Содержание
• Изоляция «неопознанных» приложений
• Режим обнаружения инсталляторов
• Исключения автопесочницы
Изоляция «неопознанных» приложений
Активность программы, которая не является «доверенной» согласно рейтингу файлов, если антивирус не нашел в ней угрозы, перехватывается в Autosandbox. Autosandbox («автопесочница») имеет несколько режимов обработки таких программ: от полной блокировки выполнения до ограничения лишь операций с защищенными ресурсами, а также режим полной виртуализации. Окно настройки автопесочницы находится на вкладке «Защита+» > «Поведенческий анализ».
Отметим, что если программа, запущенная в автопесочнице, запустит другие процессы, то к дочерним процессам также применятся ограничения автопесочницы. Благодаря автопесочнице CIS может поддерживать относительную безопасность, даже когда антивирус не обновлен, что актуально для компьютеров, не подключенных к сети. На слабых машинах можно вообще отказаться от антивируса, включив лишь автопесочницу в режиме блокировки.
При использовании последнего варианта (без антивируса, но с автопесочницей в режиме блокировки) следует учесть, что так можно защититься лишь от запуска вредоносных исполняемых файлов и некоторых видов скриптов, но сохраняется опасность, например, макро-вирусов. Также версии CIS ниже 7-й не защищают от выполнения кода посредством rundll32.exe. Более подробно конфигурации с полной блокировкой «неопознанных» программ будут рассмотрены в статье об использовании проактивной защиты.
Особый интерес представляет режим полной виртуализации, при котором вся активность неизвестной программы протекает в виртуальной среде, а реальная система не затрагивается. На мой взгляд, это оптимальный режим, если вообще использовать автопесочницу.
Кроме режимов блокировки и полной виртуализации, автопесочница имеет режимы, при которых «неопознанное» приложение будет запускаться, но с ограничением доступа к ресурсам: обрабатываться как «частично ограниченное», «подозрительное», «ограниченное» или «недоверенное» (перечислены в порядке усиления защиты; о различиях можно прочитать в окне «Защита+» > «Sandbox» > «Добавить»). Перечень защищаемых ресурсов находится на вкладке «Защита+» > «HIPS» > «Защищенные объекты». Если, например, добавить к списку «Защищенных файлов» маску «?:\*», то будет блокироваться изменение любых файлов при данных четырех режимах автопесочницы (для добавления маски сначала через контекстное меню добавляем любой файл, затем меняем путь).
Режим обнаружения инсталляторов
По умолчанию для автопесочницы включен режим обнаружения инсталляторов: опция «Обнаруживать программы, требующие повышенных привилегий». Таковыми будут считаться приложения с признаком «инсталлятора»:
- приложения, которые при запуске запрашивают права администратора;
- а также любые исполняемые файлы размером больше 40 МБ.
Если включена автопесочница в любом режиме, кроме блокировки, и отмечена опция «Показывать оповещения, если неизвестные программы требуют повышенных привилегий», то при попытке запустить «неопознанное» приложение с признаком «инсталлятора» пользователь получит оповещение с выбором действий:
- блокировать запуск приложения;
- запустить его в песочнице;
- временно запустить без ограничений: в этом случае данное приложение и запущенные им программы выполнятся без ограничений автопесочницы, требуется полная уверенность в его безопасности;
- сделать приложение «доверенным» (поставить галку): в этом случае «доверенным» станет не только данное, но и созданные им исполняемые файлы, требуется полная уверенность в безопасности инсталлятора.
Несмотря на определенное удобство режима обнаружения инсталляторов, не всегда можно на него полагаться: во-первых, оповещение будет выдаваться именно для программ, соответствующих признакам «инсталляторов» для CIS, а остальные молча ограничатся автопесочницей; во-вторых, автоматически в доверенные занесутся не все созданные программой файлы, а только некоторые исполняемые, чего не всегда достаточно. Кроме того, использование оповещений бывает недопустимо. Поэтому, чтобы все неизвестные программы гарантированно попадали в автопесочницу без вопросов к пользователю, режим обнаружения инсталляторов можно отключить.
Отметим, что если программа сответствует признакам «инсталлятора» для CIS и является «доверенной», то к ней автоматически применятся привилегии «доверенного инсталлятора», даже если режим их обнаружения отключен: дочерние процессы выполнятся без ограничений, а созданные исполняемые файлы станут «доверенными». Подробно об этих привилегиях — в следующей статье.
Исключения автопесочницы
В версии CIS 6 можно запретить изолировать в автопесочнице программы с определенными путями, вне зависимости от их рейтинга. Для этого на вкладке «Защита+» > «Поведенческий анализ» включаем опцию «Не блокировать файлы из этого списка» и добавляем в окне исключений соответствующие файлы, каталоги или группы.
В версии CIS 7 появилась возможность применить к программам, исключенным из автопесочницы, опцию «Исключить дочерние процессы». Она будет полезна, например, при использовании программы «Sandboxie».
Следует соблюдать осторожность при включении этой опции для различных программ, особенно если не используется HIPS, так как исключение будет применяться ко всей ветви дочерних процессов. Для скриптов опция не работает: если в окне исключений указать файл скрипта, исключение не применится к запущенным им процессам.
К сожалению, в момент, когда какая-либо программа пытается запустить другую «неопознанную», обычно уже невозможно повлиять на режим автопесочницы для нее. Исключения: программы, определяемые как инсталляторы, а также скрипты (при использовании HIPS).