SpyShelter - przegląd ustawień własnych i porad
#1
Wielokrotnie na forum dzieliłem się z użytkownikami swoimi ustawieniami w programie SpyShelter, ale do tej pory nie zdarzyło mi się poświęcić temu całkiem nowego wątku, w którym zebrałbym te fragmentaryczne informacje. Zostałem parę dni temu poproszony, bym to zrobił i w sumie zastanawiam się, czemu do tej pory tego nie zrobiłem Smile Możliwe, że wpływ na to miały dwie rzeczy
- program przez lata rozwijał swoje funkcjonalności i tym samym poszerzał oferowane opcje, co dawało asumpt do kolejnych doświadczeń
- ponadto został tak skonstruowany, że pewne ustawienia nie są oczywiste od razu i niektóre funkcje (labo raczej możliwości) odkrywa się na własny użytek samodzielnie lub dzięki dyskusji z innymi.

No dobra, to do rzeczy - poniższe informacje bazują na ostatniej wydanej wersji czyli 11.2 w wydaniu SpyShelter Firewall...to istotne, ponieważ wersję Firewall od wersji Premium różnią dwie dodatkowe funkcje czyli moduł zapory i moduł kontrola startu aplikacji. Ta informacja jest na stronie programu w tabelce porównawczej wersji, ale z doświadczenia wiem, że funkcjonalności wymieniane w takich porównaniach są dla użytkownika często tylko hasłem...czasem tylko marketingowym. W przypadku tego programu to poważne rzeczy, ale o tym później. Chciałbym jeszcze jedną rzecz powiedzieć...właściwie zastrzec...przedstawione poniżej ustawienia nie są opcjami sugerowanymi...najlepszymi...jednymi prawdziwymi i objawionymi...absolutnie NIE należy ich tak traktować! To moje własne ustawienia, takie jak mi akurat pasują i z oczywistych względów nie każdemu jako takie są potrzebne czy wystarczające.

Przegląd zacznę w naturalnym porządku czyli zgodnie z kolejnością zakładek/modułów od lewej do prawej.

Ekran główny - tu sytuacja jest prosta...wszystkie ochrony są włączone i nie wymaga to komentarza.


Reguły/Główne - dwie rzeczy istotne w moich istniejących regułach, co ilustrują dwa poniższe obrazki:
- jest kilka reguł blokujących, co wynika bądź z otrzymanych alertów, bądź z późniejszych modyfikacji reguł wcześniejszych (numery dla blokowanych działań znajdziecie w ustawieniach na liście monitorowanych akcji)

   

- w regułach widoczne są również zezwolenia na wszystkie akcje dla wybranych procesów...oprócz aplikacji zabezpieczających znajdziemy także programy do kontroli pracy systemu oraz procesy używanego urządzenia wielofunkcyjnego (tu bywało, że szedłem "na łatwiznę" ponieważ chciałem sobie oszczędzić tworzenie szczegółowych reguł dla programów, które znam od lat i którym ufam albo które potrzebne mi były od razu, a tryb instalacji przy uruchamianiu nie dawał oczekiwanych efektów - brak dalszych alertów)

   


Reguły/Kontrola startu aplikacji - to moduł obecny tylko w wersji z zaporą, a służyć ma do nadzorowania, która aplikacja może być uruchomiona, a która blokowana (tu istotny jest proces, nie jego akcja...mamy więc w pewien sposób funkcjonalność programów typu anti-exe).
Trudno coś tu sugerować, ale warto na pewno zwrócić uwagę, co dla procesów nadrzędnych tzw. "rodziców" (w górnym oknie) pokazuje się nam jako procesy podrzędne ("dzieci") w oknie dolnym. Przeważnie jest to lista procesów, których obecność tam będziemy sobie jakoś mogli wytłumaczyć np. w przypadku listy dla procesu Explorer.exe albo dla menadżera plików (u mnie FreeCommender.exe)...jeśli znajdziemy coś niepokojącego, to na pewno najszybszy sposób to pozycję usunąć, ale chyba lepiej sprawdzić czego proces dotyczy i czy w takim razie może być uruchamiany przez konkretny inny proces nadrzędny. 
Warto zwrócić uwagę na wpis na liście dolnej oznaczony tylko symbolem gwiazdki "*" tak jak na przykładzie poniżej...to reguły tworzone automatycznie przez SS, a oznaczają dowolny plik z dowolnej lokalizacji...i tu jest niebezpieczeństwo właśnie, ponieważ w skrajnym przypadku bez dalszego alertu umożliwia otwarcie pliku czyli np. szkodnika. Ja wyrzuciłem w większości takie wpisy, zostawiłem tylko dla znanych sobie aplikacji lub takich, których uruchamianie (poprzez inne procesy) chciałem zablokować...jak poniżej właśnie

   


Okno logu - tu nie ma ustawień, tu jest po prostu wykaz wykrytych akcji i podjętych decyzji. Niezbyt wiele można z tą listą zrobić niestety i wydaje się, że faktycznie dobrym pomysłem mogło by być zgłaszane przez użytkowników dodanie możliwości utworzenia reguły z takiego pojedynczego wpisu, co daje się zrobić w niektórych innych aplikacjach tego typu...decyzja dewelopera póki co jest na nie, ale nadzieję mieć trzeba Smile


