SafeGroup
SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - Wersja do druku

+- SafeGroup (https://safegroup.pl)
+-- Dział: Publikacje (https://safegroup.pl/forum-27.html)
+--- Dział: Artykuły (https://safegroup.pl/forum-24.html)
+--- Wątek: SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje (/thread-11669.html)

Strony: 1 2 3


SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - ichito - 06.11.2018

Wielokrotnie na forum dzieliłem się z użytkownikami swoimi ustawieniami w programie SpyShelter, ale do tej pory nie zdarzyło mi się poświęcić temu całkiem nowego wątku, w którym zebrałbym te fragmentaryczne informacje. Zostałem parę dni temu poproszony, bym to zrobił i w sumie zastanawiam się, czemu do tej pory tego nie zrobiłem Smile Możliwe, że wpływ na to miały dwie rzeczy
- program przez lata rozwijał swoje funkcjonalności i tym samym poszerzał oferowane opcje, co dawało asumpt do kolejnych doświadczeń
- ponadto został tak skonstruowany, że pewne ustawienia nie są oczywiste od razu i niektóre funkcje (labo raczej możliwości) odkrywa się na własny użytek samodzielnie lub dzięki dyskusji z innymi.

No dobra, to do rzeczy - poniższe informacje bazują na ostatniej wydanej wersji czyli 11.3 w wydaniu SpyShelter Firewall...to istotne, ponieważ wersję Firewall od wersji Premium różnią dwie dodatkowe funkcje czyli moduł zapory i moduł kontrola startu aplikacji. Ta informacja jest na stronie programu w tabelce porównawczej wersji, ale z doświadczenia wiem, że funkcjonalności wymieniane w takich porównaniach są dla użytkownika często tylko hasłem...czasem tylko marketingowym. W przypadku tego programu to poważne rzeczy, ale o tym później. Chciałbym jeszcze jedną rzecz powiedzieć...właściwie zastrzec...przedstawione poniżej ustawienia nie są opcjami sugerowanymi...najlepszymi...jednymi prawdziwymi i objawionymi...absolutnie NIE należy ich tak traktować! To moje własne ustawienia, takie jak mi akurat pasują i z oczywistych względów nie każdemu jako takie są potrzebne czy wystarczające.

Przegląd zacznę w naturalnym porządku czyli zgodnie z kolejnością zakładek/modułów od lewej do prawej.

OCHRONA
To ekran główny i sytuacja jest raczej prosta...wszystkie ochrony są włączone i nie wymaga to komentarza.


REGUŁY
Główne - to jakby podsumowanie...lista...wszystkich naszych decyzji na otrzymane komunikaty/ostrzeżenia, a czasem wynik świadomych zmian w istniejących już wcześniej regułach...dwie rzeczy istotne na mojej liście, co ilustrują dwa poniższe obrazki:
- jest kilka reguł blokujących, co wynika bądź z otrzymanych alertów, bądź z późniejszych modyfikacji reguł wcześniejszych (numery dla blokowanych działań znajdziecie w ustawieniach na liście monitorowanych akcji) (ryc. 1)
- w regułach widoczne są również zezwolenia na wszystkie akcje dla wybranych procesów...oprócz aplikacji zabezpieczających znajdziemy także programy do kontroli pracy systemu oraz procesy używanego urządzenia wielofunkcyjnego (tu bywało, że szedłem "na łatwiznę" ponieważ chciałem sobie oszczędzić tworzenie szczegółowych reguł dla programów, które znam od lat i którym ufam albo które potrzebne mi były od razu, a tryb instalacji przy uruchamianiu nie dawał oczekiwanych efektów - brak dalszych alertów) (ryc. 2)

Kontrola startu aplikacji - to moduł obecny tylko w wersji z zaporą, a służyć ma do nadzorowania, która aplikacja może być uruchomiona, a która blokowana (tu istotny jest proces, nie jego akcja...mamy więc w pewien sposób funkcjonalność programów typu anti-exe).
Trudno coś tu sugerować, ale warto na pewno zwrócić uwagę, co dla procesów nadrzędnych tzw. "rodziców" (w górnym oknie) pokazuje się nam jako procesy podrzędne ("dzieci") w oknie dolnym. Przeważnie jest to lista procesów, których obecność tam będziemy sobie jakoś mogli wytłumaczyć np. w przypadku listy dla procesu Explorer.exe albo dla menadżera plików (u mnie FreeCommender.exe)...jeśli znajdziemy coś niepokojącego, to na pewno najszybszy sposób to pozycję usunąć, ale chyba lepiej sprawdzić czego proces dotyczy i czy w takim razie może być uruchamiany przez konkretny inny proces nadrzędny. 
Warto zwrócić uwagę na wpis na liście dolnej oznaczony tylko symbolem gwiazdki "*" tak jak na przykładzie poniżej...to reguły tworzone automatycznie przez SS, a oznaczają dowolny plik z dowolnej lokalizacji...i tu jest niebezpieczeństwo właśnie, ponieważ w skrajnym przypadku bez dalszego alertu umożliwia otwarcie pliku czyli np. szkodnika. Ja wyrzuciłem w większości takie wpisy, zostawiłem tylko dla znanych sobie aplikacji lub takich, których uruchamianie (poprzez inne procesy) chciałem zablokować...jak poniżej właśnie (ryc. 3)

[Obrazek: 4tFWao3.jpg]


OKNO LOGU
Tu nie ma ustawień, tu jest po prostu wykaz wykrytych akcji i podjętych decyzji. Niezbyt wiele można z tą listą zrobić niestety i wydaje się, że faktycznie dobrym pomysłem mogło by być zgłaszane przez użytkowników dodanie możliwości utworzenia reguły z takiego pojedynczego wpisu, co daje się zrobić w niektórych innych aplikacjach tego typu...decyzja dewelopera póki co jest na nie, ale nadzieję mieć trzeba Smile


