niedziela, 26 marca 2017

"Coś" na temat zabezpieczenia komputerów oraz HIPS w antywirusach Eset

Wynik działania aplikacji Ransomware Impact Analyzer
Wynik działania aplikacji Ransomware Impact Analyzer
Jak ważne jest zabezpieczenie komputera nie trzeba nikogo przekonywać. Rzecz polega na tym, że w wielu przypadkach jest to rezultat procesu zarządzania ryzykiem, czyli stanowi wynik kalkulacji pt. ile jestem w stanie wydać, aby bezpieczeństwo moich danych wzrosło? Czy 100zł to jest górna granica? Czy może 1000zł? I czy wydanie kwoty 1000zł zagwarantuje bezpieczeństwo 10 razy wyższe niż po wydatku 100zł?

Niestety ilość wydanych pieniędzy nie przekłada się liniowo na wzrost bezpieczeństwa. Czasami dobrze skonfigurowane reguły na firewallu windowsowym mogą sprawdzić się lepiej niż nieskonfigurowany firewall kupiony za znaczne pieniądze. Podobnie rzecz się ma z antywirusem.
Ale jak można sprawdzić, czy system jest bezpieczny?

Nawet zawodowy admin po skonfigurowaniu kilkunastu reguł na firewallu będzie się zastanawiał, czy wśród nich nie została jakaś dziura.
Na szczęście do sprawdzania podatności systemów operacyjnych służą specjalne systemy, ale bywają one dość skomplikowane i stanowią one temat na osobny wpis.
Tutaj przedstawię Wam dwa podstawowe narzędzia, dzięki którym w prosty sposób będziecie mogli sprawdzić poziom zabezpieczeń Waszych danych w zakresie ochrony antywirusowej, a w dalszej kolejności system HIPS, który można wykorzystać do zwiększenia bezpieczeństwa Waszych systemów..

Plik testowy EICAR

Załóżmy, że macie antywirusa. Obejmuje on ochronę plików w czasie rzeczywistym, ochronę poczty itd. Ale skąd wiadomo, czy tak jest w rzeczywistości? Czy zapisanie pliku z wirusem na Pulpicie zostanie przez niego wykryte zanim użytkownik spróbuje go uruchomić? Czy pobranie załącznika z poczty spowoduje uruchomienie alarmu i przechwycenie wirusa?
Oczywiście można to weryfikować "na żywca", ale takie działanie jest średnio bezpieczne.
W tym właśnie celu stworzony został specjalny plik EICAR (właściwie to ciąg znaków), który wszystkie programy antywirusowe powinny rozpoznawać jako zagrożenie. 

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Spróbujcie zapisać ten ciąg znaków w pliku tekstowym np. na Pulpicie. U mnie taka operacja kończyła się od razu interwencją programu antywirusowego. 

Akcja antywirusa po zapisaniu ciągu EICAR do pliku tekstowego
Akcja antywirusa po zapisaniu ciągu EICAR do pliku tekstowego

Jak widać na powyższym screenie, reakcja programu antywirusowego była prawidłowa. Zaraz po wykonaniu zapisu pliku, został on wykryty przez oprogramowanie antywirusowe jako zagrożenie i została w stosunku do niego podjęta odpowiednia procedura, w tym przypadku usunięcia pliku. Oczywiście, jak wspomniałem wcześniej, nie jest to realne zagrożenie, ale jego symulacja, dzięki czemu, w podobny sposób możecie testować, czy antywirus sprawdza załączniki w programie pocztowym, spakowane archiwa itp.
Polecam. Jest to zupełnie bezpieczna operacja, a wiele można się z niej dowiedzieć.

