Бесплатный антивирус Comodo internet security. Настройка COMODO Internet Security Premium для работы без оповещений - RAADDIST

Сегодня антивирус предлагает лучшую технологию по защите пользовательских данных. Запатентованная технология по препятствию попадания вирусов на компьютер создает некоторый барьер между вашей системой и интернетом, именно он и определяет степень потенциальной опасности файлов.

Также присутствует модуль защищенный среды — Sandbox Technology, который призван защитить от «свежих» вирусов и других вредоносных программ.

Установка Comodo Internet Security Pro 8

Комплекс безопасности необходимо загружать только из официального источника, а именно с www.comodo.com/home/internet-security/internet-security-pro.php , для ознакомления выбираем триальную версию (то есть с испытательным сроком). В будущем программу можно будет приобрести по цене 39.99 долларов, много ли это за гарантированную безопасность?

После этого начнется установка антивируса, но сперва — распаковка файлов:

Выбираем русский язык в Мастер установки , в следующем окне не стоит ничего менять, все настроено оптимально — нажимаем Вперед :

В следующем окне будет предложено также установить элементы яндекса, изменить домашнюю страницу на поисковик Яндекс и установить его поиском по умолчанию. Не знаю как вы, но галочки снял:

Нажимаем Согласен. Установить , также будет установлен браузер Comodo, получается без него никак:

Ну вот и все, на этом установка Comodo закончена.

Интерфейс Comodo Internet Security Pro 8

После установки Comodo Internet Security Pro 8, меня удивил интерфейс — он был ярким, хоть и тоже в стиле последних версий Windows:

В верхнем правом углу экрана появилось окно, где мы можем видеть состояние трафика в обоих направлениях, а также запустить браузер в безопасном режиме Sandbox:

В главном окне Comodo отображены блоки с информацией, а именно о состоянии антивирусной базы, об обнаруженных угрозах, сетевых атаках. После установки антивируса, необходимо сразу обновить в нем антивирусные базы:

Учитывая то, что у меня не самый дешевый интернет-тариф, мне пришлось несколько минут подождать, пока обновление закончится.

После установки обновления будет автоматически запущено быстрое сканирование системы:

Интерфейс может отображаться в более информативном виде — для этого нажмите на кнопку, которая переключает режим (есть краткая и подробная сводка):

Кнопка Задачи

При нажатии этой кнопки будут отображены задачи как общие, так и по каждому компоненту антивируса — Фаервола, защищенной среды SandBox, и дополнительные (расширенные).

Пройдемся по некоторым из них.

Общие задачи

Здесь вы можете провести сканирование системы на наличие вредоносных программ, посмотреть журнал событий, проверить актуальность антивирусных баз, а также просмотреть объекты карантина:

При нажатии на Активные соединения, вы можете посмотреть, какие программы соединены с интернетом в данный момент:

Сканирование позволит вам провести один из видов сканирования — быстрое (только наиболее подверженные вирусам области компьютера), полное (при этом типе будет произведена проверка всех файлов и папок), рейтинговое сканирование (это быстрое сканирование, но уже с учетом списка рейтинга файлов). Пользовательское сканирование позволит вам самостоятельно задать области проверки.

Задачи Фаервола

Встроенный фаервол в Comodo Internet Security Pro 8 позволит заблокировать или разблокировать приложение, а также полностью заблокировать трафик на компьютере.

Как заблокировать доступ программе в интернет?

Чтобы заблокировать доступ в интернет определенной программе, нажмите на Блокировать соединение :

И после этого укажите, какую именно программу необходимо заблокировать:

Разрешить доступ в интернет программе можно таким же способом при помощи нажатии кнопки Разрешить соединение .

Как остановить весь трафик в Comodo?

Для остановки всего входящего и исходящего трафика — нажмите на Остановить сетевой трафик , но имейте ввиду, что при этом любые программы больше не смогут работать с сетью, поэтому будьте осторожны:

Задачи Sandbox

Комплекс безопасности Comodo Internet Security Pro включает в себя новую технологию «Песочница» (SandBox) для создания изолированной среды, в которой можно запускать неизвестные приложения, которые потенциально могут навредить компьютеру. Такая среда блокирует все изменения в реальной системе, что обезопасит от влияния вредоносной программы. Для повышения безопасности с этой технологией активно работают такие компоненты как брандмауэр, модудь Defense, модуль антивируса.

Как запустить программу в Песочнице (Sandbox)?

Чтобы запустить программу в защищенном режиме Sandbox — нажмите за Запуск в Sandbox :

После этого укажите программу, выбрав ее на жестком диске:

И программа будет запущена в защищенном режиме, в этом можно убедиться по зеленому контуру вокруг окна программы:

В этом же окне вы можете запустить Виртуальный рабочий стол :

Виртуальный рабочий стол от Comodo — это среда, немного схожа с функциями песочницы. Вы можете запускать любые финансовые программы, совершать банковские операции, работать с платежными системами и при этом быть в безопасности.

Расширенные задачи

В этой части вы можете создать аварийный диск восстановления, очистить компьютер при помощи дополнительных компонентов Comodo Cleaning Essentials (программа предложит их дополнительно загрузить).

Просмотр активности текущих процессов при помощи Comodo Killswitch

Выбираем Просмотреть активность в Расширенные задачи :

Будет предложено загрузить дополнительно пакет COMODO Killswitch — нажимаем Согласен. Установить :

После загрузки откроется достаточно информативный диспетчер процессов, где наглядно представлены все процессы, дочерние процессы. Также, на вкладке сеть можно посмотреть процессы, которые соединены с сетью.

