CIS 7: Пошаговые инструкции для полной настройки и использования CIS

ВАЖНО! По сравнению с предыдущими статьями, инструкции даются в сокращенном виде.

Содержание

• Работа с оповещениями (для личного использования)
- Установка и настройка
- Использование
• Автоматическая работа (для «новичков» и пользователей с ограниченными правами)

Работа с оповещениями (для личного использования)

Установка и настройка

• Если системный диск чист от вредоносных файлов, перед установкой CIS выполняем копирование во временный каталог всего его содержимого с фильтром:
  Для этого можно использовать, как предложено, запущенный от администратора Total Commander, Unreal Commander, FreeCommander или другой файловый менеджер. Другой способ — создать и запустить файл filter.bat с единственной строкой:

• Производим установку аналогично описанному в первой статье:
  • отключаем все опции, кроме установки антивируса и фаервола;
  • после установки включаем конфигурацию «Proactive Security».
• Открываем окно настройки.
  • На вкладке «Интерфейс» отключаем все опции, кроме:
    • «Показывать информационные сообщения»,
    • «Показывать информационные сообщения, когда окна задач свернуты...»
  • На вкладке «Обновления» снимаем галку «Автоматически загружать обновления программы», задаем при необходимости прокси-сервер.
  • На вкладке «Антивирусный мониторинг» включаем опции:
    • «При загрузке компьютера сканировать память»;
    • «Не показывать оповещения»: «Блокировать угрозы»;
    Отключаем «Поиск потенциально нежелательных приложений».
  • На вкладке «Настройка HIPS» включаем опции:
    • «Использовать HIPS»: «Безопасный режим»;
    • «В оповещениях предоставлять подробные пояснения»;
    • «Время показа оповещений»: 999 секунд;
    • в случае 64-битной Windows: «Включить режим усиленной защиты».
    Отключаем опции:
    • «Не показывать оповещения»;
    • «Создавать правила для безопасных приложений»;
    • «Адаптировать режим работы при низких ресурсах системы»;
    • в случае 32-битной Windows: «Включить режим усиленной защиты».
  • На вкладке «Правила HIPS»:
    • удаляем разрешения для записи «Все приложения»:
      • сначала назначаем этой группе политику «Разрешенное приложение»;
      • затем назначаем пользовательский набор правил — разрешения удалятся;
    • приложению explorer.exe должен быть назначен набор «Разрешенное».
  • На вкладке «Защищенные объекты» добавляем в список «Защищенных файлов» любой файл, затем меняем путь на «*».
  • На вкладке «Наборы правил» в предопределенной политике «Ограниченное приложение» меняем пункт «Защищенные файлы и папки»:
    • действие: «Разрешить»
    • в списке исключений из «заблокированных» удаляем «*» и добавляем группы:
      • «Автозагрузка»,
      • «Важные файлы/папки»,
      • «Файлы/папки Comodo»,
      • «Исполняемые файлы»,
      • «Утилиты управления Windows»,
      • «Драйверы протоколов сторонних разработчиков»,
      • «Сокеты Windows»;
      а также добавляем «D:\*» и другие места с пользовательскими данными.
    (Смысл этих действий: из-за добавления «*» в «Защищенные объекты» политика «Ограниченное приложение» слишком ужесточилась, а изменениями мы возвращаем ее на прежний уровень.)
  • Аналогичные изменения вносим в политику «Изолированное приложение».
  • На вкладке «Поведенческий анализ» включаем опции:
    • «Выполнять эвристический анализ командной строки»
    • «Обнаруживать внедрение shell-кода», заносим в исключения программы Alcohol, VMware.
    Отключаем опции:
    • «Автоматически запускать в Sandbox обнаруженное неизвестное приложение»;
    • «Использовать Viruscope».
  • На вкладке «Настройка фаервола» включаем опции:
    • «Включить фаервол»: «Пользовательский набор правил»;
    • «Уровень частоты оповещений»: «Очень высокий»;
    • «Включить фильтрацию IPv6-трафика»;
    • «Включить фильтрацию loopback-трафика»;
    • «Блокировать фрагментированный трафик»;
    • «Анализировать протокол»;
    • «Включить защиту от ARP-спуфинга».
    Отключаем опции:
    • «Не показывать оповещения»;
    • «Автоматически обнаруживать частные сети»;
    • «Показывать оповещения Trustconnect»;
    • «Создавать правила для безопасных приложений».
  • На вкладке «Контент-фильтр» отключаем его использование.
  • На вкладке «Настройка рейтинга файлов» включаем все опции, кроме «Выполнять облачный анализ неизвестных файлов» (включить, если не требуется экономия трафика).
  • На вкладке «Доверенные файлы» через контекстное меню добавляем к ним временный каталог с безопасными файлами.
• После нажатия кнопки «Ok» несколько минут дожидаемся закрытия окна настройки, затем удаляем временный каталог.
• Открываем системный планировщик заданий, выбираем в разделе «Comodo» задание «Comodo Scan...», в его свойствах на вкладке триггеры меняем состояние на «Отключено».
• Проделываем манипуляции для расширения контекстного меню проводника пунктами открытия в песочнице, применения прав установщика и добавления в «доверенные»:
  • создаем каталог «C:\ContextMenu» и в нем — текстовый файл «RunAsInstaller.bat» с единственной строкой: «start "" /wait %*»;
  • создаем в каталоге «C:\ContextMenu» текстовый файл «AddToTrusted.bat»:

