www.agnitum.com
Ðóêîâîäñòâî ïîëüçîâàòåëÿ
Copyright © 2010 Agnitum Ltd. Âñå ïðàâà çàùèùåíû.
О чем этот документ Это п...
73 downloads
1368 Views
2MB Size
Report
This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Report copyright / DMCA form
www.agnitum.com
Ðóêîâîäñòâî ïîëüçîâàòåëÿ
Copyright © 2010 Agnitum Ltd. Âñå ïðàâà çàùèùåíû.
О чем этот документ Это полное и подробное руководство к программе Outpost Firewall Pro. Если вам нужна первоначальная информация о продукте, обратитесь к документу Приступая к работе. Чтобы получить справку во время пользования продуктом, нажмите клавишу F1 на клавиатуре. Дополнительную информацию о продукте вы можете получить на сайте www.agnitum.ru. Обращаем ваше внимание, что в предыдущих и последующих версиях Outpost Firewall Pro некоторые параметры и диалоговые окна могут отличаться от данной версии.
2
Содержание 1 Знакомство с Outpost Firewall Pro ........................................................................................5 1.1 Системные требования ............................................................................................................ 6 1.2 Установка Outpost Firewall Pro ................................................................................................. 6 1.3 Регистрация Outpost Firewall Pro............................................................................................ 13 2 Основные параметры пользовательского интерфейса................................................... 15 2.1 Панель инструментов ............................................................................................................ 16 2.2 Левая и информационная панели.......................................................................................... 16 2.3 Значок в системном лотке ..................................................................................................... 18 2.4 Язык интерфейса................................................................................................................... 20 2.5 Настройка уведомлений ........................................................................................................ 21 3 Базовые настройки............................................................................................................. 22 3.1 Включение и выключение защиты......................................................................................... 22 3.2 Управление защитой ............................................................................................................. 26 3.3 Создание конфигурации ........................................................................................................ 26 3.4 Защита настроек Outpost Firewall Pro..................................................................................... 29 4 Обновление Outpost Firewall Pro ....................................................................................... 31 4.1 Настройка обновлений .......................................................................................................... 31 4.2 Agnitum ImproveNet ............................................................................................................... 33 5 Настройка сетевых соединений ........................................................................................ 35 5.1 Настройка политики .............................................................................................................. 35 5.1.1 5.1.2 5.1.3 5.1.4
Работа в Режиме обучения ........................................................................................................... 37 Работа в режиме автообучения .................................................................................................... 39 Работа в Игровом режиме ............................................................................................................ 40 Помощник .................................................................................................................................... 41
5.2 Настройки локальной сети .................................................................................................... 42
5.2.1 Обнаружение локальной сети ....................................................................................................... 42 5.2.2 Настройка уровней доступа для локальной сети (LAN) .................................................................. 44
5.3 Настройка сетевого доступа для приложений ....................................................................... 45
5.3.1 Настройка списка приложений ..................................................................................................... 45 5.3.2 Настройка правил для приложений .............................................................................................. 47
5.4 Настройка сетевого доступа системы .................................................................................... 49 5.4.1 5.4.2 5.4.3 5.4.4
Настройка глобальных правил ...................................................................................................... 49 Настройка низкоуровневых системных правил .............................................................................. 51 Контроль активности протокола ICMP .......................................................................................... 51 Блокировка вредоносных IP-адресов ............................................................................................ 52
6 Предотвращение сетевых атак ......................................................................................... 54 6.1 Настройка уровня обнаружения атак .................................................................................... 54 6.2 Защита от Ethernet-атак ........................................................................................................ 55 6.3 Сканирование портов ............................................................................................................ 57 6.4 Список атак ........................................................................................................................... 60 6.5 Список доверенных узлов и портов ....................................................................................... 61 7 Наблюдение за сетевой активностью .............................................................................. 62 7.1 Сетевая активность ............................................................................................................... 62 7.2 Используемые порты ............................................................................................................. 62 8 Защита от действий вредоносных процессов .................................................................. 63 8.1 Настройка уровня защиты Anti-Leak ...................................................................................... 63 8.2 Контроль методов проникновения ......................................................................................... 65 8.3 Контроль компонентов приложения ...................................................................................... 66 8.4 Контроль критических системных объектов .......................................................................... 68 8.5 Контроль критических файлов приложений .......................................................................... 70 8.6 Контроль файлов и папок ..................................................................................................... 71 8.7 Наблюдение за активностью процессов ................................................................................ 72 3
9 Защита от вредоносного ПО .............................................................................................. 74 9.1 Проверка системы ................................................................................................................. 74 9.1.1 9.1.2 9.1.3 9.1.4 9.1.5
9.2 9.3 9.4 9.5
Выбор типа проверки ................................................................................................................... 74 Настройка проверки на наличие вредоносного ПО........................................................................ 76 Сканирование выбранных объектов .............................................................................................. 77 Удаление обнаруженных объектов ............................................................................................... 78 Просмотр результатов сканирования ............................................................................................ 79
Постоянная защита от вредоносных программ ...................................................................... 80 Сканирование почтовых вложений ........................................................................................ 83 Карантин вредоносных программ .......................................................................................... 85 Расписание сканирования системы ........................................................................................ 85
10 Контроль веб-активности ................................................................................................ 87 10.1 Настройка уровня Веб-контроля .......................................................................................... 88 10.2 Блокировка рекламы ........................................................................................................... 89 10.3 Настройка исключений ........................................................................................................ 91 10.4 Блокировка шпионских сайтов............................................................................................. 91 10.5 Блокировка передачи персональных данных ....................................................................... 92 11 Защита внутренних компонентов ................................................................................... 94 12 Удаление Outpost Firewall Pro ......................................................................................... 95 13 Слежение за системной активностью ............................................................................ 96 13.1 Уровень регистрации информации ...................................................................................... 97 14 Приложение ...................................................................................................................... 99 14.1 Служба технической поддержки .......................................................................................... 99 14.2 Методы проникновения ....................................................................................................... 99 14.3 Использование макроопределений .................................................................................... 102 О компании .......................................................................................................................... 104
4
1 Знакомство с Outpost Firewall Pro Проактивная защ ита для поним аю щ их пользовател ей Современный Интернет требует принципиально нового подхода к безопасности. Огромное число соединений происходит в реальном времени. В этом и заключается угроза. Эффективное средство безопасности должно обнаруживать как известные вредоносные программы, так и новые. Новые типы угроз требуют новых способов защиты. Массово распространяемые черви открывают путь атакам, нацеленным на получение выгоды - разработанным для кражи конфиденциальных данных, денег и другой важной электронной информации путем фишинга и социальной инженерии. Чтобы полностью обезопасить вас от этих новых угроз, эффективное средство безопасности должно использовать многоуровневый подход, обеспечивая проактивную, основанную на анализе поведения, блокировку вместе с более традиционными, сигнатурными методами обнаружения. Оно также должно быть простым в использовании – потому что иначе оно не будет популярным. Построенный на признанной технологии Outpost, Outpost Firewall Pro от компании Agnitum объединяет лучшее из разных подходов в едином интегрированном продукте, обеспечивающем настраиваемую защиту и полную надежность. Outpost Firewall Pro защищает ваши электронные сокровища 24 часа в сутки, семь дней в неделю – независимо от вашей активности.
Клю чевы е возм ож ности •
Продукт контролирует соединения вашего компьютера с другими, блокируя хакеров и предотвращая несанкционированный внешний и внутренний доступ к сети. Контролируя входящий и исходящий трафик приложений, он останавливает попытки вредоносного ПО передать данные с вашего компьютера или на него.
•
Проактивная защита отслеживает поведение программ и их взаимодействие для обеспечения проактивной защиты от несанкционированной активности, блокируя троянцев, шпионские программы и все изощренные хакерские методики взлома компьютеров и кражи личных данных.
•
Outpost Firewall Pro использует специализированные методики для своей собственной защиты, которую невозможно отключить даже с помощью специально созданных вредоносных программ.
•
Простой, но, тем не менее, эффективный сканер вредоносных программ автоматически обнаруживает и изолирует или удаляет шпионские программы и другое вредоносное ПО. Постоянная защита непрерывно контролирует пассивные и активные программы, оказывая при этом малейшее влияние на производительность системы.
•
Универсальный компонент Веб-контроль оберегает вас от темной стороны сети Интернет. Он отводит вас от сайтов, загружающих ненужную информацию, предотвращает случайное раскрытие личных данных, ограничивает воздействие потенциально опасного содержимого ресурсов сети на вашу систему и сохраняет ваши личные данные конфиденциальными.
•
Для новичков Outpost Firewall Pro предлагает всестороннюю помощь в использовании обширных возможностей программы наилучшим образом, в то время, как продвинутые пользователи оценят богатство возможностей контроля и настраиваемых параметров, которые они могут установить в соответствии со своими требованиями.
5
1.1 Системные требования Outpost Firewall Pro может быть установлен на операционных системах Windows 2000 SP4, Windows XP, Windows Server 2003, Windows Vista или Windows 7. Минимальные системные требования для Outpost Firewall Pro: •
Процессор: 450 МГц Intel Pentium или совместимый;
•
Память: 256 Мб 2003;
•
Дисковое пространство: 100 Мб.
Внимание: •
Outpost Firewall Pro поддерживает как 32-битные, так и 64-битные платформы операционных систем. Пожалуйста, загрузите соответствующую версию с официального сайта Agnitum www.agnitum.ru.
•
Для нормальной работы программы не требуется специального сетевого адаптера или модема, а также специальных сетевых настроек.
•
Не следует запускать Outpost Firewall Pro одновременно со средствами безопасности сторонних производителей - это может привести к нестабильности системы (падениям) и нарушит ее безопасность.
1.2 Установка Outpost Firewall Pro Процесс установки Outpost Firewall Pro аналогичен установке других программ, работающих в среде Windows. Чтобы начать установку программы Outpost Firewall Pro, выполните следующие действия: Внимание: 1. Перед установкой Outpost Firewall Pro удалите другие установленные на Вашем компьютере средства безопасности и перезагрузите систему. 2. Закройте все активные приложения; а) если вы устанавливаете программу, скаченную из Интернета, щелкните OutpostSecuritySuiteProInstall.exe; б) если вы устанавливаете программу с диска, то при запуске диска запуск мастера установки произойдет автоматически. Если автоматического запуска не произошло, щелкните кнопку Пуск на панели инструментов Windows, Выполнить. В командной строке введите полный путь к файлу установки. Например если программа находится на диске D: в папке Downloads и подпапке Outpost, введите: D:\downloads\outpost\OutpostFirewallProInstall.exe 3. Щелкните кнопку ОК. 4. Далее запустится мастер установки. Он состоит из нескольких шагов. Каждый шаг содержит кнопку Дальше, с помощью которой можно продвигаться к следующему шагу установки, кнопку Назад, которая позволяет вернуться к предыдущему шагу, и кнопку Выход, чтобы прервать процесс установки. Установка Outpost начинается с окна выбора языка интерфейса. Для того чтобы установить русский язык интерфейса, из ниспадающего списка выберите Russian; Щелкните OK:
6
Далее появится окно приветствия, представляющее основные возможности Outpost Firewall Pro:
После нажатия кнопки Далее вам будет предложено ознакомиться с Лицензионным соглашением об использовании Outpost Firewall Pro. Прочитайте соглашение внимательно.
7
На этом шаге вы также можете присоединиться к сообществу Agnitum ImproveNet, нацеленному на усовершенствование качества, безопасности и функций управления Outpost Firewall Pro. Для этого выберите флажок Я хочу помочь Agnitum сделать продукт лучше. Подробнее см. Agnitum ImproveNet. Щелкните Принимаю для продолжения установки. Мастер попросит выбрать необходимый режим установки:
Простой режим обеспечивает пониженное число запросов программы, требующих вашей реакции, и рекомендуется в большинстве случаев. Расширенный режим дает больше возможностей управлять предоставлением доступа и рекомендуется в большинстве случаев. Примечание: •
В зависимости от выбранного уровня безопасности, главное окно Outpost Firewall Pro будет иметь либо Обычный вид (в случае, если выбран Простой режим), либо Расширенный вид (если выбран Расширенный режим). Подробнее смотрите Левая и информационная панели.
Щелкните необходимый режим работы для продолжения. Если вы выбрали Расширенный режим, то мастер позволит вам указать еще несколько параметров. Следующий шаг позволяет выбрать компоненты продукта, которые вы хотите установить на компьютер. Отметьте соответствующие флажки и щелкните Далее.
8
Если вы по каким-то причинам не удалили с вашего компьютера продукты безопасности сторонних производителей, то мастер установки отобразит следующее окно об обнаружении несовместимых или частично совместимых продуктов:
При обнаружении несовместимого продукта мастер не сможет продолжать установку до тех пор, пока продукт не будет удален с вашего компьютера. При обнаружении частично совместимых продуктов вам будет предложено выбрать одну из возможных опций по отношению к этим продуктам. Следующим шагом будет показан путь установки программы:
9
Выберите папку, в которую будут помещены компоненты Outpost Firewall Pro. Вы можете использовать папку, предлагаемую по умолчанию, или можете назначить ее самостоятельно. Если Вы хотите изменить расположение файлов по умолчанию, щелкните кнопку Обзор. В стандартном окне выбора папки выберите или создайте папку и щелкните ОК. Затем с помощью кнопки Далее перейдите к шагу Все готово к установке:
Вы можете отметить опцию Загрузить последние обновления во время установки, чтобы при установке загрузить стандартные наборы правил для продукта. Это последний шаг перед началом процесса установки. Если Вам понадобится отменить проделанные операции, воспользуйтесь кнопкой Назад. Если Вы хотите продолжить установку, щелкните кнопку Установить. В следующем окне будет отображаться процесс установки Outpost:
10
По окончании операции установки Мастер настройки поможет вам создать новую конфигурацию либо импортировать предыдущую, если продукт устанавливается поверх более ранней версии:
При импортировании предыдущей конфигурации система автоматически скопирует сохраненные параметры предыдущей версии продукта, по окончании чего выдаст запрос на перезагрузку компьютера для завершения установки OSS. При создании новой конфигурации отображается шаг Автосоздание правил, позволяющий включить автоматическое создание и обновление правил для известных приложений по мере запроса ими действий (например, доступа в сеть или изменения памяти процесса), а также глобальных правил.
11
Вы так же можете отметить параметр Автоматически обучать Outpost Firewall Pro в течение недели, что позволит программе создать соответствующие правила для приложений самостоятельно. Вы сможете отключить данную настройку или вернуться к ней в дальнейшем, щелкнув значок продукта в системном меню правой кнопкой мыши и выбрав необходимое действие. После того, как вы щелкните Далее, Outpost Firewall Pro автоматически просканирует вашу систему и установит все остальные настройки без вашего участия. Продукт настроит сетевые параметры, соберет базу данных Контроля компонентов, и, в случае выбора использования предустановленных правил, обнаружит все известные сетевые приложения, установленные на вашем компьютере и определит, какой уровень доступа в сеть должен быть установлен для каждого из них:
Щелкните Готово, чтобы применить и сохранить созданную конфигурацию. Появится диалоговое окно с запросом о перезагрузке компьютера:
12
Внимание: •
Не запускайте Outpost Firewall Pro вручную с помощью меню кнопки Пуск или Проводник Windows сразу после установки программы. Необходимо перезагрузить компьютер перед тем, как Outpost Firewall Pro начнет защищать Вашу систему.
