COMODO INTERNET SECURITY 4

[Romagnolo1973]

CIS 4

Questa opera è distribuita con licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questa guida deve necessariamente riportare il link originario.


Eccoci qui a parlare di Comodo Internet Security 4, uscito a marzo 2010 e che ci allieterà per qualche tempo, proprio come ha fatto il suo predecessore CIS 3.
Si tratta di una suite completamente free anche per uso commerciale compatibile con tutti gli ultimi sistemi operativi sia a 32 che a 64 bit e che ingloba al suo interno Firewall, Hips, Antivirus, Sandbox in un sol colpo.
Tutti questi moduli li analizzeremo uno ad uno nei successivi post.
Per chi ha già familiarità col precedente CIS la maggiore novità di questa versione è certamente data dalla SandBox.


FORUM UFFICIALE

FORUM UFFICIALE ITALIANO

DOWNLOAD

DOWNLOAD DI QUESTA GUIDA IN PDF


REQUISITI MINIMI:
Sistema Operativo: Seven / Vista / XP Sp2 sia 32 che 64bit
Ram: 128 MB
HD: almeno 210 MB liberi

La suite è molto leggera e performante quindi adatta anche a pc vecchi a patto di avere un sistema operativo tra quelli supportati.

Due parole ancora prima di passare ai fatti:
questa guida è rivolta all'utente medio o anche principiante per consentirgli in poco tempo una buona conoscenza dei fondamenti del software che non è certo "un clicca e via" ma come tutti i programmi di sicurezza richiede un po' di pratica.
I settaggi particolari sono demandati a post specifici e qui ne facciamo il richiamo a mezzo di link, così la lettura della prima pagina risulterà più snella, se quell'argomento vi interessa basta cliccarne il titolo ed andate alla fonte dell'informazione.
Vi prego prima di postare nella discussione di visionare bene questa prima pagina e le FAQ.
Si tratta di un lavoro a più mani dove hanno colaborato diversi utenti oltre a me, Roby_P, bender8858, arnyreny, luke1983 e tanti altri.
Un lavoro fatto "da una comunità di utenti per una comunità di utenti" è questo il vero spirito di un Forum.
Voglio anche ringraziare @sirio@ che ci ha fatto apprezzare nel tempo questo prodotto e la sua impeccabile "Guida a CIS 3" è sicuramente stata un modello per questa nuova avventura.
Ho evidenziato con la parola HARDENING le operazioni per incrementare la sicurezza, comunque già discreta di partenza.
Se non si modificano in alcun modo le impostazioni di default CIS 4 è praticamente "silente", quasi invisibile, fatte le prime operazioni di apertura dei programmi più usati il numero di avvisi a video non supera i 2 o 3 al giorno, lo potrebbe usare anche vostro nonno!!!! Quindi non diteci che a default i pop-up vi stressano, a quel punto tenetevi il FW di Windows e basta.

INSTALLAZIONE

Esistono 3 differenti setup, come potete vedere dal link per il download, il Firewall con il modulo Hips Defnse+ e la Sandbox, il solo AntiVirus, la suite completa. Io vi consiglio di scaricare la suite completa, infatti ha la stessa dimensione del solo Firewall, potete da questa scegliere di non installare l'Antivirus ma almeno se in futuro cambiate idea potete agire tramite l'uninstaller e dirgli di modificare la configurazione aggiungendo il modulo Antivirus senza dover disinstallare tutto.

Dal setup agendo sulla finestra della lingua potete impostare installazione ed il programma in italiano. Piccola nota, poichè da questi ultimi aggiornamenti anche l'installer è nella nostra lingua trovate qui alcune immagini in italiano assieme ad altre in inglese che fanno riferimento ad una installazione precedente, comunque vi ci ritroverete.

Accettate le condizioni di vendita, non dovete fornire alcuna email (è opzionale), eccoci ora alla scelta dei prodotti da installare, il FW è d'obbligo essendo uno dei migliori al mondo, l'antivirus sta crescendo ed è un'ottima opzione per chi usa commercialmente il suo pc, gli utenti finali possono trovare anche altri prodotti validi ma questo ha il pregio di integrarsi bene nella suite e di non incidere molto in termini di risorse.




Ad un certo punto, dopo alcune schermate intuitive e che non riporto essendo banali, ci viene richiesta una scelta relativa a quale configurazione vogliamo attuare relativamente ai livelli di sicurezza di partenza

1. Firewall Only: scegliendola installate il solo Firewall senza il Defense+ che è il modulo HIPS e il vero asso nella manica della suite, questa scelta è ovviamente sconsigliata, siamo qui per proteggere il più possibile il vostro pc quindi ….
2. Firewall with Optimum Proactive Defense: è l'opzione di default che comprende sia FW che D+, farà partire CIS in modalità Internet Security che è quella che sebbene non protegga totalmente avendo molte aree non controllate dal D+ (che parte in modalità PC Pulito) e il Firewall settato in modo da consentire l'uscita ale applicazioni che conosce (su Sicuro), è quella che assicura un buon bilanciamento tra numero di avvisi e sicurezza offerta. Io consiglio a chi si affaccia a questo programma per la prima volta di stare su questa configurazione almeno inizialmente e di incrementarla dopo qualche ora/giorno di prova. Successivamente nella guida consigliamo di spostarvi verso la Proactive Security e a questo punto ripartirete da zero con i permessi da dare alle varie applicazioni ma almeno avrete fatto un po' di pratica con la gestione dei pop/up e saprete come comportarvi.
3. Firewall with Maximum Proactive Defense+: è l'opzione che fa partire CIS con il D+ settato per coprire già da subito più aree e quindi aspettatevi una valanga di avvisi al primo riavvio. La consiglio per chi ha già esperienza con il programma e non si scompone ai primi pop-up che vede fossero anche decine. Se scegliete questa opzione Cis al riavvio partirà in Proactive Security.

Eccoci ora ad un'altra scelta importante, aderire o meno alla Community Threatcast, se aderite allora quando comparirà un popup cis vi indicherà la scelta fatta per quel file dagli altri utenti Comodo nel mondo, direi che è utile per i principianti, poco significativa per chi ha buone conoscenze informatiche. Qualsiasi sia la scelta potete comunque intervenire successivamente per attivarla o disattivarla in Altro – Impostazioni – Threatcast.



Altra scelta a mio avviso non trascurabile è se impostare come default sul pc i Comodo DNS, io li uso da tempo e li trovo veloci e stabili, sono una buona alternativa agli OpenDNS. Potete comunque intervenire successivamente per inserirlo o cancellarli, basta seguire quanto indicato qui, tenete presente che oltre che sul pc vanno inseriti anche sul router se lo avete e questa operazione CIS non la può fare di suo.




Siete ora pronti alla effettiva installazione del tutto sul pc che si concluderà, dopo un paio di click basilari, con questa finestra che vi comunicherà il successo dell'operazione.




Affinchè Comodo si attivi occorre fare un restart come lo stesso programma ci consiglia.

Al riavvio CIS diventa operativo ed ecco che subito ci compare questa schermata molto importante, questa fase è stata oggetto nel vecchio thread di molte domande, quindi vi prego di fare attenzione su cosa fare, lo so che magari CIS vi sta anche dando i primi pop-up ma a quelli potete rispondere entro 2 minuti, concentratevi sulla finestra riportata sotto:

1. Passo 1: "Area Network Locale #1" è il nome con cui CIS riconoscerà la vostra rete, potete anche modificarlo se volete, io ho sempre lasciato quel nome. Questo passo non ha mai dato problemi grazie a dio.
2. Passo 2: occhio a queste scelte perchè variano da rete a rete e anche a seconda del vostro operatore internet. Si tratta di decidere se volete accedere pienamente ad altri pc presenti nella suddetta rete.
   Se mettete i baffetti alle opzioni indicate allora acconsentirete agli altri pc pieno accesso alla nostra rete e/o le nuove reti che dovessero esserci in futuro non verrebbero automaticamente rilevate da Comodo.
   In sintesi realtivamente al Passo 2 abbiamo:
   1. Prima Casella relativa ad altri computer in rete a cui permettere accesso a questo pc
      se siete nella condizione classica di avere un pc collegato al router/modem allora questa non è una rete, poiché non condividete cartelle o stampanti con altri pc, quindi lasciate come da immagine ovvero NON selezionate la prima casella;
      se avete altri pc che si collegano al router ma che non hanno mai condiviso nulla tra di loro, allora anche in questo caso NON dovete selezionare la casella;
      se siete utenti FastWeb o avete una chiavetta internet, anche in questo caso NON selezionate nulla altrimenti tutti i pc della rete fastweb o della lan dell'operatore, potrebbero collegarsi a voi e questo è male;
      non ricadete in nessuno dei asi esposti sopra ed avete una rete condividendo stampanti o cartelle con altri pc appartenenti alla rete, allora in questo caso DOVETE selezionare la casella.
   2. Seconda casella relativa alla non rilevazione automatica delle nuove reti
      in linea di principio è sempre meglio NON selezionare la casella, la scelta descritta è una frase negativa, quindi non selezionarla corrisponde ad essere avvertiti per ogni nuova rete, questa è la scelta migliore e che consiglio. Se invece non volete che le eventuali reti vi siano via via comunicate allora indicatela.
   La scelta B è comunque sempre modificabile andando in Altro – Impostazioni – Generale ed avrà effetto dal successivo riavvio.
   La scelta A è invece modificabile solo andando in FW - Avanzate - Policy Sicurezza Network - Zone Network e rimuovendo l'area network impostata e dando OK; al Successivo riavvio del pc vi troverà l'Area Network "nuova" e potrete reimpostarla come meglio credete.