Ransomware Impact Analyzer

Innym programem udającym działanie szkodliwego programu jest RANSOMWARE IMPACT ANALYZERSymuluje on atak oprogramowania szyfrującego dane na dyskach twardych.
Jego przydatność jest średnia, ponieważ sami wiemy co mamy na dyskach twardych i co ewentualnie mogłoby ulec utracie. Wykorzystać go jednak można do sprawdzenia, czy oprogramowanie złośliwe na komputerze klienckim byłoby w stanie zaszyfrować pliki na dyskach sieciowych. Wchodzą tutaj w grę dwa czynniki. Czasami programy antywirusowe maja wykluczone dbanie o bezpieczeństwo dysków sieciowych, jak też kwestia uprawnień do takich udziałów.
Tutaj ta aplikacja może się przydać.
Warto pamiętać, że zarówno ta aplikacja, jak i większość oprogramowania (w tym złośliwego) działa w kontekście praw konta użytkownika na którym została uruchomiona. Jeżeli więc nie macie dostępu do jakiegoś folderu, to wirus, którego uruchomicie, zapewne też do niego się nie dostanie. No chyba, że macie uprawnienia admina :)
Dlatego warto na co dzień siedzieć na koncie o niższych uprawnieniach, a konto administracyjne wykorzystywać jedynie do czynności, którym ma ono służyć.

Zabezpieczanie przy użyciu systemu HIPS

Dalszy ciąg tekstu opisywał będzie jedną z funkcji oprogramowania antywirusowego firmy Eset. Jeżeli je posiadacie to warto się z nim zapoznać. A jeżeli go nie posiadacie to może zechcecie je mieć :) (uprzedzam pytania: nie, Eset nie zapłacił mi za ten tekst. Ale jak chce, to może ;)

System HIPS (Host-based Intrusion Prevention System), bo o nim będę pisał, dostępny jest zarówno w wersjach przeznaczonych dla firm (zarządzanych przez konsolę ERA), jak i w wersjach domowych. Jest to moduł dzięki któremu użytkownik uzyskuje możliwość blokowania uruchamiania plików, całych aplikacji, wpisów do rejestrów, czy nawiązywania połączeń sieciowych. I to wszystko w różnych konfiguracjach.

Ustawienia zaawansowane HIPS w Eset Smart Security
Ustawienia zaawansowane HIPS w Eset Smart Security

Z racji tego, że Eset wypuścił specjalny poradnik dla firm (polecam przejrzeć), ukierunkowany pod system HIPS w celu zwiększenia bezpieczeństwa przed oprogramowaniem typu ransomware, więc tej wersji przyglądniemy się najpierw.

HIPS dla firm

Uzupełnieniem wcześniej wspomnianego poradnika są pliki polityk nazwane:
  1. Ustawienie reguł antyspamowych Eset Mail Security for MS Exchange Serwer oraz reguł Hips dla Eset File Security,
  2. Ustawienia firewalla dla Eset Endpoint Security,
  3. Ustawienia systemu HIPS dla Eset Endpoint Security & Eset Endpoint Antivirus,
Można je pobrać i zaimportować do konsoli ERA, aby następnie podpiąć pod odpowiednich klientów. Jak to zrobić opisane zostało w poradniku, więc nie będę tych informacji powtarzał.

Reguły zawarte w pliku konfiguracyjnym Ustawienia firewalla dla Eset Endpoint Security zaczytane do konsoli Eset Remote Administrator
Pamiętajcie jednak, że są to polityki, które mogą w znacznym stopniu ograniczyć funkcjonalność Waszych systemów. Przed ich zastosowaniem należy przejrzeć ich ustawienia, aby się potem nie okazało, że coś nie działa.
Z dwiema regułami możecie zapoznać się poniżej. Trzeciej nie chciało mi się przepisywać :)


