a te
Allora è ufficiale siete in pausa

Hai visto nV
E' stato un ottimo sostituto
Ho imparato un sacco di cose, ho cambiato un pò di regole nel D+, ancora non ho capito bene tutto....ho fatto come al mio solito, intanto ho messo la regola, poi usandola capisco bene che fa

[@Sirio@]

@ Roby

Piccola pausa, più tardi riprendo

Ho visto nV... è vero, è un ottimo sostituto, ascoltate le sue parole: non le dice mai a casaccio ()
Ho imparato tante cose da lui.

Un abbraccio

[Roby_P]

Sicuramente il problema non è Firefox, perchè YouTube non mi si sente neanche con ie7
Il Log è molto simile



Bè sto facendo esperienza....almeno capisco come agiscono le modifiche che ho fatto ed anche come usare il Log per risolvere i problemi

[Spider-Man]

Ciao,

dopo aver cercato e provato vari firewall ho deciso di puntare per la sicurezza del mio PC sull'accoppiata Avira + CIS Free.
Vorrei però porvi qualche domanda:

1) Ho letto che se ben configurato CIS 3.8 Free protegge bene anche senza modulo HIPS (che dovrebbe essere il Defense + del programma... giusto?).
E' vero?

2) Non voglio appesantire il carico della RAM e quindi al momento vorrei installare CIS 3.8 Free senza modulo HIPS... Posso aggiungerlo in seguito o devo per forza installarlo e poi disabilitarlo?
Se lo installo e lo disabilito grava comunque sulla RAM?

3) CIS 3.8 Free SOLO Firewall quanta RAM occupa?


Grazie e Ciao.

[nV 25]

Sapevo che sarebbe stato meglio se, invece di postare la mia configurazione, lasciavo che le cose rimanessero cristallizzate su posizioni ormai consolidate ma ormai il danno è fatto e mi posso solo esimere in parte dal fornire risposte...


Per cui, AVANTI SAVOIA! e cerchiamo di risolvere il problemino segnalato dalla signorina Roby...

-------------------------------------------

Abbiamo "digerito" il discorso del privilege escalation (LocalSecurityAutority.LoadDriver), l'RCP Control\ntsvcs & la storiellina della regola "ALL APPLICATION"...

Bene...

Si arriva dunque alle regole per IE7/Firefox/MSN riassunte qui:



1° cosa: sono state disposte **SOTTO** la regola generica "ALL APPLICATION"?

Se la risposta è SI! e, allo stesso tempo, non si è alterata la struttura della ALL APPLICATION, è impossibile che si registrino eventi sulle dll che hai evidenziato te nei tuoi screen...





Il motivo è il solito:
dall'alto in basso, D+ processa PRIMA la ALL APPLICATION che ha nelle eccezioni un ALLOW per quelle dll...



Rilevo poi che hai bloccato l'RCP Control per IE7:


Dai pure quell'autorizzazione assieme al LoadDriver ad IE7/FF se lo richiedono:
solo apparentemente, infatti, Firefox/IE7 si atteggiano come dei Rootkit richiedendo quei privilegi per operare pienamente....



Insomma, è chiaro che quando ho fornito lumi sulla mia configurazione non mi sono potuto certo mettere li' a dire tutti i settaggi praticati per ogni singola applicazione, no?!
L'importante, infatti, era capire il succo del discorso rimandando poi "al polso" dell'utilizzatore finale il fare le tarature corrette per consentire ai programmi di avere piena operatività...

Blocco in sè per sè, infatti (per i global hook, il device driver installation e cosi' via...), non implicava necessariamente che non fossero previste ESCLUSIONI...

Resto cmq a disposizione per ulteriori chiarimenti...



PS: se mi funziona YouTube?
Si, si, alla grande....