o produkcie

Omówienie modułów ochrony AEP

Host Intrusion Prevention System

Program antywirusowy Comodo Client – Security wyposażony jest w autorski zestaw technologii do ochrony systemu o nazwie Defense+. W skład jego wchodzi między innymi HIPS – Host Intrusion Prevention System. HIPS służy do stałego monitorowania aktywności systemu i pozwala na wykonywania plików i procesów, jeżeli są one zgodne z obowiązującymi regułami bezpieczeństwa, które zostały wymuszone przez profil w konsoli lub domyślnie przez producenta. Dla przeciętnego użytkownika końcowego, Comodo Client – Security z domyślnymi regułami HIPS zapewnia bardzo wysoki poziom ochrony bez jakiejkolwiek interwencji. HIPS automatycznie chroni pliki systemowe, krytyczne foldery i klucze rejestru – zapobiega ich nieautoryzowanym modyfikacjom przez złośliwe programy. Administratorzy którzy chcą jeszcze dokładniej chronić swoje stacje mogą szybko tworzyć niestandardowe zasady i zestawy reguł za pomocą konsoli ITSM i profili dla systemu Windows.

HIPS może działać w trzech trybach:

  1. Tryb Paranoid – jest to najwyższy poziom bezpieczeństwa. Monitoruje i kontroluje wszystkie pliki wykonywalne z wyjątkiem tych, które zostały uznane za bezpieczne.
  2. Tryb Safe – jest zalecany dla większości użytkowników. Monitoruje aktywność systemu, krytycznych plików, kluczy rejestru, autostartu, itp. Automatycznie uczy się aktywności wykonywalnych aplikacji zakwalifikowanych jako bezpieczne przez Comodo. Powoduje to, że automatycznie dla plików bezpiecznych tworzone są reguły zezwalające na działanie – jeśli opcja „Create rules for safe applications” jest zaznaczona (zalecamy włączenie jej). Aplikacje, które nie są podpisane cyfrowo będą inicjowały wyświetlanie ostrzeżeń podczas próby uruchomienia.
  3. Tryb training – monitoruje aktywność wszystkich wykonywanych plików i automatycznie tworzy reguły zezwalające na ich działanie (po skończeniu nauki i po zmianie trybu na bezpieczny lub paranoiczny ograniczy to liczbę alertów). Tryb ten należy wybrać po instalacji Comodo, i jeśli niedawno instalowaliśmy system, oraz gdy mamy pewność, że wszystkie zainstalowane aplikacje na komputerze nie są wirusami, adware, PUP. Żadne alerty do czasu zmiany trybu nie będą wyświetlane. W przypadku pobierania i instalowania kolejnych programów zalecamy zmianę trybu na „Safe”.
W jaki sposób Comodo sprawdza reputację plików i aplikacji?

Comodo Client – Security (CCS) zainstalowany na naszym komputerze działa z ocenami plików. Istnieje lista dostawców ratingu/ocen z priorytetem jak poniżej.

1. Podpisany przez Comodo

2. Podpisany przez Microsoft

3. Polityka (admin)

4. Użytkownik

5. CavseWhite (twarda biała lista dla znanych aplikacji)

6. Zainstalowane przez zaufanego instalatora

7. FLS (w tym lokalna lista zaufanych dostawców)

8. CavseScan (silnik skanujący Comodo Anti-Virus)

9. Valkyrie

10. SmartScreen (windows verdict)

11. Suspicious (podstawowa analiza heurystyczna)

Comodo Client – Security próbuje uzyskać ocenę Trusted lub Malicious zaczynając od 1 do 11. Jeśli ocena zostanie otrzymana, Comodo Client – Security zatrzymuje obliczanie oceny i stosuje ją. Warstwy ochrony podejmują działania zgodnie z oceną pliku i regułami określonymi w profilu. Jeśli ocena nie zostanie otrzymana od dostawcy, Comodo Client – Security sprawdzi kolejnego dostawcę. Jeśli żaden z 11 dostawców nie zwróci oceny Trusted lub Malicious, Comodo Client – Security zastosuje ocenę Unrecognized.

Na podstawie oceny Nierozpoznany (Unrecognized), pliki są uruchamiane w Containment zgodnie z predefiniowaną regułą dla Nierozpoznanych plików. Takie pliki są automatycznie przesyłane do Valkyrie w celu dalszej analizy i ustawienia ostatecznej oceny dla tych plików.

Na czym oparty jest zdalny pulpit RC

RC działa w oparciu o Chromoting. Dla starych systemów operacyjnych (Win XP, Server 2003, Server 2008) wykorzystywany jest WebRTC.