OGRANICZONE APLIKACJE
Lista ograniczonych aplikacji - ta funkcja jest dla mnie bardzo ważna i mogę tylko marudzić, że tak mało przy tym spopularyzowana. Pozwala ona na ograniczanie uprawnień wybranych procesów i tym samym minimalizowanie specyficznych modyfikacji systemu przez te procesy dokonywanych...umożliwia również na nakładanie restrykcji na obszary "zwiększonego ryzyka" na dysku czyli np. na podłączane przenośne napędy, pliki pobierane z sieci, na obce dokumenty, na kolekcjonowane instalatory programów pochodzącego z rożnych źródeł.
Jest wg na tyle ważna, że jej opis zacytuję dokładnie z pliku pomocy programu
Cytat:Ta funkcja:
-Blokuje automatycznie wszystkie niebezpieczne akcje
-Zwiększa szanse ochrony przed atakami wykorzystującymi dziury w popularnych programach (np. przeglądarki internetowe).
-Ogranicza dostęp do plików systemowych i rejestru.
-Ogranicza dostęp do przechwytywania klawiszy, tworzenia zrzutów ekranu
-Uniemożliwia złośliwemu oprogramowaniu zwiększenie własnych uprawnień
Listę takich lokalizacji/aplikacji tworzymy sami, bo tylko my wiemy, co nam jest potrzebne...to, co u mnie się na niej znajduje widać na screenie zbiorczym poniżej (ryc. 4).

Krótki komentarz jeszcze:
- na liście znajdują się aplikacje podatne, które często wykorzystywane są do wykonania ataku na system...wśród nich przeglądarki internetowe, program do obsługi PDF i notatnik systemowy
- jako lokalizacje mam na liście dyski wymienne (pozwala na uniknięcie nieautoryzowanych uruchomień plików wykonywalnych) oraz dwa foldery, z których jeden jest przeznaczony na pobrane z internetu pliki (Download) a drugi (Instalki) jest moim archiwum programów
- każdej pozycji możemy tymczasowo zdjąć ograniczenia korzystając z polecenia "Uruchom jako nieograniczony" dostępnego z klawisza myszy
- "tajemnicze" oznakowania W i S w osobnych kolumnach oznaczają nadane dla danego procesu/lokalizacji zezwolenia na:
W to nagrywanie obrazu z kamery 
S to nagrywanie dźwięku
przy czym domyślny znaczek w kolumnie to "-" czyli blokada, a my możemy to zmienić na "+" czyli zezwolić, korzystając z menu klawisza myszy przy danej pozycji. U mnie jak widać wszystkie pozycje mają blokadę.
Mała porada - jeśli macie zamiar aktualizować aplikacje z listy ograniczonych...instalować do nich jakieś dodatki, wtyczki, to lepiej będzie uruchomić je w trybie nieograniczonym na co pozwala nam polecenie z prawego klawisza myszy. Wtedy konieczne modyfikacje zostaną wprowadzone bez ograniczeń lokalizacyjnych trybu ograniczonego.

Foldery z dostępem zapisu - lista lokalizacji, którą znajdziemy w tej zakładce wynika z faktu, że obejmując restrykcjami aplikacje/lokalizacje musimy w większości przypadków dodać dla nich możliwość zapisu. To konieczne, ponieważ aplikacje mogę bez tego nie działać poprawnie, a foldery na specyficzne pliki bez funkcji zapisu w nim nowych danych tracą właściwie rację bytu.
Kilka uwag tu:
- dołączając kolejne aplikacje/procesy do listy ograniczonych koniecznie trzeba pamiętać, że w większości przypadków musimy dodać możliwość zapisu do macierzystych folderów tych programów lub powiązanych z nimi folderów plików tymczasowych...tu jest o tyle prościej, że SpyShelter przy dodawaniu aplikacji pyta w osobny komunikacie o akceptację dodania możliwości do wskazanego folderu
- zaś dołączając foldery własne musimy dodać możliwość zapisu do nich ręcznie
- część folderów...zwłaszcza tych powiązanych z systemem...mamy do dyspozycji z menu kontekstowego myszy (tzw, foldery specjalne), a ponadto dodać możemy dyski zewnętrzne jako kategorię ogólną (bez konkretnych nazw napędów) oraz wybrany dowolny folder.
U mnie wygląda to tak, jak na ryc. 5

[Obrazek: J0R1vUq.jpg]

Naruszenia dostępu do plików - tu znajdziemy w postaci listy procesy, które jako ograniczone próbowały uzyskać dostęp do zabronionych dla nich lokalizacji  oraz wykaz tych lokalizacji. To o tyle może być ważne, że w miarę potrzeby (dla poprawnego działania aplikacji) możemy dodać możliwość zapisu do takiej wybranej pozycji.
Na screenie (ryc. 6) widać przykładową listę lokalizacji (wraz z plikami, które miały być zmienione) po testowym wyłączeniu możliwości zapisu dla folderu macierzystego Firefoxa w wersji portable

Uruchomione jako ograniczone - tu znajdziemy wykaz procesów, które pracują jako ograniczone...na potrzeby opisu włączyłem przeglądarkę PDF (1 proces), Firefox (2 procesy) i Chrome (6 procesów), a każdy z nich możemy zakończyć jeśli jest taka konieczność (ryc .7).

[Obrazek: hn1H16H.jpg]

FIREWALL
Strefy sieciowe - zapora to kolejny moduł/funkcja, który wyróżnia wersję z zaporą od "Premium" i zastępuje jej moduł "Bezpieczny internet" ("AntiNetworkSpy"zapewniając jednocześnie znacznie większą funkcjonalność. Na pierwszej zakładce widzimy listę wykrytych sieci z przydzielonym jej atrybutem zaufania - u mnie jest tylko jedna sieć (domowa), z której na co dzień korzystam, ale w przypadku kiedy laptopa używamy w różnych miejscach pokazać się na liście powinny dodatkowe pozycje.
Moja sieć domowa ma przydzielona kategorię "Nieokreślona", co oznacza, że zostaniemy powiadomieni o próbie nawiązania nowego połączenia (o ile ustawiony poziom ochrony oraz ustanowione automatyczne zezwolenia dla wybranych zaufanych dostawców nie pozwalają na to automatycznie).

Aktywność sieciowa - na tej zakładce widzimy wszystkie procesy, które są podłączone do sieci oraz statystyki transferu dla nich, ale to nie wszystko, co w tej funkcji znajdziemy. Wklikanie się w wybraną pozycję daje nam nowe okienko wraz z listą konkretnych połączeń/adresów (nazwa i adres IP) również z danymi transferu...natomiast uruchomienie menu z prawego klawisza myszy na wybranym adresie daje nam jeszcze dodatkowe możliwości m.in. zablokowanie wg nazwy serwera albo wg IP (widać to na screenie poniżej). Ponadto kliknięcie na nagłówki kolumn prędkości prawym klawiszem pozwala wybrać z menu wyświetlanie prędkości aktualnej albo średniej (ryc. 8). 

OK...to było o ustawieniach, a teraz chwila o regułach. U mnie wynikają z odpowiedzi na pokazywane alerty oraz własnych późniejszych modyfikacji, a szczególnie z zastosowania funkcji tzw. reguły grupowej. SpyShelter pozwala na stworzenie wzorca reguły, który po zapisaniu będzie mógł być zastosowany dla wybranego dowolnego procesu - u mnie to reguła blokująca ruch w obie strony przeznaczona dla aplikacji, które wg mnie nie wymagają dostępu do sieci.
Regułę taką tworzymy w oknie opcji zaawansowanych (polecenie "Twórz reguły dla składnika") wybierając w polu u góry polecenie "wybierz" - w nowym okienku polecenie "utwórz"- w oknie reguły określamy potrzebne nam parametry i zatwierdzamy zmiany w każdym zamykanym oknie. Od tej pory w menu wyboru reguł pojawia się nam nazwa naszej nowej reguły (dodatkowe info w pliku pomocy dla SS). Zastosowanie tej nowej reguły daje nam na liście reguł nową akcję oznaczoną numerem 59 z nazwą "Niestandardowa reguła sieciowa 'NAZWA'" przydzieloną do modułu "Firewall" (ryc. 9)...co ciekawe reguły z tym numerem nie znajdziecie na liście monitorowanych akcji...mamy nr 58, a potem od razu 60 Smile

Jeszcze jedna ciekawostka związana z zaporą i zmianą ustawień programu - jeśli wyłączymy wszystkie moduły ochrony poza zaporą (nie da się wyłączyć wszystkich głównym suwakiem "Status ochrony", a potem włączyć "Firewall"...trzeba wyłączać każdy moduł pojedynczo poza statusem i zaporą) do dyspozycji pozostaną nam aktywna opcja monitorowania akcji przydzielonych do zapory. Na ich liście (ryc. 10) znajdziemy akcję nr 53 "Uruchamianie aplikacji"...i dzięki tej akcji będziemy mieli ze SpySheltera aplikację z podstawową funkcją anty-exe tzn. zezwalania i blokowania uruchamiania określonych aplikacji, którą możemy oczywiście poszerzyć o funkcjonalność wynikającą z funkcji "Kontrola uruchamiania aplikacji" (patrz wyżej "Reguły")

[Obrazek: P8TEeHD.jpg]


SZYFROWANIE KLAWISZY
Filtrowanie procesów - to funkcja programu, której rolą jest szyfrowanie znaków wpisywanych z klawiatury, a tym samym ochrona przed przechwytywaniem naszych danych przez ewentualne szkodniki. Ten konkretny jej moduł pozwala ustalić sposób filtrowania...może prościej - wyznaczania...procesów, w których to szyfrowanie ma się odbywać. Do dyspozycji mamy 4 możliwości:
- włączenie szyfrowania dla wszystkich procesów - może przysporzyć kłopotów we współpracy z procesami, które tego nie tolerują, dlatego mamy opcję kolejną...
- szyfrowanie dla wszystkich za wyjątkiem wskazanych na liście - to lista wbudowana fabrycznie, do której możemy dopisać wskazane przez nas dowolne procesy, w których szyfrowania nie chcemy (to ustawienie zalecane przez producenta)...jeśli ta lista to dla nas zbyt dużo, to mamy...
- szyfrowanie tylko w wybranych procesach - tu wskazujemy tylko te procesy, w których szyfrowania chcemy (reszta będzie go pozbawiona), co pozwala wskazać nam tylko na procesy podatne na przechwytywanie danych jak przeglądarki, edytory tekstów, komunikatory, itp.
- wyłączenie szyfrowania - nie potrzeba wyjaśnień.
U mnie jest wyznaczony poziom "drugi" czyli brak szyfrowania dla wyjątków...jak widać na screenie (ryc. 11) do listy wbudowanej dodałem procesy dwóch ważnych i życiowych dla mnie aplikacji zabezpieczających - Shadow Defender i Keriver 1-Click. 