Speriamo di essere stati abbastanza chiari ed evitarvi i dubbi su questo punto che in passato riempivano la discussione su CIS 3

ANDATE A DISABILITARE IL FIREWALL DI WINDOWS !! Adesso che CIS è pienamente attivo non vi serve più a nulla, è solo spreco di risorse e origine di possibili conflitti, meglio se oltre al firewall disabilitate anche il servizio ad esso relativo. CIS diversamente da altri prodotti infatti non lo ferma autonomamente.

Eccoci ora alla situazione standard di avvio di CIS, tenete presente che se non avete installato l'Antivirus di CIS detta voce non è presente sulla vostra GUI e vi apparirà invece lo stato del Defense+.



Dall'icona nella tray è possibile gestire e vedere l'impostazione con cui CIS agirà, quella in chiaro col baffetto è quella attualmente in azione



N:B.: tutti i livelli di sicurezza sono impostabili velocemente dal tasto destro sull'icona nella tray, comunque per settarli in modo preciso occorre andare nelle singole schermate di configurazione.

La Firewall Security corrisponde a disattivare il D+ e neanche la prendo in considerazione per ovvi motivi di scarsa sicurezza.

Della modalità Internet Security ho già detto in precedenza, è quella consigliata per chi ha tutte queste tre caratteristiche contemporaneamente:

1. è insofferente ai pop-up;
2. ha scarse conoscenze informatiche e quindi non sa bene decidere le azioni per rispondere agli avvisi;
3. installa CIS per la prima volta.

Così settato ha comunque una protezione migliore di quella offerta dal Firewall di Windows e da molti altri prodotti in commercio, ma noi vogliamo dare la maggiore sicurezza e quindi di seguito faremo hardening, ovvero rinforzeremo il livello di protezione offerto da Comodo.

Vorrei essere molto chiaro la "Modalità di Configurazione" è fondamentale, potete anche avere D+ e FW settati al massimo delle possibilità ma se siete in "Internet Security" il D+ coprirà solo le aree di registro statisticamente più colpite dai malware, se invece siete in "Proactive Security" il Defense avrà il controllo di aree molto più vaste.
In "Internet Security" a differenza che in "Proactive"
Image Execution Control è disabilitato.
Computer Monitor/Disk/Keyboard/DNS Client Access/Window Messages/Protected COM Interfaces/Windows Hooks NON sono monitorati..
Solo le cartelle/file più comunemente colpite dai malware sono controllate.
Solo le interfacce COM più comunemente oggetto di attacchi sono monitorate.
D+ è settato in modo da creare il minor numero possibile di avvisi.


HARDENING FONDAMENTALE:
Per le ragioni appena dette tutti DEVONO passare alla Proactive Security, per farlo velocemente agite dall'icona nella tray cliccandoci sopra e in “Configurazione” cliccate su “Proactive Security”, il baffetto si sposta su questa modalità che diventa anche più chiara delle altre e CIS i avvisa della variazione avvenuta.



Ora il D+ protegge più aree sensibili e iniziamo così ad aumentare le difese contro i virus.
Vogliamo parlare del Firewall in "Internet Security"? Ogni connessione in uscita è permessa !!!!



Se devo usare CIS così beh sto col Firewall di Windows che è uguale!!!

Fatto questo step fondamentale, e penso ne abbiate ora capito i motivi, passiamo ad analizzare i vari componenti della suite.

Ricordo che le varie modalità sono a “camera stagna” quindi ogni configurazione è autonoma da quello che avete fatto con un'altra, sia per le regole D+ e FW sia per le Policy Predefinite messe a mano da voi (per esempio le regole per il p2p).

[Romagnolo1973]

FIREWALL

Tramite questo componente si controlla il traffico in entrata e in uscita (quest'ultima è la grande differenza nei confronti del FW presente sui router, o il FW di Windows)
Comodo Firewall agisce per mezzo di avvisi che sono svariati ma in linea generale rispecchiano questo schema:



A: applicazione CIS che genera l'avviso, in questo caso il Firewall. Il colore è rosso se CIS considera l'azione pericolosissima, arancione se in base a certi criteri l'operazione potrebbe essere lecita ma comunque al vaglio dell'utente.
B: informazioni su quale applicazione stia uscendo, destinazione remota (TCP/UDP/IP), porta coinvolta. Trucchetto: cliccare sul nome dell'applicativo (in azzurro) vi farà vedere dove si trova quel programma e quindi già così vi aiuterà a capire se è un programma fidato oppure magari un malware, nel dubbio se non sapete che processo è usate questa opzione.
C: consigli generali preconfezionati da CIS per aiutare l'utente nella scelta
D: azioni che l'utente deve intraprendere (se non si vedessero tutte cliccate su Più Opzioni), tipicamente si tratta di consentire, bloccare, trattare l'azione con una Policy prestabilita da scegliere tra quelle presenti nel menù a tendina (per esempio WebBrowser, o Trusted, o Isolated, o Blocked ecc...) si veda a tal proposito dopo quando parlo di Policy Predefinite Firewall per i dettagli.
E: se si sceglie il box “Ricorda” allora la prossima volta che questa situazione si presenterà verrà applicata la stessa azione senza che veniate più disturbati dall'avviso.

Se avete aderito alla comunità Threatcast avrete come aiuto ulteriore una seconda scheda di questo tipo:



Se non si risponde all'avviso, di default Comodo blocca l'azione oggetto della richiesta.

Vediamo ora brevemente tutte le funzioni del Firewall disponibili e che si dividono in:

1. FUNZIONI GENERALI:
   
   
   
   
   • Eventi Firewall: è il Log del FW, una volta aperta la sua finestra si vedono tutte le azioni svolte dal firewall sia in blocco che chiedendo all'utente. Se si preme in basso sul pulsantino Altro della finestra si apre un vero e proprio gestore del Log con criteri di ricerca anche molto dettagliati, rispetto a CIS 3 è decisamente più granulare ed era ora.
     
     
   • Definisci una Nuova Applicazione Sicura: permette di inserire una applicazione che consideriamo Safe tramite un comodo Explorer.
     
     
   • Definisci una Nuova Applicazione Bloccata: in questo caso l'applicazione scelta non potrà uscire in internet.
     
     
   • Procedura Invisibilità Porte: permette di settare l'invisibilità delle porte in rete, è molto importante effettuarla, infatti rende le porte stealth, invisibili, che è cosa diversa da essere chiuse. Fondamentale se facciamo P2P.
     
     
     
     
     Andiamo in Firewall – Funzioni Generali – Procedura Invisibilità Porte e scegliamo una delle procedure:
     
     
     1. Definisce una nuova rete sicura e rende invisibili le porte a chiunque altro: per rendere il pc invisibile agli altri eccetto per la rete o reti che andrete a indicare nel proseguo della procedura;
        
        
     2. Avvisa connessioni in ingresso e rende invisibili le porte caso per caso: questa è l'opzione che devono scegliere tutti quelli che fanno file sharing con Emule, Torrent o altro. Così facendo il FW rende le porte stealth ma permette il traffico nele porte deputate al P2P. Senza questa opzione scelta lo scarico sarà impossibile o molto limitato oltre ad essere molto pericoloso.
        Se scegliete questa opzione che è raccomandata per tutti anche se non fate P2P la situazione in "Regole Generali" sarà questa
        
        
        
        
     3. Blocca tutte le connessioni in ingresso e rende le porte invisibili a tutti: come dice lui stesso renderà il pc invisibile e bloccherà tutto in entrata.
     
     Cliccate su Finito per rendere effettiva la procedura scelta e CIS ci avviserà che il FW è stato configurato di conseguenza, infatti le regole globali presenti in FW – Avanzate- Policy Sicurezza Network ora sono state modificate in accordo con quanto scelto.
     
     Attenzione !!! Se riaprite la finestra comparirà il pallino sempre sulla Procedura 1 ma non vi preoccupate non è da rifare più, si tratta solo di una questione grafica, se avete scelto la seconda opzione quella resterà la scelta memorizzata da CIS, tranquilli.
     