  • создаем каталог «C:\ContextMenu\temp»;
  • в правилах HIPS назначаем файлам «RunAsInstaller.bat» и «AddToTrusted.bat» политику «Установка или обновление»;
  • добавляем эти файлы в «доверенные»;
  • вносим изменения в реестр:

• Дополнительная настройка для работы с исключениями антивирусного сканирования:
  • устанавливаем и заносим в «доверенные» дополнительный файловый менеджер, например, FreeCommander или любой другой;
  • устанавливаем и заносим в «доверенные» программу VirusTotal Uploader или ее аналог;
  • на вкладке «Фаервол» > «Правила для приложений» добавляем «VirusTotal Uploader» с политикой «Веб-браузер»;
  • создаем папку наподобие «C:\Exclusions» и добавляем ее на вкладку «Антивирус» > «Исключения» > «Исключенные пути»;
  • на вкладку «Антивирус» > «Исключения» > «Исключенные приложения» добавляем «VirusTotal Uploader» и FreeCommander (или аналоги);
  • на вкладке «Поведенческий анализ» открываем окно «Не блокировать файлы из этого списка» и добавляем FreeCommander с опцией «Исключить дочерние процессы».
• Добавляем блокировки для предотвращения обхода анализа командной строки.
• Выполняем перезагрузку, после чего даем CIS произвести обновление и быстрое сканирование.

Использование

Любые действия, связанные со снятием ограничений с «неопознанных» программ, выполняем, только удостоверившись в их безопасности, например, на Virustotal.

Для установки нового безопасного ПО вызываем, удерживая Shift, контекстное меню на инсталляторе и выбираем пункт «Запустить как установщик».

При запуске «неопознанного», но гарантированно безопасного файла добавляем его «на лету» в «доверенные»:

• перед запуском «неопознанной» программы получим оповещение HIPS относительно родительского процесса — разрешим запуск без галки о запоминании;
• в главном окне CIS нажмем на индикатор «Изолировано в Sandbox»;
• в появившемся окне вызовем контекстное меню и снимем галку «Показать только приложения в Sandbox»;
• найдем данное приложение (с рейтингом «неизвестное») и добавим в «доверенные» через контекстное меню;
• в оповещении относительно активности данной программы выберем «Разрешить» без галки о запоминании.

Если необходимо разрешить активность «неопознанной» программе с постоянным местоположением, не занося ее в «доверенные» (и не исключая тем самым из антивирусного сканирования), то действия таковы:

• перед запуском появится оповещение относительно родительского приложения — ставим галку о запоминании и выбираем «Разрешить»;
• появится оповещение об активности «неопознанной» программы — в меню «Обработать как...» выбираем политику «Разрешенное» или ниже, с запоминанием.

Если местоположение программы временное, то действуем аналогично, но галки о запоминании не ставим.

Когда получим оповещение перед запуском подозрительной программы, выбираем «Блокировать» > «Только заблокировать», без запоминания.

Сомнительные программы запускаем в виртуальной среде через контекстное меню. Если нет возможности его использовать (запуск происходит не из проводника), применяем ограничения HIPS:

• перед запуском программы получим оповещение HIPS о запуске — разрешим без запоминания;
• получим оповещение HIPS об активности — выберем политику «Ограниченное приложение» или «Изолированное», без запоминания.

При оповещениях фаервола выбираем подходящую политику в меню «Обработать как...»; перед этим ставим галку о запоминании, если местоположение программы постоянное.

Можно настроить фаервол, например, так, чтобы он выдавал оповещения только об исходящих соединениях, а входящие в отсутствие правил молча блокировал. Для этого добавим в список правил для приложений группу «Все приложения» и назначим ей правило с действием «Блокировать», протоколом «IP» и направлением «Входящие». Переместим эту запись в самый низ списка. В результате оповещения о входящих соединениях будут подавляться, но сохранится возможность разрешать такие соединения отдельным приложениям (например, торрент-клиенту).

Когда какая-либо программа блокируется антивирусом, прежде всего отправляем ее на VirusTotal через контекстное меню проводника. В случае полной безопасности программы добавляем ее в «доверенные» через окно настройки CIS. В случае сомнений запускаем программу в виртуальной среде посредством контекстного меню. Если требуется активность в реальной системе, то посредством дополнительного файлового менеджера копируем (не перемещаем) программу в каталог «C:\Exclusions» и, на свой страх и риск, запускаем ее.