1.3 Регистрация Outpost Firewall Pro Outpost Firewall Pro доступен для бесплатного пользования. У вас есть возможность оценить работу продукта во время пробного периода бесплатно. После окончания срока действия пробной версии, в случае, если вы решите и дальше пользоваться Outpost Firewall Pro, Вам нужно будет зарегистрировать свою копию за умеренную плату. Если вы приобрели коробочную версию Outpost Firewall Pro в магазине, следуйте инструкциям, приведенным в регистрационной карточке. Если вы загрузили вашу копию с сайта компании Agnitum и хотите зарегистрировать пробную версию и получать бесплатные обновления в течение года, вам необходимо приобрести регистрационный ключ. Следуйте инструкциям на этой странице http://www.agnitum.ru/purchase/outpost/ и вы получите регистрационный ключ по электронной почте.
Ввод регистрационного к лю ча 1. Откройте сообщение, содержащее регистрационный ключ и с помощью мыши выделите текст между строк "Регистрационный ключ" (щелкните мышью перед первым символом первой строки ключа и, не отпуская левую кнопку мыши, двигайте ее к последней строке ключа; как только выделение захватит последний символ, отпустите кнопку мыши, как показано на рисунке). 2. Щелкните выделенный текст правой кнопкой мыши и выберите Копировать в контекстном меню, чтобы скопировать ключ в буфер обмена.
13
3. Выберите Пуск > Программы > Agnitum > Outpost Firewall Pro и щелкните Регистрация Outpost Firewall. В появившемся окне щелкните Ввести ключ > Вставить. При этом регистрационный ключ будет вставлен в поле ввода из буфера обмена.
4. Щелкните OK, чтобы сохранить ключ и закрыть диалоговое окно. При приобретении лицензии таким образом вы фактически получаете две лицензии: •
Лицензию на право использования (пожизненную);
•
Лицензию на бесплатное обновление и консультации Службы поддержки сроком на один год (включая последние версии Outpost Firewall Pro).
По истечении года использования вы можете либо продлить лицензию еще на год использования, либо продолжить использование вашей версии Outpost Firewall Pro с последними на тот момент обновлениями. Чтобы продлить лицензию, зайдите на страницу http://www.agnitum.ru/purchase/renewal/index.php. Внимание: •
Outpost Security Suite Pro и Outpost Firewall Pro являются самостоятельными продуктами, поэтому их регистрационные ключи не являются взаимозаменяемыми, т.е. регистрационный ключ к Outpost Security Suite Pro не подходит для Outpost Firewall Pro и наоборот. Пожалуйста, будьте внимательны при вводе регистрационных ключей.
14
2 Основные параметры пользовательского интерфейса Когда вы запускаете Outpost Firewall Pro в первый раз, на экране отображается главное окно программы. Главное окно является основным инструментом управления программой. Через него вы можете контролировать сетевые операции компьютера и изменять настройки Outpost Firewall Pro. Главное окно программы напоминает Проводник Windows и, соответственно, его структура знакома большинству пользователей. Это делает Outpost Firewall Pro простым для использования.
Главное окно программы выглядит следующим образом:
Чтобы открыть главное окно, когда оно свернуто в значок программы в системном лотке: 1. Щелкните правой кнопкой мыши на значке Outpost Firewall Pro в системном лотке. 2. Выберите Показать. Главное окно содержит: •
Панель инструментов
•
Левая панель
•
Информационная панель
•
Строка состояния
Строка состояния находится в самой нижней части главного окна программы. Она отображает текущее состояние Outpost Firewall Pro.
15
2.1 Панель инструментов Панель инструментов расположена по верхнему краю главного окна. Наведя курсор на каждую из кнопок и подождав секунду, вы увидите ее предназначение. Каждая кнопка на панели управления (за исключением кнопки Настройка) является клавишей для быстрого доступа к какому-то пункту меню. Эти клавиши - быстрый и прямой путь к отдельным функциям, вам не придется идти через ряд пунктов меню или диалоговых окон, чтобы их вызвать.
Панель инструментов выглядит следующим образом:
Далее представлено краткое описание кнопок панели инструментов: Кнопка
Функция Запускает проверку системы на наличие вредоносного ПО. Предоставляет доступ к окнам диалога Настройки и свойствам компонентов. Проверяет наличие доступных обновлений продукта и его компонентов. Активирует контекстную помощь Outpost Firewall Pro.
2.2 Левая и информационная панели Чтобы отобразить собранную информацию доступным и простым для пользователя способом, Outpost Firewall Pro использует две панели. Левая панель напоминает левую панель Проводника Windows. Она отображает список категорий: соединения, порты, компоненты и т.д. Информационная панель предоставляет подробную информацию о каждой категории, выбранной на левой панели.
16
Панели выглядят следующим образом:
Для вашего удобства Outpost Firewall Pro позволяет переключаться между обычным и расширенным видами главного окна, в зависимости от ваших потребностей и возможностей по управлению средствами безопасности. Если вы выбираете Простой режим во время установки продукта и создания конфигурации, главное окно будет иметь Обычный вид; если вы выбираете Расширенный режим - Расширенный вид. Если вы не являетесь продвинутым пользователем, вам будет легче работать с обычным вариантом, так как при этом не отображается ряд страниц, которые могут быть трудны для понимания. Если вы продвинутый пользователь, мы рекомендуем переключиться в Расширенный вид, в котором доступно больше информации о работе продукта системы в целом. Это может быть полезно при наблюдении за системной активностью и решении проблем. Для переключения между видами главного окна щелкните ссылку Расширенный вид или Обычный вид внизу левой панели. Примечание: •
Переключение между видами не влияет на функциональность продукта.
Как и в Проводнике Windows, любой узел со знаком плюс ( ) можно раскрыть, чтобы просмотреть его подкатегории. Знак минус ( ), предшествующий закладке, означает, что категория уже раскрыта. Нажав на знак минус, вы свернете подкатегории, что сбережет пространство экрана. Список на левой панели и информационная панель отображают содержание следующих категорий: •
Брандмауэр
При выборе данной категории отображается общая информацию о брандмауэре, такая как текущее состояние, политика, сведения об обнаруженных атаках и общая статистика открытых соединений. Если раскрыта, категория отображает следующие подкатегории: - Сетевая активность Отображает все приложения и процессы, имеющие активные на данный момент соединения, и краткое описание этих соединений. 17
- Используемые порты Отображает все приложения и процессы, у которых в данный момент открыты порты для соединения с сетью. Более подробно см. главу Настройка сетевых соединений. •
Проактивная защита
Отображает общую информацию о компонентах Проактивной защиты, такую как уровень и статус Контроля Anti-Leak, Контроля компонентов и внутренней безопасности и некоторую общую статистику. - Активные процессы Отображает все системные процессы, которые отслеживает Проактивная защита. Более подробно см. главу Защита от действий вредоносных процессов.
- Доступ к файлам и реестру Позволяет отслеживать все операции, которые процесс выполняет с файлами и значениями реестра в режиме реального времени. •
Антишпион
Отображает общую информацию о режиме работы компонента Антишпион, статус базы сигнатур и общую статистику обнаруженных объектов. - Карантин Отображает список всех объектов, помещенных в карантин. Более подробно см. главу Защита от вредоносного ПО. •
Веб-контроль
Отображает общую информацию о компоненте Веб-контроль, такую как его текущее состояние и уровень, и общую статистику фильтруемого содержимого веб-страниц. - Веб-активность Отображает список всех элементов содержимого, обрабатываемых фильтром в данный момент. Более подробно см. главу Контроль веб-активности. •
Журнал событий
Отображает подробную статистику деятельности системы и продукта в соответствующих категориях. Более подробно см. Слежение за системной активностью.
2.3 Значок в системном лотке По умолчанию, Outpost Firewall Pro автоматически загружается при запуске системы, обеспечивая защиту на самой ранней стадии ее работы. О загрузке Outpost Firewall Pro символизирует значок в , значок продукта по умолчанию, отображаемый в виде белого знака вопроса на голубом щите системном лотке в правом нижнем углу панели задач Windows. Если вы видите этот значок, это означает, что Outpost Firewall Pro работает и защищает вашу систему. Значок является одним из простейших способов получения доступа к управляющим элементам программы, настройкам и записям Журнала событий. Щелкнув правой кнопкой мыши на значке в системном лотке, вы увидите контекстное меню:
18
Доступны следующие команды меню: •
Сохранить файлы журналов
Эта команда доступна только в том случае, если выбран параметр Регистрировать отладочную информацию в настройках журналов. Обновляет файлы журналов в подпапке Log (Журналы) (C:\Program Files\Agnitum\Outpost Firewall Pro по умолчанию) и создает архив feedback.zip, содержащий все файлы журналов. Более подробно см. Уровень регистрации информации. •
Показать/Скрыть
Открывает или скрывает главное окно Outpost Firewall Pro. •
Проверить систему
Запускает проверку системы на наличие вредоносных программ. •
Настройки
Предоставляет доступ к диалоговому окну Настройки и свойствам встроенных компонентов. •
Регистрация
Позволяет ввести регистрационный ключ, чтобы получить лицензию на бесплатные обновления и консультации службы поддержки сроком на 1 год. Функция доступна только во время пробного периода использования продукта. •
О программе
Отображает текущую версию Outpost Firewall Pro и баз сигнатур, список модулей и номера их версий, регистрационную информацию. •
Политика брандмауэра (или Включить брандмауэр)
Открывает подменю, в котором вы можете изменить политику Outpost Firewall Pro, выбрав один из следующих возможных режимов работы: Блокировать все, Режим блокировки, Режим обучения, Режим разрешения и Выключить. Если брандмауэр отключен, позволяет включить его. •
Отключить внутреннюю защиту (или Включить внутреннюю защиту)
Отключает (включает) внутреннюю защиту. •
Выйти из режима автообучения (или Перейти в режим автообучения)
Использование режима автообучения определяется при установке продукта и позволяет Outpost Firewall Pro разрешить сетевую активность всех приложений с тем, чтобы создать соответствующие правила. Тем не менее, вы в любое время можете вернуться к данному режиму либо выйти из него. •
Приостановить защиту (или Возобновить защиту)
Отключает (включает) защиту Outpost Firewall Pro. •
Приостановить защиту файлов и папок (Возобновить защиту файлов и папок) 19
Отключает (включает) модуль Защита файлов и папок. •
Выход
Открывает диалог, который позволяет выбрать дальнейшее действие продукта - либо закрыть графический интерфейс и останавливать работу продукта, так что Outpost Firewall Pro больше не будет защищать вашу систему, либо перейти в фоновый режим. Внимание: •
Значок в системном лотке не видим, если Outpost Firewall Pro работает в фоновом режиме.
2.4 Язык интерфейса Язык интерфейса задается во время инсталляции Outpost Firewall Pro, но вы всегда можете поменять его при необходимости во время работы. Для этого: 1. Откройте главное окно программы, щелкнув значок в системном меню правой клавишей мыши. 2. Щелкните Настройки на панели инструментов. 3. Выберите необходимый язык из списка Язык интерфейса. 4. Щелкните Применить > OK, чтобы сохранить изменения:
Чтобы изменение языковых настроек вступило в силу, вам необходимо перезагрузить компьютер, на что укажет соответствующее окно после нажатия кнопки OK.
20
2.5 Настройка уведомлений Outpost Firewall Pro позволяет гибко настраивать оповещение о событиях безопасности, происходящих в вашей системе. Используя централизованный список событий, контролируемых Outpost Firewall Pro, вы можете указать те из них, в которых вы заинтересованы, и каждый раз при их наступлении Outpost Firewall Pro будет отображать визуальные оповещения с подробностями событий. Чтобы настроить оповещения Outpost Firewall Pro, щелкните Настройки на панели инструментов и выберите страницу Оповещения. Все события поделены на три категории, в зависимости от их важности. Кроме того, для некоторых событий, помимо визуального, также возможна подача звукового сигнала. Установите отметки напротив тех событий, о которых вы хотите получать уведомления, и щелкните OK. Примечание: •
Если вы не хотите получать новости о Outpost Firewall Pro и других продуктах компании Agnitum, а также информацию о предложениях и акциях Agnitum, снимите отметку в поле Загрузка новостей.
21
3 Базовые настройки Outpost Firewall Pro готов к работе сразу после установки. Настройки продукта по умолчанию оптимизированы для выполнения большинства целей и рекомендуются к использованию до тех пор, пока вы полностью не освоитесь с работой продукта. Когда вы получите достаточное представление о том, как работает Outpost Firewall Pro, вы сможете настроить его функции в соответствии со своими потребностями. В данном разделе дается краткое описание базовых настроек Outpost Firewall Pro, которые могут понадобиться начинающему пользователю на первых стадиях работы с продуктом: как включить и отключить защиту, как создать новую конфигурацию, как защитить свои настройки от несанкционированных изменений и как специально разработанный Игровой режим позволяет вам оставаться защищенным во время игры он-лайн.
3.1 Включение и выключение защиты По умолчанию, Outpost Firewall Pro автоматически загружается при запуске системы, обеспечивая защиту на самой ранней стадии ее работы. О загрузке Outpost Firewall Pro символизирует значок в , значок продукта по умолчанию, отображаемый в виде белого знака вопроса на голубом щите системном лотке в правом нижнем углу панели задач Windows. Если вы видите этот значок, это означает, что Outpost Firewall Pro работает и защищает вашу систему. Дважды щелкните значок, чтобы открыть главное окно Outpost Firewall Pro. Чтобы закрыть главное окно, щелкните крестик в правом верхнем углу. Обратите внимание на то, что при этом вы не выключаете программу. Главное окно сворачивается в значок, который сигнализирует о том, что Outpost Firewall Pro работает и обеспечивает безопасность вашей системы. Чтобы полностью отключить работу продукта (при этом Outpost Firewall Pro перестанет защищать вашу систему), щелкните правой кнопкой мыши значок продукта в системном лотке, щелкните Выход и выберите из списка Выйти из Outpost Firewall Pro и остановить.
Р еж им загрузк и Outpost Firewall Pro позволяет вам задать режим своей загрузки во время загрузки всей системы. Чтобы выбрать один из доступных режимов, щелкните Настройки на панели инструментов. На странице Общие в группе Параметры работы доступны следующие режимы загрузки: •
Обычный. Режим загрузки по умолчанию. Outpost Firewall Pro загружается автоматически при запуске системы, значок продукта отображается в системном лотке.
•
Фоновый. При работе в Фоновом режиме загрузки, Outpost Firewall Pro работает невидимо, не отображая ни значок в системном лотке, ни диалоговые окна. Это делает продукт совершенно невидимым для пользователя, позволяя, таким образом, родителям или системному администратору незаметно для пользователя блокировать нежелательный трафик или содержимое страниц.
Еще одна причина выбрать Фоновый режим - экономия системных ресурсов.
22
Примечание: •
Так как политика режима обучения не поддерживается во время работы Outpost Firewall Pro в фоновом режиме (потому что фоновый режим не поддерживает взаимодействия с пользователями), вам следует заранее определить, какая политика будет применена к Outpost Firewall Pro, когда он загружается в фоновом режиме. Для этого щелкните Настройки на панели инструментов > Брандмауэр и выберите необходимую политику из списка Политика фонового режима:
23
Вы всегда можете запустить Outpost Firewall Pro вручную, щелкнув Пуск > Программы > Agnitum > Outpost Firewall Pro и выбрав Outpost Firewall Pro. Чтобы закрыть интерфейс Outpost Firewall Pro и вернуться в фоновый режим, щелкните значок продукта в системном лотке правой кнопкой мыши и выберите Выход. •
Выключить. При выборе этого режима Outpost Firewall Pro не будет загружаться автоматически при запуске системы. Ваша система не будет защищена.