Ustawienia systemu HIPS dla Eset Endpoint Security & Eset Endpoint Antivirus
Ustawienia systemu HIPS dla Eset Endpoint Security & Eset Endpoint Antivirus,
lp. Ustawienia reguł HIPS Aplikacje źródłowe Operacje na plikach Aplikacje
1.
  • Nazwa reguły: "Blokuj samowykonywalne skrypty"
  • Czynność: Blokuj
  • Operacje dotyczące
    • Pliki (nie)
    • Aplikacje (tak)
    • Wpisy do rejestru (nie)
  • Włączono (tak)
  • Zapisz w dzienniku (tak)
  • Powiadom użytkownika (tak)
Określone aplikacje
  • C:\Windows\System32\wscript.exe
  • C:\Windows\SysWOW64\wscript.exe
  • C:\Windows\System32\cscript.exe
  • C:\Windows\SysWOW64\cscript.exe
  • C:\Windows\System32\ntvdm.exe
  • Wszystkie operacje na plikach (nie)
  • Debugowanie innej aplikacji (nie)
  • Przechwytywanie zdarzen z innej aplikacji (nie)
  • Uruchomienie nowej aplikacji (tak)
  • Modyfikacja stanu innej aplikacji (nie)
brak
2.
  • Nazwa reguły: "Blokuj skrypty uruchamiane przez proces explorer"
  • Czynność: Blokuj
  • Operacje dotyczące
    • Pliki (nie)
    • Aplikacje (tak)
    • Wpisy do rejestru (nie)
  • Włączono (tak)
  • Zapisz w dzienniku (tak)
  • Powiadom użytkownika (tak)
Określone aplikacje
  • C:\Windows\System32\wscript.exe
  • C:\Windows\SysWOW64\wscript.exe
  • C:\Windows\System32\cscript.exe
  • C:\Windows\SysWOW64\cscript.exe
  • C:\Windows\System32\ntvdm.exe
  • Wszystkie operacje na plikach (nie)
  • Debugowanie innej aplikacji (nie)
  • Przechwytywanie zdarzen z innej aplikacji (nie)
  • Uruchomienie nowej aplikacji (tak)
  • Modyfikacja stanu innej aplikacji (nie)
brak
3.
  • Nazwa reguły: "Blokuj niebezpieczne procesy z pakietu Office 2013"
  • Czynność: Blokuj
  • Operacje dotyczące
    • Pliki (nie)
    • Aplikacje (tak)
    • Wpisy do rejestru (nie)
  • Włączono (tak)
  • Zapisz w dzienniku (tak)
  • Powiadom użytkownika (tak)
Określone aplikacje
  • c:\Program Files\Microsoft Office\Office15\winword.exe
  • c:\Program Files\Microsoft Office\Office15\outlook.exe
  • c:\Program Files\Microsoft Office\Office15\excel.exe
  • c:\Program Files\Microsoft Office\Office15\powerpnt.exe
  • c:\Program Files\Microsoft Office (x86)\Office15\winword.exe
  • c:\Program Files\Microsoft Office (x86)\Office15\excel.exe
  • c:\Program Files\Microsoft Office (x86)\Office15\outlook.exe
  • c:\Program Files\Microsoft Office (x86)\Office15\powerpnt.exe
  • Wszystkie operacje na plikach (nie)
  • Debugowanie innej aplikacji (nie)
  • Przechwytywanie zdarzen z innej aplikacji (nie)
  • Uruchomienie nowej aplikacji (tak)
  • Modyfikacja stanu innej aplikacji (nie)
Określone aplikacje:
  • C:\Windows\system32\cmd.exe
  • C:\Windows\sysWOW64\cmd.exe
  • C:\Windows\system32\wscript.exe
  • C:\Windows\sysWOW64\wscript.exe
  • C:\Windows\system32\cscript.exe
  • C:\Windows\sysWOW64\cscript.exe
  • C:\Windows\system32\ntvdm.exe
  • C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe
  • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  • C:\Windows\System32\regsvr32.exe
  • C:\Windows\SysWOW64\regsvr32.exe
  • C:\Windows\System32\rundll32.exe
  • C:\Windows\SysWOW64\rundll32.exe
4.
  • Nazwa reguły: "Blokuj niebezpieczne procesy z pakietu Office 2016"
  • Czynność: Blokuj
  • Operacje dotyczące
    • Pliki (nie)
    • Aplikacje (tak)
    • Wpisy do rejestru (nie)
  • Włączono (tak)
  • Zapisz w dzienniku (tak)
  • Powiadom użytkownika (tak)
Określone aplikacje
  • c:\Program Files\Microsoft Office\root\Office16\winword.exe
  • c:\Program Files\Microsoft Office\root\Office16\outlook.exe
  • c:\Program Files\Microsoft Office\root\Office16\excel.exe