A propos dodawania procesów - poza wskazaniem procesu w systemowym menadżerze plików, możemy skorzystać z unikalnej...bo występującej tylko w tym module...funkcjonalności jaką jest menadżer procesów. Listę działających procesów uruchamia polecenie "Wybierz proces z listy". I tu dygresja, która już była podnoszona w propozycjach zmian w programie - chyba wszystkie znane mi programy typu HIPS/BB posiadają...i posiadały...moduł, w którym wskazane były działające procesy, a nawet usługi, co pozwalało bez używania dodatkowych narzędzi kontrolować pracę systemu,a ponadto ustalać czasem reguły dla nich. Póki co funkcji takiej SS nie posiada, ale może kiedyś się doczekamy Smile

Zaawansowane - to zakładka z zaawansowanymi funkcjami, które powinny być zmieniane tylko przy pełnej świadomości dokonywanych zmian, ponieważ mają istotny wpływ na całą funkcjonalność. U mnie poważniejszych ingerencji tu nie ma i ten moduł wygląda jak na zrzucie (ryc. 12)
- brak obsługi języków azjatyckich oraz powiadomień
- zmiana poziomu ochrony przed hakami na "Lepszy tryb ochrony"

[Obrazek: YTcz6h6.jpg]


USTAWIENIA
Główne - doszliśmy w końcu do pierwszej zakładki w module ustawień...nie pamiętam, jakie są domyślne ustawienia, więc trudno mi teraz powiedzieć, jak zmienione w stosunku do nich są moje. Omówię w takim razie kilka rzeczy z ilustracji (ryc. 13), na które chcę zwrócić uwagę:
A - SpyShelter uruchamia się u mnie wraz ze startem systemu, ale zaznaczyłem również uruchamianie jako usługę (tzw. wczesny start), co daje możliwość uruchamiania się aplikacji zabezpieczającej niejako przed załadowaniem systemu i niezależnie od kont użytkownika...ma to wpływ na bezpieczeństwo, ponieważ procesy szkodników nawet działające w autostarcie będą startować później i tym samym będą mogły być wykryte lub zablokowane przez SS.
B - nie sprawdzam przy starcie, czy jest nowa wersja i w związku z tym program automatycznie się nie aktualizuje...to wynika z przyjętej przeze mnie zasady, że nic u mnie się nie będzie aktualizować automatycznie i wszystko jest pobierane jest ręcznie. SpyShelter jest dla mnie na tyle ważny, że śledzę kolejne zmiany i wersje i sam decyduję, czy wprowadzać je od razu, czy z opóźnieniem...lub nawet w ogóle. Podobnie jest z każdą inną aplikacją...nie mam u siebie AV więc nie mam problemu aktualizacji sygnatur.
Jeśli to jednak jest to ustawienie domyślne...nie zmieniajcie go, bo tak będzie dla większości bezpieczniej.
C - *RESTRICTED* pojawia się na pasku zadań przy nazwie aplikacji aplikacji uruchamianej jako ograniczona...ponieważ używam tej funkcji, mam włączoną tę opcję.
D - jeśli już decyduję się na tryb instalacji...który w sam w sobie może być niebezpieczny, bo pozbawiony kontroli wykonywanych akcji...to pozwalam na utworzenie w tym trybie reguł - część z nich pozostanie jako reguła stała, a część zostanie pewnie usunięta przy czyszczeniu reguł, ponieważ dotyczy akcji tymczasowych, które nie mają odpowiednika w normalnie pracującym systemie. Tryb instalacji uruchamiam rzadko i tym samym nie widzę dla siebie zagrożenia, niemniej należy ostrzec przed jego nadmiernym używaniem.

Ochrona - jedna z dwóch bardzo zakładek z ustawieniami dotyczącymi realizowanej ochrony...u mnie jak widać (ryc. 14) "bez szaleństw" na pierwszy rzut oka, ale parę ważnych chyba uwag mam i zamieszczam je poniżej:
- opcja "Aplikacje podpisane cyfrowo" to wybór sposobu traktowania przez SS aplikacji podpisanych cyfrowo, a de facto mówi nam o wybranym poziomie ochrony...wybrany przeze mnie poziom "pytaj użytkownika" oznacza, że każda podejrzana akcja wywoła komunikat, na który trzeba odpowiedzieć. Ktoś może pomyśleć, że to jakaś paranoja, ale to nieprawda...po tylu latach nieprzerwanej pracy programu na tej maszynie i w związku z tym sporej już kolekcji utworzonych reguł, znakomita większość działań w systemie nie wymaga już żadnych moich interwencji - co miało być zezwolone - jest zezwolone, a co zabronione - jest już zabronione. Komunikaty pojawiają się podczas w zasadzie tylko aktualizacji lub testowania przeze mnie nowych programów lub ich kolejnych wersji, a to nie jest aż tak kłopotliwe.
Domyślnym poziomem ochrony ustalanym już w trakcie instalacji jest "Automatycznie zezwól - wysoki poziom ochrony" i taki bym raczej zalecał na co dzień wszystkim mniej zaawansowanym...jeśli ktoś uważa, że ilość komunikatów wciąż jest zbyt duża...irytująca...stresująca nawet (tak...w takich sytuacjach może pojawić się stres i obawa, czy nasza decyzja będzie słuszna i czy nie "zepsujemy" czegoś w systemie), poradzę by tymczasowo przez jakiś czas pracować na niskim poziomie ochrony lub na automatycznym zezwoleniu dla aplikacji Microsoft. "Tymczasowo" nie oznacza jednak (przy codziennym użytkowaniu) tygodni lub dłużej...to nie powinno wg mnie trwać więcej, niż kilka dni...należy pamiętać, że ten program służy do kontrolowania pracy systemu i aplikacji, więc w naszym interesie jest, by tę kontrolę sprawować Smile
Przy okazji jeszcze jedna uwaga - SpyShelter nie posiada tzw. trybu nauki czyli automatycznego tworzenia stałych reguł podczas pracy...jedyny podobny, to tryb instalacji o którym wcześniej już wspominałem.

[Obrazek: BkNtIKy.jpg]

B - funkcja ochrony plików/folderów to kolejna ważna dla mnie możliwość oferowana przez program...działa niejako odwrotnie, niż restrykcje na procesy/foldery czyli nie ogranicza działań "na zewnątrz" plików nimi objętych, ale sprawuje kontrolę nad dostępem "z zewnątrz" przez procesy. Lista moich lokalizacji jest widoczna na screenie (ryc. 15) i jak widać trzy foldery mają kategorię "Osobiste", co oznacza, że
- każda próba dostępu nowej aplikacji do jakiegoś pliku w tych folderach i
- każda próba otwarcia nowego rodzaju pliku przez aplikację, która już mogła działać tam na innych plikach
wywoła komunikat o próbie dostępu.
Funkcja ta nie tylko limituje dostęp niepotrzebnych aplikacji do naszych wrażliwych/chronionych danych, ale przede wszystkim może stanowić skuteczny mechanizm ochronny przed szkodnikami np. typu ransomware.
C - SpyShelter ma wbudowaną "fabrycznie" opcję skanowania niepewnych plików/procesów w serwisie VirusScann. Jotti (dostępna jest w oknie alertu podczas instalacji, wykrycia nowej akcji, ale i z menu kontekstowego prawego klawisza myszy), ale umożliwia także używanie innego lokalnego skanera AV, co może być bardziej wygodne...godne zaufania...dla niektórych użytkowników. 
W moim programie dodałem Emsisoft Emergency Kit jako skaner dodatkowy (ryc. 16).
D - mam wyłączoną opcję zamykania procesów SS z poziomu menadżera procesów...to ustawienie podnosi ochronę samego programu i powinno zablokować próby zamknięcia aplikacji ochronnej przez procesy zewnętrzne...przez szkodniki również.
E - pole jest puste, ponieważ używam w systemie tylko jednego konta - z uprawnieniami administratora.
F - funkcja automatycznego blokowania podejrzanych aplikacji jest jakby uzupełnieniem funkcjonalności typu anty-exe i powoduje automatyczne dodanie podejrzany proces/jego akcję do reguł blokowanych. Takie ustawienie sprawdza się w codziennej naszej aktywności, ale lepiej ją wyłączyć, jeśli instalujemy coś nowego, ponieważ coś może pójść nie tak. Sposób działania i widoczne dla nas efekty włączenia tej funkcji mogą być interesujące i inspirujące...jeśli ktoś ma ochotę temat zgłębiać i ewentualnie testować mogę podrzucić link do postu m.in. w tym temacie
https://safegroup.pl/thread-4263-post-218516.html#pid218516
G - pole opcji jest puste, co oznacza, że bardziej zależy mi na ochronie, niż zgodności z innymi aplikacjami...musicie sami spróbować, czy takie ustawienie nie konfliktuje z jakimiś programami w waszych systemach.

[Obrazek: PuI1Dpu.jpg]

Co do reszty ustawień
- nie ustawiałem dodatkowych ochron dla wybranych wpisów w rejestrze, nie mam własnych zaufanych certyfikatów, nie wykluczam aplikacji próbujących instalować haki do monitorowania połączeń (akcja nr 33)
- nie chronię ustawień hasłem
- nie uruchamiam wirtualnej klawiatury do logowania
Nie czuję takiej potrzeby Smile

Zaawansowane - na tej zakładce (ryc. 17) znajdziemy m.in ustawienia "podkręcające" możliwości ochronne SpySheltera, pozwalające mu m.in. na automatyczne działanie w pewnych sytuacjach
A - włączenie tej opcji wpływa na zachowanie wobec procesów, o których dostajemy powiadomienia w formie alertu
zakończenie procesów potomnych powoduje, że zamknięty zostaje nie tylko proces, o którym mamy informację w alercie, ale także wszystkie inne, dla których jest procesem nadrzędnym...sprawczym
* zakończenie wszystkich zdarzeń zamyka wszystkie procesy z tą samą ścieżką dostępu, bo szkodnik może uruchamiać niekoniecznie tylko jeden proces o danej nazwie...przykładem takiego mnożenia procesów może być choćby przeglądarka Chrome, która uruchamia kilka procesów pod nazwą Chrome.exe.
B - ta opcja wspomaga ochronę przed zagrożeniami ze strony szkodników działających z dysków przenośnych...u mnie jest funkcją uzupełniającą nałożenie ograniczenia uprawnień na dyski wymienne (wspominałem wcześniej o tym).
C - opcję "twardych haków" w zasadzie powinno się włączać, kiedy chcemy wzmocnić działanie SS wobec innych aplikacji, z którymi może ewentualnie konfliktować...u mnie jest włączone, choć teraz nie mam nic innego z takich aplikacji poza Shadow Defender. Możliwe, że włączyłem kiedyś na wszelki wypadek, podczas testu jakiś innych programów...może ExeRadar Pro?...jakaś piaskownica?...sam nie wiem Smile
D - mam tę opcję włączoną, ale jej działanie raczej nie dotyczy poziomu bezpieczeństwa, a a raczej blokowania powiadomień, kiedy wykrywane są sterowniki nieistniejące np.w trakcie instalacji czy aktualizacji
E - oba powiadomienia są włączone, bo chcę wiedzieć, jeśli któraś z tych automatycznych decyzji zostaje wykonana...mogę to sprawdzić potem w na liście logu, ale tu otrzymuję informacje na bieżąco w postaci powiadomienia (przy okazji kolejne powiadomienie w postaci dźwięku mnie nie dotyczy, więc jest pole jest puste)
G - tu wybieramy sterowniki do obsługi zapory...to sterowniki systemowe i wszystko, co z nich korzysta na Viście i wyżej powinno bazować na WFP (Windows Filtering Platform).