Приостановка защ иты Outpost Firewall Pro позволяет вам временно приостанавливать защиту на определенный промежуток времени. Это может быть удобно, если вы не хотите полностью останавливать работу продукта, но вам необходимо приостановить защиту системы на короткий период времени во избежание всплывающих окон, например, при установке доверенного программного обеспечения сторонних производителей, проверки каких-либо приложений или выполнении низко-уровневых действий, которые могут быть приняты продуктом за подозрительные. При приостановке защиты Outpost Firewall Pro перестают контролировать какую-либо деятельность; при возобновлении защиты применяется конфигурация, использовавшаяся до приостановки. Чтобы приостановить защиту, щелкните правой кнопкой мыши значок продукта в системном лотке и выберите Приостановить защиту. Вам будет предложено выбрать период времени, по окончании которого защита будет возобновлена:
24
Вы можете возобновить защиту в любое время, щелкнув правой клавишей значок продукта в системном лотке и выбрав параметр Возобновить защиту.
Вы клю чение ком понентов Outpost Firew all P ro Вместо выключения всей защиты Outpost Firewall Pro, вы можете отключить его отдельные компоненты для выполнения необходимых вам задач: •
Чтобы отключить брандмауэр, щелкните Настройки на панели инструментов, выберите страницу Брандмауэр и уберите флажок напротив параметра Включить брандмауэр. Отключение брандмауэра отключает также функционирование компонента Детектор атак. Более подробно см. главу Настройка сетевых соединений.
•
Чтобы отключить компонент Детектор атак, щелкните Настройки на панели инструментов, выберите страницу Детектор атак и уберите флажок напротив параметра Включить детектор атак. Более подробно см. главу Предотвращение сетевых атак.
•
Чтобы отключить компонент Проактивная защита, щелкните Настройки на панели инструментов, выберите страницу Проактивная защита и уберите флажок напротив параметра Включить Проактивную защиту. Более подробно см. главу Защита от действий вредоносных процессов.
•
Чтобы отключить постоянную защиту от вредоносного ПО, щелкните Настройки на панели инструментов, выберите страницу Постоянная защита и уберите флажок напротив параметра Включить постоянную защиту. Более подробно см. главу Постоянная защита.
•
Чтобы отключить сканер почты, щелкните Настройки на панели инструментов, выберите страницу Сканер почты, и снимите отметку в поле Включить сканер почты. Более подробно см. главу Сканирование почтовых вложений.
•
Чтобы отключить компонент Веб-контроль, щелкните Настройки на панели инструментов, выберите страницу Веб-контроль и уберите флажок напротив параметра Включить веб-контроль. Более подробно см. главу Контроль веб-активности.
•
Чтобы отключить внутреннюю защиту Outpost Firewall Pro, щелкните Настройки на панели инструментов и уберите флажок напротив параметра Включить внутреннюю защиту. Более подробно см. главу Защита внутренних компонентов.
Внимание: •
Выключение внутренней защиты может существенно сказаться на безопасности всей системы. Хотя для установки подключаемых модулей, а также использования некоторых 25
дополнительных функций, внутреннюю защиту необходимо выключить, рекомендуется включить ее снова сразу по окончании всех действий.
3.2 Управление защитой Из соображений безопасности, часто очень важно знать в каком состоянии находится ваша защита и иметь возможность быстро определить режим, в котором функционирует каждый из компонентов защиты. Страница Моя безопасность (основная страница, отображаемая при двойном щелчке по значку Outpost Firewall Pro в системном лотке) предоставляет информацию об основных компонентах продукта и их режимах работы, что позволяет вам быстро оценить ситуацию и получить доступ к настройкам каждого из компонентов с помощью единственного щелчка мышью и изменить поведение Outpost Firewall Pro. На странице отображается информация о следующих компонентах Outpost Firewall Pro: •
Брандмауэр. Щелкнув по ссылке статуса в столбце Статус, вы сможете изменить статус брандмауэра. Щелкнув по ссылке с именем политики, вы получите доступ к настройкам брандмауэра и сможете изменить его политику. Подробнее смотрите Выбор политики брандмауэра.
•
Антивирусная защита. Щелкнув по ссылке в столбце Статус, вы можете изменить статус постоянной защиты. Щелкнув по ссылке с уровнем защиты, вы получите доступ к настройкам постоянной защиты. Подробнее смотрите Постоянная защита.
•
Проактивная защита. Щелкнув по ссылке статуса в столбце Статус, вы можете изменить статус проактивной защиты. Подробнее смотрите Защита от действий вредоносных процессов.
•
Веб-контроль. Щелкнув по ссылке статуса в столбце Статус, вы можете изменить статус модуля Веб-контроль. Щелкнув по ссылке с уровнем защиты, вы получите доступ к настройкам модуля. Подробнее смотрите Контроль веб-активности.
•
База сигнатур. Щелкнув по ссылке Обновить, доступной в случае устаревшей базы, вы можете запустить обновление базы. Подробнее смотрите Обновление Outpost Firewall Pro.
•
Лицензия. Отображает тип вашей лицензии или, если вы не зарегистрированный пользователь, позволяет легко пройти процесс регистрации продукта, щелкнув по ссылке Регистрация. Подробнее смотрите Регистрация Outpost Firewall Pro.
Если компонент работает в режиме, отличном от оптимального (рекомендуемого), соответствующая строка подсвечивается желтым, что дает понять, что данный компонент не обеспечивает требуемый уровень защиты. Если компонент выключен, соответствующая строка подсвечивается красным, что дает понять, что данный компонент не защищает вас в данным момент.
3.3 Создание конфигурации Текущее состояние, в котором Outpost Firewall Pro находится в каждый момент времени, характеризуется указанными настройками: правилами для приложений, глобальными правилами, настройками локальной сети, списками исключений для подключаемых модулей и так далее. Совокупность этих настроек называется конфигурацией. Первоначальная конфигурация создается во время установки программы, и после этого вы можете изменять настройки и даже создавать различные конфигурации для различных целей. Это позволяет создавать отдельные конфигурации для каждого пользователя компьютера, предотвращая посещение детьми сайтов с нежелательным содержимым, закрывая им доступ к онлайн-играм или чатам в случае, если они используют компьютер родителей. Также это дает возможность передавать конфигурации с одного компьютера на другой и просто создавать резервные копии ваших настроек. Переключение между конфигурациями осуществляется очень просто.
26
Для создания новой конфигурации щелкните Настройки > Конфигурация > Новая. Мастер настройки поможет вам создать новую конфигурацию:
Первый шаг позволяет вам выбрать режим работы Outpost Firewall Pro. Доступны следующие режимы. Доступны следующие уровни (подробно см. Защита от действий вредоносных процессов): •
Простой – Обеспечивает пониженное число запросов программы, требующих вашей реакции, и рекомендуется в большинстве случаев.
•
Расширенный – Дает больше возможностей управлять предоставлением доступа и рекомендуется в большинстве случаев.
Примечание: •
В зависимости от выбранного уровня безопасности, главное окно Outpost Firewall Pro будет иметь либо Обычный вид (в случае, если выбран Простой режим), либо Расширенный вид (если выбран Расширенный режим). Подробнее смотрите Левая и информационная панели.
Щелкните необходимый режим работы для продолжения. Если вы выбрали Расширенный режим, то отображается шаг Автосоздание правил, позволяющий включить автоматическое создание и обновление правил для известных приложений по мере запроса ими действий (например, доступа в сеть или изменения памяти процесса), а также глобальных правил.
27
Вы так же можете отметить параметр Автоматически обучать Outpost Firewall Pro в течение недели, что позволит программе создать соответствующие правила для приложений самостоятельно. Вы сможете отключить данную настройку или вернуться к ней в дальнейшем, щелкнув значок продукта в системном меню правой кнопкой мыши и выбрав необходимое действие. После того, как вы щелкните Далее, Outpost Firewall Pro автоматически просканирует вашу систему и установит все настройки без вашего участия. Программа настроит сетевые параметры, соберет базу данных Контроля компонентов, и, в случае выбора использования предустановленных правил, обнаружит все известные сетевые приложения, установленные на вашем компьютере, и определит, какой уровень доступа в сеть должен быть установлен для каждого из них:
Щелкните Готово, чтобы применить и сохранить созданную конфигурацию. По умолчанию создаваемая конфигурация получает имя configuration.conf и сохраняется в папке установки Outpost Firewall Pro. Вы можете создать несколько конфигураций на основе текущих настроек, просто присвоив каждой из них отличное имя с помощью команды Сохранить. Для переключения конфигурации выберите Загрузить и укажите файл конфигурации для загрузки. Конфигурация может быть защищена от изменения или смены на другую с помощью пароля. Подробнее см. Защита настроек Outpost Firewall Pro. 28
Примечание: •
При выходе из Outpost Firewall Pro, файл текущей конфигурации сохраняется и автоматически загружается при следующем запуске Outpost Firewall Pro.
3.4 Защита настроек Outpost Firewall Pro Outpost Firewall Pro позволяет вам защитить указанные вами настройки от несанкционированных изменений. Защищенные паролем, настройки программы не могут быть изменены кем-либо кроме вас. Например, вы можете блокировать доступ к нежелательным сайтам для ваших детей и быть уверены, что ваши настройки не будут изменены.
Установка пароля Для того, чтобы установить пароль, щелкните кнопку Настройки на панели инструментов, выберите страницу Конфигурация и отметьте параметр Включить защиту паролем:
Задайте пароль, щелкните OK и подтвердите введенный пароль в появившемся окне. Щелкните еще раз OK, чтобы сохранить пароль - он начнет защищать ваши настройки сразу после закрытия окна диалога ввода пароля. Начиная с этого момента всякому, кто захочет получить доступ к настройкам Outpost Firewall Pro или созданию новой конфигурации, будет выдано сообщение с просьбой ввести пароль.
Изм енение пароля Для того, чтобы изменить пароль, щелкните кнопку Настройки на панели инструментов, выберите страницу Конфигурация и щелкните кнопку Изменить пароль в группе Защита паролем. Задайте и подтвердите новый пароль и дважды щелкните OK.
29
Снятие пароля Для того, чтобы снять пароль, щелкните Настройки на панели инструментов, выберите страницу Конфигурация и уберите флажок напротив параметра Включить защиту паролем. После того, как вы дважды щелкните OK, все настройки продукта станут доступны любому пользователю. Вы также можете защитить службу Outpost Firewall Pro от остановки и удаления, отметив соответствующие флажки в окне диалога. Это может понадобиться, если вы хотите предотвратить выключение установленной вами защиты и ограничений неавторизованными пользователями. Это особенно полезно для родителей, которые хотят контролировать доступ своих детей к Интернету и работодателей, желающих ограничить доступ к сети для своих работников. Отметьте параметр Запрашивать пароль перед ответом на некритические диалоги, если вы хотите, чтобы Outpost Firewall Pro запрашивал пароль при ответе на диалоги Режима обучения и Локальной безопасности. Внимание: •
Пожалуйста, запомните ваш пароль. В случае, если вы забудете пароль, вам придется переустанавливать Outpost Firewall Pro или операционную систему полностью.
30
4 Обновление Outpost Firewall Pro Обновление системы безопасности – это одна из ключевых операций, которую пользователь должен регулярно проводить на своем компьютере. Так как вредоносное ПО появляется достаточно часто, хорошо настроенное средство безопасности окупает затраты времени на установку обновлений. Помимо того, что с помощью обновлений расширяется база вредоносных программы, у нее устраняются ошибки старой версии, выявленные пользователями и специалистами и исправленные инженерами-разработчиками, появляются новые возможности. А учитывая то, что большинство обновлений происходит в фоновом режиме, не стоит лишать себя возможности усилить защиту своего компьютера. Обновление в Outpost Firewall Pro происходит на 100% автоматически, включая загрузку обновленных компонентов, их установку и изменение Реестра. Вследствие того, что для достижения наибольшей степени безопасности необходимо использовать новейшие технологии, обновление Outpost было сделано наиболее простым и удобным. По умолчанию, наличие обновлений проверяется каждый час, но если вам необходимо загрузить обновления в данную минуту, щелкните кнопку Обновление на панели инструментов. Мастер обновлений Outpost Firewall Pro выполнит все необходимые действия, загружая последние доступные компоненты программы, предустановки и базы данных вредоносных сигнатур. После завершения процесса щелкните Готово. Мастер обновлений можно также запустить, щелкнув Пуск > Программы > Agnitum > Outpost Firewall Pro > Обновить. Agnitum позволяет изменить расписание обновлений и предполагает, что вы можете лично принять участие в обновлении правил Outpost Firewall Pro, приняв участие в бесплатной программе Agnitum ImproveNet. Внимание: •
Узнать текущую версию Outpost Firewall Pro и список подключенных модулей можно на странице Обновление настроек продукта.
4.1 Настройка обновлений Чтобы настроить обновления Outpost Firewall Pro, щелкните Настройки на панели инструментов и выберите страницу Обновление:
31
Р асписание Автоматическое обновление происходит ежечасно, тем не менее, вы можете выбрать самостоятельно, когда ваша система безопасности будет загружать обновления. Для этого выберите страницу Обновление, щелкнув Настройки на панели инструментов. В группе Расписание обновлений вы можете выбрать из ниспадающего меню, как часто Outpost Firewall Pro будет загружать обновления. При выборе еженедельного режима доступна возможность выбора дня и конкретного времени для выполнения программой обновлений; при ежедневном обновлении вы так же можете указать конкретное время. При выборе обновлений Вручную обновления не будут проверяться до тех пор, пока вы не щелкните кнопку Обновление на панели инструментов.
Настройк и прокси-сервера Если соединение с Интернет на вашем компьютере происходит через прокси-сервер, вы можете настроить его, щелкнув Настройки прокси-сервера на странице Обновления настроек продукта. Вы можете указать его название и номер порта вручную. Для этого выберите параметр Использовать прокси-сервер в группе Настройки прокси-сервера и введите данные в активизировавшиеся поля Сервер и Порт:
32
При выборе данного параметра вы при необходимости можете указать использование авторизации, отметив флажком параметр Использовать авторизацию на прокси-сервере в группе Авторизация на Прокси-сервере и введя свои Имя пользователя и Пароль. Если соединение с Интернет на вашем компьютере происходит через прокси-сервер, но вы хотите, чтобы закачка обновлений происходила напрямую с сервера разработчика системы безопасности, вы можете выбрать параметр Не использовать прокси-сервер. Если соединение с Интернет на вашем компьютере происходит без участия прокси-сервера, вы можете выбрать параметр Не использовать прокси-сервер или Определять автоматически.
4.2 Agnitum ImproveNet Мы приглашаем вас внести свой вклад в безопасность Интернета, участвуя в бесплатной объединённой программе Agnitum ImproveNet, направленной на улучшение качества, безопасности и функций контроля продуктов Agnitum. С вашей стороны не требуется никаких действий. Вы просто даете свое согласие на сбор некоторых неперсональных данных, который будет производиться раз в неделю для расширения базы данных приложений Outpost Firewall Pro и создания большего числа автоматических правил, доступных пользователям. Это уменьшит количество всплывающих окон, требующих вашего внимания. С вашего согласия, Outpost Firewall Pro будет собирать информацию только о приложениях, установленных на вашем компьютере. Данные собираются полностью анонимно, без имен, адресов или какой бы то ни было другой персональной информации. Outpost Firewall Pro просто собирает данные о сетевых приложениях, для которых не существует правил, новые системные правила, а также общую статистику использования приложений. Информация отсылается в Agnitum раз в неделю в сжатом виде в фоновом режиме, не прерывая вашу работу в системе. После того, как полученное новое правило утверждается в компании Agnitum, оно автоматически становится доступным всем пользователям Outpost Firewall Pro через Обновление Agnitum наряду с другими обновлениями. Пожалуйста, присоединяйтесь к программе Agnitum ImproveNet, чтобы помочь нам в обеспечении большей безопасности пользователей сети Интернет. Выберите команду Параметры > ImproveNet и отметьте флажок Я хочу помочь Agnitum сделать продукт лучше. Вы можете выключить эту возможность в любое время, просто сняв этот флажок:
33
34
5 Настройка сетевых соединений С увеличением использования Интернет-ресурсов растет и необходимость в защите ваших личных данных, хранящихся на вашем компьютере. Соединения, устанавливаемые вашим компьютером, должны быть защищены таким образом, чтобы хакеры не представляли угрозы для вашей системы в то время, когда вы подсоединены к сети Интернет или к домашней сети. Брандмауэр Outpost Firewall Pro предоставляет широкий выбор уровней защиты от полной блокировки доступа в Интернет для всех приложений до разрешения неограниченного доступа. Чтобы активировать брандмауэр, щелкните Настройки > Брандмауэр и поставьте флажок напротив параметра Включить брандмауэр:
5.1 Настройка политики Один из самых полезных и важных параметров Outpost Firewall Pro - его политика. Политика задает, каким образом Outpost Firewall Pro будет контролировать доступ вашего компьютера к Интернету или любой другой сети, к которой он подключен. Например, Режим Блокировки предполагает особенно строгую позицию Outpost Firewall Pro, в то время как Режим Разрешения - наоборот, очень мягкую.