В общем, если вы хотите анализировать систему в работе — то этот диспетчер Comodo KillSwitch для вас.

Как отправить файл на проверку?

Нажмите Отправить файлы на проверку , чтобы указать файл, который будет проверен на сервере Comodo:

Теперь добавьте файлы, папку или процесс — нажмите Добавить :

Если антивирус воспринимает нормальную программу как вирус, то ее также можно поставить в этот список, и установить галочку на Отправить как ложное срабатывание , после этого в скором времени ложное срабатывание должно прекратиться.

Настройка Comodo Internet Security Pro

Для того, чтобы попасть в настройки, необходимо сперва открыть окно Задачи , выбрать Задачи Фаервола , где в выпадающем списке выбрать Расширенные настройки :

Появится окно с настройками, пройдемся по основным из них.

Как изменить тему оформления в Comodo?

Чтобы изменить тему оформления, перейдите на вкладку Интерфейс и в выпадающем меню Тема выберите тему:

На этой вкладке вы также можете снять галочки с тех уведомлений, которые вы не хотите, чтобы были отображены.

Как изменить настройки обновления в Comodo?

На вкладке Общие настройки > Обновления вы можете задать период проверки обновлений как баз, так и компонентов программы:

Как отключить фоновое сканирование в Comodo?

Если вам не требуется, чтобы антивирус постоянно проверял файлы системы — вы можете это отключить на вкладке Антивирусный мониторинг (Настройки безопасности > Антивирус ):

В том же окне вы можете задать уровень эвристического анализа, который будет использован при ручной проверке компьютера на вирусы.

Как добавить исключение в антивирус Comodo?

Если у вас есть программа или папка с файлами, которую не стоит проверять антивирусом при сканировании, вы можете указать ее в список. Для этого перейдите на вкладку Исключения и на вкладке Исключенные пути укажите, какие файлы или папки стоит обходить при сканировании в реальном времени/ручном/запланированном:

На второй вкладке Исключенные приложения можно указать, какую именно программу и ее работу стоит исключить из сканирования в реальном времени или выбрать ее из запущенных процессов:

HIPS — система предотвращения вторжений

HIPS — это компонент проактивной защиты, которая призвана отражать локальные угрозы, а также вести контроль работы программ. Операции, которые представляют из себя потенциальную опасность, могут блокироваться, в зависимости от настроек.

Как включить HIPS в Comodo?

На вкладке Настройки безопасности > Защита+ > HIPS > Настройки HIPS установите галочку на Использовать HIPS , также можно изменить режим работа, но только, если вы уверенны в этом:

В этом окне также присутствуют настройки уведомлений HIPS, если у вас слабый компьютер — можно установить галочку на Адаптировать режим работы при низких ресурсах системы .

Настройки стоит изменять только, если в них уверены, если нет — лучше оставить все по умолчанию (то есть Безопасный режим ).

Что такое Viruscope?

Система Viruscope наблюдает за программами, а вернее за их работой и записывает активность. Если Viruscope находит потенциально опасное поведение, то пользователь об этом уведомляется. Вы можете отключить Viruscope , но я этого не советую:

Как отключить фильтрацию трафика?

Если вам необходимо отключить фильтрацию трафика, то сделать это можно на вкладке Настройки Фаервола — снять галочку с Использовать фильтрацию трафика :

Как настроить правило для программы в Comodo?

На вкладке Правила для приложений можно указать программу и разрешить или заблокировать ей запросы в интернет. Для этого нажмите добавить:

После этого выбрать программу, нажмите Обзор и в выпадающем меню выбрать Файлы :

Теперь необходимо выбрать Использовать набор правил и выбрать правило для приложения — то есть мы его можем заблокировать, или разрешить только исходящий трафик, или если эта программа работает с почтой, то выбрать что это Почтовый клиент :

Можно использовать свой набор правил, но это требует некоторых знаний.

Как отключить облачную проверку?

Если вам ни к чему облачная проверка, вы ее можете отключить в настройках. Для этого на вкладке Настройки рейтинга файлов снимите галочку с Использовать облачную проверку :

Как добавить программу в «Доверенные файлы»?

Если вы хотите, чтобы Comodo Internet Security считал программу безопасной, ее можно добавить в список доверенных файлов. Для этого на вкладке Доверенные файлы нажмите Добавить и выберите из выпадающего меню Файлы , или Папки (соответственно вы можете указать папку с программой):

Ну вот и все, надеюсь что теперь при настройке Comodo Internet Security Pro 8 (CIS) у вас будет возникать меньше вопросов.

Comodo — эффективная программа для удаления и блокировки вирусов, червей, шпионского ПО, интернет угроз. Помимо основных возможностей, в антивирусе предусмотрены дополнительные функции.

На официальном сайте можно скачать бесплатную версию Комодо. По функциональности она ничем не уступает своему платному аналогу. Единственное преимущество лицензии, в возможности использовать дополнительный инструмент GeekBuddy. Этот сервис оказывает профессиональную помощь в удалении вредоносных программ. Рассмотрим основные функции Комодо.

Любой антивирусный инструмент содержит режим быстрой проверки. Не исключение и Комодо. В этом режиме сканируются области, которые наиболее подвержены риску заражения.

Перейдя в режим полной проверки, сканирование будет осуществляться во всех файлах и папках. Скрытые и системные также будут проверяться. Занимает такая проверка длительное время.