Co to Managed Detection and Response (MDR)

Comodo Cybersecurity MDR dostarcza oprogramowanie, platformę, technologie i zespół ekspertów do monitorowania, zarządzania i polowania na zagrożenia, abyś mógł skupić się na swoich celach biznesowych. Czujniki stale monitorują sieć i systemy w poszukiwaniu złośliwych działań lub naruszeń zasad, które mogą prowadzić do włamań do sieci. Sztuczna inteligencja w Comodo SIEM łączy reguły korelacji opracowane przez nasze Laboratorium Zagrożeń dla znanych ataków z regułami dostosowanymi do Twojego środowiska, aby proaktywnie ostrzegać nasz SOC o każdym możliwym zagrożeniu punktów końcowych. Dedykowani analitycy reagujący na incydenty w Comodo SOC stale monitorują Twoje środowisko. Trzy poziomy analityków badają wszelkie incydenty poprzez integrację odpowiednich logów sieciowych i zdarzeń z czujników bezpieczeństwa, korelując, analizując i wzbogacając dane w razie potrzeby. Następnie oceniają wpływ incydentu na środowisko klienta i opracowują szczegółowy plan reakcji na incydent. Nasza usługa automatycznie generuje terminowe i znaczące alerty w oparciu o wymagania Twojej infrastruktury. Twój zespół IT nie musi już przechodzić żmudnego procesu definiowania niestandardowych reguł, zapytań czy raportów. Nasi analitycy przekazują Twojemu wewnętrznemu zespołowi zebrane logi i raporty, aby pomóc mu w ocenie wszelkich zdarzeń i zarządzaniu działaniami zaradczymi w przypadku ataków.

Czy jest możliwość instalacji własnych paczek MSI?

Tak, można to zrobić przez portal EM w konsoli ITSM od Comodo na dwa sposoby:

  1. Przez podanie adresu URL do miejsca gdzie taka paczka jest upubliczniona;
  2. Przez procedurę i podanie dowolnych lokalizacji, z których paczka ma być pobrana i zainstalowana.
Jak szyfrowane są połączenia w Comodo?

Połączenie między naszymi komputerami, a serwerami Comodo jest szyfrowane za pomocą protokołów TLS, kluczy RSA 2048 bitów i algorytmu SHA 256. Komunikacja będzie odbywać się tylko z komputera i do naszego serwera.

Jakie pliki są wysyłane do Valkyrie?

Jeśli mamy włączone automatyczne przesyłanie plików do laboratorium chmurowego o nazwie Valkyrie od Comodo to sprawdzane są w niej pliki Portable Executable (PE).

Lista rozszerzeń Portable Executable (PE):

.acm.ax.cpl.dll.drv.efi.exe.mui.ocx.scr.sys.tsp

Jak Comodo zabezpiecza ustawienia profilowe Endpoint Managera podczas wysyłania ich z konsoli na stację końcową?

Informujemy, że jest on szyfrowany za pomocą protokołów TLS, kluczy bitowych RSA 2048 i algorytmu SHA 256.

Jak Comodo radzi sobie z niebezpiecznymi makrami pakietu MS Office?

Comodo Client Security jest w stanie wykryć wbudowany kod i zablokować go przez HIPS lub zwirtualizować przez Containment, jeśli makro wywołuje dobrze znanego tłumacza/interpretera.
CCS jest również w stanie zablokować lub zwirtualizować kod pobrany przez makro, jeśli zostanie on wykonany po pobraniu.
Jeśli ładunek jest znanym złośliwym oprogramowaniem – zostanie on poddany kwarantannie przez skaner czasu rzeczywistego Anti Virus poprzez sygnaturę.

Czy jest możliwa zmiana wersji Endpoint Manager’a z Enterprise na MSP?

Tak, jest to możliwe. Należy napisać do wsparcia technicznego producenta Comodo z prośbą o zmianę wersji. Jedynie co należy pamiętać to to, że dane z naszego Service Desk’a i Endpoint Managera zostaną usunięte. Zostaną jedynie licencje w konsoli EM. Warto przed taką czynnością wyeksportować stosowne profile, które później będziemy mogli zaimportować to nowej wersji konsoli.

Kontakt techniczny do producenta:

  • Dla Comodo One oraz Dragon Platform – c1-support@comodo.com lub opcjonalnie support@comodo.com
  • Dla ITarian – support@itarian.com
Czy zdalny pulpit od Comodo działa tylko w sieci lokalnej/firmowej?

Nie, przez zdalny pulpit udostępniony w konsoli ITarian / Comodo One / Dragon możemy łączyć się z całego świata. Łączenie następuje przez aplikację Remote Control by ITarian zainstalowaną na Windows’ie czy MacOs’ie.