Lista monitorowanych akcji - ilustracja (ryc. 18) pokazuje u mnie zmodyfikowaną listę, co wyjaśniam poniżej
A - tu są zmiany...w całej kolumnie "Zezwalaj automatycznie" wybór jest ustawiony na "Nie" (domyślnie jest przy wszystkich "Tak") i każde pole obok numeru w kolumnie "Kod akcji" jest puste (domyślnie zaznaczone)
B - tu nie ma zaznaczenia tzn. nie ma automatycznych zezwoleń dla aplikacji z podpisami cyfrowymi na białych listach (tych wbudowanych w program i tych, które sami sobie ewentualnie tworzymy)
O ile w pkt. B jakby nie ma co tłumaczyć, bo przecież chodzi i o wysoki stopień czułości i tym samym ochrony, to w pkt. A moja decyzja może być niezrozumiała...już więc tłumaczę. Ustawienia domyślne powodują, że wystarczy tylko zaznaczyć jedno pole - to z pkt. B - by właściwie wyłączyć monitorowanie wszystkich akcji z listy wobec aplikacji z białej listy zaufanych. Moje ustawienia "utrudniają" to zadanie i czynią je raczej niemożliwym w wyniku jakiegoś przypadkowego działania...dlatego ręcznie edytowałem każdą decyzję na "Nie" i odznaczyłem każde pole, by pozostało puste.

[Obrazek: 2MbbunS.jpg]


O PROGRAMIE
Tu (ryc. 19) mamy tylko jeden widok bez zakładek i i znajdziemy w nim funkcje/opcje raczej oczywiste, ale na trzy rzeczy zwrócę uwagę:
A - "Porady"...czytajcie je uważnie i niech staną się dla Was naczelną wskazówką nie tylko podczas pracy z tym programem, ale z każdym innym przeznaczonym do ochrony...niech wejdą na stałe do Waszych zasad i dobrych praktyk w codziennym użytkowaniu komputera.
B - korzystajcie z pliku pomocy, bo to pierwsza i podstawowa baza informacji, która da Wam wiedzę odnośnie obsługi działania programu i zarazem pierwsza pomoc w trudnych momentach, kiedy nie wiecie, jak postąpić. Wciśnięcie przycisku "Pomoc" spowoduje połączenie ze stroną internetową w j. polskim
https://www.spyshelter.com/usersmanual/polish/
ale pamiętajcie, że nawet bez dostępu do sieci macie lokalny plik pomocy, który zlokalizowany jest w folderze instalacyjnym SpySheltera - nosi nazwę help.chm i pozwoli skorzystać z uaktualnionego do najnowszej wersji przewodnika. 
C - tu możemy sprawdzić ręcznie i wedle potrzeby (bez wchodzenia na stronę producenta), czy jest już nowsza wersja. Oczywiście jeśli macie włączone automatyczne sprawdzanie, nie musicie tutaj tego robić.

[Obrazek: 4AXwIy9.jpg]

Przydatne linki
https://safegroup.pl/thread-10869.html
https://avlab.pl/producent/spyshelter
https://www.dobreprogramy.pl/Polskie-dobre-programy-wywiad-z-tworcami-SpySheltera,News,60495.html

-----------
aktualizacja:
06.11 - Mam małe kłopoty techniczne na swojej maszynie, więc postanowiłem opublikować część artykułu...tak na wszelki wypadek. Reszta będzie dopisana i opublikowana jako kontynuacja, a nie osobna część. Dajcie znać, co z widocznością obrazków.
13.11 - Dodałem kolejną część (zapora, szyfrowanie) i zmieniłem grafiki na zbiorcze, co wynika z pewnych ograniczeń technicznych...mam nadzieję, że będzie OK.
22.11 - Dodałem opis dwóch modułów Ustawień...reszta w toku.
27.11 - Dodałem resztę zagadnień.
28.11 - Zmieniłem sposób wklejania grafiki - teraz są widoczne również dla niezalogowanych użytkowników, dodałem przydatne linki.
29.11 - Dodałem jako załącznik PDF (obok screenów na dole) angielską wersję - nieco poprawione tłumaczenie za pomocą Google Translator


RE: SpyShelter - przegląd ustawień własnych i porad - Quonirath - 07.11.2018

wielkie dzięki @ichito za poświęcenie swojego prywatnego czasu jestem bardzo wdzięczny no i czekamy na resztę Smile, zabieram się do lektury i ustawiania programu Smile jeśli chodzi o widoczność obrazków do jak dla mnie jest okay wszystko jest czytelne


RE: SpyShelter - przegląd ustawień własnych i porad - ichito - 22.11.2018

Odświeżam temat, ponieważ dziś dodałem kolejną porcję opisu Smile


RE: SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - Quonirath - 29.11.2018

Wow, no to na grubasa zrobiłeś artykuł jeszcze raz wielkie dzięki, za takie artykuły powinna być możliwość dania większej liczby plusów


RE: SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - ichito - 11.01.2019

Przy okazji dyskusji w innym miejscu na temat alertów, poziomów ochrony i informacji zapisywanych w zakładce "Okno logu" postanowiłem sam co nieco w tym temacie sprawdzić, żeby rozmówcom...i może sobie...pewne rzeczy uporządkować albo i nawet uświadomić Smile Ponieważ wątek ten zawiera już podobne rozważania i informacje, które mogą być pomocne przy wyborze ustawień, postanowiłem ten post tu zamieścić.