     
   • Connessioni Attive: specchietto molto utile che vi permette immediatamente di monitorare quali applicazioni siano in uscita e con quale porta, verso quali IP, quanti Byte ricevuti/trasmessi. Notate nella immagine sotto che se la porta è in ascolto allora ovviamente non trasmette o riceve dati. Per quanto riguarda le porte del pc eccovi l'elenco delle riconosciute alla IANA qui, vi aiuteranno a capire cosa esce e perchè.
     
     
     
     
   • Zone Network Bloccate: permette di bloccare una determinata rete oppure singoli IP che non vogliamo siano raggiunti (per esempio siti di phishing o malware)
   
   
2. AVANZATE:
   
   
   
   
   • Policy Sicurezza Network: è la sezione fondamentale del nostro FW, da qui si inseriscono, modificano, dettagliano le azioni con cui il Firewall gestisce le applicazioni, le regole globali, le zone network e i set di porte. Vediamo bene queste funzioni:
     
     
     1. Regole Applicazioni: sono le regole principali che il FW rispetta per le comunicazioni in uscita, per poi filtrarle ulteriormente in base alle regole Regole Globali. Quando ci compare un avviso relativo al Firewall e diamo una determinata istruzione cliccando su “Ricorda la mia Risposta” allora quella regola viene inserita nella tabella. Possiamo controllare,aggiungere, modificare, cancellare, spostare le regole in ogni momento, ricordatevi di dare OK alla fine perchè diversamente la modifica che state facendo non verrà svolta. Il tasto “Pulisci” a destra è molto utile per eliminare regole relative ad applicazioni che non abbiamo più sul pc o abbiamo spostato, va usato ogni tot per alleggerire il programma.
        
        
        
        Ora ad esempio voglio modificare la regola che ho generato mediante la risposta ad un pop-up e relativamente a Prevx, mi basta cliccare su modifica ed appare una finestra in cui mi è possibile intervenire per editare la regola.
        
        
        
        Nel settore A si interviene sulla regola generale per quella applicazione e le scelte possibili sono due: “Usa Policy Predefinita” come per esempio bloccare l'applicazione, trattarla come sicura, farla solo uscire ecc.. (ne parleremo tra poco in dettaglio) ; “Copia aa” Policy predefinite (quindi si ricade nella situazione appena detta) o “Copia da” Altra Applicazione presente nella schermata Policy Sicurezza Network, utile se vogliamo prendere come base di partenza una regola già fatta su cui fare delle piccole modifiche alle azioni che compariranno nel settore B.
        Nel settore B si interviene infatti sulla singola azione, per renderla da generica a più specifica, per esempio la regola dell'immagine è per una uscita generica, potremmo restringerla ad un singolo ip per esempio, oppure aggiungere altri comportamenti che il FW deve avere circa Prevx, i tasti sottostanti sono proprio per intervenire qui.
        Perchè le modifiche siano prese da CIS occorre cliccare “Applica” e poi OK sulla finestra successiva.
        
        
     2. Regole Globali: queste sono le regole principali che il FW rispetta per le comunicazioni in entrata, per poi filtrarle ulteriormente in base alle "Regole Applicazioni". Variano a seconda di come avete risposto a quella famosa finestra che si ha al primo riavvio del pc dopo l'installazione. Queste regole globali si possono anche modificare o aggiungerne di altre, come faremo per esempio nel post dedicato alle regole per le porte 135-139 per chi ha ancora un modem 56k, quindi vi rimando a lì per i dettagli.
        
        
     3. Zone Network: qui vedete la LoopbackZone che è basicamente il vostro pc, rappresenta infatti tutti gli indirizzi possibili e ovviamente vedete anche l'Area Network, la rete rilevata da CIS al primo avvio o quelle ulteriori da voi create sia in termini di indirizzi Ip che di nuova Area Network andando ad agire sul pulsante “Aggiungi”. In CIS 3 "Zone Network" aveva una sua voce in FW, ora è invece stata inglobata qui.
        
        
     4. Set di Porte: per poter creare un insieme di porte se ci occorre, la useremo per fare le regole per alcune applicazioni come Skype o Messenger che vedremo in un post dedicato.
     
     
   • Policy Predefinite Firewall: Comodo ci da già alcune regole basilari “prefabbricate” e che qui vedete, sono queste regole (comprese quelle che eventualmente aggiungerete voi come per Emule) che il pop-up del Firewall ci propone come scelta di azione nell'avviso scegliamo “Tratta come” ed agiamo sul menù a tendina.
     
     
     
     Le Policy Predefinite Firewall sono le seguenti:
     
     
     1. Web Browser: da associare col “Ricorda” ai nostri browser per evitare di essere sommersi da avvisi ad ogni sito
        
        
     2. Email Client: da dare ai nostro gestori di email siano Outlook o ThunderBird, segnalo che per TB soprattutto dovremo poi dare qualche altro ok per permettere di scaicare immagini presenti nei messaggi di posta in arrivo, nulla di preocupante a patto che il messaggio provenga da un utente sicuro.
        
        
     3. FTP Client: da associare al vostor progamma Ftp se ne usate.
        
        
     4. Trusted Application: da dare con cautela, teoricamente si può associare questa policy ai vostri programmi di sicurezza a patto che siano scaricati dal sito del produttore. Per altri programmi non lo userei, io anzi non lo uso neanche per i programmi antimalware che ho sul pc.
        
        
     5. Blocked Application: da associare alle apllicazioni che non vogliamo escano in internet.
        
        
     6. Outgoing Only: se volgiamo che l'applicazione esegua solo connessioni IP in uscita e venga bloccato tutto il resto.
        
        
     7. Regole fatte dall'utente come per Emule, Torrent, Skype....
     
     Ovvio le scelte nei pop-up devono essere oculate, se non sapete cosa fare date un blocco senza ricordare l'azione poi informatevi sul processo che vuole uscire, iniziate già cliccando sul nome del processo che è in azzurro sul pop-up, vedrete dove è allocato quel programma e già capirete molto sul fatto che sia o meno fidato. Dare un permesso Web Browser ad un malware ci porterà a formattare.
     
     
   • Impostazioni di Comportamento del Firewall: settore questo IMPORTANTISSIMO, qui nelle varie schede si impostano i livelli di sicurezza del FW, la frequenza di avvisi e protezioni da alcuni attacchi web.
     
     I livelli di sicurezza presenti sono i seguenti:
     
     
     • Disabilitato: il FW non è attivo
       
       
     • Apprendimento: il FW non fa richieste, vede cosa fanno le applicazioni che non conosce, o di cui non ha già istruzioni e in base a ciò crea le regole. Funzione da usare poco e per poco tempo, utile se abbiamo problemi con una applicazione o un gioco.
       
       
     • Sicuro: Cis impara e memorizza tutte le azioni fatte dalle applicazioni che ha nel suo database come fornitori sicuri, per le sconosciute invee chiederà a noi come comportarsi.
       
       
     • Policy Personali: Comodo FW applicherà le regole per le specifiche applicazioni presenti in Policy Sicurezza Network e chiederà all'utente per tutte le altre.
       
       
     • Blocca Tutto: il traffico in entrata e uscita è completamente bloccato.
       
       
     
     Volendo si può flaggare l'opzione per creare regole per le applicazioni sicure.
     Sono sicure tutte le applicazioni che:
     si trovano in Defense+ - File Sicuri;
     le applicazioni fatte da produtori presenti in Defense+ - Produttori Software Fidati;
     le applicazioni presenti in una lista interna di CIS che si aggiorna ad ogni cambio versione.
     Sconsiglio di usare questa opzione, meglio decidere in autonomia, comunque è una possibilità per chi si avvicina a CIS per la prima volta visto che riduce in numero di richieste a video permettendo di fato a tutte queste applicazioni sicure di uscire senza avvisarci.
     

I settaggi di base a default sono buoni ma non ottimi, vanno bene solo per chi fa un uso sporadico di internet o non ama gli avvisi, insomma noi vediamo adesso come settare il tutto per avere una sicurezza ottimale. Di seguito i livelli a default e quelli che poi consigliamo per rendere il pc più sicuro.

A default: Firewall a livello sicuro - Impostazione Avvisi su basso – In Avanzate “ARP Cache” non protetta
HARDENING:
Impostazioni Generali: Firewall su “Policy Personali” , inoltre NON indichiamo la Creazione di regole per Applicazioni Sicure;
Impostazione Avvisi: “Molto Alto” e tutte le caselle selezionate;
Avanzate: mettiamo la spunta su “ARP Cache” e anche su “Blocca Messaggi ARP Inattesi”
date OK e il settaggio sarà eseguito.
Fate la Procedura Invisibilità Porte scegliendo la seconda opzione, fatelo anche se non avete programmi P2P, vi inserirà regole globali più sicure di quelle di default.