35
Политики Outpost Firew all P ro Outpost Firewall Pro может действовать согласно одной из следующих политик: Значок
Политика
Описание
Блокировать все
Блокирует все входящие и исходящие соединения вашего компьютера (за исключением локального трафика).
Режим блокировки
Блокирует все соединения кроме тех, которые были явно разрешены глобальными правилами или правилами для приложений.
Режим обучения
Помогает создать правила для взаимодействия приложения с сетью при первом запуске приложения.
Режим разрешения
Разрешает все соединения кроме тех, которые были явно запрещены глобальными правилами или правилами для приложения.
Разрешать все
Разрешает все соединения.
Значок, соответствующий каждому из режимов, будет высвечиваться в системном лотке в качестве значка Outpost Firewall Pro. Взглянув на значок в системном лотке, вы сразу сможете сказать, в каком режиме работает система безопасности. Внимание: •
Если Outpost Firewall Pro работает в фоновом режиме, значок не отображается.
Изм енение политики Outpost Firew all P ro Чтобы изменить текущую политику продукта: 1. Щелкните кнопку Настройки на панели инструментов. 2. Выберите страницу Брандмауэр. 3. Выберите необходимую политику, передвигая ползунок вверх или вниз, и щелкните OK. Чтобы полностью отключить брандмауэр, снимите флажок напротив параметра Включить брандмауэр. Подсказка: •
Вы также можете изменить политику системы безопасности через контекстное меню значка Outpost Firewall Pro в системном лотке. Щелкните правой кнопкой мыши на значке, выберите Политики, и щелкните желаемую политику из меню.
Важно: •
Если брандмауэр отключен, компонент Детектор атак также отключен.
Р абота в реж им е невидим ости По умолчанию Outpost Firewall Pro работает в режиме невидимости. Это означает, что ваш компьютер не отвечает на запросы к портам, а блокирует их, становясь, таким образом, 36
невидимым для хакеров. Обычно, когда ваш компьютер получает запрос о соединении с портом, не используемым для входящих и исходящих соединений, он сообщает, что порт не используется, посылая уведомление "порт недоступен". В режиме невидимости ваш компьютер не ответит, как если бы он был не включен или не подключен к сети. В этом случае, пакеты, отправленные к неиспользуемому порту, будут игнорироваться системой безопасности без отправки источнику уведомления ICMP или TCP. Чтобы включить режим невидимости, щелкните Настройки на панели инструментов, выберите страницу Брандмауэр и поставьте флажок напротив параметра Скрытый режим. Внимание: •
Рекомендуется работать в режиме невидимости, если у вас нет особых причин отказаться от него.
Внимание: •
Ввиду того, что политика режима обучения не поддерживается, когда Outpost Firewall Pro работает в фоновом режиме или Игровом режиме (т.к. эти режимы не предполагают взаимодействия с пользователем), вам следует определить, какая политика будет применена к Outpost Firewall Pro, когда он переключается на работу в одном из этих режимов заранее.
5.1.1 Работа в Режиме обучения После первичной установки Outpost Firewall Pro по умолчанию назначается политика Режим обучения. Согласно этой политике, Outpost Firewall Pro выдает сообщение каждый раз, когда доступ к сети запрашивает новое приложение или процесс, для которых еще не определены правила, либо если приложение запрашивает соединение, не охваченное текущим набором правил. Таким образом, Outpost Firewall Pro позволяет вам установить, разрешать ли данному приложению сетевой доступ к данному адресу и порту. Outpost Firewall Pro также позволяет упростить выбор подходящих сетевых параметров для каждого типа приложений. Вместо того, чтобы создавать новое, часто сложное правило, каждый раз при запуске нового приложения Outpost Firewall Pro предлагает вам выбрать один из предварительно заданных наборов правил, основанных на хорошо известных приложениях. Продукт даже порекомендует вам наилучший на его взгляд выбор, и если вы не уверены, какой набор следует предпочесть, просто согласитесь с рекомендацией Outpost Firewall Pro, щелкнув OK.
Сообщение, выдаваемое при работе в Режиме обучения, выглядит следующим образом:
37
Если вы работаете в Режиме обучения, вам будет предложен один из следующих вариантов управления соединением: •
Разрешить этому приложению выполнять любые действия
Для приложений, которым вы полностью доверяете. Все соединения, запрошенные данным приложением, будут разрешены. •
Запретить этому приложению выполнять какие-либо действия
Для приложений, которым вы не разрешаете доступ к сети. Все сетевые доступы для данного приложения будут блокированы. •
Создать правило на основе стандартного
Для приложений, которые могут получить доступ к сети по определенным протоколам, через определенные порты и т.п. Используя набор предварительно заданных оптимальных установок, Outpost Firewall Pro создает для данного приложения правило или набор правил, ограничивающих доступ к сети определенным набором портов и протоколов. Выберите нужное приложение из ниспадающего списка и щелкните OK, чтобы создать правило на основе стандартного для данного приложения. Вы также можете создать собственное правило для данного приложения. Для этого выберите закладку Другие из ниспадающего списка и задайте нужные настройки для правила. Внимание: •
Если приложение запрашивает соединение с сервером, имеющим несколько IP-адресов, Outpost Firewall Pro автоматически обнаруживает все адреса и создает правила для всех IPадресов данного сервера, согласно выбранному вами действию.
•
Разрешить
Позволяет выбрать одно из следующих действий (щелкните по стрелке вниз на кнопке Разрешить для открытия меню): •
Разрешить однократно
Действие по умолчанию. Для приложений, в безопасности которых вы сомневаетесь, но хотите увидеть, что они делают при подключении к сети. Соединение будет разрешено только в этот раз. Для приложения не будет создано правило, и в следующий раз, когда это приложение будет запрашивать доступ к сети, появится то же самое окно. •
Режим автообучения
Разрешает соединение и переключает Outpost Firewall Pro в Режим автообучения, в котором для всех запрошенных соединений создаются разрешающие правила. •
Блокировать
Позволяет выбрать одно из следующих действий (щелкните по стрелке вниз на кнопке Блокировать для открытия меню): •
Блокировать однократно
Действие по умолчанию. Для приложений, которым вы не доверяете, но не хотите блокировать их полностью. Данная попытка соединения будет заблокирована. Для приложения не будет создано правило, и в следующий раз, когда это приложение будет запрашивать доступ к сети, появится то же самое окно. •
Блокировать и завершить
38
Блокирует запрошенное соединение и завершает процесс, его запросивший. Для приложения не будет создано правило, и в следующий раз, когда это приложение будет запрашивать доступ к сети во время следующего запуска, появится то же самое окно. •
Блокировать и добавить в список блокировки
Блокирует запрошенное соединение и добавляет удаленный IP-адрес в список заблокированных IP. Внимание: •
Режим обучения не поддерживается, когда Outpost Firewall Pro работает в Фоновом режиме, так как Фоновый режим не подразумевает взаимодействия с пользователем.
•
Outpost Firewall Pro может выполнять проверку на наличие вредоносного ПО всех процессов, требующих сетевой доступ, для которых не существует правил, и отображать результат проверки в заголовке запроса Режима обучения. Подробнее см. главу Постоянная защита от вредоносных программ.
•
Подробную информацию о создании правил для приложений см. в главе Настройка сетевого доступа для приложений.
•
Если вам необходима помощь в принятии решения при ответе на запрос продукта, щелкните ссылку Помощник, чтобы получить совет по текущему вопросу.
5.1.2 Работа в режиме автообучения Чтобы сократить количество запросов режима обучения, выдаваемых в течение первого времени работы Outpost Firewall Pro, вы можете назначить продукту запоминать (самостоятельно изучать) типичную деятельность вашей системы путем активации режима автообучения. В этом режиме Outpost Firewall Pro предполагает, что деятельность всех новых программ является законной, и, соответственно, разрешает доступ к сети и взаимодействие между процессами для всех требующих этого программ. В то время, когда различные программы устанавливают соединение с Интернет и взаимодействуют с другими программами, Outpost Firewall Pro запоминает их параметры и создает разрешающие правила для всех запрошенных соединений. Согласно этим правилам программы смогут устанавливать соединения после окончания периода автообучения и возвращения продукта к обычному режиму отслеживания сетевой активности, а пользователь уже не будет получать соответствующих запросов - если для запрашиваемого соединения уже существует правило, оно будет определять параметры данного соединения. Чтобы активировать режим автообучения, щелкните правой кнопкой мыши значок Outpost Firewall Pro в системном лотке и выберите Перейти в режим автообучения. Выберите период времени, в течение которого вы хотите обучать Outpost Firewall Pro и щелкните OK. По окончании указанного периода времени продукт автоматически переходит к использованию автоприменения правил и обновлений, а сетевой трафик регулируется правилами, созданными во время периода автообучения и основанными на предустановках. Вы можете вернуться к обычному режиму в любое время, щелкнув правой кнопкой мыши значок Outpost Firewall Pro в системном лотке и выбрав Выйти из режима автообучения. Внимание: •
Режим автообучения может представлять угрозу безопасности для вашего компьютера, так как разрешающие правила создаются для всех приложений, запрашивающих соединения с Интернет. Поэтому, работая в режиме автообучения, не запускайте неизвестных вам приложений или приложений, которым вы не доверяете, и не посещайте сомнительных сайтов.
39
5.1.3 Работа в Игровом режиме Многие пользователи хотели бы избежать появления всплывающих окон и уведомлений, отображаемых продуктом, отвлекающих внимание или захватывающих фокус во время игр или просмотра фильмов, однако при этом хотели бы оставаться защищенными, особенно во время игры online. Outpost Firewall Pro предлагает специальный Игровой режим, в котором защита работает без отображения многочисленных запросов и уведомлений. Как только запускается полноэкранное приложение, например, игра или проигрыватель, Outpost Firewall Pro определяет это событие и предлагает перейти в Игровой режим. В этом режиме продукт использует политику Игрового режима (см. ниже), в котором не отображает никаких оповещений и сообщений поверх полноэкранного приложения, не проверяет обновления и не запускает назначенные задания по проверке системы. Чтобы настроить Outpost Firewall Pro на обнаружение запускаемых полноэкранных приложений и переход в игровой режим, щелкните Настройки на панели инструментов и поставьте флажок напротив параметра Обнаруживать попытки запуска полноэкранных приложений (Игровой режим). Чтобы установить политику Игрового режима, щелкните вкладку Брандмауэр и выберите политику из соответствующего списка. Выбранная политика будет применяться каждый раз при переходе Outpost Firewall Pro в Игровой режим, и возвращаться к установленной до нее при выходе.
Сообщение, выдаваемое при переходе в Игровой режим, выглядит следующим образом:
Если вы хотите включить или выключить Игровой режим для конкретного приложения, щелкните Настройки на панели инструментов, выберите вкладку Правила для приложений и дважды щелкните требуемое приложение. На вкладке Параметры выберите требуемое действие из списка При переходе в полноэкранный режим.
40
Внимание: •
В Фоновом режиме переход в Игровой режим не осуществляется.
•
Если для приложения не существует ни одного правила сетевого доступа, то при переходе в Игровой режим оно помещается в группу Доверенные приложения.
5.1.4 Помощник Во время работы в режиме обучения Outpost Firewall Pro постоянно взаимодействует с пользователем посредством так называемых «диалоговых окон обучения» или запросов. Они могут появиться тогда, когда программа может поступить по-разному в отношении того или иного компонента или элемента или если требуемое соединение не определено ни одним из существующих правил и требуется ответ пользователя. Чтобы помочь пользователю в принятии решения, Outpost Firewall Pro предоставляет дополнительную информацию по предмету и предлагает варианты для дальнейшего поведения, которые доступны при нажатии на ссылку Помощник в окне диалога. В появившемся окне представлена информации, которая может вам пригодиться при выборе того или иного действия для Outpost Firewall Pro. Информация включает в себя свойства исполняемого файла, запрашивающего соединение, описание программ, которым свойственно данное действие, и совет касательно последующего действия.
Окно Помощника выглядит следующим образом:
41
5.2 Настройки локальной сети Основная разница между локальной сетью (LAN) и Интернет состоит в различном уровне доверия к той или иной сети. Локальная сеть, используемая в домашних условиях или в офисе, как правило, состоит из "дружественных" компьютеров, которые обычно принадлежат членам семьи или коллегам. Outpost Firewall Pro позволяет вам обнаружить сети, к которым принадлежит ваш компьютер, и установить свой уровень доступа для каждой из сетей. 5.2.1 Обнаружение локальной сети Обычно настройки локальной сети вашего компьютера устанавливаются автоматически во время установки Outpost Firewall Pro. Однако, вы можете запустить функцию обнаружения сети в любое время, чтобы нормально общаться с остальными компьютерами. Чтобы просмотреть список сетей, в которые входит ваш компьютер, щелкните Настройки на панели управления и выберите страницу Настройки LAN:
42
Автом атическ ое обнаруж ение л окальной сети На странице Настройки LAN щелкните кнопку Определить и Outpost Firewall Pro автоматически обнаружит сети, в которые входит ваш компьютер, и выдаст список их IP-адресов с указанием уровней доступа по умолчанию. Далее вы можете задать нужный уровень доступа для каждой из сетей. Для того, чтобы Outpost Firewall Pro мог автоматически находить новые сети и вам не пришлось бы добавлять их вручную, поставьте флажок напротив параметра Определять новые сети автоматически и щелкните OK, чтобы сохранить настройки.
Добавление сетевого адреса вручную В случае, если вы хотите добавить в список новую сеть или удаленный узел с тем, чтобы задать особый уровень доступа, или если по какой-либо причине Outpost Firewall Pro не обнаружил вашу сеть автоматически, вы можете сделать это вручную. Для этого на странице Настройки LAN щелкните кнопку Добавить и в появившемся диалоговом окне Выбор адреса задайте формат, который вы будете использовать для ввода адреса. Доступны следующие варианты:
43
•
Имя домена. Например, http://www.agnitum.com. В этом случае требуется подключение к сети Интернет, поскольку IP-адреса разрешаются через Интернет. IP-адрес запоминается наряду с заданным вами именем домена, и именно этот IP-адрес будет использоваться Outpost Firewall Pro в большинстве случаев.
•
IP-адрес. Например, 216.12.219.12
•
Подсеть (IP-адрес и маска подсети). Например, 216.12.219.1 - 216.12.219.255
•
IPv6-адрес. Например, 2002::a00:1.
Введите требуемый адрес в том формате, который вы выбрали (можно использовать маски) и щелкните Добавить. Подобным образом вы можете последовательно добавить несколько адресов. Щелкните OK, чтобы они добавились в список в диалоговом окне. Задайте нужный уровень доступа для каждой из сетей и щелкните OK для сохранения настроек.
