Данная книга была написана под руководством литературного агентства «Сигма+» по заказу Лаборатории Касперского. Однако в дальнейшем, по словам литературного агентства «Сигма+», Лаборатория Касперского «передумала» платить за уже написанную книгу, которая до этого им нравилась. И гонорар мне так и не был выплачен. Как думаете, почему?

Итак, раздел ЗАЩИТА позволяет полностью отключить программу KIS, а также отключить автоматический запуск KIS при включении компьютера. Делать это категорически не рекомендуется.

Также здесь есть флажок ВКЛЮЧИТЬ ЗАЩИТУ ПАРОЛЕМ, который рекомендуется установить (если вы не сделали это сразу после установки KIS, с помощью мастера настройки), чтобы запретить несанкционированное изменение настроек программы и отключение ее компонентов.

И еще одна область данного раздела — область ИНТЕРАКТИВНАЯ ЗАЩИТА. С ее помощью можно выбрать режим работы KIS. Помните, мастер настройки, который автоматически запускался после установки KIS, предлагал нам выбрать режим защиты? Так вот, здесь вы можете изменить режим защиты, если ваше мнение на этот счет поменялось.

И самая интересная возможность данного раздела. Обещайте мне, что после окончательной настройки KIS вы воспользуетесь этой возможностью. Итак, с помощью кнопки СОХРАНИТЬ можно сохранить текущие настройки программы в файл. В дальнейшем вы всегда сможете восстановить все настройки из файла (с помощью кнопки ЗАГРУЗИТЬ).

Сохранили? А теперь подождите неделю и еще раз сохраните. За это время программа KIS создаст большинство правил для контролирования приложений и работы брандмауэра. И больше не будет вам надоедать надоедливыми предупреждениями. Вот ради этих правил и нужно будет еще раз сохранить настройки программы.

Также обратите внимание, что рядом с кнопками СОХРАНИТЬ и ЗАГРУЗИТЬ есть кнопка ВОССТАНОВИТЬ. С ее помощью можно запустить МАСТЕР НАСТРОЙКИ KASPERSKY INTERNET SECURITY 2009. Он поможет вам восстановить настройки по умолчанию, используемые программой.

Проще всего настроить файловый, почтовый и веб-антивирус с помощью поля УРОВЕНЬ БЕЗОПАСНОСТИ данного подраздела. По умолчанию для всех антивирусов используется РЕКОМЕНДУЕМЫЙ уровень безопасности. Достаточно выбрать другой уровень безопасности, чтобы изменились основные настройки программы. Например:

Файловый антивирус Данный компонент проверяет все открываемые, запускаемые и сохраняемые файлы на вашем компьютере и общих каталогах, которых видны в сети. При всех уровнях безопасности используется интеллектуальный режим проверки, и задействуются технологии iSwift и iChecker.

А кроме того, обратите внимание — при всех уровнях безопасности эвристический анализ отключен. Если вы хотите, чтобы все вредоносные программы обнаруживались еще до их запуска, тогда лучше включить эвристический анализатор для компонента ФАЙЛОВЫЙ АНТИВИРУС. Для этого нажмите кнопку НАСТРОЙКА напротив флажка ВКЛЮЧИТЬ ФАЙЛОВЫЙ АНТИВИРУС в разделе НАСТРОЙКА/ЗАЩИТА/АНТИВИРУС. И на вкладке ПРОИЗВОДИТЕЛЬНОСТЬ отобразившегося диалога ФАЙЛОВЫЙ АНТИВИРУС установите флажок ЭВРИСТИЧЕСКИЙ АНАЛИЗ. После чего воспользуйтесь ползунком для настройки уровня проведения эвристического анализа.

Эвристический анализатор увеличивает уровень детектирования новых угроз за счёт небольшого снижения производительности (скорости работы компьютера). Но по умолчанию эвристический анализатор для компонента Файловый антивирус отключен. Связано это с тем, что многие функции эвристического анализатора берут на себя другие компоненты KIS — Фильтрация активности и Проактивная защита (они обеспечивают проверку приложений при их запуске, в том числе и с использованием эвристического анализа). Именно поэтому, чтобы повысить скорость работы вашего компьютера, по умолчанию мы отключили эвристический анализатор для компонента Файловый антивирус. Если небольшое снижение производительности ПК вас не страшит, вы можете включить эвристический анализатор для компонента Файловый антивирус. Это повысит уровень детектирования новых вредоносных программ ещё до их запуска. (Алексей Монастырский, руководитель группы анализа сложных угроз)

Итак, уровни безопасности.