Provare così, fatevi forza e rispondete agli avvisi dando il “Ricorda”, se sbagliate potete sempre intervenire come ho spiegato già prima; se i pop-up vi assalgono e non siete contenti allora provate a spuntare le creazione di regole per le applicazioni sicure, se ancora non vi trovate bene allora abbassate il livello di frequenza avvisi.
Per chi già usava CIS 3 e seguiva i nostri consigli, impostare il tutto come indicato non sarà un problema.
All'aumentare della frequenza di avvisi cresce anche il dettaglio delle informazioni presenti nei po-up.

Ricordo ancora che il livello del FW può essere abbassato o alzato anche agendo sull'icona della tray, per le altre azioni appena descritte però occorre intervenire in questa finestra sulle varie schede.


Clicca qui per Regole System - Svchost - Aggiornamenti Vari By bender8858

Clicca qui per Regole System - Svchost By Perseverance

Clicca qui per Regole nel caso si usi un modem 56k

Clicca qui per Regole EMULE/TORRENT - MESSENGER/SKYPE/MIRC - WMP - THUNDERBIRD/FILEZILLA e altri

[Romagnolo1973]

DEFENSE+

il Defense+ è il modulo Hips che accompagna il Firewall di Comodo nella protezione del nostro sistema, monitorizza le parti principali del registro e ad ogni tentativo di modifica ci chiede cosa fare. Si tratta di uno strumento fondamentale visto che i malware hanno sempre bisogno di attivarsi e quindi di variare il registro, così facendo si rendono visibili all'HIPS che lo comunica all'utente, niente male quindi come difesa.

Seguiamo il canovaccio già intrapreso parlando del FW e quindi inizio con il mostrare l'avviso spiegandone i contenuti per poi passare a spiegare le funzioni.




A: ci indica che è un avviso del Defense+, il suo colore giallo ci fa capire che è si tratta di una scelta importante ma che in base alle analisi euristiche CIS non la reputa pericolosissima come sarebbe invece se il colore fosse rosso.
B: ci indica i file o applicazioni coinvolte in questa azione, cliccando sui loro nomi in blu possiamo vedere dove sono allocati sul pc per farci una idea migliore su come agire.
C: il Defense ci da già una sua valutazione sul tipo di azione e ci suggerisce quasi cosa fare
D: abbiamo alcune azioni sostanzialmente analoghe a quelle già viste per il FW ovvero consentire, bloccare oppure trattarla come una modalità da scegliere dal menù a tendina.
E: flaggando “Ricorda la mia Risposta” facciamo in modo che CIS non ci avisi nuovamente al ripetersi di questa situazione. Oltre a questa opzione il pop-up presenta però delle voci nuove rispetto a CIS 3 poiché ora, in aggiunta alla scelta suddetta è possibile contemporaneamente inviare il tutto a Comodo (utile in caso di virus) e anche creare un punto di ripristino tramite l'apposita utility Microsoft (se l'avete attiva). Questo per salvaguardare l'integrità del vostro Windows se per esempio l'avviso nascesse da un malware e quindi successivamente dovesse “scatenarsi l'inferno”. Per chi avesse installato Comodo Time Machine allora, in luogo del punto di ripristino, si troverebbe la voce relativa al creare una immagine tramite TM.




Nelle immagini sopra è possibile vedere anche questa ulteriore novità che si interlaccia con la tecnologia sandbox che vedremo poi, CIS riesce ora tramite euristica a capire se una applicazione richiede privilegi elevati.
Nella prima si tratta di un driver per una webcam, Comodo ci fornisce varie informazioni, la prima è che il setup vuole avere permessi elevati, cosa normale poiché i driver devono installarsi a livello del kernel nel sistema, ci avvisa anche chi è il creatore del setup e poiché non è tra quelli conosciuti come fidati da Comodo ci chiede se fidarsi sempre di quel produttore, in quel caso non avremo pop-up se D+ è settato per non avvisarci per i programmi sicuri. Potremmo anche deselezionare la scelta e dare il solo accetta, in quel caso per esempio alla prossima installazione del driver più aggiornato CIS ci ripeterà l'avviso.
Nella seconda immagine invece una novità presente dalla versione 4.1 di CIS, si tratta di un installer che chiede accesso illimitato al pc e di cui CIS non conosce il creatore, non avendolo tra le firme. In questo caso vi consiglia di sandboxarlo per questioni di sicurezza.

Se avete aderito al Threatcast avrete una ulteriore scheda in ogni avviso con le indicazioni di quante volte altri utenti hanno avuto quell'allerta e cosa hanno scelto; analogamente a quanto visto per il FW può aiutare i meno esperti nel pendere la decisione giusta.

Se non si risponde all'avviso di default Comodo blocca l'azione oggetto della richiesta.


Analizziamo ora in dettaglio le varie opzioni disponibili per il D+:

1. FUNZIONI GENERALI
   
   
   
   
   • Eventi Defense+: analogamente alla funzione vista per il FW, qui trovate l'elenco delle azioni svolte dall'Hips. Cliccando sul tasto in basso “Altro” avete accesso alla vera sezione di log di tutta la suite Cis, dettagliatissima e con possibilità anche di usare filtri. La abbiamo già vista parlando degli eventi del Firewall quindi non mi dilungo oltre.
     
     
   • File Protetti: qui trovate la lista dei file che D+ monitorizza, utenti molto esperti possono usare questa sezione per inserire tipi di file, aree di registro o cartelle ulteriori.
     
     
   • File Bloccati: è possibile aggiungere file o cartelle in questa sezione, così il Defense bloccherà ogni azione che vorranno intraprendere.
     
     
   • File in Sospeso: questa voce assume importanza se D+ si trova settato in modalità “PC Pulito” visto che qui si accumulano tutti i nuovi file sul pc in attesa appunto che noi li controlliamo e diamo i permessi del caso. Cliccando sul tasto controla invieremo il file a Comodo per un check. Come detto, se il D+ è settato in modo più protettivo rispetto alla modalità PC Pulito questa lista sarà sempre vuota.
     
     
   • File Sicuri: abbiamo già visto in precedenza, parlando del FW, che Comodo ha varie liste di produttori e applicazioni considerate sicure, se un programma, come è facile che sia (ne esistono milioni e dei più svariate) non è conosciuto da CIS, allora avremo moltissimi avvisi a video, possiamo ovviamente dire al D+ di considerare l'applicazione come sicura rispondendo al pop-up ma qui possiamo piazzare anche intere cartelle, cosa molto più comoda che rispondere agli avvisi e dare il “Trusted Application”uno a uno. In questo elenco vengono inseriti anche i file .exe e i setup che la SandBox di CIS non conosce e a cui noi al suo avviso diciamo di eseguire fuori dal "recinto".
     
     
   • Processi Attivi: è la lista dei processi in questo momento attivi sul pc.
     
     
   • Produttori Software Fidati: ecco la lista dei produttori conosciuti e fidati, possiamo andare ad aggiungerne altri e rimpolparla, ovviamente dovete avere certezza che sia davvero “safe”.
     
     
   • Chiavi di registro Protette: qui sono elencate le arre del registro che D+ monitorizza. Utenti esperti possono anche aggiungere aree al controllo.
     
     
   • Interfacce COM Protette:le COM (Component Object Model) sono modelli comportamentali creati da Microsoft per stabilire come le applicazioni devono interagire tra loro. Qui possiamo aggiungere singole COM o gruppi. Settaggi che lasciamo ai super-esperti.
   
   
2. SANDBOX: ne parleremo dettagliatamente nel prossimo post.
   
   
3. AVANZATE
   
   
   
   
   • Policy di Sicurezza del Computer: come la “sorella” per il FW anche qui è questa una delle sezioni più importanti del Defense. Ci permette di modificare, aggiungere, cancellare o aggiornare le regole fatte per il nostro Hips sulle singole applicazioni del pc. Alcune applicazioni di sistema sono già state preimpostate da Comodo come per esempio gli update Microsoft che sono trattati di default come “Installazione o Aggiornamento” per evitarci molti pop-up in futuro.
     
     Cliccando in una delle applicazioni presenti in elenco andiamo a modificare il comportamento del D+ nei suoi confronti.
     
     
     
     
     1. Usare una Policy predefinita tra quelle presenti nel menù a tendina.
        Nel caso in figura essendo Prevx un prodotto di sicurezza potremmo anche trattarlo come “Trusted”, in quel caso il D+ non ci informerà più con avvisi a video per ogni azione svolta dal programma antimalware considerandolo sicuro.
        
     2. Usare una Policy personale andando a definire sia i Diritti di Accesso che le Impostazioni di Protezione, quindi le aree dove quella determinata applicazione può o non può fare modifiche senza che D+ intervenga.
        
        
        
        Personalizzare le Policy è comunque cosa riservata ai soli utenti esperti, le impostazioni predefinite che il D+ ci offre sono quelle ideali per praticamente tutti gli utenti e tutti gli eventi.
     