В рейтинговом режиме сканируются различные процессы, исполняемые файлы и память. В процессе, с помощью специального фильтра, можно выставить объекты, которые будут отображены на экране. По каждому из них будет выведена информация о возрасте объекта, находится ли он в автозагрузке и можно ли ему доверять. Здесь же можно сменить статус, если пользователь уверен, что файл не вредоносен.

При переходе в пользовательское сканирование, программа предоставит несколько вариантов проверки.
С первыми двумя все понятно. В дополнительных опциях осуществляются более гибкие настройки.

Общие настройки

В общих настройках можно внести изменения в интерфейс, настроить обновления и задать настройки для журнала программы Комодо.

Выбор конфигурации

Интересной особенностью программы, является возможность переключения между конфигурациями. По умолчанию включена Internet Security. Если пользователя интересует проактивная защита или фаервол, тогда необходимо осуществить переход в другую конфигурацию. Мне данная функция кажется не совсем удобной.

Настройки антивируса

В этом разделе осуществляется тонкая настройка антивирусной программы. В процессе работы компьютера можно включить непрерывный мониторинг и оптимизировать систему во время сканирования. Еще здесь есть возможность задать автоматическую проверку памяти при старте Windows. Зачастую зловредные программы запускаются как раз при загрузке компьютера.

Если, в процессе работы с приложением или файлом осуществляется его блокировка, а пользователь уверен, что объект безопасен, тогда его необходимо добавить в список исключений. Хотя это подвергает систему дополнительному риску инфицирования.

Настройка HIPS

Данный модуль занимается проактивной защитой и предотвращает проникновение опасных объектов.
Для обеспечения еще большей эффективности инструмента HIPS, в нем предусмотрено создание различных наборов правил.

Например, некоторые из объектов можно добавить в изолированные или переключить статус.

Также в этом разделе предусмотрено управление группами объектов.

SandBox

Основной функцией сервиса, является работа с виртуальной средой. С ее помощью можно устанавливать различные программы не вызывающие доверия, причем в реальную работу системы изменения практически не вносятся. Также данный сервис занимается управлением областями общего доступа. Осуществив некоторые настройки, приложения смогут запускаться с определенной последовательностью, в зависимости от рейтинга.

Viruscope

Этот сервис занимается анализом поведения запущенных процессов в динамике. По умолчанию, при обнаружении опасной программы, Comodo выводит соответствующее предупреждение. В этом разделе можно отключать такие сообщения, тогда объекты будут автоматически перемещены в карантин.

Рейтинг файлов

Раздел отвечает за уровень доверия к приложениям. Тут же редактируются группы файлов, которые можно исключать и добавлять в список, где отображается информация о всех запущенных исполняемых файлах.

В данном разделе можно присвоить приложению новый рейтинг, если несогласны с присвоенным рейтингом Комодо.

Все популярные поставщики ПО, имеют цифровую подпись. В разделе «Доверенные поставщики» можно посмотреть этот список.

Виртуальный рабочий стол

Для того, чтобы воспользоваться этой возможностью, необходимо установить два дополнительных продукта Комодо. Запуская функцию, откроется полноценный рабочий стол, для удобства работы с виртуальной средой.

Работа в виртуальной среде

Существует возможность запускать программы в виртуальной среде (Sandbox, «песочница»), чтобы их активность почти не затрагивала реальную систему. Если, например, вызвать контекстное меню на какой-либо «сомнительной» программе и выбрать пункт «Запустить в Comodo Sandbox», то она запустится и во многих случаях будет полноценно работать, но не произведет нежелательных изменений. Запущенные ей программы также будут виртуализированы.

О том, что программа виртуализирована, можно судить по зеленой рамке вокруг ее окна, а также по списку изолированных процессов, вызываемому из главного окна CIS.

Область общего доступа

Если необходимо сохранить файлы с результатами работы такой программы, следует поместить их в специальную папку обмена, доступ к которой не виртуализируется. На мой взгляд, местоположение этой папки по умолчанию выбрано неудачно: она не видна в диалоговом окне выбора каталогов, поэтому удобнее создать аналогичную папку, например, в корне диска «C:» или на общем рабочем столе, разрешить на уровне NTFS-прав доступ к ее содержимому всем пользователям и отключить виртуализацию для нее в CIS.

Если виртуализированная программа сохранила результаты работы в иное место, запускаем, например, «Total Commander» в Sandbox через контекстное меню и перемещаем нужные файлы в папку обмена. Вариант: делаем это через проводник, открывая папку с результатами посредством предложенного ниже .

Защита от чтения

Начиная с версии CIS 7.0 , виртуальная среда может защищать данные не только от изменения данных, но и от чтения: если в окне настройки открыть вкладку «Защита+» > «HIPS» > «Защищенные объекты» > «Папки с защищенными данными» и добавить в список какой-либо каталог, то виртуализированные приложения будут воспринимать его пустым. Полезно скрыть таким способом каталог с временными файлами, каталог с профилем интернет-браузера и т.п.

Очистка виртуальной среды

По завершении работы с виртуальной средой имеет смысл удалить следы работы и остановить все ее процессы кнопкой «Очистить Sandbox». Для удобства эту кнопку можно продублировать в главном окне (через контекстное меню).

Способы открытия файлов и ссылок в виртуальной среде

Открытие любого файла в песочнице

Стандартный пункт контекстного меню «Запустить в Comodo Sandbox» присутствует только у некоторых исполняемых файлов. Чтобы снабдить аналогичным пунктом контекстное меню всех файлов и каталогов, внесем изменения в системный реестр (т.е. сохраним приведенный код в файле «ComodoSandbox.reg» и запустим его):

Открытие интернет-ссылок в песочнице

Можно оснастить интернет-браузер контекстным меню для открытия сомнительных ссылок в виртуальной среде. Приведу пример для браузера Firefox.