Удаление адреса из списка Вы можете удалить из списка выбранный адрес или сеть, щелкнув кнопку Удалить. Удаление адреса из списка аналогично заданию для этого адреса уровня Ограниченный доступ к LAN (т.е. снятию флажков NetBIOS и Доверенные). Внимание: •
Более подробно о настройках уровней доступа к сети LAN читайте в главе Настройка уровней доступа для локальной сети (LAN).
5.2.2 Настройка уровней доступа для локальной сети (LAN) Каждый компьютер в локальной сети может получить один из трех уровней доступа к вашему компьютеру: •
NetBIOS. Разрешает разделение доступа к файлам и принтерам между компьютером из локальной сети и вашим компьютером. Чтобы установить этот уровень, отметьте соответствующий флажок NetBIOS для этого адреса.
44
•
Доверенные. Все соединения к и из этой сети разрешены. Чтобы установить этот уровень, отметьте флажок Доверенные для этого адреса.
•
Зона NAT. Отметьте этот параметр, если вы используете программу Internet Connection Sharing и другие компьютерные сети получают доступ в Интернет через ваш компьютер.
•
Ограниченный доступ к LAN. NetBIOS соединения блокируются, все остальные соединения обрабатываются согласно глобальным правилам и правилам для приложений. Чтобы установить этот уровень, уберите оба флажка NetBIOS и Доверенные для этого адреса.
Важно помнить, что узел, относящийся к числу Доверенных, имеет наивысший приоритет. С таким узлом могут соединяться даже запрещенные приложения. Рекомендуется помещать в список Доверенных только СОВЕРШЕННО БЕЗОПАСНЫЕ компьютеры. Если вам нужно только разделение доступа к файлам и принтерам, лучше использовать уровень NetBIOS, а не Доверенные. Если вы не хотите засорять журналы информацией о широковещательных пакетах NetBIOS, вы можете выключить регистрацию этих данных для каждого обнаруженного узла или сети. Выберите адрес в списке и снимите флажок Регистрировать широковещательные сообщения NetBIOS. Это позволит более наглядно представлять информацию в Журнале событий и может улучшить производительность компьютера. Примечание: •
Широковещательные пакеты NetBIOS - это входящие или исходящие UDP-пакеты с адресом отправителя, принадлежащим выбранной подсети, и отправленные на адрес 255.255.255.255 с 137 или 138 порта на этот же самый порт. Такие пакеты, например, используются клиентскими компьютерами для оповещения о своем присутствии в сети.
•
Пожалуйста, обратите внимание, что подключаемые модули Outpost Firewall Pro работают вне зависимости от установленного уровня доступа для сети. Например, если вы добавили к Доверенным сетевым адресам http://www.agnitum.ru, подключаемые модули будут продолжать блокировать баннеры, интерактивные элементы и пр. для этого адреса независимо от того, какой уровень доступа для него установлен.
5.3 Настройка сетевого доступа для приложений Один из основных принципов работы Outpost Firewall Pro - предоставление доступа к сети процессам и приложениям согласно действующим правилам для приложений. Это позволяет задать гибкий доступ к сети и гарантирует, что ни один из процессов не получит неавторизованного доступа в сеть (т.е. доступа, не определенного ни одним из действующих правил). Outpost Firewall Pro создает список установленных приложений и автоматически устанавливает для них правила, но также предусматривает возможность модифицировать список приложений и правила для приложений вручную. Более подробную информацию см. в соответствующих разделах. 5.3.1 Настройка списка приложений Во время создания конфигурации Outpost Firewall Pro обнаруживаются все установленные приложения и создаются правила для известных приложений согласно предварительно заданным настройкам. Чтобы просмотреть список обнаруженных приложений, щелкните кнопку Настройки на панели инструментов и выберите страницу Правила для приложений:
45
Для каждого приложения отображаются два столбца со значками, обозначающими тип правил, применяющихся к приложению брандмауэром (Сетевые) и модулем Локальная безопасность (Anti-Leak). Зеленый цвет значка означает, что соответствующим компонентом к данному приложению применяются только разрешающие правила; красный символизирует только запрещающие правила; желтый говорит о том, что доступ для этого приложения определяется обоими типами правил; отсутствие значка означает отсутствие правил, применяемых к данному приложению соответствующим компонентом. Также вы можете управлять списком приложений, добавляя приложения вручную и удаляя их. Для того, чтобы добавить приложение, щелкните кнопку Добавить. Вам будет предложено найти исполняемый файл приложения в появившемся окне. Найдите его и щелкните Открыть, после чего файл появится в списке. Чтобы назначить на новое приложение индивидуальные правила, выберите его и щелкните Редактировать. В диалоге Редактор правил укажите правила и щелкните OK. Более подробную информацию о том, как создавать и редактировать правила для приложений, см. в разделе Настройка правил для приложений. Чтобы удалить приложение из списка, щелкните кнопку Удалить.
Настройка дополнител ьны х парам етров для прил ож ений Диалоговое окно Редактор правил отображает дополнительную информацию об исполняемом файле (вкладка Общие) и позволяет установить некоторые дополнительные параметры. Щелкните вкладку Параметры, чтобы определить поведение Outpost Firewall Pro при переходе приложения в полноэкранный режим работы и попытках низкоуровневого доступа к сети через rawsocket. Если вы хотите, чтобы приложение всегда использовало или никогда не использовало Игровой режим, выберите соответствующее действие из ниспадающего списка Регистрация событий. Некоторые приложения могут выходить в сеть напрямую с помощью низкоуровневых сокетвызовов, также известных как rawsocket. Данными вызовами невозможно управлять с помощью
46
обычных правил для протоколов или приложений, поэтому они могут являться лазейкой для вредоносных программ или способом доступа в сеть без каких-либо ограничений или правил. Чтобы улучшить защиту вашей системы, Outpost Firewall Pro позволяет вам контролировать доступ к rawsocket. Вы можете определить, каким приложениям разрешено делать вызовы rawsocket, выбрав соответствующее значение в списке Доступ к rawsocket. Если вы хотите, чтобы Outpost Firewall Pro выдавал запрос при каждой попытке приложений получить доступ к rawsocket, выберите значение Спрашивать. Внимание: •
Если вы используете политику по умолчанию - Режим обучения, нет необходимости добавлять приложения в список вручную. Outpost Firewall Pro сам предложит вам создать правила для приложения, первый раз пытающегося получить доступ в сеть.
5.3.2 Настройка правил для приложений Чтобы увидеть список существующих правил для приложения, щелкните Настройки на панели инструментов и выберите страницу Сетевые правила. Выберите приложение и щелкните его два раза левой клавишей мыши. Выберите вкладку Сетевые правила.
Добавление нового правила Чтобы создать новое правило, щелкните Новое:
В редакторе правил вам нужно будет задать следующие параметры:
47
Выберите событие для правила Вы можете выбрать следующие критерии: •
Где направление - входящее или исходящее;
•
Где удаленный адрес - IP-адрес или имя DNS;
•
Где удаленный порт - определенный порт на удаленном компьютере, который будет использоваться для соединения;
•
Где локальный порт - определенный порт на вашем компьютере, который будет использоваться для соединения;
•
Где локальный порт совпадает с удаленным - оба компьютера используют одинаковый порт для соединения. Если указаны значения диапазонов удаленного и локального портов, правило будет срабатывать для всех портов из области их пересечения. Если область пересечения пуста, правило не будет срабатывать.
Выберите критерий для события и задайте нужные настройки, щелкнув подчеркнутое значение в поле Описание правила. Внимание: •
Об использовании макроопределений для задания адресов локальных и удаленных портов см. Использование макроопределений.
Укажите параметры правила Вы можете выбрать следующие действия: •
Оповещать - Уведомляет, когда правило сработало.
•
Активировать динамическую фильтрацию - Включает "динамическую фильтрацию" для этого приложения (после того, как приложение установит соединение с удаленным сервером, все входящие данные с сервера на открытый приложением порт будут разрешены или блокированы согласно установленному правилу).
•
Не регистрировать данную активность - выключает регистрацию активности для этого правила. Если флажок выбран, то при срабатывании этого правила данные не будут записываться в журнал.
Расшифровка правила При выборе действий в предыдущих полях соответствующие сообщения появятся в поле Расшифровка правила. Под указанными критериями для правила вам необходимо будет определить, разрешить или запретить указанное соединение, щелкнув ссылку со значением по умолчанию Разрешать. Убедитесь, что в поле Расшифровка правила не осталось неопределенных параметров. Outpost Firewall Pro автоматически сгенерирует Имя правила на основе заданных параметров. Щелкните OK, чтобы сохранить правило. Правило отобразится в списке. Расшифровка выбранного правила отображается в нижней части окна диалога.
48
Изм енение сущ ествую щ его правила Для того, чтобы изменить уже существующее правило, выделите его в списке и щелкните Изменить. Внесите требуемые изменения, следуя приведенной выше инструкции, и щелкните OK, чтобы сохранить изменения. Выбранные правила активны (включены) и обрабатываются продуктом. Уберите флажок напротив правила, если вы не хотите, чтобы Outpost Firewall Pro выполнял это правило, но не хотите удалять его. Позже вы в любой момент можете включить правило, поставив напротив него флажок. Правила выполняются по порядку сверху вниз. Помните, что Outpost Firewall Pro выполняет первое по списку подходящее для соединения правило и игнорирует все последующие. Чтобы изменить порядок выполнения правил, выделите правило из списка и воспользуйтесь кнопками Вверх/Вниз. Вы также можете копировать выделенные правила внутри приложения и удалять правила, используя соответствующие кнопки. Чтобы скопировать правило из одного приложения в другое, используйте соответствующие кнопки в диалоге Правило. Советы: •
Используйте расшифровку правила в нижней части окна диалога для быстрого изменения параметров.
•
Синим в списке правил помечены правила, созданные Outpost Firewall Pro автоматически. Правила, добавленные пользователем, отображаются черным цветом.
•
Рекомендуется сохранить существующие настройки, прежде чем вносить в них изменения.
•
Более подробно о процессе применения правил см. статью http://www.agnitum.com/support/kb/article.php?id=1000120&lang=ru.
5.4 Настройка сетевого доступа системы Помимо контроля доступа к сети на уровне приложений, Outpost Firewall Pro также предоставляет продвинутым пользователям возможность контролировать трафик всей системы на других уровнях. С Outpost Firewall Pro вы можете воспользоваться следующими преимуществами: •
Определять правила для всех процессов, запущенных в системе - так называемые глобальные правила;
•
Определять правила передачи данных (низкоуровневые правила);
•
Контролировать ICMP-трафик системы.
Подробную информацию см. в соответствующих главах. Внимание: •
Эти настройки предназначены для продвинутых пользователей. При неправильном задании они могут вызвать сбои в работе системы безопасности. В большинстве случаев вам не нужно менять эти правила или добавлять новые.
5.4.1 Настройка глобальных правил Глобальные правила Outpost Firewall Pro применяются ко всем процессам и приложениям на вашем компьютере, которые запрашивают доступ в сеть. Например, создав соответствующие правила, вы можете блокировать весь трафик, идущий по данному протоколу или с данного удаленного узла. Некоторые из установок глобальных правил, подобранные оптимальным образом, Outpost Firewall Pro задает по умолчанию. Для того, чтобы просмотреть список глобальных правил, щелкните на 49
панели инструментов кнопку Настройки, выберите страницу Сетевые правила и щелкните кнопку Системные Правила:
Вы можете добавлять, изменять и удалять глобальные правила так же, как и правила для приложений. Выбранные правила активны (включены) и обрабатываются системой безопасности. Уберите флажок напротив правила, если вы не хотите, чтобы Outpost Firewall Pro выполнял это правило, но не хотите удалять его. Позже вы в любой момент можете включить правило, поставив напротив него флажок. Правила выполняются по порядку сверху вниз. Помните, что Outpost Firewall Pro выполняет первое по списку подходящее для соединения правило и игнорирует все последующие. Чтобы изменить порядок выполнения правил, выделите правило из списка и воспользуйтесь кнопками Вверх/Вниз. Обратите внимание на то, что вы можете задать применение брандмауэром глобальных правил как до, так и после применения правил для приложений, поместив их в соответствующую группу. Вы также можете скопировать выделенное правило и удалять правила, используя соответствующие кнопки. Не рекомендуется удалять встроенные глобальные правила. Подсказка: •
Синим в списке правил помечены правила, созданные Outpost Firewall Pro автоматически. Правила, добавленные пользователем, отображаются черным цветом.
•
Рекомендуется сохранить существующие настройки, прежде чем вносить в них изменения.
•
Более подробно о процессе применения правил см. статью http://www.agnitum.com/support/kb/article.php?id=1000120&lang=ru.
50
5.4.2 Настройка низкоуровневых системных правил Outpost Firewall Pro позволяет контролировать системный трафик, передаваемый драйверами протоколов, использующими IP протоколы, отличные от TCP и UDP, транзитные пакеты и другие данные, не относящиеся к приложениям, которые невозможно контролировать на уровне приложений. Чтобы просмотреть список низкоуровневых правил, щелкните Настройки > Сетевые правила > Системные правила и выберите вкладку Низкоуровневые правила. Вы можете добавлять, изменять и удалять низкоуровневые правила так же, как и правила для приложений. Отличиями в управлении правилами являются следующие: •
Критерии для правила содержат тип IP-протокола, направление, удаленный и локальный адрес;
•
Параметр Пометить правило как Правило с высоким приоритетом позволяет низкоуровневому правилу превалировать над правилами для приложений и глобальными правилами, имеющими более высокий приоритет по умолчанию.
Выбранные правила активны (включены) и обрабатываются системой безопасности. Уберите флажок напротив правила, если вы не хотите, чтобы Outpost Firewall Pro выполнял это правило, но не хотите удалять его. Позже вы в любой момент можете включить правило, поставив напротив него флажок. Правила выполняются по порядку сверху вниз. Помните, что Outpost Firewall Pro выполняет первое по списку подходящее для соединения правило и игнорирует все последующие. Чтобы изменить порядок выполнения правил, выделите правило из списка и воспользуйтесь кнопками Вверх/Вниз. Вы также можете скопировать выделенное правило и удалять правила, используя соответствующие кнопки. Не рекомендуется удалять встроенные низкоуровневые правила. Подсказка: •
Синим в списке правил помечены правила, созданные Outpost Firewall Pro автоматически. Правила, добавленные пользователем, отображаются черным цветом.
•
Рекомендуется сохранить существующие настройки, прежде чем вносить в них изменения.
•
Более подробно о процессе применения правил см. статью http://www.agnitum.com/support/kb/article.php?id=1000120&lang=ru.
5.4.3 Контроль активности протокола ICMP Протокол контроля сообщений Интернет (Internet Control Message Protocol, ICMP) отправляет предупреждающие сообщения и сообщения об ошибках находящимся в сети компьютерам. Outpost Firewall Pro позволяет вам указать типы и направления разрешенных сообщений ICMP. Чтобы задать настройки ICMP, щелкните Настройки на панели инструментов > Сетевые правила и щелкните кнопку Настройки ICMP. В окне диалога Настройки ICMP приводится список основных типов ICMP-сообщений для протоколов ICMPv4 и ICMPv6; вы можете разрешить входящие или исходящие сообщения, поставив напротив соответствующий флажок. Если флажка нет, данное соединение блокируется:
51
Также у вас есть возможность ограничить обмен данными по протоколу ICMPv4 или ICMPv6 приведенным списком типов сообщений и блокировать все остальные соединения, выбрав флажок Блокировать остальные типы ICMP-сообщений на соответствующей вкладке. Примечание: •
Не рекомендуется менять настройки ICMP, если вы не уверены во вносимых изменениях.
