emhanik
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору o16rus Цитата: Глянул мануал Диссидента по семерке... Есть, что сказать Рекомендуемые параметры хипса и автопесочницы — масло масляное. Если автопесочница молча блокирует запуск всех неопознанных файлов, а хипс молча разрешает активность всех доверенных, то ни к чему вносить в «защищенные файлы» маску «?:\*» Если требуется жестко блокировать все неопознанное, логичнее вариант XenoZ'а: конфигурация «Proactive Security», хипс в «безопасном режиме» с блокировкой без оповещений, проводник — «разрешенное приложение» (а не «системное», как у Диссидента); автопесочницу отключаем. Опцию «создавать правила для безопасных приложений» отключаем, но не для «простоты» или «экономии ресурсов», а для безопасности Про «защиту от bat-файлов» выше написал: она заключается в опции «эвристический анализ командной строки», включена по умолчанию Функция Viruscope — проблемная и малополезная, по моему опыту, вещь; рекомендую отключить Поскольку в данной конфигурации неопознанные программы блокируются, запускаем их виртуализированно через контекстное меню: пункт «Запустить в Comodo Sandbox» О трюке Диссидента с папкой DANGER (которую, конечно, логичнее назвать INSTALLERS). Седьмая версия CIS'а тут существенна: в прежней, похоже, мешал баг. Ок, аналогично мануалу Диссидента создаем папку INSTALLERS, группу «Инсталляторы», назначаем ей политику «Установка или обновление». Но в исключения автопесочницы вносить теперь уже незачем. Вместо этого открываем правила хипса для проводника, выбираем «собственный набор правил» > «запуск приложения» > «изменить» > «разрешенные» > добавляем группу «Инсталляторы». Если вместо проводника используется, скажем, TotalCommander, назначаем ему аналогичное правило Следует учесть, что такая папка должна использоваться только для инсталляции, а не для работы: потому что все, что запустит программа с правами инсталлятора, тоже будет выполняться с правами инсталлятора; а все, что создаст такая программа, станет доверенным Впрочем, это происходит не всегда, поэтому установленные таким способом программы могут все же не занестись автоматически в доверенные — придется сделать это вручную Дисклаймер: это не моя рекомендуемая конфигурация, а мои замечания к подходу Диссидента | Всего записей: 967 | Зарегистр. 18-12-2011 | Отправлено: 02:40 16-05-2014 | Исправлено: emhanik, 00:50 23-05-2014 |
|