     
   • Policy Predefinite di Sicurezza: sono quelle che possiamo andare a scegliere nel menù a tendina degli avvisi a video. Quelle preconfigurate da CIS sono le più comuni e coprono il 99% dei casi:
     
     
     • Trusted Application: Applicazione fidata e sicura. In questo caso il D+ lascerà l'applicazione libera di agire sul nostro sistema limitando i pop-up al solo caso in cui questa applicazione vada a lanciarne un'altra . Da settare se volete solo per i programmi davvero sicuri come per esempio i programmi di sicurezza (a patto di averli scaricati dal sito del produttore).
       
       
     • Windows System Application: associate di default da Cis alle applicazioni interne di sistema operativo per evitare all'utente di rispondere a mille avvisi, il Defense resterà muto ad ogni azione svolta da questi applicativi. Inutile dire che dare questi super permessi ad una applicazione che non sia di sistema è pericoloso e sbagliato.
       
       
     • Isolated Application: praticamente è un blocco totale di quell'applicazione, utile nel caso sia un malware. Impedisce al processo di girare sul pc.
       
       
     • Limited Application: per monitorare una applicazione di cui nutriamo dubbi. Praticamente blocca alcune azioni al programma presunto pericoloso (tipicamente blocca gli accessi al registro) e per altri chiede all'utente se consentirli.
       
       
     • Installazione o Aggiornamento: curiosamente non è presente in lista ma è comunque sempre la prima opzione presente nei pop-up. Poiché come abbiamo visto CIS ora riesce spesso autonomamente a distinguere i setup, penso che l'abbiano tolta da questo elenco per impedire all'utente di modificarne l'azione. Con questa scelta consentiremo all'eseguibile di effettuare il suo lavoro di installazione o di upgrade senza dover rispondere a molti avvisi, consiglio di non mettere però mai il “Ricorda” se si sceglie questa modalità.
     
     Ovviamente si possono creare regole personali andando ad aggiungerle ma sono comunque cose riservate ad utenti esperti e che esulano dalla finalità di questa guida.
     
     
   • Impostazioni di Controllo Esecuzione Immagine: lo si usa se tenete il D+ in modalità "Sicuro" e “PC Pulito”, consente al D+ di controllare l'hash degli eseguibili prima che vengano caricati, li confronta con la sua lista interna di software sicuri per evitare che quell'exe sia diverso, sia stato manipolato.
     A default è su normale, consiglio di portate il livello su “Aggressivo” e controllate che l'opzione di rilevazione attacchi ShellCode sia attivata e date OK. Così facendo il controllo si estende anche agli eseguibili che si trovano memorizzati nella cache.
     
     
   • Impostazioni Defence+ : questa è la finestra a mio avviso principale del D+. Da qui si setta il nostro Hips per avere la migliore sicurezza possibile.
     
     Le modalità di sicurezza del D+ sono:
     
     
     • Disabilitato: il D+ non è attivo quindi nessun avviso.
       
       
     • Apprendimento: le regole presenti nelle Policy di sicurezza sono rispettate, mentre tutte le nuove applicazioni vengono lasciate libere di fare e il D+ ricorderà queste nuove azioni. Utile in caso abbiate problemi con una particolare applicazione e anche nel caso di GIOCHI ONLINE, la prima volta che giocate mettete D+ in apprendimento e lanciate il gioco, fatte le azioni fondamentali poi rimettete D+ al livello di sicurezza che usate normalmente. Le prossime volte che avviate il gioco D+ avendo appreso come trattarlo non dovrebbe più intervenire e lasciarvi quindi liberi di giocare. Da usare per pochi minuti e solo in caso di necessità. Poi tornate ad un livello di sicurezza più consono.
       
       
     • PC Pulito: è lo stato di default,che abbiamo appena CIS viene installato quello che coniuga una sicurezza discreta con un numero di avvisi limitati. In questo caso Cis parte dall'idea che tutti gli applicativi presenti sul pc sono sicuri e quindi ne acconsente l'azione, interverrà solo per i nuovi applicativi che installerete. Lo consiglio brevemente per chi si avvicina a Comodo la prima volta oppure per chi sta installando applicazioni su un pc nuovo. Dopo poche ore o giorni è il caso di settare D+ in modo più stringente.
       
       
     • PC Sicuro: è il livello che usa la maggioranza degli utenti di CIS, è quello che consigliamo un po' a tutti, anche ai neofiti dopo che sono stati un breve periodo in modalità PC Pulito . Il numero di avvisi crescerà ma siamo già capaci di rispondere “con criterio” ai pop-up.
       Le regole delle Policy sono applicate, i file che Comodo conosce come “Sicuri” vengono acconsentiti, per tutti gli altri il Defense ci chiederà cosa fare.
       
       
     • Paranoico: D+ ci avviserà di ogni attività tranne che per le sole applicazioni presenti nell'elenco delle Policy di Sicurezza, conseguentemente il numero di avvisi cresce notevolmente. Si tratta di un settaggio per paranoici come me o per chi tratta malware dalla mattina alla sera, non consigliabile ai novizi, ma molti col tempo e la pratica sono arrivati a questo livello e non lo abbassano più.
     
     
     
     Le altre impostazioni presenti sono:
     
     
     • Variazione del tempo di permanenza a video del pop-up.
       
       
     • Fidati di applicazioni digitalmente firmate da autori di software sicuro: flaggato di default per mitigare i numero di avvisi. Comodo è leader nella gestione e creazione di certificati digitali quindi qui sfrutta questa tecnologia per determinare se una applicazione firmata digitalmente è rilasciata da un ente certificato e quindi sia sicura o meno. Se deselezionate l'opzione avrete qualche avviso in più.
       
       
     • Blocca tutte le richieste sconosciute se l'applicazione è chiusa: nel caso CIS venga chiuso da noi, se questa opzione è stata scelta allora tutto quello che non è acconsentito nelle Policy verrà automaticamente bloccato. Da usare solo se credete che il pc sia infetto e per esigenze di controllo con altri programmi di sicurezza dovete disattivare CIS.
       
       
     • Disattivare Permanentemente il D+: se il D+ è disabilitato lo avete sempre a disposizione, in questo caso se vorrete usare il D+ dovrete reinstallarlo.
       
       
     • Crea regole per applicazioni sicure: se scelta l'opzione allora il D+ creerà automaticamente regole per le applicazioni sicure in “Policy di Sicurezza del Computer”. Sono sicuri gli applicativi firmati da chi è in “Produttori Software Fidati”, tutte le applicazioni in “File Potetti” , quelle che CIS internamente ha come lista di produttori fidati e che aggiorna ad ogni versione.
     
     Ora andate nella seconda scheda della finestra quella denominata “Aree di Controllo” e controllate che tutte le arre siano selezionate, cosa che è fatta di default ma meglio assicurarcene.
     

Eccoci al consiglio di configurazione:

A default: il Defense è su "PC Pulito"
HARDENING OBBLIGATORIO:

• passare a “Sicuro”:
• vedete voi se fidarvi o meno degli Autori che fanno Firme Digitali certificate;
• se mettete il Blocco alle richieste quando CIS è chiuso allora ricordatevi di aver fatto questa scelta prima di dannarvi l'anima a capire perchè a CIS disattivato quel tale programma non funziona;
• consiglio di tenere il “Crea regole per applicazioni sicure” non selezionato e di sceglierlo solo se usando la modalità “Sicuro” la quantità di avvisi vi sembra troppo stressante, aiuta a mitigarne il numero e tutto sommato non diminuisce la sicurezza; Non considerare firme digitali certificate e non creare regole per applicazioni sicure vi porterà ad un numero di pop-up molto vicino a quello del livello Paranoico che è poi il livello che vorrei tutti possano padroneggiare un giorno per avere controllo assoluto del pc;
• in "Avanzate - Impostazioni di Controllo Esecuzione Immagine" come già detto portate il valore su "Aggressivo".

Ho indicato queste azioni come un passo obbligatorio, ovvio che per un neofita ci vuole qualche giorno per abituarsi al programma e quindi resterà su “PC Pulito” più di noi che già conosciamo CIS, ma anche i principianti dovranno passare a questo stato per aumentare la sicurezza.
Per chi è pratico di CIS consiglio di valutare anche il passaggio successivamente alla modalità “Paranoico”.