5.4.4 Блокировка вредоносных IP-адресов Помимо блокировки адресов с помощью глобальных правил брандмауэра и правил для приложений, Outpost Firewall Pro предоставляет еще один инструмент для гибкого ограничения нежелательного трафика: Блокировка IP. Этот модуль разработан для фильтрации всех входящих/исходящих интернет-соединений по IP-адресам и является полезным подспорьем в руках продвинутых пользователей, обеспечивая полный контроль над сетевой активностью компьютера путем блокировки указанных адресов. Модуль блокирует хакеров, вредоносные сайты и рекламные сети с помощью черных списков, содержащих IP-адреса, соответствующие этим угрозам. Вы можете как создавать свои собственные списки вредоносных IP-адресов - указывая даже диапазон адресов, которые, по вашему мнению, являются небезопасными - или использовать доступные в сети бесплатные готовые списки. И вам не нужно тратить время на создание правил. Модуль Блокировка IP обладает наивысшим приоритетом при обработке трафика, поэтому его приоритет выше даже чем у доверенных приложений и сетей, помеченных как Доверенные. Ни одно приложение, включая саму операционную систему, не может отправлять или принимать данные по протоколу IP или его производным на или с адресов, указанных в списке блокировки. Для включения блокировки адресов откройте настройки Outpost Firewall Pro, выберите страницу Блокировка IP и выберите флажок Включить блокировку IP. В комплекте с Outpost Firewall Pro не поставляются готовые списки IP-адресов, но вы можете либо загрузить специализированные списки или списки общего назначения из сети, либо создать список вручную. Outpost Firewall Pro поддерживает списки различных форматов. Для импорта загруженного списка щелкните Импорт на странице Блокировка IP, найдите файл со списком адресов и щелкните 52
Открыть. Список сохраняется в конфигурации продукта и может быть загружен или сохранен во внешний файл вместе со всеми вашими настройками при изменении конфигурации. Для сохранения списка в виде отдельного файла, щелкните Экспорт, выберите папку для сохранения и щелкните Сохранить. Примечание: •
Проверяйте IP-адреса прежде чем добавлять их в список блокировки, чтобы избежать ложных срабатываний; многие списки, доступные в сети, могут оказаться довольно старыми и некоторые из адресов за время их существования могли стать легитимными.
Для добавления адреса в список вручную, щелкните Редактировать, введите адрес в одном из возможных форматов, укажите комментарий (для того, чтобы в будущем знать, почему вы добавили этот адрес) и щелкните Добавить. Запись появится в списке. Чтобы удалить запись из списка, выберите ее и щелкните Удалить. Для очистки всего списка щелкните Удалить все.
Ф орм аты веб-адресов Вы можете воспользоваться одним из четырех форматов для ввода адреса: •
Доменное имя. Например, http://www.agnitum.ru. В этом случае необходимо наличие интернет-соединения для разрешения имени домена в IP-адрес. IP-адрес сохраняется вместе с введенным именем домена и используется Outpost Firewall Pro для блокировки трафика.
•
IP-адрес. Например, 216.12.219.12.
•
IP-адрес с маской подсети. Например, 216.12.219.1/216.12.219.255.
•
Диапазон IP-адресов. Например, 203.1.254.0-203.1.254.255.
Создание списка бл окировки вручную Если вы хотите создать список самостоятельно с помощью текстового редактора, обратите внимание на следующее: •
Не используйте пробелы между символами.
•
Указывайте номер строки и отделяйте его от данных запятой.
•
Комментарии должны начинаться с символа "решетки" (#).
•
При использовании маски подсети, указывайте ее непосредственно после IP-адреса, разделяя их косой чертой.
•
При указании диапазона адресов, используйте дефис.
Список блокировки должен иметь следующий формат:
1,IP/МАСКА#комментарий (запись IP-адреса с маской подсети) 2,IP1-IP2#комментарий (запись диапазона адресов от IP1 до IP2) 3,host,IP#комментарий (запись DNS-имени) Например:
1,209.133.244.0/209.133.255.255#MEDIASENTRY-MEDIAFORCE 2,203.1.254.0-203.1.254.255#ASIO 3,hop.clickbank.net,209.81.0.46 Для регистрирации заблокированных пакетов и отображения визуальных оповещений при их блокировке выберите соответствующие флажки в группе Действия на странице Блокировка IP. Если вы хотите получать уведомления о блокировке пакетов, откройте страницу Оповещения и установите флажок Блокировка IP из списка.
53
6 Предотвращение сетевых атак Одним из важнейших аспектов защиты с помощью системы безопасности является фильтрация входящих пакетов, используемая для контроля входящей активности и блокировки хакеров и вредоносных программ при их попытке атаковать ваш компьютер. Компонент Детектор атак обнаруживает, предотвращает и оповещает вас обо всех возможных атаках на вашу систему из Интернета и локальной сети, к которой подключен ваш компьютер. Компонент просматривает входящие данные и определяет их законность либо с помощью сравнения контрольных сумм с известными атаками, либо производя анализ поведения. Это позволяет обнаруживать не только известные типы атак, такие как сканирование портов, Отказ от обслуживания (Denial of Service, DoS-атаки), атаки классов 'short fragments' и 'my address' и многие другие, но также и будущие угрозы. Чтобы активировать компонент Детектор атак, щелкните Настройки > Детектор атак и отметьте параметр Включить детектор атак:
6.1 Настройка уровня обнаружения атак Вы можете определить насколько дотошно Outpost Firewall Pro должен себя вести при обнаружении атак, установив требуемый уровень тревоги. Уровень тревоги определяет количество подозрительных пакетов, обнаруженных до того, как Outpost Firewall Pro сообщает об атаке. Для того, чтобы установить уровень тревоги, щелкните Настройки > Детектор атак и передвиньте ползунок в одно из следующих значений: •
Максимальный. Оповещение об атаке отображается даже если обнаружено единичное сканирование одного из ваших портов; обнаруживаются и предотвращаются все атаки как внешней сети, так внутренней.
•
Оптимальный. Оповещение об атаке отображается если просканировано несколько портов или если просканирован один из портов, которые, по мнению Outpost Firewall Pro, 54
обычно используются для атаки; обнаруживаются все внешние атаки за исключением атак 'Фрагментированные ICMP-пакеты' и атак типа 'My address'. •
Низкий. Оповещение об атаке отображается при обнаружении нескольких попыток атаки; атаки типа 'Фрагментированные ICMP-пакеты' и 'My address', как и атаки внутренней сети не обнаруживаются.
Измените уровень тревоги в соответствии с риском, которому подвергается ваш компьютер. или. если у вас возникли какие-либо подозрения, установите максимальный уровень. Вы также можете настроить свой собственный уровень безопасности, щелкнув кнопку Настройка. Вкладка Ethernet позволит вам указать настройки для Ethernet-атак, вкладка Дополнительно поможет вам определить список атак, обнаруживаемых брандмауэром, и указать уязвимые порты для более тщательной проверки. После обнаружения атаки Outpost Firewall Pro может изменять свое поведение, чтобы автоматически защитить вас от возможных будущих атак с этого адреса. Для этого установите флажок Блокировать IP-адрес атакующего на и все данные с атакующего компьютера будут блокироваться в течение указанного промежутка времени. По умолчанию это 5 минут. Также, вы можете блокировать всю подсеть, к которой принадлежит адрес атакующего компьютера, выбрав параметр Блокировать подсеть атакующего. Для получения визуальных и звуковых оповещений об обнаруженных атаках, откройте страницу Оповещения и установите соответствующие флажки в поле Обнаружение сетевых атак.
6.2 Защита от Ethernet-атак Когда данные пересылаются по сети с одного компьютера на другой, исходный компьютер рассылает ARP-запрос для определения MAC-адреса по IP-адресу целевого компьютера. Между временем отправки широковещательного сообщения и ответом с Ethernet-адресом данные могут подвергаться подмене, краже или несанкционированному перенаправлению третьему лицу. Компонент Детектор атак защищает вашу систему также от вторжений со стороны локальной сети. Он обнаруживает и предотвращает некоторые Ethernet-атаки, такие как подделка IP-адреса (IP spoofing), сканирование ARP, ARP-флуд и другие, защищая вашу систему от вторжений из локальной сети. Чтобы указать настройки обнаружения Ethernet-атак, щелкните Настройки > Детектор атак > Настройка:
55
Доступны следующие параметры: •
Включить ARP-фильтрацию
Предотвращает ARP-спуфинг (ARP spoofing) - ситуации, когда узел посылает большое количество ARP-ответов с разными MAC-адресами в течение небольшого промежутка времени, пытаясь перегрузить сетевое оборудование, пытающееся определить какой из этих адресов является реальным для данного узла. Если включена, Outpost Firewall Pro принимает только те ARP-ответы от других узлов, для которых перед этим был послан запрос. Для каждого запроса принимается только первый ARP-ответ. ARP-фильтрация также защищает от т.н. отравления ARP-кэша (ARP cache poisoning), которое происходит когда кто-то перехватывает Ethernet-трафик, используя поддельные ARP-ответы, с целью замены адреса сетевого адаптера на адрес, который атакующий может контролировать. Кроме того, она также предотвращает ARP-флуд (ARP flood) - ситуации, когда большое количество фиктивных ARP-ответов отправляется на целевой компьютер с целью "повесить" систему. •
Обнаруживать подмену IP-адреса и блокировать IP-флуд
Обнаруживает подмену IP-адресов (IP spoofing) атакующего и блокирует большой объем трафика, который может перегрузить компьютер. Этот параметр не может предотвратить флуд в сети, но может защитить компьютер от перегрузки>. •
Предотвращать подмену MAC-адреса шлюза
Обнаруживает попытки атакующего связать IP-адрес сетевого адаптера шлюза со своим MACадресом, чтобы иметь возможность перехватывать пакеты. Хакер может заменить MAC-адрес своим и перенаправить трафик на контролируемый им компьютер, подменяя ARP-ответы, которые Outpost Firewall Pro обнаружит и заблокирует. Это позволяет ему просматривать пакеты и видеть все передаваемые данные. Также это позволяет перенаправлять трафик на несуществующие компьютеры, вызывая замедления в доставке данных или отказ от обслуживания. Подменяя MACадрес на Интернет-шлюзе, специализированные хакерские утилиты-снифферы могут также перехватывать трафик, включая чат-сессии и прочие частные данные, такие как пароли, имена, адреса и даже зашифрованные файлы. •
Защищать мои IP-адреса от ложных сообщений 'IP-адрес уже занят'
56
Обнаруживает ситуации, когда два или более компьютеров имеют один IP-адрес. Такое может случиться, если атакующий пытается получить доступ к сетевому трафику или заблокировать компьютеру доступ в сеть, но также может происходить и санкционировано, если провайдер использует несколько серверов для распределения нагрузки. При включенном параметре, Outpost Firewall Pro блокирует ARP-ответы с одинаковыми IP-адресами (но разными MAC-адресами) и таким образом защищает компьютер от последствий дублирования IP-адресов. •
Блокировать узлы, сканирующие компьютеры в сети
Ограничивает количество ARP-запросов, перебирающих IP-адреса, с одного MAC-адреса за указанный промежуток времени, что может являться сканированием локальной сети. Некоторые массово распространяющиеся вирусы перебирают узлы для распространения с одного компьютера на другой, заражая их по очереди. Этот метод также используется сканерами сети и анализаторами уязвимостей.
6.3 Сканирование портов Компонент Outpost Firewall Pro Детектор атак выполняет две независимые функции: блокирует атаки и обнаруживает попытки сканирования портов. В данном контексте под атакой понимается отправка на ваш компьютер вредоносных данных, которые могут привести к ошибкам в системе (падениям, зависаниям и т.д.), или попытка атакующего получить незаконный доступ к данным, хранящимся на вашем компьютере. Сканирование портов - это попытка определить открытые порты в вашей системе до начала атаки. При получении запроса на соединение (короткого сообщения на компьютерном языке, целью которого является установление соединения через один из портов на вашем компьютере), компонент Детектор атак сохраняет "Запрос на соединение", но, во избежание ложных срабатываний, не считает единичный запрос сканированием портов. Если от одного и того же удаленного узла поступают многочисленные запросы на соединение, компонент предупредит вас о "Сканировании портов". Чувствительность Outpost Firewall Pro в обнаружении сканирования портов (т.е. количество запросов на соединение, которые вызывают появление сообщения о "Сканировании портов") определяется на вкладке Дополнительно (Настройки > Детектор атак > Настройка > Дополнительно > Атаки):
57
По умолчанию, количество запросов портов от одного узла, при котором появляется оповещение для каждого уровня тревоги, равняется: 2 для Максимального, 6 для Оптимального, и 12 для Низкого.
Уязвим ы е порты С точки зрения безопасности, TCP и UDP порты вашей системы поделены на несколько групп в соответствии с вероятностью их взлома. Порты, отведенные для таких уязвимых служб как DCOM или RPC, должны контролироваться более тщательно, так как с большей вероятностью могут являться целью атаки. Однако, если вы используете какие-то нестандартные службы, которым отведены нестандартные порты, то эти порты также могут являться лакомым кусочком для атакующего. Компонент Детектор атак позволяет задать список портов, на которые он будет обращать больше внимания во время слежения за сетевым трафиком. При получении запроса на соединение с портом, котором потенциально может использоваться уязвимой службой (например, 80, 21, 23, 445 и т.д.) модуль будет считать это не единичным обращением, а неким количеством X запросов на соединение от удаленного ПК, где X - вес (важность) этого порта. Вес порта - это десятичное число, обозначающее степень уязвимости этого порта или вероятность его быть использованным для атаки. Чем больше вес, тем более уязвим этот порт. Веса всех портов, запросы к которым были произведены за указанный промежуток времени, суммируются и если это число превысит текущий уровень тревоги, будет показано сообщение "Сканирование портов". Нет объективных критериев для констатации факта сканирования портов. Выставляя чувствительность Детектора атак, вы определяете, после какого количества попыток подключения к вашему ПК вы получите сообщение "Сканирование портов" - по аналогии с тем, как вы решаете, сколько косых взглядов должен бросить на вас человек, прежде чем вы решите что он настроен к вам недоброжелательно.
58
Прим ер Допустим, что установлен Оптимальный уровень тревоги. Вес уязвимого порта 80 - 7; Вес уязвимого порта 21 - 3. Сообщение "Сканирование портов" будет показано, если удаленный узел: •
один раз попытается подключиться к порту 80 вашей системы;
•
один раз попытается подключиться к порту 21 вашей системы и 3 раза к любым другим портам;
•
6 раз попытается подключиться к любым другим портам вашего компьютера.
Чтобы назначить уязвимые порты и посмотреть вес портов, щелкните Настройки > Детектор атак > Настройка > Дополнительно и щелкните Порты в группе Уязвимые порты. Порты, не указанные в списке, имеют вес в соответствии с настройками Веса закрытого порта и Веса используемого порта:
Уязвимые порты разделены на 2 группы: системные порты и malware-порты. Добавьте порты, используемые уязвимыми службами, в список системных портов. Порты, используемые известными вредоносными программами, добавьте в список malware-портов. Выбирайте вкладки в соответствии со списком, который вы хотите изменить. Чтобы добавить порт, щелкните Добавить и укажите следующие параметры: протокол, номер порта и его вес опасности. Вес опасности – это десятичное число, указывающее степень важности данного порта. Чем больше вес, тем более уязвим этот порт. Вы также можете указать комментарий по своему желанию, например, описывающий назначение порта. Щелкните OK, чтобы добавить порт в список. Внимание: •
Чтобы определить временной интервал для определения сканирования портов, измените настройки Детектора атак (Настройки > Детектор атак > Настройка > Дополнительно > Атаки > Дополнительно).
59
•
Более подробную информацию о портах, которые могут быть использованы вредоносными программами, вы найдете в этой статье: http://www.agnitum.ru/support/kb/article.php?id=1000242&lang=ru .
