Данная книга была написана под руководством литературного агентства «Сигма+» по заказу Лаборатории Касперского. Однако в дальнейшем, по словам литературного агентства «Сигма+», Лаборатория Касперского «передумала» платить за уже написанную книгу, которая до этого им нравилась. И гонорар мне так и не был выплачен. Как думаете, почему?

В этом подразделе вы сможете обнаружить три кнопки НАСТРОЙКА, каждая из которых изменяет параметры работы отдельного компонента KIS.

Фильтрация активности приложений Данный компонент следит за действиями, которые выполняют приложения в системе (так называемая технология HIPS, то есть, локальная система предотвращения вторжений). При первом запуске любого приложения KIS вычисляет рейтинг опасности приложения, и в зависимости от полученного рейтинга помещает его в одну из стандартных групп. От группы зависит, какие операции в системе будет разрешено выполнять приложению.

При вычислении рейтинга опасности KIS пытается отправить контрольную сумму исполняемого файла программы на сервер Лаборатории Касперского в Интернете. Это делается для того, чтобы попытаться найти в базе сведения о запущенном приложении (на данный момент в базе находятся сведения более чем о 15 млн. исполняемых файлов). Если такие сведения действительно находятся, тогда приложение помещается в группу ДОВЕРЕННЫЕ.

Если у приложения оказывается очень высокий рейтинг опасности, а сигнатурный или эвристический анализ признает приложение зараженным, то оно автоматически помещается в группу НЕДОВЕРЕННЫЕ.

После нажатия кнопки НАСТРОЙКА для данного компонента перед вами отобразится диалог НАСТРОЙКА ПРАВИЛ, состоящий из 3 вкладок: ПРИЛОЖЕНИЯ, РЕСУРСЫ и УСТРОЙСТВА (рис. 3.24).

Рис. 3.24. Диалог настройки фильтра активности

• В разделе ПРИЛОЖЕНИЯ перечислены все контролируемые (которые вы уже запускали и для которых был рассчитан рейтинг опасности) фильтрацией активности приложения. Контролируемые приложения рассортированы по группам, к которым их причислил KIS. Существует 4 группы: ДОВЕРЕННЫЕ, СЛАБЫЕ ОГРАНИЧЕНИЯ, СИЛЬНЫЕ ОГРАНИЧЕНИЯ и НЕДОВЕРЕННЫЕ. Вы можете вручную добавлять новые приложения к списку контролируемых, изменять группу, в которую входит то или иное приложение, а также изменять список ограничений для конкретного приложения. От группы зависит, какие операции с операционной системой будет позволено выполнять приложению.

  Доверенным приложениям разрешена любая сетевая активность. Более того, им разрешено выполнять любые действия (тем не менее, их действия контролируются файловым антивирусом и проактивной защитой).

  Если используется интерактивный режим работы KIS, тогда приложения, входящие в группу СЛАБЫЕ ОГРАНИЧЕНИЯ, смогут работать с сетью только в том случае, если вы подтвердите эту возможность для конкретного приложения. Если KIS работает в автоматическом режиме, тогда работа с сетью для приложений из группы СЛАБЫЕ ОГРАНИЧЕНИЯ будет разрешена без подтверждения. Также приложениям из данной группы разрешено выполнять такие операции, как доступ к другим процессам, управление системой, скрытый доступ к сети.

  Если используется интерактивный режим работы KIS, тогда приложения, входящие в группу СИЛЬНЫЕ ОГРАНИЧЕНИЯ, смогут работать с сетью только в том случае, если вы подтвердите эту возможность для конкретного приложения. Если KIS работает в автоматическом режиме, тогда работа с сетью для приложений из группы СИЛЬНЫЕ ОГРАНИЧЕНИЯ будет запрещена.

  Недоверенные приложения работать с сетью не смогут. Им вообще запрещено выполнять практически любые действия в системе.

  В качестве примера, я использую кэширующий прокси-сервер HandyCache. И после установки KIS программа HandyCache была причислена к группе СИЛЬНЫЕ ОГРАНИЧЕНИЯ. Из-за этого я не смог получить доступ к Интернету, и пришлось вручную настраивать правила для данного приложения… итак, теперь вы знаете, кого винить в первую очередь, если у вас не получается получить доступ к Интернету.

  Дополнительно хотелось бы поговорить о возможности редактирования ограничений, которые накладываются на приложение. Для этого дважды щелкните кнопкой мыши по нужному приложению, чтобы отобразить диалог ПРАВИЛА ДЛЯ ПРИЛОЖЕНИЯ. После чего перейдите на вкладку ПРАВИЛА (рис. 3.25). Также обратите внимание на вкладку ИСКЛЮЧЕНИЯ — с ее помощью можно отключить для данного приложения контроль открываемых файлов, активности приложения и доступа к сети. Также с помощью данного диалога вы сможете просмотреть дату последнего запуска приложения, количество его запусков, а также список событий, который были порождены программой (события запуска и завершения программы, а также события доступа к объектам, контролируемым фильтрацией активности).

  
  Рис. 3.25. Диалог настройки правил для контролируемого приложения
  

  Возникает интересный вопрос — что происходит, когда для приложения создан рейтинг активности и выбрана группа, а вы через некоторое время удаляете данное приложение? Остаются ли правила, созданные для приложения? Как правило, нет. Фильтрация активности периодически проверяет список контролируемых приложений на доступность (одновременно пересчитывается рейтинг приложения). Если обнаружено приложение, которого больше нет на компьютере, тогда KIS проверяет, сколько раз запускалось данное приложение, и когда произошел последний запуск. Если программа запускалась только один раз, тогда правила для такого приложения удаляются. Если в последний раз программа запускалась 30 и более дней назад, тогда правила для такой программы удаляются.

• В разделе РЕСУРСЫ перечислен набор правил, которые определяют параметры и ветви реестра, а также файлы и папки файловой системы, изменения в которых должны контролироваться фильтрацией активности. Вы можете просмотреть список контролируемых объектов, а также вручную добавить дополнительные ветви, файлы и папки, изменение содержимого которых должно быть разрешено только после подтверждения пользователя (в интерактивном режиме работы KIS).

  В первую очередь к таким объектам относятся ветви реестра, используемые для автоматического запуска программы при входе пользователя в систему.

  К другим ветвям реестра, контролируемым программой, относятся ветви, содержащие настройки установленных в системе служб. Многие настройки оболочки Windows. Настройки зон безопасности Internet Explorer. Многие настройки групповых политик.

  Также программа контролирует изменение всех EXE, DLL и SYS файлов, находящихся в каталоге %SYSTEMROOT%. И отдельно файла hosts из каталога %systemroot%\system32\drivers\etc. И, конечно, огромное количество стандартных EXE-файлов из каталога %systemroot%\system32. И куда же без стандартной папки ДОКУМЕНТЫ — без нее сейчас никуда.

  Кроме того, программа контролирует многие настройки таких программ, как Internet Explorer, Opera, проводник Windows, FAR, Total Commander, Outlook Express, The Bat!, Thunderbird, ICQ, Mail.ru Agent, Skype, Windows Live Messenger, WebMoney.

  И это далеко не полный список всех объектов, контролируемых от изменения.

• А в разделе УСТРОЙСТВА перечислен набор контролируемых USB и Bluetooth-устройств. Доступ к таким устройствам будет разрешен только после подтверждения пользователя (в интерактивном режиме работы KIS). К сожалению, дополнительные устройства к данному списку добавлять нельзя.

Сетевой экран Сетевой экран настраивать еще сложнее, чем фильтрацию активности приложений. И после нажатия кнопки НАСТРОЙКА вы поймете почему (рис. 3.26).

Сетевой экран работает на основе правил двух видов: пакетные правила (ограничения на пакеты и потоки) и правила для приложений (ограничения на работу определенного приложения). Пакетные правила имеют более высокий приоритет. Они настраиваются на вкладках РЕСУРСЫ и СЕТЕВЫЕ ПАКЕТЫ. А правила для приложений нам уже знакомы — они настраиваются на вкладке ПРИЛОЖЕНИЯ.

Причем, существует два типа правил для приложений — собственно правила для приложений, и правила для групп приложений. Под группой имеются ввиду группы ДОВЕРЕННЫЕ, СЛАБЫЕ ОГРАНИЧЕНИЯ, СИЛЬНЫЕ ОГРАНИЧЕНИЯ и НЕДОВЕРЕННЫЕ. Правила для групп приложений имеют более низкий приоритет, чем правила для конкретных приложений (правила для конкретных приложений изменяются в диалоге ПРАВИЛА ДЛЯ ПРИЛОЖЕНИЯ, который мы рассмотрели ранее).

Рис. 3.26. Диалог Настройка правил, используемый для настройки сетевого экрана

Диалог НАСТРОЙКА ПРАВИЛ для сетевого экрана состоит из 4 вкладок: ПРИЛОЖЕНИЯ, РЕСУРСЫ, СЕТЕВЫЕ ПАКЕТЫ и СЕТИ.

• Содержимое вкладки ПРИЛОЖЕНИЯ полностью аналогично содержимому вкладки ПРИЛОЖЕНИЯ диалога НАСТРОЙКА ПРАВИЛ для компонента ФИЛЬТРАЦИЯ АКТИВНОСТИ ПРИЛОЖЕНИЙ. Точнее, содержимое этой вкладки дублирует содержимое вкладки, рассмотренной нами ранее.

  Данная вкладка добавлена в диалог НАСТРОЙКА ПРАВИЛ для сетевого экрана только потому, что с ее помощью также можно создавать правила доступа к сети.

• Вкладка РЕСУРСЫ позволяет создать, изменить или удалить правила, которые были созданы для реализации работы сетевых сервисов (и отдельных программ), а также для взаимодействия с компьютером, имеющим определенный IP-адрес.

  Во время своей установки KIS проверяет, какие сетевые сервисы есть на вашем компьютере, после чего выбирает из своей базы стандартные правила для их работы, разработанные специалистами Лаборатории Касперского.

  При создании нового сетевого правила достаточно указать удаленный и локальный порты, протокол (TCP, UDP, ICMP, ICMPv6, IGMP или GRE), а также контролируемое направление. Существует два вида направлений. Направления ВХОДЯЩЕЕ, ИСХОДЯЩЕЕ и ВХОДЯЩЕЕ/ИСХОДЯЩЕЕ используется для отдельных пакетов данных. А направления ВХОДЯЩЕЕ (ПОТОК) и ИСХОДЯЩЕЕ (ПОТОК) используются для ограничения открытого сетевого соединения.

  Фактически на данной вкладке сетевые правила не создаются. Здесь просто перечисляются все виды возможной сетевой деятельности. А вот разрешена или запрещена конкретная сетевая деятельность указывается на вкладке СЕТЕВЫЕ ПАКЕТЫ.

  Если вы все же решили создать правило для межсетевого экрана, вам будет полезно знать номера портов, которые используются популярными программами. Программы Azureus и BitTorrent используют порты 6881-6889 протокола TCP. Программа Emule — порт 4662 протокола TCP и порт 4672 протокола UDP. Программа kazaa порт TCP 1214. Программа Mute File sharing порт TCP 4900. Популярный клиент мгновенного общения ICQ порты 20000, 20019, 20039, 20059 протокола TCP. Программа для Интернет-телефонии Skype порты 80 и 443 протокола TCP. Клиент мгновенного общения MsN Messenger порты 1863, 5190, 6891, 6901 протоколов TCP и UDP.

  Обратите внимание, что по умолчанию сетевой экран блокирует некоторые порты, используемые программами для файлообмена и программой Skype. Если вы пользуетесь этими программами, вам придется разблокировать нужные порты.

• Вкладка СЕТЕВЫЕ ПАКЕТЫ позволяет создать более точные правила, разрешающие или запрещающие прием конкретных сетевых пакетов от указанного сетевого сервиса.

  При создании нового сетевого правила достаточно указать одно из сетевых правил, созданных на вкладке РЕСУРСЫ, IP-адрес отправителя/получателя (в зависимости от направления правила), и, конечно, разрешен или запрещен данный вид активности.

  Чем правило выше (в списке правил), тем большим приоритетом оно обладает.

  Давайте попробуем «прочитать» действия стандартных правил. Для этого начнем рассмотрение правил с самого низа списка. Итак, все входящие ICMP-пакеты, кроме ICMP ECHO REPLY, ICMP TIME EXCEEDED и ICMP DESTINATION UNREACHABLE блокируются. Любые входящие сетевые соединения по протоколам TCP и UDP разрешены только после подтверждения пользователем в отобразившемся диалогом окне. Локальные службы, в том числе ДИСПЕТЧЕР УДАЛЕННОГО РАБОЧЕГО СТОЛА (программа mstsc.exe), не могут получить доступ к сети ни по протоколу TCP, ни по протоколу UDP. Любая сетевая активность в сетях со статусом ЛОКАЛЬНАЯ СЕТЬ разрешена только после подтверждения пользователем, а в сетях со статусом ДОВЕРЕННАЯ СЕТЬ разрешена изначально. Отправка электронных писем разрешена только после подтверждения пользователем. Запрос к серверу доменных имен DNS по протоколу TCP или UDP (сетевой сервис DNS OVER TCP) разрешен только после подтверждения пользователем.

• На вкладке СЕТИ перечислены все сети, к которым когда-либо подключался ваш компьютер. При этом вы можете сменить статус сети, если при первом подключении к сети (возможно, вы уже заметили, что при первом подключении к новой сети KIS отображает диалог с предложением выбрать статус данной сети) вы выбрали ошибочный статус. Существуют следующие статусы: публичная сеть (запрещается доступ к вашему компьютеру из публичной сети, как правило, такой статус применяют для сети Интернет, беспроводных сетей в аэропортах и для других общедоступных сетей), локальная сеть (разрешается доступ к общим папкам и сетевым принтерам на вашем компьютере) и доверенная сеть (разрешается любая активность).

  Также вы можете указать дополнительные IP-адреса подсетей, которые должны входить в состав данной сети, а также настроить ряд других параметров. Для этого достаточно выбрать нужную сеть и щелкнуть кнопкой мыши по ссылке ИЗМЕНИТЬ.

Проактивная защита Настроить работу проактивной защиты намного проще, чем работу предыдущих компонентов KIS. Достаточно нажать кнопку НАСТРОЙКА, и выбрать, от каких угроз будет защищать вас данный компонент. А список угроз следующий: клавиатурные перехватчики, скрытая установка драйверов, изменение ядра операционной системы, скрытые объекты, скрытые процессы с отрицательным идентификатором.

В отличие от фильтрации активности проактивная защита реагирует на определенную последовательность действий программы. Например, при обнаружении самокопирования программы на сетевые ресурсы, в каталог автозапуска, системный реестр, и последующей рассылке копий по электронной почте.

Эвристический анализ является частью проактивной защиты. Однако в отличие от эвристического анализатора проактивная защита детектирует вредоносную программу по поведению в системе, а не на основе сигнатур.

Продолжение следует