[Romagnolo1973]

SANDBOX

Eccoci alla novità più visibile di questa nuova versione di CIS, la sua SANDBOX . Si tratta di un recinto, un ambiente virtuale dove poter far “giocare” un applicazione per studiarne le azioni senza che possa intaccare il sistema operativo (File System e Registro). Questa virtualizzazione può essere fatta con programmi appositi quali ad esempio Sandboxie o Returnil ed ora anche tramite la SB di CIS che ha però una funzionalità unica, infatti alla virtualizzazione del file system e del registro affianca privilegi ridotti per l'applicazione recintata. Il programma così sandboxato andrà a leggere e scrivere su un registro o su cartelle che sono in realtà virtuali, replica di quelle reali senza in alcun modo poter intaccare il nostro sistema.
Il file system virtuale si trova nella cartella nascosta C:\VirtualRoot\”nome applicazione sandboxata” mentre il registro virtuale è in HKEY_LOCAL_MACHINE\SYSTEM\VirtualRoot\

Vediamo ora come di consueto l'avviso dell'applicazione per poterlo interpretare:



A: chi origina l'allerta è Comodo Sandbox, l'avviso è facilmente distinguibile da quelli del FW e del D+ poiché non ha la cornice in alto gialla o rossa ed ha il simbolo della SB.
B: il nome dell'applicazione che ha generato l'avviso, in questo caso è un driver della mia scheda audio, cliccando sul nome dell'applicazione in azzurro si va alla posizione dell'applicazione stessa, il tutto per aiutarci nella decisione.
C: Comodo ci informa di aver preventivamente già isolato l'applicazione.
D: Ora sta a noi scegliere se lasciare l'applicazione nel recinto oppure farla eseguire fuori da quell'area.
E: nel caso facessimo uscire dal recinto il file e quindi lo eseguissimo in ambiente reale, ci viene ulteriormente chiesto se vogliamo o meno fidarci del produttore di quel file.

Quando CIS fa scattare questo avviso?
Quando chi ha firmato l'applicazione non si trova nella lista dei “Produttori Software Fidati”;
L'applicazione non è stata inserita dall'utente tra i “File Sicuri”
L'utente non acconsente a dare al file privilegi elevati (era l'avviso visto per il D+)
In tutti questi casi l'eseguibile viene cautelativamente messo nell'area protetta e quindi CIS ci avvisa di ciò chiedendoci come comportarsi.

Se il file si trova nella sandbox perchè, come visto sopra, risulta sconosciuto a CIS allora di default viene inviato in automatico a Comodo per l'analisi, una volta rilevato dai tecnici come applicazione sicura verrà immessa nella lista interna di CIS come “safe” e a quel punto viene rimossa dalla Sandbox senza il nostro intervento. Questa lista di prodotti sicuri si aggiorna ad ogni nuova release.

Se al pop-up diamo istruzioni a CIS di eseguire quell'applicazione fuori dalla sandbox allora immediatamente Comodo la inserisce in "File Sicuri" del Defense+. Infatti come potete vedere nel'immagine sotto quel drive SoundMax oggetto dell'avviso riportato all'inizio del post ed altri programmi che CIS non riconosce e a cui ho detto di eseguirsi fuori dal recinto si trovano tutti lì indicati.



Se decidiamo di lasciare quel programma sandboxato allora di default CIS gli darà modo di eseguirsi con il livello di restrizione “Limitato”.

I livelli di restrizione sono 4:

• NON SICURO: l'applicazione sandboxata non può in alcun modo accedere a risorse del sistema (RAM, CPU), non può eseguire più di 10 processi alla volta, ha diritti di accesso super limitati. E' un livello così stringente in termini di permessi che molte applicazioni così limitate non funzionerebbero.
  
  
• CIRCOSCRITTO: l'applicazione accede a poche risorse di sistema, per il resto è tutto analogo a quanto detto sopra.
  
  
• LIMITATO: l'applicazione ha accesso solo ad alcune risorse di sistema, non può eseguire più i 10 processi alla volta, gira con privilegi di ACCOUNT LIMITATO.
  Attenzione !!!
  • se mettiamo noi a mano una applicazone in Sandbox tramite "Programmi nella Sandbox" o "Avvia un Programma nella Sandbox"allora, salvo esplicitamente non si vada a intervenire diversamente sulle opzioni, la virtualizzazione è attiva;
  • se invece è Comodo autonomamente a metterlo nel recinto perchè non lo conosce, la virtualizzazione non è attiva e il file interagisce con il sistema reale, a parte le limitazioni a cui viene obbligato dal D+ e che vedrete tra qualche riga.
  
  
• ILLIMITATO: non vi sono limitazioni di sorta, quindi l'applicazione può accedere ai file di sistema. A differenza di farla eseguire liberamente però questa applicazione soggiace alle limitazioni che noi impostiamo in “Programmi nella Sandbox”che vedremo tra poco.

Oltre ai livelli di restrizione che vengono dati alle applicazioni sandboxate, anche il D+ nei loro confronti si setta in modo da bloccare in automatico:

• accessi in memoria nei confronti di applicazioni non recintate;
• accessi ad Interfacce COM protette;
• keylog e catture schermo;
• hooks;
• modificare chiavi di registro protette (se la virtualizzazione del registro è disattivata);
• modificare file protetti già esistenti (se la virtualizzazione del file system è disattivata).

Eccoci alla descrizione delle funzioni presenti nella schermata principale:

• Programmi nella Sandbox: cliccandoci avrete la lista dei programmi “recintati”. Possiamo aggiungervi programmi, modificarne le impostazioni, rimuoverli o anche pulire la lista da applicazioni non più presenti.
  
  
  
  Cliccando su aggiungi o modifica avremo queste 2 schede su cui agire per modificare i settaggi dei vari livelli di restrizione:
  
  • Opzioni Restrizione : per cambiare il livello di restrizione adottato per quell'applicativo.
    
    
    
    
  • Opzioni Avanzate: dove dare valori per le risorse di sistema da consentire e per abilitare o meno sia la virtualizzazione del sistema che del registro. Si noti come proprio come detto sopra di default il livello “Limitato” non abbia alcuna restrizione di risorse.
    
    
    
    Pensateci bene prima di togliere la virtualizzazione visto che in questo caso l'applicativo andrà a interagire col vostro sistema reale!!!
  
  
• Opzioni Sandbox: qui si può modificare il modo in cui va ad operare la SB
  
  Nella prima scheda “Impostazioni Generali” si può abilitare o disabilitare la Sandbox oltre a fare in modo che di default siano attive o meno tutte queste altre caratteristiche:
  • Virtualizzazione file system;
  • Virtualizzazione registro di sistema;
  • Avvio automatico dei programmi sconosciuti in SB;
  • Riconoscimento delle installazioni ed aggiornamenti per eseguirli fuori dal recinto;
  • Invia a Comodo i file sospesi/sconosciuti per l'analisi;
  • Autorizza automaticamente le installazioni sicure;
  
  
  
  Nella seconda scheda “Alert Setting” è possibile indicare se si vogliono avere o meno gli avvisi a video del D+, FW e AV.
  Consiglio di lasciare tutto selezionato in entrambe le schede.
  
  
  
  Attenzione: disabilitare qui la virtualizzazione del file system o del registro porta tutte le applicazioni sandboxate ad agire nel sistema “reale” anche se in “Programmi nella sandbox” si era indicata la virtualizzazione per quella applicazione. Qui di seguito la tabella che esplica la gerarchia tra comandi discordanti nelle due sezioni. Consiglio di lasciare qui la virtualizzazione attiva e poi di settarla diversamente sulle singole applicazione se volete, solo così infatti avrete certezza di non trovarvi brutte sorprese.
  
  
  
  
• Avvia Programma nella Sandbox: si possono aggiungere manualmente nel recinto tutti i programmi che vogliamo per farli girare quella sola volta come recintati e dare loro il livello di restrizioni desiderato. Qualsiasi file .exe o setup può essere fatto girare sandoboxato anche più comodamente agendo sull'apposita voce presente nel menù tasto destro del mouse una volta cliccato sul file stesso, quel programma girerà solo quella volta come fosse isolato. Se volete che giri sempre sandoboxato dovete inserirlo in "Programmi nella Sandbox".
  
  

Disattivare la SandBox: è una funzionalità nuova, giovane e inevitabilmente potrebbe dare problemi in configurazioni particolari e quindi vediamo come disabilitarla in modo da avere un CIS 4 al 99% uguale alla versione precedente.
Andate in Defense+ - Sandbox – Opzioni Sandbox e portate il livello su disabilitato e date OK o più semplicemente dall'icona di CIS nella tray fate tasto destro poi “Livello Sicurezza Sandbox” e cliccate su “Disabilitato”.
Per effettuare pienamente alcuni test come per esempio CTL occorre disativare la SB o non si passano completamente, infatti girerebbero sandboxati e darebbero risultati non corretti: per esempio avendo accesso a delle chiavi di registro il risultato sarebbe test fallito ma si tratta di chiavi virtuali non di quelle reali.