6.4 Список атак Вы можете указать, какие атаки Outpost Firewall Pro должен обнаруживать и блокировать. По умолчанию, продукт определяет более 25 типов атак и вторжений, но вы можете отменить определение некоторых из них, чтобы снизить потребление ресурсов вашей системы или снизить количество ошибочных или слишком частых сообщений, которые появляются, если, к примеру, доверенная служба в вашей сети была ошибочно принята за источник атаки. Чтобы настроить список определяемых атак, щелкните Настройки > Детектор атак > Настройка и щелкните кнопку Атаки на вкладке Дополнительно:
Все выбранные типы атак обнаруживаются брандмауэром. Чтобы исключить какой-либо тип, снимите флажок напротив его названия. Чтобы вернуться к предварительным установкам, щелкните кнопку По умолчанию. Примечание: •
Более подробно о типах атак см. в этой статье: http://www.agnitum.ru/support/kb/article.php?id=1000193&lang=ru.
60
6.5 Список доверенных узлов и портов В вашей сети не исключено наличие компьютеров, которым вы полностью доверяете и которые, вы уверены, не могут являться источником опасности. Также, вы можете быть уверены, что некоторые порты вашей системы не могут являться плацдармом для вторжения. Другими словами, вы полагаете бесполезным слежение за этими узлами и портами и хотите сберечь расходуемые системные ресурсы, перестав следить за ними. Детектор атак позволяет вести списки исключений, в которые вы можете добавить узлы и порты, слежение за которыми вы хотите отключить. Для добавления узла, подсети или порта в список доверенных, щелкните Настройки > Детектор атак > Исключения.
Список доверенны х узлов На странице Узлы и сети щелкните кнопку Добавить и в появившемся диалоговом окне Выбор адреса задайте формат, который вы будете использовать для ввода адреса. Доступны следующие варианты: •
Имя домена. Например, http://www.agnitum.com. В этом случае требуется подключение к сети Интернет, поскольку IP-адреса разрешаются через Интернет. IP-адрес запоминается наряду с заданным вами именем домена, и именно этот IP-адрес будет использоваться Outpost Firewall Pro в большинстве случаев.
•
IP-адрес. Например, 216.12.219.12
•
Подсеть (IP-адрес и маска подсети). Например, 216.12.219.1 - 216.12.219.255
•
IPv6-адрес. Например, 2002::a00:1.
•
Макроадрес. Например, LOCAL_NETWORK. Подробнее об использовании макроопределений адресов для задания адресов локальных или удаленных узлов, см. Использование макроопределений.
Введите требуемый адрес в том формате, который вы выбрали (можно использовать маски) и щелкните Добавить. Подобным образом вы можете последовательно добавить несколько адресов. Щелкните OK, чтобы добавить их в список доверенных. Чтобы удалить адрес из списка, выберите его и щелкните Удалить. Если вы не хотите, чтобы Outpost Firewall Pro обнаруживал атаки, исходящие из сетей, отмеченных на вкладке Настройки LAN как Доверенные, снимите флажок Обнаруживать атаки из доверенных сетей. Чтобы выключить обнаружение атак со шлюзов, снимите флажок Анализировать трафик от шлюзов. Укажите все узлы и подсети, которые вы считаете доверенными, и щелкните OK для сохранения настроек.
Список доверенны х портов Выберите одну из вкладок TCP-порты или UDP-порты в зависимости от того, какой порт вы собираетесь добавить в список доверенных. Вы можете ввести либо номер порта, либо диапазон портов, разделяя их запятыми, или выбрать требуемый порт из списка, дважды щелкнув по нему для добавления в поле. Чтобы удалить порт из списка, просто сотрите его имя или номер в текстовом поле. После указания всех портов, щелкните OK для сохранения настроек.
61
7 Наблюдение за сетевой активностью Для вашего удобства Outpost Firewall Pro отображает все действия системы и события, имеющие место на вашем компьютере, и вы можете наблюдать за ними в режиме реального времени с помощью живого журнала соединений брандмауэра. Брандмауэр предоставляет возможность наблюдения за сетевой активностью системы и портами, используемыми в данный момент запущенными приложениями. Примечание: •
Оба журнала доступны только в Расширенном режиме.
7.1 Сетевая активность Для просмотра текущей сетевой активности вашей системы откройте главное окно Outpost Firewall Pro и выберите узел Сетевая активность в левой панели. На информационной панели отображается список запущенных в системе процессов, имеющих активные соединения. По умолчанию, все соединения конкретного приложения сгруппированы под его именем. Чтобы просмотреть список соединений для приложения, щелкните значок "плюс" ( ) рядом с его именем. Чтобы увидеть все активные соединения всех приложений системы, щелкните правой кнопкой мыши в любом месте информационной панели и выберите команду Переключить сортировку. В этом случае вы увидите список соединений без группировки. В таком режиме "плоского" отображения соединений вы можете сортировать отображаемые данные по значениям в столбцах, щелкнув название соответствующего столбца. Для возвращения в режим по умолчанию щелкните правой кнопкой мыши в любом месте информационной панели и снова выберите команду Переключить сортировку. Вы можете не только менять вид панели, но также влиять на содержимое и количество отображаемых столбцов (данные в некоторых столбцах отображаются только для соединений). Для этого щелкните правой кнопкой мыши в любом месте информационной панели и выберите команду Столбцы. На вкладке Столбцы выберите столбцы, которые вы хотите видеть. Для изменения порядка отображения столбцов используйте кнопки Вверх/Вниз. Чтобы изменить способ отображения портов и адресов, выберите вкладку Строки в диалоге Столбцы и укажите необходимые параметры. Щелкните OK для сохранения настроек.
7.2 Используемые порты Выбрав узел Используемые порты в левой панели главного окна, вы можете увидеть список портов, используемых системой и запущенными приложениями в данный момент. Структура данного журнала повторяет структуру журнала Сетевая активность.
62
8 Защита от действий вредоносных процессов Некоторые вредоносные приложения могут внедряться в легальные программы и осуществлять свои действия от имени доверенных приложений. Например, некоторые трояны могут внедриться в компьютерную систему под видом модуля легальной программы (например, вашего браузера), и таким образом получить привилегии для соединения с компьютером хакера. Другие программы могут запустить процесс в скрытом режиме или захватить память доверенного процесса, притворившись приложением, которое вы не сочтете опасным. Компонент Проактивная защита, входящий в состав Outpost Firewall Pro, не допускает действия таких программ и таким образом полностью защищает вас от Троянов, шпионского ПО и других угроз. Применяя технологии Контроля компонентов, Контроля Anti-Leak, Защита системы, Защита приложений и Защита файлов и папок, он обеспечивает первую линию обороны от вредоносного ПО, проактивно контролируя поведение и взаимодействие приложений на персональном компьютере. Чтобы активировать проактивную защиту, щелкните Настройки на панели инструментов, выберите страницу Проактивная защита и отметьте параметр Включить Проактивную защиту:
8.1 Настройка уровня защиты Anti-Leak Текущая степень защиты характеризуется настройками защиты Anti-Leak, которые представляют собой комбинацию настроек для Контроля Anti-Leak и Контроля компонентов. Чтобы активировать защиту Anti-Leak, щелкните Настройки на панели инструментов, выберите страницу Anti-Leak и отметьте параметр Включить Anti-Leak. Первоначальный уровень безопасности задается во время установки продукта (создания конфигурации), и может быть изменен вами в любое время в соответствии с вашими требованиями. 63
Для изменения уровня безопасности щелкните Параметры на панели инструментов и выберите страницу Anti-Leak. Доступны следующие уровни безопасности: •
Максимальный - обеспечивает наилучшую защиту от всех методов проникновения, часто используемых вредоносными программами для обхода средств безопасности; отслеживаются запросы на соединение от всех новых или измененных компонентов приложений; отслеживается запуск всех новых или измененных исполняемых файлов. При выборе этого уровня повышается число запросов программы, требующих реакции пользователя, поэтому он рекомендуется только для продвинутых пользователей.
•
Повышенный - обеспечивает наилучшую защиту от всех методов проникновения, часто используемых вредоносными программами для обхода средств безопасности; отслеживаются запросы на соединение от измененных компонентов приложений; отслеживается запуск измененных исполняемых файлов.
•
Оптимальный - предоставляет защиту от наиболее опасных методов проникновения; отслеживаются запросы на соединение только от изменившихся исполняемых файлов. В случае выбора Оптимального уровня безопасности, возможен отрицательный результат при прохождении некоторых тестовых программ (ликтестов).
•
Низкий - при выборе этого уровня Контроль Anti-Leak полностью отключается; отслеживаются только изменившиеся исполняемые файлы. Тем не менее. количество запросов программы минимально.
Для более гибкой настройки уровня безопасности, щелкните кнопку Настройка. В появившемся окне вы сможете установить параметры для Контроля компонентов и Контроля Anti-Leak в соответствии с вашими специфическими требованиями. Чтобы вернуться к первоначальному уровню безопасности, щелкните кнопку По умолчанию. Не рекомендуется отключать защиту Anti-Leak. Вы можете отключить эту функцию в том случае, если у вас значительно снизилась скорость работы системы, появились падения или другие системные ошибки, которые ведут к нестабильности системы, и вы хотите убедиться в том, что 64
данные неполадки не вызваны работой Outpost Firewall Pro. Отключение защиты Anti-Leak значительно снижает степень защиты вашей системы, так как больше не отслеживает в полной мере ее деятельность.
8.2 Контроль методов проникновения Существует ряд сложных методов проникновения, позволяющих вредоносным программам обходить защитный периметр компьютера. Контроль Anti-Leak обеспечивает проактивную защиту и позволяет Outpost Firewall Pro блокировать все известные на данный момент методы проникновения, обычно используемые вредоносными программами для обхода средств безопасности (подробнее см. Методы проникновения). Это позволяет предотвратить утечку с компьютера важной информации, обеспечивает больший контроль над происходящим на компьютере и позволяет пользователю противостоять шпионскому ПО, использующему эти методы. Однако, некоторые из этих методов могут использоваться легитимными приложениями для их обычной активности, поэтому крайне важно иметь возможность гибкого контроля, так как простая блокировка соответствующей активности может влиять на стабильность системы и прерывать работу пользователя. Для включения контроля Anti-Leak щелкните Настройки на панели инструментов, выберите страницу Anti-Leak, щелкните кнопку Настройка и поставьте флажок напротив параметра Включить Контроль Anti-Leak. Все методы поделены в соответствии с их типами и производимыми действиями. Вы можете указать должен ли конкретный метод контролироваться Outpost Firewall Pro. Если вы хотите контролировать какой-то метод, щелкните ссылку в столбце Действие и выберите Спрашивать:
Для настройки индивидуальных правил для подозрительной активности конкретного приложения (например, чтобы разрешить какому-либо приложению изменять память других процессов), откройте страницу Правила для приложений и дважды щелкните по нужному приложению. На вкладке Контроль Anti-Leak диалога Редактор правил вы можете изменить поведение Outpost Firewall Pro при обнаружении данной активности этого приложения, щелкнув соответствующую ссылку в столбце Действие и выбрав желаемое действие. Доступны следующие действия:
65
•
Разрешить. Выбранная активность будет всегда разрешаться для всех приложений вашей системы.
•
Блокировать. Выбранная активность будет всегда блокироваться для всех приложений вашей системы.
•
Глобальное значение. Для выбранной активности будет наследовано глобальное значение.
Внимание: •
Любые действия над другими копиями того же процесса разрешаются. Например, Internet Explorer может контролировать другие окна Internet Explorer.
8.3 Контроль компонентов приложения Приложения имеют множество модулей, каждый из которых какой-либо вредоносный процесс может заместить или запрограммировать на выполнение вредоносных для вашего компьютера действий. Outpost Firewall Pro контролирует не только действующие приложения, но и каждый их компонент. Если компонент приложения был изменен и приложение пытается установить соединение, Outpost Firewall Pro сообщит вам об измененном компоненте и спросит разрешения на установление соединения. Отвечающая за это технология называется Контроль компонентов, и ее задачей является отслеживание попыток вредоносных программ получить доступ к сети. Чтобы изменить настройки Контроля компонентов, щелкните Настройки > Anti-Leak > Настройка и выберите вкладку Контроль компонентов. Чтобы включить/выключить Контроль компонентов, поставьте/снимите галочку напротив параметра Включить Контроль компонентов:
Чтобы назначить Outpost Firewall Pro отслеживать все компоненты, регистрируемые в качестве компонентов легитимного приложения, или только изменившиеся компоненты, используйте параметры в группе Отслеживаемые события.
66
Чтобы определить, будет ли Outpost Firewall Pro предупреждать вас о каждом измененном или добавленном компоненте приложений или только об исполняемых файлах, используйте параметры в группе Типы отслеживаемых компонентов. В группе Запуск исполняемых файлов вы можете назначить Outpost Firewall Pro контролировать запуск изменившихся и/или новых исполняемых файлов. Каждый раз при возникновении отслеживаемого события Outpost Firewall Pro отображает диалоговое окно с запросом о дальнейшем действии: разрешить деятельность приложения (и обновить информацию о добавившихся или изменившихся компонентах) или блокировать запуск файла.
Диалоговое окно выглядит следующим образом:
Если вам неизвестен исполняемый файл, щелкните кнопку Помощник, чтобы получить о нем более подробную информацию. Совет: •
Измененные компоненты отображены красным цветом, новые компоненты отображаются зеленым.
•
Для повышения производительности вы можете включить кэширование статуса проверки, отметив параметр Включить технологию SmartScan на странице Общие настроек продукта. При этом Outpost Firewall Pro будет создавать кэшированные файлы, в которых хранится информация, которая с наибольшей вероятностью может быть запрошена, в каждой папке, к которым система будет обращаться в дальнейшем. Обратите внимание, что кэшированные файлы являются невидимыми, поэтому могут вызвать ложные срабатывания со стороны антируткитных технологий.
Управл ение известны м и ком понентам и Вы можете управлять компонентами, которым разрешено использоваться приложениями на вашем компьютере. Outpost Firewall Pro не будет предупреждать, когда известный компонент будет запрашиваться приложением, для которого он не зарегистрирован. По умолчанию в этот список входят все системные компоненты Windows, так как они используются практически всеми приложениями Windows. В любом случае, по своему желанию вы можете изменить этот список. Чтобы изменить список известных компонентов, щелкните Список в группе Известные компоненты на странице Anti-Leak:
67
Компоненты добавляются в этот список автоматически после того, как пользователь выбирает параметр обновления информации об изменившихся компонентах в окне запроса Контроля компонентов. Если вы хотите, чтобы информация о компоненте обновилась в следующий раз, когда какое-либо приложение попытается его использовать, удалите компонент из списка с помощью соответствующих кнопок. Чтобы открыть папку, в которой зарегистрирован выделенный компонент, щелкните кнопку Открыть папку.
