Przy okazji dyskusji w innym miejscu na temat alertów, poziomów ochrony i informacji zapisywanych w zakładce "Okno logu" postanowiłem sam co nieco w tym temacie sprawdzić, żeby rozmówcom...i może sobie...pewne rzeczy uporządkować albo i nawet uświadomić 
Ponieważ wątek ten zawiera już podobne rozważania i informacje, które mogą być pomocne przy wyborze ustawień, postanowiłem ten post tu zamieścić.
W teście postanowiłem sprawdzić, co (jakie akcje) są rejestrowane/zapisywane i wg jakich w miarę łatwo dostrzegalnych zasad są tworzone reguły, a to wszystko w zależności od wybranego poziomu ochrony, a poniżej najważniejsze założenia/warunki:
- test został wykonany na wersji 11.3 FW, ponieważ jest to ostatnia stabilna wersja
- pod uwagę wziąłem 3 poziomy: "zezwól aplikacjom MS", "automatycznie zezwól - wysoki poziom" i "pytaj użytkownika"
- przed każdym testem wszystkie reguły w zakładce "Główne" oraz zakładce "Kontrola startu aplikacji" były usuwane, żeby zapewnić te same warunki detekcji i automatycznych decyzji, ponadto czyszczone były wpisy w oknie logu
- założyłem też, że w każdym teście będą takie same zadania do wykonania ... jak widać były to różnego rodzaju aplikacje pochodzące od mniej lub bardziej znanych dostawców (mające tym samym mniej lub bardziej znane podpisy cyfrowe):
* uruchomienie edytora Word (z ikony na pulpicie)
* uruchomienie menedżera plików Free Commander (ikona na pasku szybkiego uruchamiania)
* uruchomienie Firefoksa portable (ikona na pasku szybkiego uruchamiania)
* otworzenie systemowego notatnika (ikona w menu start)
* uruchomienie instalatora aplikacji IOLO System Checkup (za pomocą FC)
* wykonanie zrzutów ekranu z interfejsu SS przy pomocy skrótu klawiszowego dla FC (klawisze Shift + Ctrl + F10)
* czas na jeden test to jakieś 2-3 minuty, po czym następuje czyszczenie zapisów i zmiana ustawień.
Obserwacje i wnioski:
- we wszystkich testach zauważyłem, że liczba dopisanych do loga akcji jest dokładnie taka sama (21) i są to te same zdarzenia...czyli można zaryzykować stwierdzenie, że [u]wybrany przez użytkownika poziom ochrony [u]nie ma wpływu [/u]na to, co wykrywa SS (na co reaguje)[/u]
- różnice...i tym samym główny wniosek z tego testu...możemy zobaczyć na liście reguł (mam na myśli sposób, w jaki reguły zostały utworzone - manualnie czy automatycznie), o czym poniżej:
* reguły w każdym przypadku są takie same, ale...
* na poziomie "zezwól aplikacjom MS" tylko jedna reguła została utworzona automatycznie - dla systemowego procesu Explorer.exe - pozostałe dla innych procesów/akcji zostały utworzone ręcznie jako samodzielna decyzja użytkownika w odpowiedzi na alert
![[Obrazek: dduU3yN.jpg]](https://i.imgur.com/dduU3yN.jpg)
* na poziomie "automatycznie zezwól - wysoki poziom" poza procesem Explorer.exe mamy utworzoną dodatkowo automatyczną regułę dla Firefoksa (są to aplikacje /procesy z wewnętrznej białej listy w SS)...reszta znów decyzją użytkownika
![[Obrazek: NSIfL1t.jpg]](https://i.imgur.com/NSIfL1t.jpg)
* na poziomie "zapytaj użytkownika" nie mamy reguł stworzonych automatycznie - wszystkie z nich wymagały decyzji użytkownika (wszystko jest nieznane).
![[Obrazek: Sd7kUUH.jpg]](https://i.imgur.com/Sd7kUUH.jpg)
Jakie to ma praktyczne znaczenie dla mnie?...może też dla innych użytkowników?...poziom ochrony, zezwalający aplikacjom Microsoft na działanie w systemie bez ingerencji w to użytkownika, może być nawet lepszy dla części z nich, niż poziom "automatycznie zezwól - wysoki poziom". Lepszy w tym znaczeniu, że wygodniejszy i dający pewien poziom pewności...zaufania?..., że SpyShelter wykrywa mniej znane i nieznane aplikacje (oraz ich akcje), a te najbardziej newralgiczne i najbardziej żywotne dla systemu nie obarcza ryzykiem błędnych decyzji podejmowanych przez użytkownika, a tym samym bez powodowania błędów działania systemu i jego składników.
Ponieważ wątek ten zawiera już podobne rozważania i informacje, które mogą być pomocne przy wyborze ustawień, postanowiłem ten post tu zamieścić.W teście postanowiłem sprawdzić, co (jakie akcje) są rejestrowane/zapisywane i wg jakich w miarę łatwo dostrzegalnych zasad są tworzone reguły, a to wszystko w zależności od wybranego poziomu ochrony, a poniżej najważniejsze założenia/warunki:
- test został wykonany na wersji 11.3 FW, ponieważ jest to ostatnia stabilna wersja
- pod uwagę wziąłem 3 poziomy: "zezwól aplikacjom MS", "automatycznie zezwól - wysoki poziom" i "pytaj użytkownika"
- przed każdym testem wszystkie reguły w zakładce "Główne" oraz zakładce "Kontrola startu aplikacji" były usuwane, żeby zapewnić te same warunki detekcji i automatycznych decyzji, ponadto czyszczone były wpisy w oknie logu
- założyłem też, że w każdym teście będą takie same zadania do wykonania ... jak widać były to różnego rodzaju aplikacje pochodzące od mniej lub bardziej znanych dostawców (mające tym samym mniej lub bardziej znane podpisy cyfrowe):
* uruchomienie edytora Word (z ikony na pulpicie)
* uruchomienie menedżera plików Free Commander (ikona na pasku szybkiego uruchamiania)
* uruchomienie Firefoksa portable (ikona na pasku szybkiego uruchamiania)
* otworzenie systemowego notatnika (ikona w menu start)
* uruchomienie instalatora aplikacji IOLO System Checkup (za pomocą FC)
* wykonanie zrzutów ekranu z interfejsu SS przy pomocy skrótu klawiszowego dla FC (klawisze Shift + Ctrl + F10)
* czas na jeden test to jakieś 2-3 minuty, po czym następuje czyszczenie zapisów i zmiana ustawień.
Obserwacje i wnioski:
- we wszystkich testach zauważyłem, że liczba dopisanych do loga akcji jest dokładnie taka sama (21) i są to te same zdarzenia...czyli można zaryzykować stwierdzenie, że [u]wybrany przez użytkownika poziom ochrony [u]nie ma wpływu [/u]na to, co wykrywa SS (na co reaguje)[/u]
- różnice...i tym samym główny wniosek z tego testu...możemy zobaczyć na liście reguł (mam na myśli sposób, w jaki reguły zostały utworzone - manualnie czy automatycznie), o czym poniżej:
* reguły w każdym przypadku są takie same, ale...
* na poziomie "zezwól aplikacjom MS" tylko jedna reguła została utworzona automatycznie - dla systemowego procesu Explorer.exe - pozostałe dla innych procesów/akcji zostały utworzone ręcznie jako samodzielna decyzja użytkownika w odpowiedzi na alert
* na poziomie "automatycznie zezwól - wysoki poziom" poza procesem Explorer.exe mamy utworzoną dodatkowo automatyczną regułę dla Firefoksa (są to aplikacje /procesy z wewnętrznej białej listy w SS)...reszta znów decyzją użytkownika
* na poziomie "zapytaj użytkownika" nie mamy reguł stworzonych automatycznie - wszystkie z nich wymagały decyzji użytkownika (wszystko jest nieznane).
Jakie to ma praktyczne znaczenie dla mnie?...może też dla innych użytkowników?...poziom ochrony, zezwalający aplikacjom Microsoft na działanie w systemie bez ingerencji w to użytkownika, może być nawet lepszy dla części z nich, niż poziom "automatycznie zezwól - wysoki poziom". Lepszy w tym znaczeniu, że wygodniejszy i dający pewien poziom pewności...zaufania?..., że SpyShelter wykrywa mniej znane i nieznane aplikacje (oraz ich akcje), a te najbardziej newralgiczne i najbardziej żywotne dla systemu nie obarcza ryzykiem błędnych decyzji podejmowanych przez użytkownika, a tym samym bez powodowania błędów działania systemu i jego składników.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"