Clicca qui per Come Sandboxare i Browser by arnyreny

[Romagnolo1973]

ANTIVIRUS

Si tratta della grande novità apportata da CIS 3 e qui si migliora ulteriormente. Mancano ancora delle opzioni presenti nei concorrenti ma non è sicuramente un prodotto scarso ed ha il pregio di integrarsi nella suite e di pesare davvero poco. Inoltre è GRATUITO anche per uso commerciale e lì di alternative gratuite superiori a questo non ne vedo.
Per l'utenza privata con un pc potente le alternative certo non mancano e di grande livello ma comunque l'idea di usarlo non è da scartare, purtroppo la vera incognita è la mancanza di un test decente e questo ne frena sicuramente l'uso.
E' possibile anche installare il solo AV (con D+ compreso) senza il Firewall ma è un azione davvero strana e che non ho preso in considerazione in questa guida già lunga di suo.

Vediamo per prima cosa come interpretare gli avvisi:



Le possibilità sono le stesse comunemente presenti negli AV ovvero intervenire Cancellando la minaccia sia in modo definitivo che inserendola in quarantena nel caso volessimo attendere e studiare il problema.
Possiamo anche ignorare l'avviso e in questo caso dobbiamo scegliere tra acconsentire una volta, aggiungere il file nella lista “File Sicuri”, invialo a Comodo come Falso Positivo, aggiungerlo alle esclusioni in modo che non si ripetano avvisi in realtime e anche in scansione.
Se siamo sicuri sia un Falso Positivo è sempre bene inviarlo a Comodo per aiutarli a far crescere il prodotto, loro lo analizzeranno e se ritenuto effettivamente un FP allora al prossimo aggiornamento firme quella minaccia non sarà più presente poiché in realtà file legittimo.

Comodo AntiVirus è presente nel menù contestuale tasto destro del mouse per permettere agevolmente di scansionare quel determinato elemento selezionato, sia esso un file, una cartella o un intero disco.

L'antivirus si aggiorna giornalmente da solo contattando in autonomia i server Comodo, unica pecca è che manca un modo per configurare questi aggiornamenti, cosa presente in quasi la totalità dei concorrenti.
Qui trovate la definizione dei virus e il DataBase da scaricare qualora aveste dei problemi di aggiornamento. In quella pagina c'è anche il link alla guida per aggiornare CAV dal database offline. Se avete una internet a consumo (chiavetta internet) allora meglio scaricare i DB da una linea flat e poi fare il travaso per salvaguardare il vostro portafoglio.

Ora passiamo brevemente alla analisi delle sue funzioni :

• Fai una Scansione: da qui è possibile fare le scansioni a comando. Di default sono presenti due opzioni preconfigurate:
  
  
  1. My Computer: dal controllo che ho fatto mi sembra che scansioni tutti gli HD presenti sul pc, se volete scansionare solo C o singole partizioni allora create una scansione e inseriteli.
     
     
  2. Criticals Area: scansiona solo le aree più critiche dove solitamente i virus vanno ad agire, corrisponde ad una scansione veloce n altri AV o denominazioni simili.
  
  
• Aggiorna database Virus: cliccandoci si avvierà il download delle firme virus.
  
  
• Elementi in Quarantena: qui si vede la quarantena file, si possono aggiungere manualmente file, cancellare un singolo file che si trova in quarantena, ripristinare gli elementi nel sistema operativo, svuotare la quarantena che corrisponde ad eliminare definitivamente tutti gli elementi in quarantena, inviare i file a Comodo per analisi. Ricordo che una volta in quarantena il file è totalmente innocuo perchè criptato.
  
  
• Eventi Antivirus: da qui si vedono le azioni svolte dall'AV, cliccando su “Altro” si entra nel LOG della Suite che abbiamo già visto parlando di FW e D+, log che si può stampare, salvare, esportare …
  
  
• Invia File Sospetti: con un comodo Explorer si possono inviare determinati file a Comodo per l'analisi. In alternativa potete uppare i file qui, utile anche se si volesse inviare loro campioni di malware, massimo 5 files e 10 mega in dimensione.
  
  
• Scansioni Programmate: di suo CIS è impostato per fare una scansione settimanale di Domenica, potete modificarla, cancellarla e farne di altre per esempio giornaliere.
  
  
• Profili di Scansione: qui trovate i profili già visti in fai una scansione. Si possono inserire e modificarne altre.
  
  
• Impostazioni Antivirus: è la finestra più importante, qui si impostano le funzionalità avanzate dell'AV. Nella tab Esclusioni ci sono i file che a seguito di un pop-up abbiamo detto di escludere dal controllo e altri che a mano potete inserire.
  Occhio !!! Di default è tutto impostato su "Basso"

HARDENING: consiglio di modificare come da figura le impostazioni.



Realtime, Scansione Manuale e Programmata tutti con euristica ALTA e pazienza se ci saranno dei Falsi Positivi, all'avviso daremo istruzione di mettere in quarantena poi andiamo con calma ad analizzare il file incriminato su VirusTotal.

Perchè ho scritto di scegliere tra Stateful e On Acces e non ho messo solo quest'ultimo?
Perchè “Stateful” è una feature unica che ha solo Comodo AV che porta il Real-Time a controllare solo i file che non ha controllato in precedenza, più precisamente scansiona solo i file che non sono stati controllati a partire dall'ultimo update di firme virali.
Ciò permette di limitare gli accessi al disco e il consumo di risorse tipiche invece della funzione Real-Time standard.
Se invece avete un pc decente (1 giga di Ram), allora impostate "On Access" che è appunto la funzione in tempo reale classica che porta l'AV a controllare prima di ogni lettura e scrittura il file.
Sul mio pc che ha 5 anni settare "On Access" non comporta aumenti di risorse significativi quindi nel 99% dei casi consiglio di impostarlo in questo modo.

[Romagnolo1973]

ALTRO

Nella scheda “Altro” si trovano importanti funzioni di supporto che ora andremo ad analizzare soffermandoci sulle principali:

• Impostazioni: da qui si possono decidere cose futili come l'animazione della icona nella tray o i temi, e cose importanti come l'aggiornamento automatico o la rilevazione di nuove reti private. Vi consiglio di navigare le varie schede di cui si compone e vedere se dovete ambiare qualche impostazione (è da qui per esempio che si setta un proxy oppure si adeisce o ci si cancella dalla comunità Threatcast ).
  
  
• Gestisci le mie configurazioni: sicuramente la funzione più usata tra quelle della sezione “Altro”. Ci permette di esportare e importare le nostre configurazioni in modo da non dover partire da zero ad ogni aggiornamento di versione. Da qui si possono attivare le varie configurazioni di sicurezza (se avete seguito il consiglio siete in Proactive Security), cancellarne una, esportare la configurazione (CIS esporta solo quella attiva in quel momento), importare una configurazione precedentemente salvata. Consiglio ogni tanto di farsi una copia di backup della configurazione, la si salva tramite il tasto “Esporta” e la si carica tramite “Importa”.
  
  
  
  
• Diagnostica: se incontrate dei problemi e strani errori di CIS allora fate girare questo tool, non ha mai risolto molto ma..meglio tentare prima di dover disinstallare il programma.
  
  
• Controlla Aggiornamenti: se in “Impostazioni” è selezionata la ricerca automatica di aggiornamenti qui non entrerete mai, utile invece per chi gli aggiornamenti vuole controlarli manualmente.
  
  
• Consulta il Forum di Supporto: vi ridireziona al forum ufficiale dove una volta registrati potrete chiedere aiuto.
  
  
• Aiuto: apre l'Help del programma in inglese. A differenza di tanti altri questo è davvero ben fatto e completo. Se qualcosa qui non vi è chiaro consultate questo e avrete sicuramente la risposta che cercate.
  
  
• Informazioni Su: ci informa sulla versione di CIS che possediamo e sul DataBase dei virus (se attivato).

Clicca qui per Nuovi Temi per CIS 4


Consumi di Risorse: bassissimi, la Suite completa di Antivirus va sulla mia macchina dai 22 ai 30 MB massimo.
L'antivirus pure settato su "On Acess" non fa aumentare i consumi rispetto alla modalità "Stateful"




Disinstallazione CIS 4

In Start- Programmi - COMODO - Comodo Internet Security trovate il suo disinstallatore proprietario. Una valida alternativa è quella di usare Revo Uninstall Free che non ha mai tradito il sottoscritto. Se invece per qualche ragione lo dovete disinstallare per poi reinstallarlo allora oltre quanto detto è il caso di fare anche pulizia del registro con CCleaner che è abbastanza cautelativo e quindi non ha mai causato danni, poi riavviare il pc e reinstallare.
Attenzione !!! Come tutti i programmi di sicurezza prima di disinstallarlo va chiuso !!! Basta andare sull'icona nella tray e cliccare su "Esci"
Per disinstallare o installare l'AV senza dover renstallare tutta la suite vi basta far partire il disinstallatore di Comodo come detto sopra e scegliere "Change" e poi nella successiva schermata "Product Selection" togliere la spunta a "Install Comodo Antivirus" per disinstallarlo o mettere la spunta se volete utilizzarlo.

Siamo arrivati alla fine, non mi resta altro che dirvi buon CIS !!!!