Запуск программ в песочнице через интерфейс CIS

На «обратной стороне» главного окна CIS имеется кнопка «Запуск в Sandbox». Этой кнопкой можно также создать ярлык для запуска какого-либо приложения в виртуальной среде.

В окне настройки CIS на вкладке «Защита+» > «Sandbox» можно задать программы, которые будут принудительно запускаться в виртуальной среде.

Запуск программ в виртуальной среде с ограничениями

Существует возможность запускать программы не только виртуализированно, но и с дополнительными ограничениями. Для этого следует добавить программу в список на вкладке «Защита+» > «Sandbox» и задать ограничения. Уровни ограничений похожи на режимы работы автопесочницы, но отличаются тем, что сочетаются с полной виртуализацией. Даные ограничения наследуются дочерними процессами. Например, если задать файловому менеджеру FreeCommander уровень «Ограниченное», то он и запущенные из него программы будут работать в виртуальной среде и не получат доступа к буферу обмена.

На мой взгляд, неудобно заниматься настройкой CIS каждый раз, когда требуется запустить новое сомнительное приложение в виртуальной среде с ограничениями. Предложу способ запуска через контекстное меню проводника:

• создадим каталог «C:\ContextMenu» и в нем - текстовый файл «RunLimited.bat» с единственной строкой: «start "" %*»;
• добавим этот файл на вкладку «Защита+» > «Sandbox» и зададим любой желаемый уровень, например, «Ограниченное» (кроме «Недоверенного»);
• добавим этот файл в «доверенные»;
• внесем изменения в реестр:

Теперь для запуска программы с ограничениями следует вызвать на ней, удерживая клавишу Shift, контекстное меню и выбрать пункт «Запустить в песочнице Comodo как ограниченное». Недостаток этого способа - не будут применяться ограничения по времени работы программы (особенность использования bat-скрипта).

Виртуальный рабочий стол

Кроме виртуализированного запуска отдельных программ, CIS имеет дополнительную оболочку: «Виртуальный рабочий стол» (в версии CIS 6 она называлась «Виртуальным киоском»). Эта оболочка имеет двоякое назначение, причем для прямо противоположных целей.

Во-первых, виртуальный рабочий стол - это отдельный рабочий стол для запуска сомнительных приложений в виртуальной среде. Однако, на мой взгляд, он не имеет преимуществ перед обычным запуском в песочнице через контекстное меню, а в качестве безопасного рабочего стола лучше использовать полноценные виртуальные машины (однако VirtualBox ). Вообще, следует сказать, что виртуализация в CIS по функциональности уступает другим подобным средствам, как, например, Sandboxie.

Во-вторых, эта оболочка предназначена для совершения защищенных операций, например, с платежными системами. Защита заключается в том, что от всех программ, кроме запущенных в самом виртуальном рабочем столе, скрывается экран и нажатия клавиш. Также имеется виртуальная клавиатура.

Однако виртуальный рабочий стол не защищает от перехвата буфера обмена или доступа к файлам (например, к «кукам» браузера). Главное: он совершенно не защищен от запуска сомнительных программ внутри него самого. Активность всех программ виртуального рабочего стола протекает в виртуальной среде и неподконтрольна проактивной защите. И если при работе в нем произойдет запуск зловреда - нажатия клавиш могут быть перехвачены.

Проблема другого рода: из виртуального рабочего стола невозможен доступ к . Например, при работе с платежной системой пользователю понадобится хранилище паролей, однако разумно было бы защитить его от чтения из виртуальной среды.

Суть проблем виртуального рабочего стола в том, что он работает в той же самой виртуальной среде, которая предназначена для выполнения сомнительных программ. В результате имеем защиту внешней среды от виртуальной, тогда как для платежных операций, наоборот, следовало бы защищать саму виртуальную среду: пресекать запуск неопознанных програм в ней, шифровать создаваемые в ней файлы и при этом предоставлять ей доступ к защищенным данным.

Ситуация, в которой виртуальный рабочий стол все же будет полезен - зараженная система. Если есть риск, что запущен зловред, то безопаснее воспользоваться этой оболочкой, чем допустить перехват нажатий клавиш. Но следует соблюдать осторожность.

Виртуальная среда Comodo Sandbox, приемы работы с ней, права и ограничения виртуализированных программ

Работа в виртуальной среде

Статус процесса, выполняющегося виртуально

Существует возможность запускать программы в виртуальной среде (Sandbox, «песочница»), чтобы их активность почти не затрагивала реальную систему. Если, например, вызвать контекстное меню на какой-либо программе и выбрать пункт «Запустить в Comodo Sandbox», то она запустится и во многих случаях будет полноценно работать, но не произведет нежелательных изменений. Запущенные ей программы также будут виртуализированы.

О том, что программа виртуализирована, можно судить по зеленой рамке вокруг ее окна, однако в некоторых случаях зеленая рамка отсутствует: в частности, у консольных приложений. Гарантированный способ узнать о виртуализации — нажать в главном окне CIS индикатор «Изолировано в Sandbox» и найти программу в открывшемся списке активных процессов: в столбце «Ограничение» должно быть указано «Полная виртуализация».

Очистка виртуальной среды

Все следы активности виртуализированных программ сохраняются в специальном и в специальном . Эти данные останутся доступными и после перезагрузки компьютера. Например, можно будет и использовать программы, установленные в виртуальной среде.