  • c:\Program Files\Microsoft Office\root\Office16\powerpnt.exe
  • c:\Program Files\Microsoft Office (x86)\root\Office16\winword.exe
  • c:\Program Files\Microsoft Office (x86)\root\Office16\excel.exe
  • c:\Program Files\Microsoft Office (x86)\root\Office16\outlook.exe
  • c:\Program Files\Microsoft Office (x86)\root\Office16\powerpnt.exe
  • Wszystkie operacje na plikach (nie)
  • Debugowanie innej aplikacji (nie)
  • Przechwytywanie zdarzen z innej aplikacji (nie)
  • Uruchomienie nowej aplikacji (tak)
  • Modyfikacja stanu innej aplikacji (nie)
Określone aplikacje:
  • C:\Windows\system32\cmd.exe
  • C:\Windows\sysWOW64\cmd.exe
  • C:\Windows\system32\wscript.exe
  • C:\Windows\sysWOW64\wscript.exe
  • C:\Windows\system32\cscript.exe
  • C:\Windows\sysWOW64\cscript.exe
  • C:\Windows\system32\ntvdm.exe
  • C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe
  • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  • C:\Windows\System32\regsvr32.exe
  • C:\Windows\SysWOW64\regsvr32.exe
  • C:\Windows\System32\rundll32.exe
  • C:\Windows\SysWOW64\rundll32.exe
5.
  • Nazwa reguły: "Blokuj niebezpieczne procesy z pakietu Office 2010"
  • Czynność: Blokuj
  • Operacje dotyczące
    • Pliki (nie)
    • Aplikacje (tak)
    • Wpisy do rejestru (nie)
  • Włączono (tak)
  • Zapisz w dzienniku (tak)
  • Powiadom użytkownika (tak)
Określone aplikacje:
  • c:\Program Files\Microsoft Office\ Office14\winword.exe
  • c:\Program Files\Microsoft Office\ Office14\outlook.exe
  • c:\Program Files\Microsoft Office\ Office14\excel.exe
  • c:\Program Files\Microsoft Office\ Office14\powerpnt.exe
  • c:\Program Files\Microsoft Office (x86)\Office14\winword.exe
  • c:\Program Files\Microsoft Office (x86)\Office14\excel.exe
  • c:\Program Files\Microsoft Office (x86)\Office14\outlook.exe
  • c:\Program Files\Microsoft Office (x86)\Office14\powerpnt.exe
  • Wszystkie operacje na plikach (nie)
  • Debugowanie innej aplikacji (nie)
  • Przechwytywanie zdarzeń z innej aplikacji (nie)
  • Uruchomienie nowej aplikacji (tak)
  • Modyfikacja stanu innej aplikacji (nie)
Określone aplikacje:
  • C:\Windows\system32\cmd.exe
  • C:\Windows\sysWOW64\cmd.exe
  • C:\Windows\system32\wscript.exe
  • C:\Windows\sysWOW64\wscript.exe
  • C:\Windows\system32\cscript.exe
  • C:\Windows\sysWOW64\cscript.exe
  • C:\Windows\system32\ntvdm.exe
  • C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe
  • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  • C:\Windows\System32\regsvr32.exe
  • C:\Windows\SysWOW64\regsvr32.exe
  • C:\Windows\System32\rundll32.exe
  • C:\Windows\SysWOW64\rundll32.exe
6.
  • Nazwa reguły: "Blokuj niebezpieczne procesy dla regsrv32.exe"
  • Czynność: Blokuj
  • Operacje dotyczące
    • Pliki (nie)
    • Aplikacje (tak)
    • Wpisy do rejestru (nie)
  • Włączono (tak)
  • Zapisz w dzienniku (tak)
  • Powiadom użytkownika (tak)
Określone aplikacje:
  • C:\Windows\System32\regsvr32.exe
  • C:\Windows\SysWOW64\regsvr32.exe
  • Wszystkie operacje na plikach (nie)
  • Debugowanie innej aplikacji (nie)
  • Przechwytywanie zdarzeń z innej aplikacji (nie)
  • Uruchomienie nowej aplikacji (tak)
  • Modyfikacja stanu innej aplikacji (nie)
Określone aplikacje:
  • C:\Windows\system32\cmd.exe
  • C:\Windows\sysWOW64\cmd.exe
  • C:\Windows\system32\wscript.exe
  • C:\Windows\sysWOW64\wscript.exe
  • C:\Windows\system32\cscript.exe
  • C:\Windows\sysWOW64\cscript.exe
  • C:\Windows\system32\ntvdm.exe
  • C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe
  • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
7.
  • Nazwa reguły: "Blokuj niebezpieczne procesy dla mshta.exe"
  • Czynność: Blokuj
  • Operacje dotyczące
    • Pliki (nie)
    • Aplikacje (tak)
    • Wpisy do rejestru (nie)
  • Włączono (tak)
  • Zapisz w dzienniku (tak)
  • Powiadom użytkownika (tak)
Określone aplikacje:
  • C:\Windows\System32\mshta.exe
  • C:\Windows\SysWOW64\mshta.exe
  • Wszystkie operacje na plikach (nie)
  • Debugowanie innej aplikacji (nie)
  • Przechwytywanie zdarzeń z innej aplikacji (nie)
  • Uruchomienie nowej aplikacji (tak)
  • Modyfikacja stanu innej aplikacji (nie)
Określone aplikacje: brak
8.
  • Nazwa reguły: "Blokuj niebezpieczne procesy dla rundll32.exe"
  • Czynność: Blokuj
  • Operacje dotyczące
    • Pliki (nie)
    • Aplikacje (tak)
    • Wpisy do rejestru (nie)
  • Włączono (tak)
  • Zapisz w dzienniku (tak)
  • Powiadom użytkownika (tak)
Określone aplikacje:
  • C:\windows\system32\rundll32.exe
  • Wszystkie operacje na plikach (nie)
  • Debugowanie innej aplikacji (nie)
  • Przechwytywanie zdarzeń z innej aplikacji (nie)
  • Uruchomienie nowej aplikacji (tak)
  • Modyfikacja stanu innej aplikacji (nie)
Określone aplikacje:
  • C:\Windows\system32\cmd.exe
  • C:\Windows\sysWOW64\cmd.exe
  • C:\Windows\system32\wscript.exe
  • C:\Windows\sysWOW64\wscript.exe
  • C:\Windows\system32\cscript.exe
  • C:\Windows\sysWOW64\cscript.exe
  • C:\Windows\system32\ntvdm.exe
  • C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe
  • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
9.
  • Nazwa reguły: "Blokuj niebezpieczne procesy dla powershell"
  • Czynność: Blokuj
  • Operacje dotyczące
    • Pliki (nie)
    • Aplikacje (tak)
    • Wpisy do rejestru (nie)
  • Włączono (tak)
  • Zapisz w dzienniku (tak)
  • Powiadom użytkownika (tak)
Określone aplikacje:
  • C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe
  • C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  • Wszystkie operacje na plikach (nie)
  • Debugowanie innej aplikacji (nie)
  • Przechwytywanie zdarzeń z innej aplikacji (nie)
  • Uruchomienie nowej aplikacji (tak)
  • Modyfikacja stanu innej aplikacji (nie)
Określone aplikacje: brak
Ustawienia firewalla dla Eset Endpoint Security
Ustawienia firewalla dla Eset Endpoint Security
Lp. Ogólne Lokalne Zdalne
1
  • Nazwa: „Blokada połączeń sieciowych z wscript.exe”
  • Włączono: Tak
  • Kierunek: obydwa
  • Czynność: odmów
  • Protokół: dowolny
  • Typ / kod ICMP: brak
  • Profil: dowolny profil
  • Zapisz w dzienniku: tak
  • Powiadom użytkownika: tak
  • Port: brak
  • IP: brak
  • Strefy: brak
  • Aplikacja: c:\windows\system32\wscript.exe
  • Usługa (system Windows Vista i nowsze): brak
  • Port: brak
  • IP: brak
  • Strefy: brak
2
  • Nazwa: „Blokada połączeń sieciowych z wscript.exe (SysWOW64)”
  • Włączono: Tak
  • Kierunek: obydwa
  • Czynność: odmów
  • Protokół: dowolny
  • Typ / kod ICMP: brak
  • Profil: dowolny profil
  • Zapisz w dzienniku: tak
  • Powiadom użytkownika: tak
  • Port: brak
  • IP: brak
  • Strefy: brak
  • Aplikacja: c:\windows\SysWOW64\wscript.exe
  • Usługa (system Windows Vista i nowsze): brak
  • Port: brak
  • IP: brak
  • Strefy: brak
3
  • Nazwa: „Blokada połączeń sieciowych z cscript.exe”
  • Włączono: Tak
  • Kierunek: obydwa
  • Czynność: odmów
  • Protokół: dowolny
  • Typ / kod ICMP: brak
  • Profil: dowolny profil
  • Zapisz w dzienniku: tak
  • Powiadom użytkownika: tak
  • Port: brak
  • IP: brak
  • Strefy: brak
  • Aplikacja: c:\windows\system32\cscript.exe
  • Usługa (system Windows Vista i nowsze): brak
  • Port: brak
  • IP: brak
  • Strefy: brak
4