W teście postanowiłem sprawdzić, co (jakie akcje) są rejestrowane/zapisywane i wg jakich w miarę łatwo dostrzegalnych zasad są tworzone reguły, a to wszystko w zależności od wybranego poziomu ochrony, a poniżej najważniejsze założenia/warunki:
- test został wykonany na wersji 11.3 FW, ponieważ jest to ostatnia stabilna wersja
- pod uwagę wziąłem 3 poziomy: "zezwól aplikacjom MS", "automatycznie zezwól - wysoki poziom" i "pytaj użytkownika"
- przed każdym testem wszystkie reguły w zakładce "Główne" oraz zakładce "Kontrola startu aplikacji" były usuwane, żeby zapewnić te same warunki detekcji i automatycznych decyzji, ponadto czyszczone były wpisy w oknie logu 
- założyłem też, że w każdym teście będą takie same zadania do wykonania ... jak widać były to różnego rodzaju aplikacje pochodzące od mniej lub bardziej znanych dostawców (mające tym samym mniej lub bardziej znane podpisy cyfrowe):
* uruchomienie edytora  Word (z ikony na pulpicie)
* uruchomienie menedżera plików Free Commander (ikona na pasku szybkiego uruchamiania)
* uruchomienie Firefoksa portable (ikona na pasku szybkiego uruchamiania)
* otworzenie systemowego notatnika (ikona w menu start)
* uruchomienie instalatora aplikacji IOLO System Checkup (za pomocą FC)
* wykonanie zrzutów ekranu z interfejsu SS przy pomocy skrótu klawiszowego dla FC (klawisze Shift + Ctrl + F10)
* czas na jeden test to jakieś 2-3 minuty, po czym następuje czyszczenie zapisów i zmiana ustawień.

Obserwacje i wnioski:
- we wszystkich testach zauważyłem, że liczba dopisanych do loga akcji jest dokładnie taka sama (21) i są to te same zdarzenia...czyli można zaryzykować stwierdzenie, że [u]wybrany przez użytkownika poziom ochrony [u]nie ma wpływu [/u]na to, co wykrywa SS (na co reaguje)[/u]
- różnice...i tym samym główny wniosek z tego testu...możemy zobaczyć na liście reguł (mam na myśli sposób, w jaki reguły zostały utworzone - manualnie czy automatycznie), o czym poniżej:
* reguły w każdym przypadku są takie same, ale...
* na poziomie "zezwól aplikacjom MS" tylko jedna reguła została utworzona automatycznie - dla systemowego procesu Explorer.exe - pozostałe dla innych procesów/akcji zostały utworzone ręcznie jako samodzielna decyzja użytkownika w odpowiedzi na alert
[Obrazek: dduU3yN.jpg]

* na poziomie "automatycznie zezwól - wysoki poziom" poza procesem Explorer.exe mamy utworzoną dodatkowo automatyczną regułę dla Firefoksa (są to aplikacje /procesy z wewnętrznej białej listy w SS)...reszta znów decyzją użytkownika
[Obrazek: NSIfL1t.jpg]

* na poziomie "zapytaj użytkownika" nie mamy reguł stworzonych automatycznie - wszystkie z nich wymagały decyzji użytkownika (wszystko jest nieznane).
[Obrazek: Sd7kUUH.jpg]

Jakie to ma praktyczne znaczenie dla mnie?...może też dla innych użytkowników?...poziom ochrony, zezwalający aplikacjom Microsoft na działanie w systemie bez ingerencji w to użytkownika, może być nawet lepszy dla części z nich, niż poziom "automatycznie zezwól - wysoki poziom". Lepszy w tym znaczeniu, że wygodniejszy i dający pewien poziom pewności...zaufania?..., że SpyShelter wykrywa mniej znane i nieznane aplikacje (oraz ich akcje), a te najbardziej newralgiczne i najbardziej żywotne dla systemu nie obarcza ryzykiem błędnych decyzji podejmowanych przez użytkownika, a tym samym bez powodowania błędów działania systemu i jego składników.


RE: SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - Konrad - 11.01.2019

Super napisany tekst szczegółowo i zrozumiale.
Dzięki że podjąłeś się tego tematu, na pewno pomoże to nie jednemu użytkownikowi.
Oby więcej takich postów
Szacun Smile


RE: SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - Quonirath - 13.01.2019

Czy forum SG ma skarbnika?


RE: SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - ichito - 14.01.2019

(13.01.2019, 20:47)Quonirath napisał(a): Czy forum SG ma skarbnika?
Nie ma...a przynajmniej nie słyszałem takiej funkcji u nas...a czemu pytasz?


RE: SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - Quassar - 14.01.2019

Chce sie wkupić w łaskę ^^


RE: SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - Xiuuuu - 14.01.2019

Kochani mam do Was prośbę
jestem tutaj nowy i miło mi Was tutaj poznać
proszę Was o pomoc a chodzi mi o to ze chce ustawić SpyShelter Firewall tak żeby jedynie co robił to wykrywał każdą aplikację (nawet systemową z prawidłowym certyfikatem) która chce połączyć się z internetem. nie chce by monitorował zmiany w systemie i mnie ciagle o tym powiadamiał chcę tylko zeby własnie informował mnie o tym ze jakaś aplikacja chce dostępu do internetu Sad może to głupia prośba ale wlasnie po to zakupiłem program.

które opcję wyłączyć a które włączyć ?


RE: SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - Quassar - 14.01.2019

tryb- Auto Zezwól
a w zakładce ustawienia/lista monitorowanych akcji odznacz wszystkie opcje z dopiskiem Firewall.

Przy takim ustawieniu wszystkie zaufane programy przez białą listę będą się automatycznie uruchamiać ale bez ręcznego zezwolenia nie połączą sie z internetem.
Potem możesz wejść w opcje Reguły/Główne i skasować stare ustawienia. i SSFW będzie pytał sie na nowo o każdy program który będzie chciał korzystać z internetu.
Powiadomienia możesz wyłączyć w opcjach ustawienia zaawansowane "Pokazuj powiadomienia o automatycznie zezwolonych akcjach"


RE: SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - Xiuuuu - 14.01.2019

(14.01.2019, 21:45)Quassar napisał(a): tryb- Auto Zezwól
a w zakładce ustawienia/lista monitorowanych akcji odznacz wszystkie opcje z dopiskiem Firewall.