Чтобы завершить все виртуальные процессы и удалить все данные из виртуальной среды, следует нажать кнопку «Очистка Sandbox» (главное окно > «Задачи» > «Задачи Sandbox»). Для удобства эту кнопку можно добавить в виджет и на панель главного окна (через контекстное меню). Также , что окно очистки песочницы можно вызвать командой:

"%PROGRAMFILES%\Comodo\COMODO Internet Security\cis.exe" --mainUI /TaskSBReset

Очистка песочницы является обычным удалением файлов, а не безвозвратным стиранием данных. Об этом следует помнить тем, кто работает в виртуальной среде с конфиденциальной информацией. Если какая-либо программа выполняется в правами администратора, виртуально или реально, то она способна восстановить содержимое удаленных файлов.

Области общего доступа

По умолчанию в CIS 8 такой папкой является каталог загрузок в профиле пользователя, а также каталог %PROGRAMDATA%\Shared Space . На мой взгляд, это не самые удачные местоположения: в частности, их не всегда видно в диалогах выбора файлов и каталогов. Поэтому предлагаю создать, например, папку SharedSpace в корне системного диска или на рабочем столе и исключить ее из виртуализации. Это можно сделать двумя способами: добавить эту папку в список «Не виртуализировать доступ к указанным файлам и папкам» на вкладке «Настройка Sandbox» или добавить ее в группу «Области общего доступа» на вкладке «Рейтинг файлов» > «Группы файлов».

Если виртуализированная программа сохранила результаты работы в иное место, следует запустить какой-либо файловый менеджер (проводник, Total Commander и т.п.) виртуально через контекстное меню и переместить нужные файлы в папку обмена. Также можно сделать специальные ярлыки для запуска файловых менеджеров в виртуальной среде.

Если необходимо, чтобы для какой-либо программы, выполняемой в виртуальной среде, даже после очистки Sandbox сохранялись изменения конфигурации и прочие данные, можно исключить из виртуализации используемые ей конфигурационные файлы и записи реестра. Эти исключения задаются в соответствующих опциях на вкладке «Настройка Sandbox». При указании путей реестра следует использовать , а не их аббревиатуры.

Особенности виртуализации Comodo

Параметры виртуальной среды

В версии CIS 8 введена поддержка аппаратной виртуализации, ее использование включается опцией «Включить режим усиленной защиты» на вкладке «HIPS» > «Настройка HIPS». Кроме аппаратной виртуализации, данная опция активирует дополнительные меры по предотвращению обхода защиты в 64-битных версиях Windows, поэтому ее включение необходимо в таких системах. Однако перед ее включением появляется также предупреждение о возможном конфликте с виртуальными машинами при работе в них с 64-битными гостевыми системами. Впрочем, на практике я пока не обнаружил конфликтов с VMware.

Опция «Включить автозапуск сервисов, установленных в Sandbox» на вкладке «Sandbox» > «Настройка Sandbox» имеет следующий смысл: если в виртуальной среде создать службу, то при каждом использовании виртуальной среды эта служба будет запускаться. Если лишь перезагрузить компьютер — автозапуск службы не произойдет. Но если запустить какую-либо программу в виртуальной среде, то вместе с ней запустится и эта служба. Так запускаться будут программы, установленные именно как службы, а не добавленные в автозагрузку иными способами. При очистке виртуальной среды эти службы, естественно, удаляются. Если нет необходимости в данной опции, рекомендую ее отключить. Ее отключение сменит тип запуска службы «Comodo Virtual Service Manager» с автоматического на ручной.

Опции на вкладке «Настройка Sandbox», связанные с обнаружением программ, требующих повышенных привилегий, относятся к компоненту Auto-Sandbox, а не собственно к виртуальной среде.

Размещение данных виртуальной среды

Когда в виртуальной среде какая-либо программа создает или изменяет файлы, в действительности эти файлы создаются в каталоге VTRoot на системном диске. Подкаталоги VTRoot соответствуют Native-именам разделов жесткого диска: HarddiskVolume1 для диска C: , HarddiskVolume2 для диска D: и т.д. Таким образом, виртуально созданному файлу C:\dir\file.exe будет соответствовать реальный файл %SYSTEMDRIVE%\VTRoot\HarddiskVolume1\dir\file.exe .

Виртуальному реестру соответствует раздел реального реестра HKLM\SYSTEM\VritualRoot (sic!). При работе виртуализированных программ данные реестра записываются в его подразделы.

При очистке виртуальной среды каталог VTRoot и раздел реестра VritualRoot удаляются.

Контроль HIPS над виртуализированными программами

Разбор компонента HIPS будет в другой статье, здесь же коснусь особенностей его работы с виртуальной средой.

Если программа выполняется в виртуальной среде, то ее активность не вызовет оповещений HIPS: все действия, на которые не наложен явный запрет, получат разрешения. Впрочем, эти действия затронут только виртуальную среду.

Также в виртуальной среде не действуют запреты на изменение защищенных файлов, каталогов и ключей реестра. Однако действуют другие запреты (если они явно заданы в правилах): на запуск приложений, на завершение процессов, на слежение за клавиатурой, на доступ к COM-интерфейсам и др.