Kontakt techniczny Comodo One / ITarian / ITSM / cDome

Jeśli potrzebujesz kontaktu do supportu Comodo możesz skontaktować się za pomocą poniższych informacji.

Wsparcie w języku polskim:

e-mail: pomoc@zabezpieczenia.it

telefon: +48 32 745 46 05

forum: comodo.zabezpieczenia.it/forum

Wsparcie w języku angielskim (dla użytkowników konsoli ITarian):

e-mail: support@itarian.com

telefon: +1 877 422 3865

forum: forum.itarian.com

Wsparcie w języku angielskim (dla użytkowników Comodo One):

e-mail: c1-support@comodo.com

telefon: +1 877 422 3865

forum: forum.itarian.com

Wsparcie w języku angielskim (dla użytkowników Dome Antispam / Email Gateway):

e-mail: domesupport@comodo.com

telefon: +1 888 256 2608

Czy po podniesieniu / zaktualizowaniu wersji Windows’a Comodo nadal będzie działało?

Tak, bez problemu. Będzie Comodo działać poprawnie jeśli podniesiemy Windows’a z wersji 7 lub 8.1 do 10 o ile ta aktualizacja systemu nie wiąże się z usunięciem plików i programów użytkowników.

Wyjaśnienie wielu pojęć występujących w Comodo

Producent Comodo wprowadził wiele różnych nazw własnych jak i korzysta z tych, które pojawiły się wcześniej w “słowniku”. Wyjaśnienie tytułów, skrótów, pojęć oraz różnych nazw znajdą Państwo poniżej.

Konsola Comodo ITSM – (IT and Security Management) narzędzie służące do zarządzania naszymi komputerami, konfigurowania polityk bezpieczeństwa, wgląd w stan bezpieczeństwa i zdrowia punktów końcowych w przedsiębiorstwie, aktualizacji naszych urządzeń oraz m.in. dostęp do narzędzi zdalnych w tym zdalny pulpit, help desk czy antyspam. Konsola możne posiadać 3 różne nazwy: ITarian, Comodo One, Dragon Platform.

Endpoint Manager – (w skrócie EM) umożliwia zarządzanie i ochronę stacji końcowych i urządzeń mobilnych. Cała konsola działa na kluczu Advanced Endpoint Protection (w skrócie AEP).

ITSM MDM – (Mobile Device Manager) pozwala na zdalne zarządzanie, konfigurację i kontrolę urządzeń z systemem android oraz iOS. Ta konsola jest zawarta w Comodo Endpoint Manager.

Comodo Client-Security – (w skrócie CCS, inaczej też Advanced Endpoint Protection (AEP)) jest to agent ochrony od tego producenta z wszystkimi jego modułami bezpieczeństwa – inaczej antywirus. Zarządzanie odbywa się za pośrednictwem konsoli Endpoint Manager znajdującej się w ITSM ITarian / Comodo One / Dragon Platform.

Comodo Communication Client – (w skrócie CCC lub CC) agent służący do komunikacji pomiędzy komputerem, a serwerami, na których znajduje się konsola ITSM. Dzięki niemu działa m.in. wdrażanie polityk bezpieczeństwa na urządzenia, aktualizowanie Windows’a czy zdalny pulpit i wiele innych. Zarządzanie odbywa się za pośrednictwem konsoli Endpoint Manager znajdującej się w ITSM ITarian / Comodo One / Dragon Platform.

Comodo Internet Security – (w skrócie CIS) agent ochrony w wersji domowej lub firmowej bez konsoli do zarządzania. Zarządzanie ochroną z poziomu stacji końcowych.

Remote Control – (w skrócie RC) zdalny pulpit.

Remote Control by ITarian – aplikacja (dla Windows/MacOS) służąca do zdalnego pulpitu oraz przesyłu plików w obrębie urządzeń przyłączonych do naszej konsoli Comodo Endpoint Manager.

ITarian Remote Access – darmowa aplikacja (dla Windows’a) do zdalnego pulpitu od Comodo. Działa niezależnie, a zdalny dostęp możemy uzyskać, gdy ten program uruchomiony jest po obu stronach po podaniu numeru ID oraz hasła znajdującego się u osoby, do której chcemy uzyskać zdalny dostęp.

Auto SandBox – automatyczna i lokalna “piaskownica”. Każdy wykonywalny plik sklasyfikowany przez Comodo jako nierozpoznany (potencjalny 0-day) jest automatycznie wirtualizowany na naszym urządzeniu w odizolowanym środowisku.

Containment – izolacja, jest to inaczej lokalny Auto SandBox.

CCS Removal Tool – narzędzie to używane tylko w przypadku trudności z usuwaniem produktów Comodo przy użyciu tradycyjnej metody “Dodaj/Usuń” programy.

Auto Discovery and Deployment Tool – (ADDT) kompaktowe narzędzie do wykrywania i wdrażania, które umożliwia administratorom IT zdalne wdrażanie aplikacji do wielu punktów końcowych za pośrednictwem Active Directory, grupy roboczej lub adresu IP/ zakresu IP/nazwy hosta. Przeznaczone jest do zdalnego wdrażania i instalacji dowolnej aplikacji, np. CCS + CCC.

Unknown File Hunter Tool – jest lekkim skanerem zdolnym do identyfikacji zagrożeń APT i innych zagrożeń zero-day. Narzędzie to pozwala administratorom na skanowanie i ocenę sieci pod kątem wszystkich nieznanych zagrożeń. Umożliwia ono określenie poziomu zaufania wszystkich plików do docelowych punktów końcowych.

Network Assessment Tool – (NAT) to potężne narzędzie przeznaczone do przeprowadzania szczegółowej oceny sieci klienckiej, obejmującej komputery, serwery, użytkowników, aplikacje i inne. Program do pełnego działania potrzebuje dodatków takich jak NMAP oraz Microsoft Baseline Security Analyzer (MBSA).

Comodo Cleaning Essentials – (CCE) to zestaw potężnych narzędzi zabezpieczających (takich jak KillSwitch czy Malware scanner), które pomagają użytkownikom w identyfikacji i usuwaniu złośliwego oprogramowania i niebezpiecznych procesów z komputerów z systemem Windows. Zaprojektowane jako aplikacja przenośna, oprogramowanie nie wymaga instalacji i może być uruchamiane bezpośrednio z nośników wymiennych, takich jak USB.

KillSwitch – Zaawansowane narzędzie monitorowania systemu, które pozwala użytkownikom na identyfikację, monitorowanie i zatrzymywanie potencjalnie niebezpiecznych procesów, które są uruchamiane w systemach punktów końcowych. Wyjątkowo dla produktu tego typu, KillSwitch wykorzystuje ogromną bazę danych Comodo z białymi listami, aby odizolować niezaufane procesy z niezwykle wysoką dokładnością – poprawiając wydajność operacyjną IT poprzez zmniejszenie liczby fałszywych wyników pozytywnych i skrócenie czasu spędzanego na rozwiązywaniu problemów z maszyną punktu końcowego.

Malware scanner – W pełni funkcjonalny skaner złośliwego oprogramowania zdolny do odkrywania i usuwania wirusów, rootkit’ów, ukrytych plików i złośliwych kluczy rejestru ukrytych głęboko w systemie. Skaner jest wysoce konfigurowalny, wykorzystuje najnowsze techniki heurystyczne do wykrywania nieznanych wcześniej wirusów, posiada pierwszorzędne możliwości usuwania złośliwego oprogramowania i jest zdolny do wykrywania ukrytych sterowników i usług załadowanych podczas uruchamiania systemu.

Gdzie mogę znaleźć wszystkie instrukcje/poradniki narzędzi/programów producenta Comodo?
  • Instrukcje dla wszystkich produktów tego producenta można znaleźć pod linkiem tutaj.
  • Wiele instrukcji jako dystrybucja posiadamy również na naszej stronie w bazie wiedzy tutaj.
Gdzie mogę znaleźć gotowe procedury do pobrania na Internecie?

Istnieją bazy procedur, z których możemy pobierać skrypty w języku Python jakie tylko potrzebujemy. Znajdują się one poniżej:

Jakie są wspierane systemy operacyjne przez Comodo?
Windows (stacje robocze) Windows (edycje serwerowe)
Windows XP (SP3 or wyższy) x86
Windows 7 SP1 x86
Windows 7 SP1 x64
Windows 8 x86
Windows 8 x64
Windows 8.1 x86
Windows 8.1 x64
Windows 10 x86
Windows 10 x64
Windows Server 2003 SP2
Windows Server 2003 R2 SP2
Windows Server 2008 SP2
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
Android iOS
4.x
4.x (KNOX)
5.x
5.x (KNOX)
6.x (KNOX)
7.x
7.x (KNOX)
8.x
8.x (KNOX)
9.x
9.x (KNOX)
10.x
10.x (KNOX)
11.x
7.x
8.x
9.x
10.x
11.x
12.x
13.x
14.x
Linux macOS
Latest Ubuntu 16.х LTS x64 (z GUI)
Latest Ubuntu 18.х LTS x64 (z GUI)
Latest Ubuntu 19.х x64 (z GUI)
Latest Ubuntu 20.х LTS x64 (z GUI)
Latest Debian 8.х x64 (z GUI)
Latest Debian 9.x x64 (z GUI)
Latest Debian 10.x x64 (z GUI)
Latest Red Hat Enterprise Linux Server 7.х x64 (z GUI)
Latest Red Hat Enterprise Linux Server 8.х x64 (z GUI)
Latest CentOS 7.х x64 (z GUI)
Latest CentOS 8.х x64 (z GUI)
10.12.x
10.13.x
10.14.x
10.15.x
11.x
Jakie warunki systemowe muszę spełniać by zainstalować Comodo na systemie Windows 7 / Server 2008 / R2

