Containment (Izolacja)
W tej części podręcznika, dowiesz się między innymi czym jest Comodo Containment, jak go włączyć, oraz jaki dodawać do wyjątków.
Życzymy miłego czytania.
Spis treści:
- Czym jest Containment
- Opis podstawowej konfiguracji w Containment
- Dodawanie do wyjątków
1. Co to jest Containment?
Containment w Comodo, to moduł Izolacji oferujący tzw. lokalną “Piaskownicę”. Zaletą takiej piaskownicy, jest wirtualizowanie plików lokalnie, dzięki czemu proces ma dostęp do sztucznych kopii całego naszego systemu, w tym rejestrów, plików na dysku, procesów, etc.. W przeciwieństwie do Containmentu “Sandboxa” chmurowego, można swobodnie podejrzeć. działanie izolowanych plików czy zainfekowanych procesów
*Zmiany wprowadzone przez izolowany plik na innym pliku, można zobaczyć w folderze VTRoot, ustawiając opcję “Ukryte elementy” w widoku folderu:
Izolacja Comodo używa charakterystycznej zielonej ramki, aby zakomunikować użytkownikowi że “Ten plik może wprowadzić potencjalnie niechciane zmiany na systemie”. Czasem jednak zdarza się, że dobra aplikacja jest Izolowana lub nie załącza się prawidłowo (wyrzuca błąd, nie włącza się itd., wtedy mamy do czynienia najprawdopodobniej z wirtualizacją istotnego dla działania aplikacji elementu). By mieć podgląd na to co dokładnie zostało izolowane należy:
a) W przypadku stacji:
- Uruchomić Comodo
- Wejść w Dzienniki i wybrać Zdarzenia Izolacji
b) W przypadku Konsoli:
- Wejść w Security > Endpoint Security
- Wejść w Contained Threats
2. Opis podstawowej konfiguracji w Containment
Containment jest elementem profili, a to znaczy że musimy się do niego dostać za pośrednictwem:
- Assets > Configuration Templates
- Profiles
- Wybierz profil, na którym chcesz skonfigurować Izolacje, a następnie przejdź do zakładki Containment.
Wszystkie ustawienia są wytłumaczone w ich nazwach, lub w dodatkowym opisie.
W tej zakładce mamy dodatkowe zakładki, takie jak:
- Ustawienia – Są to ustawienia ogólne dla Izolacji
- Reguły – Są to zasady które określają przykładowo co ma być izolowane, a co wirtualizowane
- Tryb baseline – Jest to tryb ciągłej analizy, która przesyła nieznane pliki do Valkyrie report w celu wykrycia czy plik jest faktycznie szkodliwy, czy niegroźny
- Wirtualny Pulpit – Jest to rodzaj mniejszej maszyny wirtualnej
3. Ustawianie reguł dla Containmentu
Aby ustawić regułę dla Izolacji, należy wejść do profilu, a następnie wybrać zakładkę Containment, i przejść do zakładki Reguły,
a następnie nacisnąć przycisk “Dodaj regułę”:
Powinniśmy ujrzeć panel określania reguł, zawierający:
- Czynność – Co chcemy zrobić z plikiem, przykładowo ignorować, blokować lub uruchomić zwirtualizowanie
- Kryteria – Po kliknięciu Edytuj, rozwija nam się cały panel kryteriów jakie musi spełniać dany plik, aby był izolowany / ignorowany.
- W panelu: Typ, przykładowo Folder
- W panelu: Cel, tutaj określamy dokładną ścieżkę pliku/folderu
Ważne! Operatory ścieżek!
Możemy użyć następujących operatorów aby określić ścieżkę:
- *\program.exe – reguła, Gdziekolwiek Ten program się znajduje
- folder\*.exe – reguła, Jakikolwiek plik o rozszerzeniu .exe znajduje się w Tym folderze
- ?:\folder\* – reguła, na Jakimkolwiek Dysku, w Tym folderze
- %userprofile%\folder\* – reguła, na Jakimkolwiek Profilu użytkownika, w Tym folderze
- *\folder\* – reguła, Gdziekolwiek Ten folder się znajduje
- \\192.168.0.1\folder* – reguła, na Tym serwerze / dysku sieciowym, Ten folder
—
- W panelu: Plik utworzony przez aplikacje – Reguła będzie dotyczyła tego pliku, pod warunkiem że został on utworzony przez daną aplikacje
- W panelu: Plik rozpoczęty przez procesy – To samo, z tym że przez procesy
- W panelu: Plik utworzony przez – Tutaj określamy twórcę pliku, np. Administrator, jeśli chcemy by reguła dotyczyła tylko pliku który został stworzony przez Administratora
- W panelu: Pochodzenie pliku – Określa, skąd został pobrany plik, np. z Internetu, z nośników wymiennych itp.
- W panelu: Klasyfikacja pliku – Określamy, czy reguła ma dotyczyć pliku który jest Zaufany, Nierozpoznany czy Złośliwy
- W panelu: Wiek pliku – Określamy opcje, aby reguła dotyczyła pliku który istnieje od danego momentu
Nie jest konieczne zaznaczanie powyższych opcji w panelu (Oprócz typu i ścieżki), chyba że w celach zawężenia działania reguły.
Następnie musimy przenieść naszą regułę w miejsce hierarchiczne, przykładowo na samą górę. Inaczej może nie zadziałać.
Aby to zrobić, należy złapać regułę za 3 kropki po lewej stronie, i przeciągnąć w odpowiednie miejsce. Jeśli tego nie zrobimy, a mamy regułę typu “Blokuj wszystkie aplikacje .exe”, to reguła nie zadziała!
—
W przypadku jakichkolwiek pytań / problemów, można śmiało pisać zgłoszenia na pomoc@zabezpieczenia.it