• НИЗКИЙ. Файлы проверяются по расширению. Проверяются только новые и измененные файлы. Архивы, установочные файлы, вложенные OLE-объекты не проверяются. Составные файлы (например, архивы форматов RAR, ARJ, ZIP, CAB, LHA, JAR, ICE) распаковываются в фоновом режиме. Причем, составные файлы размером более 8 Мбайт не распаковываются и не проверяются на вирусы.

  OLE-объекты — это объекты одного приложения, которые можно вставить в другое приложение. Например, если вы вставляете в документ Microsoft Word таблицу, созданную в Microsoft Excel, то вы вставляете OLE-объект. И такой OLE-объект будет проверен на вирусы. Также OLE-объектом является файл, вложенный в электронное письмо.

• РЕКОМЕНДУЕМЫЙ. Файлы проверяются по формату. Проверяются только новые и измененные файлы. Архивы и установочные файлы не проверяются (до того момента, пока вы не попытаетесь их разархивировать), а вот вложенные OLE-объекты проверке подвергаются. Составные файлы распаковываются в фоновом режиме. Причем, составные файлы размером более 8 Мбайт не распаковываются и не проверяются на вирусы.
• ВЫСОКИЙ. Проверяются все файлы, независимо от расширения и формата. Проверяются любые файлы, как новые, так и старые, даже если они не были изменены. Проверяются новые архивы, новые установочные пакеты, а также все вложенные OLE-объекты. Составные файлы любого размера распаковываются в фоновом режиме.

Почтовый антивирус При всех уровнях безопасности фильтр вложений не применяется. Фильтр вложений — список расширений, прикрепленные файлы которых будут автоматически переименовываться или удаляться из полученного письма. Вы можете включить и настроить список вложений на вкладке ФИЛЬТР ВЛОЖЕНИЙ диалога ПОЧТОВЫЙ АНТИВИРУС.

Также обратите внимание, что ни один из уровней безопасности не включает возможность проверки сообщений по протоколам MSN и ICQ (то есть, контролирование клиентов мгновенного общения не выполняется). Чтобы включить эту возможность, достаточно установить флажок ТРАФИК ICQ/MSN на вкладке ОБЩИЕ диалога ПОЧТОВЫЙ АНТИВИРУС.

• НИЗКИЙ. Проверяются только входящие сообщения. Эвристический анализ включен на поверхностный уровень, а вложенные архивы не проверяются.
• РЕКОМЕНДУЕМЫЙ. Проверяются входящие и исходящие письма по протоколам POP3, SMTP, NNTP, IMAP. Эвристический анализ включен на средний уровень. Проверяются вложенные архивы любого размера.
• ВЫСОКИЙ. Проверяются входящие и исходящие письма по протоколам POP3, SMTP, NNTP, IMAP. Эвристический анализ включен на глубокий уровень. Проверяются вложенные архивы любого размера.

Обратите также внимание на то, что в почтовом клиенте Thunderbird, если вы используете фильтры, перемещающие сообщения из папки ВХОДЯЩИЕ, тогда KIS не сможет проверять на вирусы сообщения по протоколу IMAP.

А в Microsoft Outlook, если вы используете протокол IMAP для связи с почтовым сервером, KIS по умолчанию перед проверкой почты на вирусы все письма скачивает на ваш компьютер. И чтобы запретить ему скачивание всех писем (а проверять их только при чтении), нужно на вкладке ЗАЩИТА ПОЧТЫ диалога ПАРАМЕТРЫ программы Microsoft Outlook снять флажок ПРОВЕРЯТЬ ПРИ ПОЛУЧЕНИИ и установить флажок ПРОВЕРЯТЬ ПРИ ПРОЧТЕНИИ.

Веб-антивирус Данный антивирус используется для обнаружения и блокирования вредоносных сценариев, полученных из Интернета по HTTP-трафику. Для этого KIS перехватывает все HTTP-запросы установки соединения (открытия веб-страницы), отправляемые по контролируемым портам. И самостоятельно устанавливает соединение с запрошенной страницей (то есть, KIS работает в качестве прокси-сервера). Список портов, которые контролируются KIS, хранится в разделе НАСТРОЙКА/ПАРАМЕТРЫ/СЕТЬ.

По данным исследователей Sophos (конец января 2008 года) каждый день в Интернете обнаруживается около 6000 новых вредоносных страниц. По крайней мере, именно столько находят сотрудники этой компании.

Как правило, вредоносными становятся веб-страницы ни в чем не повинных компаний и частных пользователей (вследствие взломов или заражения вредоносным ПО). Намеренно же вредоносные страницы больше не создают.

При всех уровнях безопасности трафик HTTP проверяется, в том числе по базе подозрительных страниц. Опасные скрипты при использовании браузера Internet Explorer блокируются.

• НИЗКИЙ. Эвристический анализ включен на поверхностный уровень. Время кэширования фрагментов ограничено 1 секундой.
• РЕКОМЕНДУЕМЫЙ. Эвристический анализ включен на средний уровень. Время кэширования фрагментов ограничено 1 секундой.
• ВЫСОКИЙ. Эвристический анализ включен на глубокий уровень. Время кэширования фрагментов ограничено 60 секундами.

Чем больше время кэширования фрагментов, поступающих из Интернета, тем выше уровень антивирусной защиты. Однако при этом тем медленнее будет выполняться доступ к объектам. Кроме того, долгое кэширование может вызывать проблемы истечения тайм-аута на соединение HTTP-клиента при копировании и обработке больших объектов.

Метод буферизации заключается в том, что весь сетевой трафик сначала помещается в буфер. После того, как сетевой файл полностью получен и помещен в буфер, выполняется его проверка на вирусы в течение всего времени буферизации. Если время буферизации ограничено, тогда выполняется проверка сокращенным набором сигнатур угроз, содержащим только наиболее активные угрозы.

Подробнее о настройках Если стандартные уровни безопасности вас не устраивают, вы всегда можете подкорректировать настройки, нажав кнопку НАСТРОЙКА напротив нужного антивируса.

Отдельно хотелось бы рассмотреть назначение переключателя ТИПЫ ФАЙЛОВ у файлового антивируса. Он позволяет определить файлы, которые будут проверяться на вирусы в реальном времени. Этот переключатель может находиться в следующих положениях.

• ВСЕ ФАЙЛЫ — проверяться будут все файлы.
• ФАЙЛЫ, ПРОВЕРЯЕМЫЕ ПО РАСШИРЕНИЮ — на вирусы будут проверяться только файлы, имеющие расширение COM, EXE, SYS, PRG, BIN, BAT, CMD, DPL, DLL, SCR, CPL, OCX, TSP, DRV, VXD, PIF, LNK, REG, INI, CLA, VBS, VBE, JS, JSE, HTM, HTT, HTA, ASP, CHM, PHT, PHP, WSH, WSF, THE, HLP, EML, NWS, MSG, PLG, MBX, DOС, DOCX, DOCM, DOT, DOTX, DOTM, FPM, RTF, SHS, DWG, MSI, OTM, PDF, SWF, JPG, JPEG, EMF, ICO, OV?, XLA, XLC, XLT, XLSX, XLTM, XLSB, XLTX, XLSM, XLAM, PPS, PPT, PPTX, PPTM, POTX, POTM, PPSX, PPSM, PPAM, MDA, MDB, SLDX, SLDM или THMX.
• ФАЙЛЫ, ПРОВЕРЯЕМЫЕ ПО ФОРМАТУ — для определения того, нужно ли проверять файл, программа будет смотреть не на расширение файла, а на его содержимое. Расширение файла можно изменить, например, изменить расширение EXE на какое-нибудь другое. А вот содержимое файла не изменишь. И по содержимое файла почти всегда можно определить, какие реальное расширение имеет данный файл. Использование данного метода определения считается предпочтительнее определения по расширению. Однако он нагружает систему больше, чем проверка по расширению.

Также обратите внимание на режим проверки, который можно изменить на вкладке ДОПОЛНИТЕЛЬНО диалога ФАЙЛОВЫЙ АНТИВИРУС. Режим проверки может принимать значения ИНТЕЛЛЕКТУАЛЬНЫЙ, ПРИ ДОСТУПЕ И ИЗМЕНЕНИИ, ПРИ ДОСТУПЕ и ПРИ ИЗМЕНЕНИИ. Он определяет условия срабатывания компонента ФАЙЛОВЫЙ АНТИВИРУС. То есть, при каких операциях файловый антивирус будет проверять файлы на вирусы.

По умолчанию при всех уровнях безопасности используется интеллектуальный режим проверки. В этом режиме решение о проверке на вирусы принимается на основании анализа операций, выполняемых с объектом. Например, при работе с документом Microsoft Office KIS проверяет файл перед первым открытием, а также перед закрытием. Операции перезаписи файла из проверки исключаются.

Продолжение следует