Ograniczone aplikacje/Lista ograniczonych aplikacji - ta funkcja jest dla mnie bardzo ważna i mogę tylko marudzić, że tak mało przy tym spopularyzowana. Pozwala ona na ograniczanie uprawnień wybranych procesów i tym samym minimalizowanie specyficznych modyfikacji systemu przez te procesy dokonywanych...umożliwia również na nakładanie restrykcji na obszary "zwiększonego ryzyka" na dysku czyli np. na podłączane przenośne napędy, pliki pobierane z sieci, na obce dokumenty, na kolekcjonowane instalatory programów pochodzącego z rożnych źródeł.
Jest wg na tyle ważna, że jej opis zacytuję dokładnie z pliku pomocy programu
Cytat:Ta funkcja:
-Blokuje automatycznie wszystkie niebezpieczne akcje
-Zwiększa szanse ochrony przed atakami wykorzystującymi dziury w popularnych programach (np. przeglądarki internetowe).
-Ogranicza dostęp do plików systemowych i rejestru.
-Ogranicza dostęp do przechwytywania klawiszy, tworzenia zrzutów ekranu
-Uniemożliwia złośliwemu oprogramowaniu zwiększenie własnych uprawnień
Listę takich lokalizacji/aplikacji tworzymy sami, bo tylko my wiemy, co nam jest potrzebne...to, co u mnie się na niej znajduje widać na screenie poniżej. 

   

Krótki komentarz jeszcze:
- na liście znajdują się aplikacje podatne, które często wykorzystywane są do wykonania ataku na system...wśród nich przeglądarki internetowe, program do obsługi PDF i notatnik systemowy
- jako lokalizacje mam na liście dyski wymienne (pozwala na uniknięcie nieautoryzowanych uruchomień plików wykonywalnych) oraz dwa foldery, z których jeden jest przeznaczony na pobrane z internetu pliki (Download) a drugi (Instalki) jest moim archiwum programów
- każdej pozycji możemy tymczasowo zdjąć ograniczenia korzystając z polecenia "Uruchom jako nieograniczony" dostępnego z klawisza myszy
- "tajemnicze" oznakowania W i S w osobnych kolumnach oznaczają nadane dla danego procesu/lokalizacji zezwolenia na:
W to nagrywanie obrazu z kamery 
S to nagrywanie dźwięku
przy czym domyślny znaczek w kolumnie to "-" czyli blokada, a my możemy to zmienić na "+" czyli zezwolić, korzystając z menu klawisza myszy przy danej pozycji. U mnie jak widać wszystkie pozycje mają blokadę.


Ograniczone aplikacje/Foldery z dostępem zapisu - lista lokalizacji, którą znajdziemy w tej zakładce wynika z faktu, że obejmując restrykcjami aplikacje/lokalizacje musimy w większości przypadków dodać dla nich możliwość zapisu. To konieczne, ponieważ aplikacje mogę bez tego nie działać poprawnie, a foldery na specyficzne pliki bez funkcji zapisu w nim nowych danych tracą właściwie rację bytu.
Kilka uwag tu:
- dołączając kolejne aplikacje/procesy do listy ograniczonych koniecznie trzeba pamiętać, że w większości przypadków musimy dodać możliwość zapisu do macierzystych folderów tych programów lub powiązanych z nimi folderów plików tymczasowych...tu jest o tyle prościej, że SpyShelter przy dodawaniu aplikacji pyta w osobny komunikacie o akceptację dodania możliwości do wskazanego folderu
- zaś dołączając foldery własne musimy dodać możliwość zapisu do nich ręcznie
- część folderów...zwłaszcza tych powiązanych z systemem...mamy do dyspozycji z menu kontekstowego myszy (tzw, foldery specjalne), a ponadto dodać możemy dyski zewnętrzne jako kategorię ogólną (bez konkretnych nazw napędów) oraz wybrany dowolny folder.
U mnie wygląda to tak

   


Ograniczone aplikacje/Naruszenia dostępu do plików - tu znajdziemy w postaci listy procesy, które jako ograniczone próbowały uzyskać dostęp do zabronionych dla nich lokalizacji  oraz wykaz tych lokalizacji. To o tyle może być ważne, że w miarę potrzeby (dla poprawnego działania aplikacji) możemy dodać możliwość zapisu do takiej wybranej pozycji.
Na screenie widać przykładową listę lokalizacji (wraz z plikami, które miały być zmienione) po testowym wyłączeniu możliwości zapisu dla folderu macierzystego Firefoxa w wersji portable

   


Ograniczone aplikacje/Uruchomione jako ograniczone - tu znajdziemy wykaz procesów, które pracują jako ograniczone...na potrzeby opisu włączyłem przeglądarkę PDF (1 proces), Firefox (2 procesy) i Chrome (6 procesów), a każdy z nich możemy zakończyć jeśli jest taka konieczność.

   

-----------
edit:
Mam małe kłopoty techniczne na swojej maszynie, więc postanowiłem opublikować część artykułu...tak na wszelki wypadek. Reszta będzie dopisana i opublikowana jako kontynuacja, a nie osobna część. Dajcie znać, co z widocznością obrazków.


Załączone pliki Miniatury
           
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
Podziękowania
#2
wielkie dzięki @ichito za poświęcenie swojego prywatnego czasu jestem bardzo wdzięczny no i czekamy na resztę Smile, zabieram się do lektury i ustawiania programu Smile jeśli chodzi o widoczność obrazków do jak dla mnie jest okay wszystko jest czytelne

Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości