Настройка KIS 2013

[sia_kiev]

Представим, что клиент совсем ничего не понимает, что делает за ПК. И привык нажимать "Да" на все запросы.

Необходимо создать файл настройки для быстрого применения после установки на большое количество ПК. И так, чтоб пользователь как можно меньше жаловался на "вооброжаемые" проблемы. Все ПК из "коробки".

 

1. "Мониторинг активности" выставить на запрет, автооткат и завершение вредоноса.

2 "Файловый антивирус" на "лечение"=>"удаление если невозможно лечить"

3. Откл "проверка во время простоя", "поиск руткитов".

4. Вкл "антибаннер"

5. Вкл "Игровой профиль"

6. "Безопасный ввод данных" на всех ресурсах.

7. "Безопасные платежи" вкл.

 

Что можно сделать с "Контроль программ" так, чтоб лишнего не "рубить" и пользователь не участвовал?

 

Необходимо ваше мнение насчетвыше написанного.

Спасибо.

Сообщение от модератора Mark D. Pearlstone

Заголовок темы отредактирован.

[mike 1]

Пункт 2 может убить систему в случае если у пользователя будет файловый вирус. Ведь если антивирус не сможет пролечить системные файлы он их тупо начнет удалять. Как следствие после перезагрузки компьютера система не запуститься.

[Денис-НН]

Настойка KIS 2013,

- вещь полезная. Принимать ежедневно!

 

1 и 2 - оставить по умолчанию.

3 проверку во время простоя можно и отключить - а вот поиск руткитов - нет. Это важная вещь.

4 - дело вкуса. Я вот трафик не экономлю, антибаннер выключен.

5 да

6, 7 возможно.

Пользователь пират - тогда ничего. Если весь софт лицензионный то можно просто запретить запуск всего кроме доверенных.

 

Можно запретить доступ для всех ограниченных к папкам с документами.

Изменено 22 февраля, 2013 пользователем Денис-НН

[sia_kiev]

Пункт 2 может убить систему в случае если у пользователя будет файловый вирус. Ведь если антивирус не сможет пролечить системные файлы он их тупо начнет удалять. Как следствие после перезагрузки компьютера система не запуститься.

 

Сделал.

 

Денис-НН

 

Насчет Мониторинга активности: ведь хотелось бы все-таки уменьшить количество вопросов пользователю. Пользователи начали приходить с винлоком на машинах с КИС 2013, который лежал в папке "appdata/temp/1jfuweif.exe" и судя по всему при вопросе к пользователю нажималось "разрешить". Сотрудники, которые чистили компьютеры говорили, что достаточно его удалить и все работает. И сам файл почему-то не детектился касперским, вебом и есетом. Прям мистический винлок.. попросил, чтоб в следующий раз файлик приберегли для вирлаба.

 

Еще пару пунктов:

1. Уступать ресурсы другим программам

2. Уступать ресурсы операционной системе при загрузке компьютера.

 

И смогу ли я использовать файл-конфиг КИС 2013 для КАВ2013?

Изменено 22 февраля, 2013 пользователем sia_kiev

[mike 1]

Еще пару пунктов:

1. Уступать ресурсы другим программам

2. Уступать ресурсы операционной системе при загрузке компьютера.

 

И смогу ли я использовать файл-конфиг КИС 2013 для КАВ2013?

По идее эти галочки снижают нагрузку на компьютер, но в тоже время из-за этих галочек долго грузиться сервисная часть KIS 2013 т.е. загружается антивирус с задержкой небольшой и в это время мне удавалось скачать тестовый вирус Eicar тем самым я заражал систему им. Если эти галочки снять сервисная часть продукта стартует немного быстрей, но при этом увеличивается немного нагрузка на сам компьютер. По поводу Winlock можно добавить безсигнатурную защиту, но это увеличит количество запросов к пользователю в интерактивном режиме и может блокировать некоторые программы в автоматическом режиме. Не сможете так как это разные продукты.

[sia_kiev]

В общем получилось вот что:

1. "Файловый антивирус" - по умолчанию

2. "Веб-антивирус" - запрещать загрузку

3. "Контроль программ" - по умолчанию

4. "Мониторинг активности" - Эксплойты (запрещать действие), BSS (завершать работу программы), Выполнять откат.

5. "Антибаннер" - вкл (чтоб меньше дряни лезло)

6. "Безопасные платежи" -вкл

7. "Безопасный ввод данных" - вкл, кроме почты и соц сети.

 

8. Проверка во время простоя и руткиты - вкл

9. Уступать ресурсы при запуске - выкл, другим программам - вкл.

10. Игровой профиль - вкл

[mike 1]

Веб антивирусе я бы выбрал "Запрос действия" потому что иногда бывают ложные срабатывания антивируса на сайты. Как результат пользователь не сможет зайти на нужный ему сайт. Также можно включить опцию "Блокировать опасные веб сайты" в веб антивирусе. По умолчанию она отключена.

[CatalystX]

Cам файл почему-то не детектился касперским, вебом и есетом. Прям мистический винлок.. попросил, чтоб в следующий раз файлик приберегли для вирлаба.

Никакой мистики. Файлик блокера был закриптован, вот его из-за этого и не видел его каспер, док и нод.

[sia_kiev]

Веб антивирусе я бы выбрал "Запрос действия" потому что иногда бывают ложные срабатывания антивируса на сайты. Как результат пользователь не сможет зайти на нужный ему сайт.

Тут я понадеюсь на низкий фолс-детект продуктов ЛК.

 

Никакой мистики. Файлик блокера был закриптован, вот его из-за этого и не видел его каспер, док и нод.

То есть даже мониторинг активности здесь не помог бы? Или все-таки последний шаг сделал пользователь разрешив выполнить вредоносный код?

[CatalystX]

То есть даже мониторинг активности здесь не помог бы? Или все-таки последний шаг сделал пользователь разрешив выполнить вредоносный код?

Если в кис был включен авто.режим, то мониторинг активности сам завершает вредоносные процессы.

Мониторинг работает по поведенческим сигнатурам, но такую сигнатуру на каждое семейство не напишешь.

[sia_kiev]

Нашел вот такую ссылку: http://support.kaspersky.ru/viruses/solutions?qid=208641449

Есть смысл такое с КИС 2013 делать?

 

И еще вопрос: винлок с которым столкнулись пользователи прописывался в HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run, в контроле программ КИС 2013 видно, что эта строчка защищена. Так каким же образом?

Изменено 22 февраля, 2013 пользователем sia_kiev

[CatalystX]

И еще вопрос: винлок с которым столкнулись пользователи прописывался в HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run, в контроле программ КИС 2013 видно, что эта строчка защищена. Так каким же образом?

Защищена - значит кис контролирует попытки записи в эту ветку.

Для минимизации вопросов к юзеру можно сделать как на скрине:

Группе сильные ограничения запрещено изменять, создавать и удалять критические ключи реестра и системные файлы, также запрещен доступ к MBR/VBR и внедрение в ядро системы(на х32 системах). Практически полная защита от блокеров.

[Maratka]

CatalystX, окошко настроек сверните плиз

 

По теме:

Глючить все и всех будет жуть.

[Денис-НН]

Группе сильные ограничения запрещено изменять, создавать и удалять критические ключи реестра и системные файлы, также запрещен доступ к MBR/VBR и внедрение в ядро системы(на х32 системах). Практически полная защита от блокеров.

Проще запретить запуск.

[sia_kiev]

Вот еще вопрос цикличности действий: выставлено пользователем в мон.активности завершать работу вредоноса и попадается то, чего нет в сигнатурах, но из-за поведения детектится и блокируется. Не получится ли так, что зловред будет себя запускать после каждой блокировки КИСом? Или он помещается после первой блокировки в группу сильные ограничения и лежит пока не появится сигнатура, чтоб умереть?

 

Maratka,

От шаманства с контролем программ я решил отказаться почитав на оф форуме ЛК.

Изменено 23 февраля, 2013 пользователем sia_kiev