  • Nazwa: „Blokada połączeń sieciowych z wscript.exe (SysWOW64)”
  • Włączono: Tak
  • Kierunek: obydwa
  • Czynność: odmów
  • Protokół: dowolny
  • Typ / kod ICMP: brak
  • Profil: dowolny profil
  • Zapisz w dzienniku: tak
  • Powiadom użytkownika: tak
  • Port: brak
  • IP: brak
  • Strefy: brak
  • Aplikacja: c:\windows\SysWOW64\cscript.exe
  • Usługa (system Windows Vista i nowsze): brak
  • Port: brak
  • IP: brak
  • Strefy: brak
5
  • Nazwa: „Blokada połączeń sieciowych z powershell.exe”
  • Włączono: Tak
  • Kierunek: obydwa
  • Czynność: odmów
  • Protokół: dowolny
  • Typ / kod ICMP: brak
  • Profil: dowolny profil
  • Zapisz w dzienniku: tak
  • Powiadom użytkownika: tak
  • Port: brak
  • IP: brak
  • Strefy: brak
  • Aplikacja: c:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe
  • Usługa (system Windows Vista i nowsze): brak
  • Port: brak
  • IP: brak
  • Strefy: brak
6
  • Nazwa: „Blokada połączeń sieciowych z powershell.exe (SysWOW64)”
  • Włączono: Tak
  • Kierunek: obydwa
  • Czynność: odmów
  • Protokół: dowolny
  • Typ / kod ICMP: brak
  • Profil: dowolny profil
  • Zapisz w dzienniku: tak
  • Powiadom użytkownika: tak
  • Port: brak
  • IP: brak
  • Strefy: brak
  • Aplikacja: c:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
  • Usługa (system Windows Vista i nowsze): brak
  • Port: brak
  • IP: brak
  • Strefy: brak
7
  • Nazwa: „Blokada połączeń sieciowych z ntvdm.exe”
  • Włączono: Tak
  • Kierunek: obydwa
  • Czynność: odmów
  • Protokół: dowolny
  • Typ / kod ICMP: brak
  • Profil: dowolny profil
  • Zapisz w dzienniku: tak
  • Powiadom użytkownika: tak
  • Port: brak
  • IP: brak
  • Strefy: brak
  • Aplikacja: c:\Windows\system32\ntvdm.exe
  • Usługa (system Windows Vista i nowsze): brak
  • Port: brak
  • IP: brak
  • Strefy: brak
8
  • Nazwa: „Blokada połączeń sieciowych z regsvr.exe”
  • Włączono: Tak
  • Kierunek: obydwa
  • Czynność: odmów
  • Protokół: dowolny
  • Typ / kod ICMP: brak
  • Profil: dowolny profil
  • Zapisz w dzienniku: tak
  • Powiadom użytkownika: tak
  • Port: brak
  • IP: brak
  • Strefy: brak
  • Aplikacja: c:\Windows\system32\regsvr32.exe
  • Usługa (system Windows Vista i nowsze): brak
  • Port: brak
  • IP: brak
  • Strefy: brak
9
  • Nazwa: „Blokada połączeń sieciowych z regsvr32.exe (SysWOW64)”
  • Włączono: Tak
  • Kierunek: obydwa
  • Czynność: odmów
  • Protokół: dowolny
  • Typ / kod ICMP: brak
  • Profil: dowolny profil
  • Zapisz w dzienniku: tak
  • Powiadom użytkownika: tak
  • Port: brak
  • IP: brak
  • Strefy: brak
  • Aplikacja: c:\Windows\SysWOW64\regsvr32.exe
  • Usługa (system Windows Vista i nowsze): brak
  • Port: brak
  • IP: brak
  • Strefy: brak
10
  • Nazwa: „Blokada połączeń sieciowych z rundll32.exe”
  • Włączono: Tak
  • Kierunek: obydwa
  • Czynność: odmów
  • Protokół: dowolny
  • Typ / kod ICMP: brak
  • Profil: dowolny profil
  • Zapisz w dzienniku: tak
  • Powiadom użytkownika: tak
  • Port: brak
  • IP: brak
  • Strefy: brak
  • Aplikacja: C:\Windows\system32\rundll32.exe
  • Usługa (system Windows Vista i nowsze): brak
  • Port: brak
  • IP: brak
  • Strefy: brak
11
  • Nazwa: „Blokada połączeń sieciowych z rundll32.exe (SysWOW64)”
  • Włączono: Tak
  • Kierunek: obydwa
  • Czynność: odmów
  • Protokół: dowolny
  • Typ / kod ICMP: brak
  • Profil: dowolny profil
  • Zapisz w dzienniku: tak
  • Powiadom użytkownika: tak
  • Port: brak
  • IP: brak
  • Strefy: brak
  • Aplikacja: C:\Windows\SysWOW64\rundll32.exe
  • Usługa (system Windows Vista i nowsze): brak
  • Port: brak
  • IP: brak
  • Strefy: brak