Obowiązkowe warunki dla urządzeń z systemem Windows 7 / Windows Server 2008 / R2 są następujące:
1) Powinien być zainstalowany SP1.
2) Konieczna jest instalacja aktualizacji:
2.1. KB4474419 -> https://www.catalog.update.microsoft.com/Search.aspx?q=KB4474419
2.2. KB4490628 -> https://www.catalog.update.microsoft.com/Search.aspx?q=KB4490628

Tak więc, uprzejmie prosimy o sprawdzenie czy wszystkie te warunki są spełnione na tym urządzeniu. Jeśli nie, zainstaluj aktualizacje i sprawdź. Jeśli SP1 i wspomniane łatki są zainstalowane, ale nadal masz problem, sprawdź z najnowszą wersją 12.0 CCS (Comodo Client Security – ochrona, antywirus) dostępną dla Windows Server 2008 / R2 / Windows 7.

Jak zainstalować powyższy instalator w wersji 12.0 można zobaczyć tutaj.

Czy z Comodo One / Itarian / Dragon Platform mogę również korzystać za darmo?

Tak, jak najbardziej. Comodo pozwala na korzystanie z ITSM za darmo do 50 urządzeń w konsoli Endpoint Manager (zarządzanie, bez ochrony). Wlicza się w to m.in. Patch Manager, zdalna instalacja aplikacji, zdalny pulpit, narzędzia zdalne i nie tylko. IT and Security Manager pozwala również na korzystanie w darmowej wersji z systemu Service Desk, CRM czy ochrony zapytań DNS.

Czy za pomocą Comodo może przesyłać pliki?

Tak, za pomocą aplikacji Remote Control by ITarian możemy mieć nie tylko dostęp do zdalnego pulpitu do urządzeń znajdujących się w naszej konsoli Endpoint Manager, ale także możemy korzystać z opcji File Transfer do przesyłania plików między naszym komputerem, a hostem do którego się podłączymy zdalnie z ograniczeniem do 50MB.

Czy za pomocą Comodo można zdalnie na stacji mobilnej wyczyścić dane?

Tak, jest to możliwe, by dbać o jak najlepsze bezpieczeństwo naszych danych czy haseł nawet po zgubieniu telefonu lub gdy to urządzenie stracimy przez kradzież.

Czy agent Comodo umożliwia geolokalizacje telefonu?

Tak, możemy dzięki temu lokalizować nasze urządzenia, gdy na przykład dojdzie do ich zgubienia lub kradzieży.

Do czego służy kiosk czyli wirtualny pulpit (Virtual Desktop)?

Służy do dodatkowej ochrony systemu operacyjnego przed zagrożeniami, dzięki któremu możemy także bezpiecznie wykonywać przelewy i bez obaw surfować po Internecie po nieznanych lub mogących być niebezpiecznymi stronach. Za pomocą tej funkcji, która znajduje się w ochronie od Comodo działamy w wirtualnym środowisku, odizolowanym od reszty systemu operacyjnego, znajdującym się jakby w czystej “kopii” systemu od Comodo.

Czy Comodo może chronić pliki przed wyciekiem danych?

Tak, Comodo posiada swój silnik skanujący pliki pod kątem danych wrażliwych (DLP) z możliwością wygenerowania logów, a także blokadę wysyłania jakichkolwiek danych np. dokumentów z PESEL na urządzenia przenośne USB typu pendrive lub inne zasoby, a także jest możliwość monitorowania i blokowania zrzutów ekranu wrażliwych treści lub zasobów o wskazanej lokalizacji.

Z jakiego kraju pochodzi Comodo?

Comodo pochodzi od amerykańskiego przedsiębiorstwa, którego główna siedziba znajduje się w Stanach Zjednoczonych, a dokładniej na 1255 Broad St, Clifton, NJ 07013