Przy takim ustawieniu wszystkie zaufane programy przez białą listę będą się automatycznie uruchamiać ale bez ręcznego zezwolenia nie połączą sie z internetem.
Potem możesz wejść w opcje Reguły/Główne i skasować stare ustawienia. i SSFW będzie pytał sie na nowo o każdy program który będzie chciał korzystać z internetu.
Powiadomienia możesz wyłączyć w opcjach ustawienia zaawansowane "Pokazuj powiadomienia o automatycznie zezwolonych akcjach"

Bardzo Ci dziękuje :Smile

spyshelter nie ma mechanizmów obronnych takich jak Outpost prawda ? mam na myśli.. 

[Obrazek: 1.png]
[Obrazek: 2.png]
[Obrazek: 3.png]


RE: SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - ichito - 15.01.2019

@Xiuuuu 
SpyShelter ma moduł ochrony przed atakami z sieci, który ma z góry definiowane reguły blokowania - w wersji Premium to AntiNetworkSpy, a w Firewall to właśnie moduł zapory, który jest rozbudowaną wersją ANS. Moduł zapory ponadto pozwala na kontrolę połączeń dla procesów (w tym systemowych) i samodzielne tworzenie reguł dla nich.
Porównujesz te funkcje do opcji Outposta, który jest uznawany za topową zaporę z funkcjami HIPS, ale tego nie da się zrobić w trybie 1:1, bo oba programy mają różne funkcje i są one odmiennie wkomponowane w programy. Trzeba pamiętać, że SS to anty-logger głównie z rozszerzonymi możliwościami ochrony systemu i modułem kontroli sieci czyli nacisk w konstruowaniu programu został położony na inne aspekty ochrony. Nie znam testu, który by mógł porównać ich skuteczność zarówno w kwestii ochrony ataków sieciowych, jak i ochrony proaktywnej. Dawniej SS zaliczał Comodo LeakTest na najwyższym poziomie czyli 340 na 340, ale to stary test i raczej nie można już go uznawać za w pełni wiarygodny.
Poniżej wrzucam link do ciekawego artykułu sprzed 10 lat na temat testów zapór - to tekst bardziej teoretyczny mówiący o metodologii, ale również tłumaczący wiele funkcji zapór z funkcjami HIPS/BB/monitor
http://www.dzien-e-mail.org/bezpieczenstwo/charakterystyka-zapory-sieciowej.html

Odnośnie komunikatów samej zapory tylko - wspominał Quassar już o tym - na liście monitorowanych akcji domyślnie masz zaptaszkowaną całą listę z komentarzem "tak", co oznacza że "ptaszek" na dole listy włącza zezwalanie na wszystkie akcje dla aplikacji z zaufanymi podpisami. Wtedy ręcznie zmieniasz na "nie" przy akcjach nr 33, 34, 48, 50, 54...to powinno dać Ci oczekiwany efekt.


RE: SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - Quonirath - 15.01.2019

(14.01.2019, 10:31)ichito napisał(a):
(13.01.2019, 20:47)Quonirath napisał(a): Czy forum SG ma skarbnika?
Nie ma...a przynajmniej nie słyszałem takiej funkcji u nas...a czemu pytasz?

Bo tak sobie pomyślałem że ten twój artykuł pewnie pomógł/pomoże  wielu użytkownikom i w ramach wdzięczności chciałem zorganizować składkę na dwie skrzynki piwa dla ciebie za poświęcony czas i włożony wysiłek   :-)


RE: SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - Quassar - 15.01.2019

@ichito powiedz mu też że przyjmujesz kary kredytowe Craze


RE: SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - Quonirath - 15.01.2019

Czego by nie chciał człowiek zrobić to zaraz się pojawiają głupie komentarze


RE: SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - tachion - 15.01.2019

(15.01.2019, 20:55)Quonirath napisał(a): Czego by nie chciał człowiek zrobić to zaraz się pojawiają głupie komentarze

Dzięki za chęci, ale aktualnie nie posiadamy wspomnianej skarbonki, może w przyszłości coś się zmieni i jak ktoś coś będzie chciał dać to da a jak nie to nie. Środki na pewno nie były by zmarnowane poszły by na utrzymanie serwera , albo zostały by wykorzystane na poczet użytkowników forum.


RE: SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - M'cin - 15.01.2019

(15.01.2019, 21:17)tachion napisał(a):
(15.01.2019, 20:55)Quonirath napisał(a): Czego by nie chciał człowiek zrobić to zaraz się pojawiają głupie komentarze
Dzięki za chęci, ale aktualnie nie posiadamy wspomnianej skarbonki, może w przyszłości coś się zmieni i jak ktoś coś będzie chciał dać to da a jak nie to nie. Środki na pewno nie były by zmarnowane poszły by na utrzymanie serwera , albo zostały by wykorzystane na poczet użytkowników forum.

albo zrobimy w końcu zlot Smile


RE: SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - Quonirath - 07.02.2019

@ichito mam takie pytanko bi chciałbym dodać do ochrony NOD32 ale z tego co wiem nod i ssfw posiadają hips a dwa w jednym systemie to chyba za dużo i czy nie powstanie jakiś konflikt między programami ? Czy da się to jakiś pogodzić tzn co ewentualnie i w którym programie wyłączyć lub przestawić ?


RE: SpyShelter - przegląd moich własnych ustawień, porady i przydatne informacje - ichito - 09.02.2019

Na pewno może powstać, ale problem jest taki, że z Esetem miałem do czynienia bardzo dawno temu i nie mam świeżych informacji, jak funkcjonuje jego HIPS. Z tego, co wiem ustawiony domyślnie nie jest tak szczegółowy, niektóre akcje dopuszcza a innych nie monitoruje - zwłaszcza jeśli chodzi o funkcje anty-logger, dlatego po prostu wyłączyłbym ten moduł w AV (jeśli to możliwe i nie przynosi szkody w postaci wyłączenia jakiejś innej ochrony) i zostawiłbym SpS z włączonymi wszystkimi ochronami. Do tego dobrze wykluczyć wzajemnie całe lokalizacje w obu programach i dodać dostawców do list zaufanych.