[Roby_P]

COMODO TIME MACHINE

Cominciamo a spiegare cos'è e a cosa serve
Comodo Time Machine (CTM) è un tool di rollback di sistema che consente agli utenti di ripristinare rapidamente i loro computer a un punto precedente nel tempo. Pensate al Ripristino configurazione di sistema, col quale magari avete più familiarità, voi create un punto di ripristino ed in caso di necessità potete riportare il registro di sistema a quel punto. Allo stesso modo si possono creare dei punti di ripristino di sistema con CTM, solo che questi punti di ripristino riguarderanno l'intero sistema operativo (compreso il registro di sistema, i file critici del sistema operativo e documenti). CTM crea delle istantanee (snapshot appunto ) del vostro sistema operativo (SO) ed in caso di necessità potrete tornare indietro da uno snapshot all'altro fino a riportare il vostro pc allo stato che più vi aggrada
Quasi dimenticavo ... CTM è freeware.


INFORMAZIONI E DOWNLOAD

SO SUPPORTATI:

• Windows 7 (32 and 64 bit)
• Windows Vista (32 and 64 bit)
• Windows XP with service pack 2 or higher (32 and 64 bit)
• Windows Server 2003 (32 and 64 bit)
• Windows Server 2008 (32 and 64 bit. Except Windows Server 2008 Core)

REQUISITI MINIMI DI SISTEMA:

• Intel Pentium III Processor or higher
• 128 MB RAM
• 4 GB (minimo) / 10 GB (raccomandato) di spazio libero su disco

DIMENSIONI:

20.1 MB

[Roby_P]

TEST


Test Firewall:

CIS da sempre è ai vertici dei test Matousec da tutti riconosciuti come i migliori test FW

• MATOUSEC

Test Comodo Antivirus:

poiché per svariate ragioni CAV, ovvero la parte Antivirus di CIS, non rientra tra i prodotti normalmente testati dai vari AV-Comparatives o VirusBulletin, ecco qui alcuni test più o meno validi relativi a Comodo AntiVirus, così vi potrete fare una idea della performance rispetto ai rivali.

• MALWARE RESEARCH GROUP
  
• ANTIMALWARE TEST LAB ZeroDay
  
• ANTIMALWARE TEST LAB PC Infetto
  
• VIRUS.GR
  
• VIRUSINFO
  
• MEGALAB.IT

Test per controllare il nostro livello di protezione:

• GRC LeakTest
  
• PCFLANK
  
• CLT
  
  CLT è un LeakTest creato da Comodo, per un risultato corretto dovete disabilitare momentaneamente il vostro AntiVirus (Comodo AV riconosce il test quindi non occorre disattivarlo), consiglio inoltre di disabilitare momentaneamente anche la SandBox di CIS se la usate poiché potrebbe influire e non poco sul risultato portando parti del test a girare sandboxati quindi fallendolo.
  Scompattate il programma sul desktop e cliccate su clt.exe.
  Defense vi mostrerà l'avviso seguente a cui dovete acconsentire senza ricordare la risposta, diversamente il test non può avviarsi.
  
  
  
  Ora si aprirà la finestra di CLT, vi basterà cliccare su Test ed inizieranno ben 34 prove differenti.
  Consiglio prima di iniziare di cliccare sul tasto a sinistra "?" e di dare l'Ok al popup con cui il D+ ci avvisa che il CLT vuole azionare il vostro browser, in questo modo sempre sul desktop vi viene salvato un elenco in html di tutti i test che verranno fatti con il significato di ognuno di essi, così se alcuni non li passate almeno avete idea di cosa siano.
  
  
  
  Le istruzioni sono semplici, vi basterà rispondere ai vari popup come da immagine sotto ovvero indicando al D+ di bloccare l'azione e non selezionando il ricorda
  
  
  
  Otterrete così il vostro punteggio finale, CLT salva un log sul desktop in formato html, la valutazione è su base 340.
  
  
  
  Ho sempre ottenuto il massimo punteggio già con D+ settato su Sicuro, a livelli inferiori invece il risultato è sensibilmente più modesto, quindi impostare CIS come consigliamo in questi primi post è sicuramente buona cosa.

Ricordiamo che i Test hanno comunque una valenza relativa, a volte sono troppo irreali, a volte all'opposto non rispecchiano i pericoli della vita reale, insomma sono da intendersi sempre come prove su cui farsi una idea di base del prodotto ben lungi dall'essere la verità assoluta.

[Roby_P]

F.A.Q.

Siccome qui siamo gente bizzarra, anche le F.A.Q. sono bizzarre
Vuoi la risposta .... allora clicka sulla domanda

• Perchè nella finestra principale CIS mi dce che ha bloccato mille e più intrusioni?
  Perchè il LOG del FW presenta tanti eventi?
  Cosa è Windows Operating System?
• Ho provato ad aggiornare, ma non termina l'operazione, mi da error 1603. Che faccio?
  Volevo disinstallare, ma mi da error 1603 ed al riavvio Comodo è ancora lì. Come mi libero di Comodo?
• Ho notatao che quando torno al pc dopo qualche mniuto di salvaschermo, trovo messaggi del defense riguardanti rundll32, che vuole accedere a praogrammi vari, è normale?

[Xaolao]

cosa bolle in pentola?

[Roby_P]

Tu che dici?

Mi sono fatta anche l'avatar nuovo per l'occasione

[Romagnolo1973]

Quote:

Originariamente inviato da Xaolao

cosa bolle in pentola?

sono delle bozze ma intanto abbiamo messo i post vuoti o quasi così poi ci lavoriamo sopra con calma, senza fretta

[Xaolao]

Quote:

Originariamente inviato da Roby_P

Tu che dici?

Mi sono fatta anche l'avatar nuovo per l'occasione

bello! (ma che roba sono quei quadratini nell'angolo a destra?)

Quote:

Originariamente inviato da Romagnolo1973

sono delle bozze ma intanto abbiamo messo i post vuoti o quasi così poi ci lavoriamo sopra con calma, senza fretta

a parte gli scherzi, singolarmente fate dei capolavori di guide, immagino solo cosa potrete fare come... associazione a delinquere (non diciamo di più per scaramanzia, và)

sapete che non ho le vostre competenze, ma se vi serve una mano, fate un fischio

[Roby_P]

Quote:

Originariamente inviato da Xaolao

bello! (ma che roba sono quei quadratini nell'angolo a destra?)

E' la firma di chi ha fatto l'avatar, c'era pure sul vecchio avatar

Quote:

Originariamente inviato da Xaolao

sapete che non ho le vostre competenze, ma se vi serve una mano, fate un fischio

Perchè usi il plurale? Qui l'unico con le competenze è Romagnolo

Bello il tuo avatar ... un altro occhio verde... in tema

[Romagnolo1973]

FINITO !!!
Ho fatto il regalo di Pasqua

Alcune cose sono da rivedere

E' tutto da colorare, separare, rientrare, puntare ... insomma da sistemare il layout ma i contenuti ci sono alla meno peggio

Domani poi inizio a sistemarla benino

[arnyreny]

solo tu potevi fare un lavoro cosi .....perfetto
complimenti...

ps ho letto poco...ma prometto che leggero' tutto..

[Romagnolo1973]

Quote:

Originariamente inviato da arnyreny

solo tu potevi fare un lavoro cosi .....perfetto
complimenti...

ps ho letto poco...ma prometto che leggero' tutto..

Grazie arny come sempre

Aspetta un attimino a leggerla che la devo un po' reimpaginare, così capirci è dura.
Purtroppo le cose da dire sono tante e si rischia di disperdere i messaggi importanti tra tante cose, bohh vediamo e speriamo diventi leggibile e chiara per tutti in modo da evitare le domande ripetute 1000 volte

[arnyreny]

Quote:

Originariamente inviato da Romagnolo1973

Grazie arny come sempre

Aspetta un attimino a leggerla che la devo un po' reimpaginare, così capirci è dura.
Purtroppo le cose da dire sono tante e si rischia di disperdere i messaggi importanti tra tante cose, bohh vediamo e speriamo diventi leggibile e chiara per tutti in modo da evitare le domande ripetute 1000 volte

si ...potresti poi con calma ...suggerire di far girare il browser nella sandbox,come sto facendo io ...con il nuovo aggiornamento e' stato migliorato il meccanismo...
prima il tutto avveniva in una cartellina nascosta chiamata sandbox...adesso hanno cambiato cartellina...ora si chiama virtualroot...forse questa e' una manovra per non farsi riconoscere dal nemico

[wjmat]

complimenti per l'ennesima ottima guida
devo ancora leggerla bene ma vado in fiducia
ciao

[cloutz]

intanto complimenti per l'impegno che avete preso
poi ho dato una lettura veloce a quello che c'è per ora e mi sembra davvero ben fatta

Complimenti

Saluti