Если включить автопесочницу, то у дополнительного файлового менеджера появится еще одно применение: запускаемые им «неопознанные» программы будут работать без ее ограничений. Очевидно, использовать этот файловый менеджер для «повседневных» целей нельзя.

Для большего удобства можно воспользоваться каким-либо клавиатурным менеджером, например, HoeKey, и назначить горячие клавиши командам вызова различных окон CIS, например:

• журнал событий: "C:\Program Files\Comodo\COMODO Internet Security\cis.exe" --logsUI
• выполняемые задачи CIS: "C:\Program Files\Comodo\COMODO Internet Security\cis.exe" --mainUI /TaskTaskManager
• активные процессы (до снятия галки — только изолированные): "C:\Program Files\Comodo\COMODO Internet Security\cis.exe" --mainUI /TaskShowSandboxed
• очистка виртуальной среды: "C:\Program Files\Comodo\COMODO Internet Security\cis.exe" --mainUI /TaskSBReset
• защищенные файлы: "C:\Program Files\Comodo\COMODO Internet Security\cis.exe" --configUI=CeDfProtectedFilesPage.html

Автоматическая работа (для «новичков» и пользователей с ограниченными правами)

• Если системный диск чист от вредоносных файлов, перед установкой CIS выполняем копирование во временный каталог всего его содержимого с фильтром по исполняемым файлам, как описано выше.
• Производим установку аналогично описанному в первой статье:
  • отключаем все опции, кроме установки антивируса и фаервола;
  • после установки включаем конфигурацию «Proactive Security».
• Открываем окно настройки.
  • На вкладке «Интерфейс» отключаем все опции, кроме защиты паролем.
  • На вкладке «Обновления» задаем при необходимости прокси-сервер.
  • На вкладке «Антивирусный мониторинг» включаем опции:
    • «При загрузке компьютера сканировать память»;
    • «Не показывать оповещения»: «Блокировать угрозы»;
    Отключаем «Поиск потенциально нежелательных приложений».
  • На вкладке «Настройка HIPS» включаем опции:
    • «Использовать HIPS»: «Безопасный режим»;
    • «Не показывать оповещения»: «Разрешать запросы»;
    • в случае 64-битной Windows: «Включить режим усиленной защиты».
    Отключаем опции:
    • «Создавать правила для безопасных приложений»;
    • «Адаптировать режим работы при низких ресурсах системы»;
    • в случае 32-битной Windows: «Включить режим усиленной защиты».
  • На вкладке «Поведенческий анализ» включаем опции:
    • «Автоматически запускать в Sandbox обнаруженное неизвестное приложение»: «Полная виртуализация»;
    • «Выполнять эвристический анализ командной строки»
    • «Обнаруживать внедрение shell-кода», заносим в исключения программы Alcohol, VMware.
    Отключаем опции:
    • «Обнаруживать программы, требующие повышенных привилегий»;
    • «Использовать Viruscope».
  • На вкладке «Настройка фаервола» включаем опции:
    • «Включить фаервол»: «Безопасный режим»;
    • «Не показывать оповещения»: «Блокировать запросы»;
    • «Включить фильтрацию IPv6-трафика»;
    • «Включить фильтрацию loopback-трафика»;
    • «Блокировать фрагментированный трафик»;
    • «Анализировать протокол»;
    • «Включить защиту от ARP-спуфинга».
    Отключаем опции:
    • «Автоматически обнаруживать частные сети»;
    • «Показывать оповещения Trustconnect»;
    • «Создавать правила для безопасных приложений».
  • На вкладке «Настройка рейтинга файлов» включаем все опции, кроме «Выполнять облачный анализ неизвестных файлов» (включить, если не требуется экономия трафика).
  • На вкладке «Доверенные файлы» через контекстное меню добавляем к ним временный каталог с безопасными файлами.
• После нажатия кнопки «Ok» несколько минут дожидаемся закрытия окна настройки, затем удаляем временный каталог.
• Открываем системный планировщик заданий, выбираем в разделе «Comodo» задание «Comodo Scan...», в его свойствах на вкладке триггеры меняем состояние на «Отключено».
• Проделываем вышеописанные манипуляции для расширения системного контекстного меню. Но на уровне NTFS-прав запрещаем пользователю доступ к каталогу ContextMenu.
• При необходимости настраиваем доступ к локальной сети.
• Добавляем блокировки для предотвращения обхода анализа командной строки.
• Выполняем перезагрузку, после чего даем CIS произвести обновление и быстрое сканирование.

В результате у ограниченного пользователя не будет прав для отключения защиты. Установку нового ПО будет выполнять администратор, удостоверившись в его безопасности.

Подобная конфигурация подойдет также для личного использования «новичком», но с небольшими отличиями: разрешением «информационных сообщений» на вкладке «Интерфейс», отсутствием пароля и разрешением доступа к каталогу ContextMenu. Также будет полезно установить программу VirusTotal Uploader и добавить ее на вкладку «Антивирус» > «Исключения» > «Исключенные приложения».