При создании правила HIPS для приложения следует указывать его реальное местоположение. Однако путь к запрещаемому ресурсу в некоторых случаях понадобится указывать реальный, в некоторых — виртуальный. Так, чтобы запретить запуск определенной программы, следует указать ее виртуальный путь, а чтобы запретить прерывание работы программы, следует указать ее реальный путь. Например: в виртуальной среде созданы файлы C:\program.exe , C:\child.exe и C:\sacrifice.exe , и требуется запретить программе program.exe запускать программу child.exe , а также запретить ей прерывать работу программы sacrifice.exe . Тогда понадобится создать для программы c:\VTRoot\HarddiskVolume1\program.exe правило, запрещающее ей запускать программу C:\child.exe , и правило, запрещающее прерывать работу программы c:\VTRoot\HarddiskVolume1\sacrifice.exe .

Относительно COM-интерфейсов отмечу, что они могут по-разному идентифицироваться при обращении к ним в реальной и в виртуальной среде. Поэтому следует проверять работу правил для них в разных условиях. Вообще, защита COM-интерфейсов в виртуальной среде устроена довольно непредсказуемо:

• некоторые COM-интерфейсы блокируются независимо от правил HIPS и независимо от списка защищенных объектов (например, BITS);
• некоторые COM-интерфейсы блокируются, только если они занесены в список «HIPS» > «Защищенные объекты» > «Защищенные COM-интерфейсы», но независимо от правил HIPS (например, интерфейс LocalSecurityAuthority.Shutdown: из-за этого при конфигурации «Proactive Security» нельзя установить MSI-пакеты в вирутальной среде, а при конфигурации «Internet Security» — можно);
• некоторые COM-интерфейсы блокируются, только если они занесены в список защищенных объектов, и только для тех приложений, которым они заблокированы в правилах HIPS (например, LocalSecurityAuthority.Tcb).

Защита от чтения

Виртуальная среда может защищать данные не только от изменения, но и от чтения: если в окне настройки открыть вкладку «Защита+» > «HIPS» > «Защищенные объекты» > «Папки с защищенными данными» и добавить в список какой-либо каталог, то виртуализированные приложения будут воспринимать его пустым. Полезно скрыть таким способом каталог с профилем интернет-браузера, различные хранилища паролей и т.п.

Через интерфейс CIS можно добавить в список «Папок с защищенными данными» лишь те каталоги, которые видны в проводнике. Если необходимо защитить данные в каком-либо скрытом каталоге, следует временно разрешить показ скрытых файлов и папок в проводнике (например, через «Панель управления»).

В список «Папок с защищенными данными» следует добавлять каталоги, расположенные только на локальных дисках. Формально можно добавить в этот список съемные носители или виртуальные шифрованные диски, но для них защита, как правило, не работает.

Программы, выполняющиеся от имени администратора, хотя и в виртуальной среде, способны обойти эту защиту и прочитать конфиденциальные данные.

Контроль фаервола над виртуализированными программами

В отличие от HIPS, фаервол может выдавать оповещения о программах, выполняющихся в виртуальной среде. Если фаервол работает в режиме «Пользовательский набор правил», то сетевая активность виртуализированных программ будет контролироваться точно так же, как и выполняющихся в реальной среде. Если программа создана в виртуальной среде, то в оповещении будет представлен ее реальный путь, наподобие c:\VTRoot\HarddiskVolume1\test.exe .

Однако в версии CIS 8 поведение фаервола в «Безопасном режиме» стало различным для программ, выполняющихся в реальной и в виртуальной среде. Доверенная программа в этом режиме автоматически получает разрешение на исходящие соединения, если она не имеет запрещающих правил и выполняется в реальной среде. Но при выполнении в виртуальной среде сетевая активность контролируется аналогично режиму «Пользовательский набор правил»: независимо от рейтинга, программа получит разрешение только при наличии разрешающего правила; в отсутствие же правила появится оповещение.

Таким образом, для использования браузеров и подобных программ в виртуальной среде необходимо создать для них разрешающие правила, даже если выбран «Безопасный режим» фаервола. Ценой этого неудобства предотвращается утечка данных в ситуации, когда вредоносная программа запускает безопасную для доступа в интернет.

Разумеется, разрешающие правила не потребуются, если фаервол вообще отключен или настроен на разрешение всех запросов без оповещений.

Прочие возможности и ограничения программ в виртуальной среде

В виртуальной среде не действуют правила Auto-Sandbox: например, если некое приложение положено блокировать, то оно все же выполнится при запуске в виртуальной среде. Можно сказать, что в виртуальной среде вообще не осуществляется проактивная защита, за исключением явно заданных правил HIPS.

Хотя запуск программ в виртуальной среде относительно защищает от повреждения данных и заражения системы, виртуализированные программы способны выполнять такую деятельность, как слежение за нажатием клавиш, буфером обмена, экраном. Более того, виртуализированные программы все же могут нанести вред реальной системе, симулируя нажатие клавиш. Заблокировать эту активность можно .

Кроме того, программы, выполняющиеся в виртуальной среде от имени администратора, имеют возможность восстанавливать удаленные файлы и получать таким образом конфиденциальную информацию.

Считается, будто от утечки данных надежно спасает фаервол Comodo, однако, если не приняты , определенные методы позволяют обойти его защиту «изнутри» и выйти в интернет, в том числе в виртуальной среде. Так что следует соблюдать осторожность, запуская сомнительные программы даже виртуально.

С другой стороны, некоторые ресурсы жестко заблокированы для виртуализированных программ, независимо от правил HIPS. Например, в виртуальной среде блокируется доступ к службе BITS , использование которой является одним из способов выхода в интернет в обход фаервола. Также блокируются различные операции виртуализированных процессов с процессами, выполняющимися в реальной среде.