HIPS dla użytkowników domowych

Na prywatnym komputerze posiadam oprogramowanie Eset Smart Security w wersji 10.0.390.0, więc na jego przykładzie przedstawię Wam system HIPS.

Dostęp do niego otrzymacie przeklikując wskazaną ścieżkę Ustawienia → Ochrona komputera. Tam, poza podstawowymi przełącznikami (warto, aby wszystkie były włączone), znajdziemy także Tryb filtrowania i Reguły.
System HIPS z zaznaczoną sekcją filtrowania i reguł
System HIPS z zaznaczoną sekcją filtrowania i reguł
Chciałbym zwrócić tutaj uwagę na te dwie opcje ponieważ, aby prawidłowo ustawić system HIPS należy wiedzieć jak się nimi posłużyć.
Tryb filtrowania domyślnie ustawiony jest w trybie automatycznym. Jeżeli chcecie go zmienić to możecie wybrać jeden z poniższych trybów pracy:
  1. Tryb automatyczny: Jest ustawiony domyślnie. W tym trybie wszelkie działania są akceptowane z wyjątkiem tych, które naruszają predefiniowany zestaw reguł wbudowanych w ESET Smart Security lub ESET NOD32 Antivirus
  2. Tryb inteligentny: Tylko podejrzane działania w systemie spowodują wyświetlenie komunikatu niezależnie od reguł zdefiniowanych dla trybu automatycznego.
  3. Tryb interaktywny: Jest zalecany jedynie dla zaawansowanych użytkowników. W tym trybie wyłączony zostanie zestaw predefiniowanych reguł. Moduł HIPS będzie każdorazowo pytał czy chcesz Zezwolić czy Zablokować każdą wykrytą aktywność. Zaznacz pole wyboru „Utwórz regułę i zapamiętaj na stałe” aby zapisać swoją decyzję jako regułę dla danej operacji. Wybranie opcji „Zapamiętaj do zamknięcia aplikacji” spowoduje zapamiętanie przez HIPS danej zasady do momentu zmiany zestawu reguł, trybu filtrowania lub restartu komputera.
  4. Tryb oparty na regułach: Operacje, które nie zostały zdefiniowane za pomocą reguły będą blokowane. Zobacz Zaawansowane ustawienia HIPS aby uzyskać więcej informacji.
  5. Tryb uczenia się: Działania są dozwolone i po każdej operacji tworzona jest reguła. Zasady utworzone w tym trybie mogą być wyświetlone i edytowane w edytorze reguł. Należy jednak pamiętać, że ich priorytet jest mniejszy niż reguł stworzonych ręcznie lub reguł predefiniowanych, używanych w trybie automatycznym. Wybranie Trybu uczenia się spowoduje jego aktywację na pewien okres czasu. Kiedy czas minie, tryb zostanie wyłączony. Maksymalny okres na jaki można włączyć tryb uczenia się to 14 dni. Po tym czasie zostaniesz poproszony o ewentualną modyfikację stworzonych reguł i zmianę trybu filtrowania.

