Kaspersky Internet Security - KIS - [42] :: Программы :: Компьютерный форум Ru.Board

xxToaDxx

Цитата:

lucky_Luk написал: Проследить, чтобы для всех приложений и подгрупп был выставлен режим наследования.

Как включить механизм наследования.

Есть две разновидности наследования. Наследование прав из групп (1) и наследование ограничений родительского процесса (2).

Что касается наследования прав из групп. Делать, как сказал lucky_Luk и как показано на рисунке (позиция 1), но учитывать при этом выдержку из справки. "В текущей версии продукта механизм наследования прав не применяется для сетевой активности приложений" То есть если в фильтре (3) выбрать Сетевые правила, то там варианта наследования не будет. Это будет реализовано в МП1.

Наследование прав из групп- это просто передача прав из группы в приложение. При этом: (в настоящий момент информация может быть не точной)
-Если наследование выставлено :
1. Приложение будет обладать правами родительской группы.
2. При переносе приложения (по инициативе ХИПС) в другую группу, его фактические права могут поменяться в соответствии с правами новой группы-усыновителя (само правило наследования естественно останется прежним, но наследоваться будет другое).
-Если наследование не выставлено :
1. Приложение будет обладать собственными правами, независимыми от группы.
2. При переносе приложения (по инициативе ХИПС) в другую группу, его права останутся неизмененными.
-Для обоих случаев.
1. Смена прав для группы приводит к выставлению таких же прав для всех подчиненных приложений.
2. Новые приложения, помещаемые в группу, всегда изначально будут иметь права родительской группы.
3. При переносе приложения (по инициативе пользователя) в другую группу, его права поменяются в соответствии с правами новой группы.
Другими словами, наследование прав из групп определяет, будет ли приложение менять свои права в соответствии с правилами новой группы или нет, а также будет ли обладать индивидуальностью вообще- при смене группы по инициативе ХИПС.

Наследование ограничений родительского процесса (2)
Тут все как в справке.
Рассмотрю на примере.
Имеется родительский системный процесс, проводник виндоуз, и картинка сомнительного содержания, очень ценная. Мы хотим на нее смотреть без ограничений, но никому больше не дать такой возможности.

Читаем справку. Разрешено имеет наивысший приоритет, запрет- наименьший, запрос действия стоит посередине. При наследовании из двух действий выбирается то, что имеет наименьший приоритет.

Что мы делаем?
-Даем проводнику максимальные права на запуск картинок
-Даем системному процессу запрос на действие при запуске картинок.

Что произойдет?
1. Если наследование в проводнике не выставлено.
-Мы с помощью проводника просматриваем картинку свободно.
-Злоумышленник с помощью системного процесса берет контроль над проводником, и с помощью проводника тоже просматривает картинку свободно.
Почему? Наследование для проводника не выставлено, поэтому ограничения родительского системного процесса на проводник не переходят. Все, нас поимели.

2. Если наследование в проводнике (от родителя) выставлено.
-Злоумышленник с помощью системного процесса пытается взять контроль над проводником, и нарывается на алерт.
На запуск проводником картинки на просмотр

Почему? Родителю-системному процессу запускать картинки без запроса нельзя, а проводнику- можно. Выбирается то, что имеет наименьший приоритет (запрос ниже разрешения)- и получаем запрос.
-Мы с помощью проводника просматриваем картинку свободно.
Почему? Системному процессу запускать картинки нельзя, а проводнику- можно. Но так как проводник мы запускаем собственными руками, без помощи системного процесса, системный процесс нас не интересует.

Пример разумеется вымышленный.

Добавлено:
Arximed2008

Цитата:

IE7 отказывается открывать страницы при запущенном KIS:
внизу пишет "Соединение с узлом ...", доходит до середины и дальше "тишина".
Опера при этом работет без замечаний.
Пытался отключать различные модули KIS и по отдельности и все вместе -
результат тот же, но стоит только выгрузить KIS, как IE7 открывает странички "на ура".

Попробуйте сделать так.
1. Выгрузите КИС
2. Запустите эксплорер.
3. Через минуту запустите КИС
4. Попробуйте открыть проблемные страницы.
Работать будет?
Если да- какая ось в наличии? Название (виста, хрюша...), сервис пак, битность (32/64)

Модерирует : gyra, Maz
Widok (26-08-2008 13:30): лимит страниц. продолжаем здесь	Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113