Кроме обычной виртуализации, есть возможность запускать программы в виртуальной среде с дополнительными ограничениями, накладываемыми Auto-Sandbox. Особенность этих ограничений в том, что они наследуются дочерними процессами, в отличие от ограничений HIPS. Они будут рассмотрены в статье про Auto-Sandbox.

Способы открытия файлов и ссылок в виртуальной среде

Основной способ запуска программ в виртуальной среде — пункт контекстного меню «Запустить в Comodo Sandbox». В версии CIS 8 этот пункт введен для всех файлов и учтены параметры командной строки при запуске ярлыков. Поэтому больше нет необходимости менять этот пункт правкой реестра.

Установка программ в виртуальной среде и их запуск

В виртуальной среде можно устанавливать различные программы, пользоваться ими и . Программы, установленные виртуально, будут доступными и после перезагрузки компьютера. Удаление этих программ вместе со следами их работы производится .

Установка в виртуальной среде может дать сбой в случае использования Windows Installer. Решение:

• открыть вкладку «HIPS» > «Группы HIPS» > «COM-группы» и раскрыть группу «Псевдо COM-интерфейсы - Привилегированные»;
• изменить строку LocalSecurityAuthority.Shutdown , например, на xxxLocalSecurityAuthority.Shutdown и нажать «Ok»;
• выполнить установку программы в виртуальной среде;
• аналогично вернуть в прежний вид строку LocalSecurityAuthority.Shutdown .

Если программа установлена в виртуальной среде, то для ее запуска потребуется сначала через контекстное меню открыть в Sandbox какой-либо файловый менеджер, найти исполняемый файл или ярлык этой программы и запустить ее. Поскольку при установке программы, как правило, создается ее ярлык на рабочем столе, было бы удобно сразу открывать виртуальное содержимое рабочего стола. Для этого создадим ярлык, указав в поле «Объект» команду:

"%PROGRAMFILES%\Comodo\COMODO Internet Security\virtkiosk.exe" -v %windir%\explorer.exe shell:Desktop

Зададим этому ярлыку желаемый значок и назовем, например, «Desktop (virtual)». Теперь этот ярлык будет запускать в виртуальной среде проводник с открытым в нем рабочим столом.

Открытие интернет-ссылок в песочнице

Можно оснастить интернет-браузер контекстным меню для открытия сомнительных ссылок в виртуальной среде. Приведу пример для браузера Firefox.

• Будем использовать два браузера: основной, назначенный по умолчанию, и дополнительный, портативный .
• Дополнительный браузер поместим в каталог наподобие C:\mySecretPath\FirefoxPortable (путь не должен содержать пробелы и т.п.).
• Назначим в фаерволе политику «Только исходящие» файлам дополнительного браузера:
  • C:\mySecretPath\FirefoxPortable\App\Firefox\firefox.exe
  • C:\mySecretPath\FirefoxPortable\App\Firefox\plugin-container.exe
• В основной браузер установим дополнение Open With .
• В параметрах дополнения включим контекстное меню ссылок и добавим элемент с параметрами:
  • путь: %PROGRAMFILES%\COMODO\COMODO Internet Security\virtkiosk.exe
  • аргументы: -v c:\mySecretPath\FirefoxPortable\FirefoxPortable.exe
  • имя: ComodoSandbox .

Запуск программ в песочнице через интерфейс CIS

На «обратной стороне» главного окна CIS имеется кнопка «Запуск в Sandbox». Этой кнопкой можно также создать ярлык для запуска какого-либо приложения в виртуальной среде.

Также есть возможность создавать правила, чтобы определенные программы или их группы всегда запускались в виртуальной среде. Для этого следует включить Auto-Sandbox и добавить правило на вкладке «Sandbox» > «Авто-Sandbox».

Запуск программ в виртуальной среде с ограничениями

Существует возможность запускать программы не только в виртуальной среде, но и с дополнительными ограничениями. Для этого следует включить Auto-Sandbox и создать правило, предписывающее целевому приложению запускаться виртуально, при этом задав на вкладке «Опции» уровень ограничений. Данные ограничения наследуются дочерними процессами. Например, если задать файловому менеджеру FreeCommander уровень «Ограниченное», то он и запущенные из него программы будут работать в виртуальной среде и не получат доступа к буферу обмена. Также можно ограничить время выполнения этих программ и выделяемую им память.

На мой взгляд, неудобно заниматься настройкой CIS каждый раз, когда требуется запустить новое сомнительное приложение в виртуальной среде с ограничениями. Предложу способ такого запуска через контекстное меню проводника.

Понадобится создать простейшую программу ExecArg.exe , которая запускает файл, указанный в аргументах командной строки. Например, на AutoIt код такой программы будет состоять из единственной строчки: If $CmdLine Then ShellExecute($CmdLine) . Готовая программа ExecArg.exe вместе с инструкцией и reg-файлами дана в архиве .

Поместим программу ExecArg.exe в каталог C:\ContextMenu и выполним настройку CIS:

• на вкладке «Sandbox» > «Авто-Sandbox» включим использование этого компонента;
• добавим правило Auto-Sandbox:
  • действие: «Запустить виртуально»;
  • цель: C:\ContextMenu\ExecArg.exe
  • уровень ограничений на вкладке «Опции»: «Ограниченное» (можно выбрать любое, кроме «Недоверенного», или не задавать вообще);
  • размер памяти: например, 256 MB;
  • время на выполнение: например, 120 сек.;
• добавим файл ExecArg.exe в доверенные;
• внесем изменения в реестр: Windows Registry Editor Version 5.00 ; Считаем, что путь к CIS: C:\\Program Files\\Comodo\\COMODO Internet Security ; Заменить везде, если отличается; ; слэши ставить двойные: \\ "MUIVerb"="Запустить в Comodo Sandbox ограниченно" "Icon"="C:\\Program Files\\Comodo\\COMODO Internet Security\\cavshell.dll,1" "Extended"="" @="C:\\ContextMenu\\ExecArg.exe \"%1\""

Теперь для запуска программы с ограничениями следует вызвать на ней, удерживая клавишу Shift , контекстное меню и выбрать пункт «Запустить в песочнице Comodo как ограниченное». Например, таким способом можно запускать вредоносные программы, блокирующие интерфейс ОС и препятствующие очистке песочницы.