Jeżeli zaś chodzi o Reguły, to powiązane one są z wcześniej przedstawionymi trybami. Większości użytkownikom wystarczy domyślny tryb automatyczny. Jeżeli jednak czujecie się na siłach, aby je zmieniać (np. wzorując się na wyżej opisanych politykach dla firm), to tryb HIPS należy przełączyć w tryb oparty na regułach i wtedy można je edytować. 
Zaś użytkownicy na poziomie expert, którzy mają świadomość działania system operacyjnego (oraz mają wystarczająco dużo cierpliwości :), mogą skorzystać z trybu interaktywnego.

Dlaczego napisałem o cierpliwości w kontekście ostatniego trybu? Bo na początku będzie Was pytał o wszystko co się w systemie dzieje :) A to potrafi być bardzo dokuczliwe. Ale jeżeli będziecie mieli cierpliwość i ustawicie w ten sposób Wasz system HIPS, to możecie mieć pewność, że ESET będzie bronił dostępu do Waszych danych najlepiej jak tylko potrafi. Jakakolwiek nietypowa działalność zostanie przez niego zauważona i Wam zgłoszona. Wtedy jedynym słabym punktem jaki może być, będziecie Wy, gdy np. jedno z takich zgłoszeń zignorujecie i zezwolicie na uruchomienie np. konia trojańskiego. 

No cóż. Nie ma złotego środka. 

Podsumowanie

Powyższy tekst nie jest dokładnym poradnikiem co należy zrobić, aby całkiem zabezpieczyć Wasze dane, ale raczej "mapą drogową" (to takie ładne określenie, które jest ostatnio modne), która poprzez plik EICAR i aplikację Ransomware Impact Analyzer powinna Wam umożliwić pełniejsze wykorzystanie Waszych systemów antywirusowych, niezależnie od producenta.

Część dotycząca systemu HIPS jest przeznaczona tylko dla posiadaczy systemów antywirusowych firmy ESET (jeżeli jeszcze nie jesteście jego posiadaczami, to możecie go kupić w sklepie https://nod32sklep.pl).
System HIPS przedstawiłem jako coś z czym warto by się było zapoznać, bo tak jak starałem się to zaznaczyć, prawidłowe jego skonfigurowanie, czy to w warunkach domowych, czy firmowych, wymaga sporej wiedzy od użytkownika / administratora. 
Przy jego konfiguracji z pewnością pomocne mogą być, wcześniej wspomniane, polityki, ale nie należy być wobec nich bezkrytycznym. 

Mam nadzieję, że skorzystacie z Wyżej przedstawionych porad, a mam też głęboką nadzieję, że sami przedstawicie swoje sposoby na testowanie skuteczności antywirusów z których i ja mógłbym skorzystać :)

2 komentarze:

  1. Robert O'Callahan, były inżynier Mozilli postanowił zbojkotować płatne programy antywirusowe. Według O'Callahana zakup tego typu oprogramowania mija się z celem, gdyż komercyjne antywirusy potrafią bardziej szkodzić niż pomagać. Według byłego pracownika Mozilli większości wystarczy Windows Defender wbudowany w Windows.

    caly artkul pod tutaj: http://www.komputerswiat.pl/nowosci/bezpieczenstwo/2017/05/byly-inzynier-mozilli-kupowanie-antywirusow-nie-ma-sensu.aspx

    OdpowiedzUsuń
    Odpowiedzi
    1. Znam tą wypowiedź i się z nią nie zgadzam. Wielokrotnie w pracy mam alarmy zgłaszające wykrycie wirusa i go blokujące. Na ogół są to załączniki w poczcie e-mail. W takich przypadkach cieszę się, że AV go blokuje i użytkownik nie będzie mógł go uruchomić.

      Usuń

Bardzo proszę o zachowanie netykiety.