第一部分 Comodo Defense+ 简介 天地尚不能久,而况於人乎?1. Defense+ 简介Comodo Defense+ 是一个典型的HIPS(Host Intrusion Prevention System),中文名是主机***防御系统,还可以叫系统防火墙。传统防火墙控制的是网络通讯,而系统防火墙控制系统行为。HIPS 可以拦截恶意软件的危险行为,然后根据规则直接阻止,或者通过提示窗口询问用户。 HIPS 由于不依赖特征码,相对于传统的杀毒软件,在对付0day 威胁、未知病毒上有巨大的优势。HIPS 可以阻止杀毒软件无法检测的病毒进入你的系统,可以阻止病毒的运行,即使病毒运行,HIPS还有机会可以阻止病毒对系统的破坏行为,这是杀软做不到的。Comodo Defense+ 是和SSM、ProSecurity、EQSecure类似的HIPS,完全可以作为整个安全体系的第一道防线,通过规则,主动拦截各种可能的***。 Defense+ 也有不足,尽管Defense+ 已经使用了尽量浅显易懂的语言,警告提示还是要求用户有一定的系统知识和安全知识,才能做出正确的选择。普通用户需要一段时间的学习才能掌握和使用 Defense+ 。从易用上,Defense+ 还不够简单、不够智能,不够成熟;从功能划分和规则定制上,Defense+ 还不够灵活和细腻,还需要一定的时间去改进。 目前,通过内置的白名单和Clean PC Mode,普通用户通过学习是可以驾驭Defense+ 的。Defense+ 不能取代所有的安全软件,完整的防御体系应该由三部分组成: Prevention(防毒)、Detection(杀毒)、Cure(清毒)2. Defense+ 初步:规则设置界面 Defense+ 的设置界面,Security Policy 是安全策略,这里用规则代替,比较易懂:Defense+ -> Advanced -> Computer Security Policy (Defense+ 规则) 用户当前的所有Defense+规则都可以在这里找到和设置Defense+ -> Advanced -> Predefined Security Policy (Defense+ 预设规则)用户可以设置预设规则,一个预设规则可以分配给多个有类似行为的程序。(规则复用)图1Computer Security Policy (计算机安全策略) 打开规则设置界面,可以看到程序名和规则名。 一个程序组的所有成员可以继承使用同一种规则。 一个预设规则可以分配给多个程序(规则复用)。图2 Computer Security Policy |
第二部分 Comodo Defense+ 规则架构
1. 工欲善其事,必先利其器
要完全释放Defense+的威力,必须自己动手设置规则。预设规则首当其冲。
预设规则是Defense+规则的精华,我们手中的名剑,杀敌的利器,战略武器库。
Defense+ 默认的预设规则,Trusted 太松,Limited 太紧,不够和谐,我们要做的就是完善它。我们要做的就是使大部分程序可以用预设规则一步搞定,这样就会减少提示,让普通人也可以使用 Defense+ 。
增加和改造预设规则是自定义规则的关键一步。
知己知彼,百战不殆2. Defnese+ 的规则优先级
在设置规则前,要搞清楚规则的优先级。
Defense+ 的规则优先级是从上至下匹配,如果两条精确匹配规则(包括例外规则)都和行为匹配,上面第一条精确匹配规则(包括例外规则)被执行,规则匹配结束。如果不存在精确匹配规则,Defense+ 将弹出警告窗口。等待用户选择后,结束。
什么是精确匹配规则?
对于访问权限,是当前程序操作其它子进程和对象,需要匹配当前程序和它操作的对象。然后再检查默认行为(Default Action)。 只有Allow和Block 是精确匹配规则,Allow和Block的权限高于Ask。Ask会被直接忽略。
对于自我保护,当前程序是其它进程的操作对象,需要检查目标程序是否为本程序,保护类型(Protection Type)和保护Active(Yes); 没有自我保护规则的程序直接被忽略。目标的自我保护规则优先于其它程序的访问权限规则。
特殊的精确匹配规则(例外规则) 对于访问权限,本程序Modify... 里具体的Allow和Block规则,优先于外面的Ask、Allow、Block全体规则。Modify... 内Allow 的优先级高于Block。Modify里的规则属于例外规则。
对于自我保护,本程序Modify...里具体的Exceptions规则,优先于外面的Active规则,Exception 例外程序,不受自我保护规则的制约。 例外规则也遵守从上至下匹配的原则。 如果两条规则都和行为匹配,那么只有上面的精确匹配规则(包括例外规则)被执行,下面程序的例外规则将被忽略。
All Applications * 很重要,代表所有程序,它也遵守规则流程,所以为了制定严格的所有程序规则,必须将它移动到最下面。All Applications * 会在特定的情况下会使用特殊的规则处理逻辑,非常重要。
例1 同一行为,Block Ask的优先级:
All Applications *,将 Run an executable设置为Ask
同时设置explorer.exe ,禁止explorer.exe 运行cmd.exe 。
#1 All Applications * Run an executable Ask #2 explorer.exe Run an executable Block
All Applications *,将 Run an executable设置为Ask
同时设置explorer.exe ,禁止explorer.exe 运行cmd.exe 。
#1 All Applications * Run an executable Ask #2 explorer.exe Run an executable Block
结果是:Defense+ 阻止cmd运行,而不会提示。 Block > Ask
例2 同一行为,Allow Ask的优先级:
All Applications *,将 Run an executable设置为Ask
同时设置explorer.exe ,允许explorer.exe 运行cmd.exe 。
#1 All Applications * Run an executable Ask #2 explorer.exe Run an executable Allow
All Applications *,将 Run an executable设置为Ask
同时设置explorer.exe ,允许explorer.exe 运行cmd.exe 。
#1 All Applications * Run an executable Ask #2 explorer.exe Run an executable Allow
结果是:Defense+ 允许cmd运行,而不会提示。 Allow > Ask
例3 两条规则都适合,由上至下匹配:
All Applications *,将 Run an executable设置为Block
同时设置explorer.exe ,允许explorer.exe 运行cmd.exe 。
#1 All Applications * Run an executable Block #2 explorer.exe Run an executable Allow
All Applications *,将 Run an executable设置为Block
同时设置explorer.exe ,允许explorer.exe 运行cmd.exe 。
#1 All Applications * Run an executable Block #2 explorer.exe Run an executable Allow
结果是:Defense+ 阻止cmd运行。
例4 两条规则都适合,由上至下匹配:
All Applications *,将 Run an executable设置为 cmd.exe Allow
同时设置explorer.exe ,explorer.exe Block。
#1 All Applications * Run an executable Allow cmd.exe #2 explorer.exe Run an executable Block
All Applications *,将 Run an executable设置为 cmd.exe Allow
同时设置explorer.exe ,explorer.exe Block。
#1 All Applications * Run an executable Allow cmd.exe #2 explorer.exe Run an executable Block
结果是:Defense+ 允许cmd运行。
例5 自我保护规则优先于其它程序的访问控制规则
设置 任务管理器taskmgr.exe可以结束一切进程,保护notepad.exe 不被结束。
#1 taskmgr.exe Process Terminations Allow 访问控制规则 #2 explorer.exe 没有自我保护 #3 notepad.exe 自我保护 Process Terminations Yes 自我保护规则
设置 任务管理器taskmgr.exe可以结束一切进程,保护notepad.exe 不被结束。
#1 taskmgr.exe Process Terminations Allow 访问控制规则 #2 explorer.exe 没有自我保护 #3 notepad.exe 自我保护 Process Terminations Yes 自我保护规则
结果是:explorer 被结束,而notepad.exe 进程被保护。