Виртуальный рабочий стол

Кроме виртуального запуска отдельных программ, CIS имеет дополнительную оболочку: «Виртуальный рабочий стол». Эта оболочка имеет двоякое назначение, причем для прямо противоположных целей.

Во-первых, виртуальный рабочий стол — это отдельный рабочий стол для запуска сомнительных приложений в виртуальной среде. Однако, на мой взгляд, он не имеет преимуществ перед обычным запуском в песочнице через контекстное меню, а в качестве безопасного рабочего стола лучше использовать полноценные виртуальные машины. Вообще, следует сказать, что виртуализация в CIS по функциональности уступает другим подобным средствам, как, например, Sandboxie.

Впрочем, виртуальный рабочий стол все же спасает от атак, связанных с симуляцией клавиатурных нажатий.

Во-вторых, эта оболочка предназначена для совершения защищенных операций, например, с платежными системами. Защита заключается в том, что от всех программ, кроме запущенных в самом виртуальном рабочем столе, скрывается экран и нажатия клавиш. Дополнительно имеется виртуальная клавиатура. По завершении работы пользователь якобы может удалить следы своей деятельности очисткой песочницы.

Однако виртуальный рабочий стол не защищает от перехвата буфера обмена или доступа к файлам (например, к «кукам» браузера). Главное: он совершенно не защищен от запуска сомнительных программ внутри него самого. Активность всех программ виртуального рабочего стола протекает в виртуальной среде и неподконтрольна проактивной защите. И если при работе в нем произойдет запуск шпиона — нажатия клавиш могут быть перехвачены. Кроме того, конфиденциальные данные, удаленные путем очистки виртуальной среды, могут быть восстановлены.

Проблема другого рода: из виртуального рабочего стола невозможен доступ к . Например, при работе с платежной системой пользователю понадобится хранилище паролей, однако разумно было бы защитить его от чтения из виртуальной среды.

Суть проблем виртуального рабочего стола в том, что он работает в той же самой виртуальной среде, которая предназначена для выполнения сомнительных программ. В результате имеем защиту внешней среды от виртуальной, тогда как для платежных операций, наоборот, следовало бы защищать саму виртуальную среду: пресекать запуск неопознанных программ в ней, шифровать создаваемые в ней файлы и при этом предоставлять ей доступ к защищенным данным.

Таким образом, я нахожу виртуальный рабочий стол малополезной функцией и не рекомендую к применению.

Ситуация, в которой виртуальный рабочий стол все же может пригодиться — зараженная система. Если есть риск, что запущена шпионская программа, то безопаснее воспользоваться этой оболочкой, чем допустить перехват нажатий клавиш. Но следует соблюдать осторожность:

Comodo Internet Security - одна из самых мощных бесплатных программ защиты от интернет-угроз : файрвол, антивирус, проактивная защита Defence+. Comodo является одним из самых лучших сетевых экранов в мире. Известен, в первую очередь, как мощный файрвол, поэтому, хоть и является антивирусным комплексом - помещен в категорию файрволов.

COMODO Internet Security отличный программный комплекс для обеспечения безопасности в Сети. В состав включены все необходимые утилиты для спокойной работы и безопасного серфинга в Internet. Comodo Internet Security представляет комплексную защиту компьютера. В состав Comodo Internet Security входят: Файрволл, Антивирус и проактивная технология Viruscope, основанная на поведенческом анализе файлов и защищающий критические системные файлы, записи реестра и личные данные от внутренних атак руткитов, Key logger, троянов и других вредоносных программ. Имеется веб-фильтр блокирующий вредоносные сайты. Есть возможность использовать папки с защищенными данными. Кроме того, Comodo Internet Security позволяет настраивать собственный виртуальный защищенный рабочий стол, а также запускать приложения использую безопасную виртуальную среду - "Песочницу" (Sandbox Technology), которая также включается в установку отдельных компонентов Comodo (только файрвола или антивируса). Работа в этой среде не позволяет вирусам изменять реальные параметры системы, делая это виртуально. Comodo Internet Security дает возможность настраивать автоматический запуск выбранных приложений в Песочнице, а также настроить множество других параметров по своему желанию.

По результатам различных тестов COMODO превосходит многие платные аналоги.

При использовании любых файрволов желательно иметь хотя бы минимальное представление о принципах работы сетевых экранов, хотя с COMODO сложностей при установке и использовании не возникает.

Существует также платный вариант программы без функциональных отличий - бесплатная версия не имеет круглосуточный техподдержки специалистов COMODO.

Comodo Internet Security поддерживает несколько языков, включая Русский интерфейс.

Установить русский интерфейс в Comodo Internet Security:

Перейти во окно задач, нажав на иконку "tasks" в правом верхнем углу.

Раскрыть список расширенных задач Advanced Tasks и открыть меню настроек Open Advansed Setting.

В открывшихся настройках General Setting - User Interface - Language - выбрать Русский.