8.4 Контроль критических системных объектов Программы, которые вы устанавливаете на свой компьютер, регистрируют свои компоненты в некоторых критических объектах системы. Это делается для того, чтобы система не препятствовала работе новых программ. В свою очередь, вредоносные программы тоже стремятся зарегистрироваться в критических системных объектах, чтобы беспрепятственно выполнять свои действия и не вызывать подозрений у продуктов безопасности. Таким образом, перед выполнением своей непосредственной задачи – нарушить стабильность или безопасность работы системы – целью вредоносных программ является модифицировать критические объекты под свои нужды. Чтобы этого не происходило, наиболее важные критические объекты системы защищаются продуктом. При попытке их изменения Outpost Firewall Pro будет выводить окно обучения и запрашивать пользователя о дальнейшем действии. Чтобы включить Контроль критических системных объектов, щелкните Настройки на панели инструментов, выберите вкладку Защита системы и приложений и поставьте флажок напротив параметра Включить Защиту системы. Для просмотра списка критических системных объектов, которые будут защищены от вредоносных и случайных изменений со стороны различных приложений, щелкните Настройка в группе Защита системы. Более подробная информация об объекте отображается в поле под списком при выделении объекта. Если вы не хотите отслеживать доступ к какой-то группе объектов, щелкните ссылку в столбце Действие и выберите Разрешать. Вы всегда сможете восстановить настройки по умолчанию с помощью кнопки По умолчанию. Чтобы изменить или удалить группу, выберите ее в списке и щелкните соответствующую кнопку. Только созданные вами группы могут быть изменены или удалены. Вы не можете изменять или удалять встроенные группы. 68
Добавление и редактирование групп критических объектов Outpost Firewall Pro предоставляет возможность добавлять собственные группы объектов для защиты их модулем Защита системы. Если вы считаете, что необходимо защитить какие-то объекты вашей системы (файлы, папки или значения реестра), вы можете создать собственную группу, добавить в нее эти объекты и таким образом защитить их от несанкционированных изменений. Для добавления группы щелкните Настройки на панели инструментов, выберите вкладку Защита системы и приложений, щелкните Настройки в группе Защита системы и щелкните Новая. В диалоге Редактор группы укажите имя группы. Затем укажите объект, который вы хотите защитить: вставьте полный путь к файлу, папке ии значению реестра в соответствующее текстовое поле или щелкните на кнопку обзора и найдите объект в системе. После этого щелкните Добавить, чтобы добавить объект в список. Чтобы изменить путь к объекту, выберите объект в списке, укажите новый путь и щелкните Изменить. Пусть к объекту в списке изменится. Щелкните OK для сохранения новой группы, выберите ее в списке и выберите действие Спрашивать, щелкнув ссылку в столбце Действие. Outpost Firewall Pro будет предупреждать вас каждый раз при попытке получения доступа к указанному объекту. Подсказка: •
Группы, автоматически созданные Outpost Firewall Pro, выделены в списке синим цветом. Группы, созданные пользователем, выделены черным.
Исключения Чтобы задать индивидуальные правила обработки доступа к критическим объектам для конкретного приложения (например, разрешить какому-либо приложению изменять объекты в некоторой созданной вами группе), откройте вкладку Правила для приложений и дважды щелкните имя нужного приложения. На вкладке Защита системы диалога Редактор правил вы сможете изменить активность приложения в отношении той или иной группы, щелкнув по ссылке в столбце Действие и выбрав необходимое действие.
69
Подсказка: •
Будьте осторожны при создании собственных правил, так как необдуманная блокировка или отображение запроса при некоторых действиях может повлечь за собой нестабильное поведение системы или невозможность ее загрузки, а также возможное некорректное завершение или работа некоторых приложений. Подробнее о создании безопасных правил см. http://www.agnitum.ru/support/kb/article.php?id=0&lang=ru.
8.5 Контроль критических файлов приложений Outpost Firewall Pro поддерживает список наиболее часто используемых приложений, чьи файлы конфигураций и ключи реестра программа защищает от доступа несанкционированными процессами. Например, Outpost Firewall Pro охраняет пароли и учетные данные, хранящиеся в файлах браузеров, и файлы почтовых ящиков почтовых клиентов. Полный список этих приложений невидим пользователям, но при запуске одного из них Outpost Firewall Pro добавляет его в видимый список, доступный в настройках продукта на вкладке Защита системы и приложений по кнопке Настройки в группе Защита приложений. Если, по какимлибо причинам, вы не хотите защищать какое-то приложение, щелкните ссылку в столбце Статус и выберите Не защищено.
Подсказка: •
Чтобы просмотреть полный список приложений, которые может защищать Outpost Firewall Pro, щелкните ссылку Просмотреть полный список приложений.
Вы также можете указать исключения - приложения, которые будут иметь разрешение на доступ к файлам защищаемых приложений независимо от их статуса в списке. Это может быть полезно, например, для приложений, работающих со всей файловой системой, таких как утилиты резервного копирования или дефрагментации. Чтобы добавить исключение, щелкните кнопку Исключения в группе Защита приложений на вкладке Защита системы и приложений и щелкните Добавить. Укажите местонахождение исполняемого файла приложения и щелкните OK, чтобы сохранить настройки.
70
8.6 Контроль файлов и папок Outpost Firewall Pro обеспечивает возможность защиты файлов и папок на ваших жестких дисках от несанкционированного доступа и изменений. Чтобы защитить файл или папку, щелкните Настройки > Защита файлов и папок и установите отметку Включить защиту файлов и папок. Щелкните Добавить и укажите критичные файлы и папки. Outpost Firewall Pro будет предупреждать вас о каждой попытке доступа к какому-либо объекту из списка.
Примечание: •
Рекомендуется установить пароль на конфигурацию Outpost Firewall Pro, чтобы защитить настройки безопасности файловой системы от несанкционированных изменений.
Приостановка защиты Outpost Firewall Pro позволяет временно приостановить защиту файлов и папок на указанный промежуток времени. Это удобно в случае, если вы не хотите выгружать продукт полностью или приостанавливать все компоненты защиты, а хотите выключить защиту файловой системы на короткий период времени, чтобы избежать излишних всплывающих окон. Это может быть полезно, например, во время установки программного обеспечения или копирования данных в защищаемую папку. При приостановке защиты файлов и папок продукт перестает контролировать доступ к файлам и папкам в списке. Чтобы приостановить защиту, щелкните правой кнопкой мыши значок программы в системном лотке и щелкните Приостановить защиту файлов и папок. Укажите промежуток времени для приостановки защиты, по истечении которого она будет возобновлена. Вы можете возобновить защиту в любое время, щелкнув правой кнопкой мыши значок программы и выбрав Возобновить защиту файлов и папок.
71
8.7 Наблюдение за активностью процессов Для просмотра списка процессов системы, активных на текущий момент, выберите Активные процессы в главном окне продукта. В верхней части правой панели отображается дерево процессов где, по умолчанию, процессы группируются под именем своего процесса-родителя. Используйте команду Переключить сортировку в контекстном меню процесса для переключения в режим "плоского" отображения процессов, в котором вы можете сортировать отображаемые данные по значениям в столбцах, щелкнув название соответствующего столбца. Для возвращения в режим по умолчанию щелкните правой кнопкой мыши в любом месте информационной панели и снова выберите команду Переключить сортировку. Вы можете не только менять вид панели, но также влиять на содержимое и количество отображаемых столбцов. Для этого щелкните правой кнопкой мыши в любом месте информационной панели и выберите команду Столбцы. На вкладке Столбцы выберите столбцы, которые вы хотите видеть. Для изменения порядка отображения столбцов используйте кнопки Вверх/Вниз. Столбец Статус показывает, является ли данный процесс подписанным доверенным производителем или известным через систему ImproveNet (Доверенный) или неизвестен продукту (Неизвестный).
Вы можете остановить любой процесс или поместить исполняемый файл процесса в карантин с помощью соответствующих команд в контекстном меню процесса. В нижней части панели отображается список всех зарегистрированных модулей данного процесса. Для каждого модуля приводится его описание и имя разработчика. Если вы считаете, что какой-то неизвестный модуль внедрился в легитимный процесс, вы можете немедленно поместить его в карантин, щелкнув В карантин на панели инструмента данного представления. Будучи помещенным в карантин, модуль не сможет причинить вреда вашему компьютеру. 72
Наблюдение за активностью файлов и реестра Outpost Firewall Pro также предоставляет возможность отслеживать все операции конкретного процесса, которые он производит с файлами и реестром. Эта функциональность исключительно полезна при анализе активности системы и помогает определить подозрительные процессы и действия. Выберите интересующий вас процесс в представлении Активные процессы и щелкните Включить монитор на панели инструментов представления. На экране появится журнал Доступ к файлам и реестру, отображающий в режиме реального времени все операции над файлами и значениями реестра, которые выполняет данный процесс. Для каждой операции выводятся текст запроса и путь к файлу или ключу реестра, представляя полную картину активности процесса.
При необходимости отслеживания активности нескольких процессов или лишь некоторых событий вы можете настроить соответствующий фильтр с помощью команды Фильтр на панели инструментов представления. Укажите процессы, которые необходимо включить в отображение или исключить из него, разделяя их запятыми (допускается использование масок), выберите действия для отслеживания и нажмите Применить для отображения требуемой информации. Подсказка: Если вы установите флажок в поле Подсвечивать подозрительные записи, Outpost Firewall Pro будет подсвечивать те операции, которые выполняются над объектами, защищенными модулем Защита системы. Регистрация всех файловых операций и операций со значениями реестра может быть весьма требовательной к ресурсам задачей, оказывающей существенное влияние на производительность системы. Не рекомендуется оставлять монитор включенным, если это не столь необходимо в данный момент. Чтобы остановить регистрацию файловых операций и операций с реестром, щелкните Выключить на панели инструментов представления. Примечание: •
Журнал доступен только в Расширенном режиме. 73
9 Защита от вредоносного ПО Вредоносное программное обеспечение является растущей проблемой, затрагивающей множество пользователей персональных компьютеров. Все чаще пользователи подвергаются атакам вредоносных программ (как правило, не зная об этом), которые заражают системы, собирают информацию о статистике посещений веб-страниц, установленных на компьютере приложениях и другие личные данные, которые затем отсылаются третьей стороне; шпионское программное обеспечение отслеживает действия пользователя без его на то согласия. Вредоносное ПО может изменять тексты почтовых сообщений, модифицировать содержимое файлов на жестком диске, показывать назойливые рекламные объявления, менять адрес домашней страницы вашего браузера. И, наконец, если всего вышеперечисленного оказалось недостаточно, резидентное вредоносное ПО отнимает значительное количество системных ресурсов, иногда существенно снижая скорость работы вашего компьютера. Компонент Антишпион создан для того, чтобы предупредить нежелательные и несанкционированные действия вредоносных программ и чтобы ваш компьютер оставался защищенным от любых вредоносных программ, представляющих угрозу системе во время навигации в сети.
9.1 Проверка системы Общее сканирование системы позволяет проверять жесткие диски, сетевые папки, DVD-диски и внешние запоминающие устройства и удалять найденные зловредные программы согласно вашим целям. Исключив определенные файлы и папки из процесса сканирования (если вы абсолютно уверены в том, что они не подвержены воздействию вредоносных программ), вы сможете просканировать именно те области, которые вам необходимы. Если вы не осуществили проверку системы во время установки Outpost Firewall Pro, рекомендуется выполнить полное сканирование сразу после завершения установки, чтобы проверить систему на наличие в ней вредоносных программ. Чтобы это сделать, запустите Сканер вредоносных программ, щелкнув кнопку Проверка системы на панели инструментов. Вы также можете запустить сканирование, не открывая главного окна программы, а щелкнув правой клавишей мыши значок продукта в системном меню и выбрав функцию Проверить систему. Мастер поможет вам задать нужные настройки для проверки системы и проведет вас через весь процесс сканирования. При подключении съемного устройства хранения данных (например, USB флэш-диска), Outpost Firewall Pro автоматически определяет его и предлагает проверить на наличие вредоносных программ (по умолчанию). Если вы выберете проверку диска, будет выполнена быстрая проверка в фоновом режиме в соответствии с настройками профиля Проверка съемных дисков. Вы можете изменить это поведение, щелкнув Настройки на панели инструментов, выбрав страницу Антишпион и выбрав желаемое действие в группе Проверка съемных дисков. Вы также можете указать максимальный размер диска - устройства с дисками, чьи размеры превышают указанное число, будут игнорироваться Outpost Firewall Pro. 9.1.1 Выбор типа проверки Первый шаг - выбор типа сканирования системы:
74
Вы можете выбрать одну из следующих проверок: •
Быстрая проверка системы. Во время быстрой проверки Outpost Firewall Pro выполнит быстрое сканирование системы, проверив ее уязвимые места (такие как запущенные в памяти процессы, уязвимые ключи реестра, уязвимые файлы и папки). Рекомендуется для ежедневного использования.
•
Полная проверка системы. Полная проверка выполняет глубокий анализ реестра и файловой системы, а также еще несколько проверок (проверка запущенных в памяти процессов, сканирование cookies, сканирование параметров автозапуска). Используйте эту проверку для первого сканирования системы на наличие вредоносного ПО. Операция может занять значительное время в зависимости от скорости работы вашего процессора, количества приложений, установленных на вашем компьютере, и количества данных, хранящихся на жестких дисках.
•
Выборочная проверка. Выборочная проверка позволяет проверить только указанные местоположения. Вы можете выбрать один из вариантов, описанных выше, или щелкнуть Настройка и выбрать какие именно объекты должны быть проверены в вашей файловой системе и какие действия необходимо предпринимать при обнаружении вредоносного ПО.
•
Использовать профиль сканирования. Данный параметр позволяет выбрать один из пользовательских профилей сканирования, созданных вами. Параметр доступен, если существует хотя бы один пользовательский профиль сканирования.
Совет: •
Для повышения производительности вы можете включить кэширование статуса проверки, отметив параметр Включить технологию SmartScan на странице Общие настроек продукта. При этом Outpost Firewall Pro будет создавать кэшированные файлы, в которых хранится информация, которая с наибольшей вероятностью может быть запрошена, в каждой папке, к которым система будет обращаться в дальнейшем. Обратите внимание, что кэшированные файлы являются невидимыми, поэтому могут вызвать ложные срабатывания со стороны антируткитных технологий.
75
Создание проф иля сканирования Профиль сканирования - это набор заранее определенных настроек сканирования, которые будут применены к проверке системы. Создавая профили сканирования согласно вашим потребностям, вам не придется каждый раз указывать настройки заново, когда вам нужно будет проверить систему. Вместо этого вы сможете просто выбрать название профиля из списка и все настройки будут применены для выполнения проверки. Чтобы создать новый профиль сканирования, щелкните Настройки > Профили и расписание и в группе Профили проверок щелкните Новый. В появившемся диалоговом окне задайте название для профиля и щелкните OK, чтобы продолжить. В окне Профиль проверки вы сможете определить объекты сканирования и другие параметры. После задания настроек щелкните OK, чтобы сохранить ваш профиль, и он появится в списке Профили проверок. Вы можете редактировать и удалять все профили (за исключением профилей Полная проверка системы и Быстрая проверка системы, установленных по умолчанию) в любое время, используя соответствующие кнопки. После выбора типа проверки щелкните Далее, чтобы продолжить. 9.1.2 Настройка проверки на наличие вредоносного ПО При нажатии на кнопку Настройка откроется диалог Выборочная проверка, который позволит вам выбрать объекты, диски, папки и файлы, которые вы хотите просканировать, а также действия, которые необходимо выполнить с обнаруженными объектами. Те же настройки доступны при изменении профиля сканирования в диалоговом окне Профиль проверки.
На вкладке Общие вы можете указать следующие настройки. Вы можете ограничить проверку системы только определенными типами файлов. Для этого отметьте параметр Выбранные расширения файлов. Чтобы изменить список расширений, щелкните кнопку Расширения. Типы файлов, наиболее часто содержащие зловредный код, уже внесены в список для вашего удобства. Тем не менее, вы можете редактировать список, добавлять или удалять типы файлов согласно вашим целям.
76
Если во время проверки вы хотите использовать эвристический анализ, выберите флажок Эвристический анализ в группе Методы проверки и укажите желаемый уровень обработки. Если вы не хотите сканировать файлы больше определенного размера, отметьте параметр Пропустить файлы, размер которых превышает и выберите требуемый размер. Также вы можете выбрать проверку встроенных OLE-объектов, выбрав соответствующий флажок. Если вы считаете, что ваши архивные файлы также могут содержать угрозы, вы можете выбрать флажок Проверять содержимое архивов и ограничить размер проверяемых архивных файлов, выбрав флажок Пропустить архивы, размер которых превышает и указав максимальный размер архива для проверки. Чтобы указать список проверяемых объектов, выберите вкладку Объекты и укажите требуемые объекты. Чтобы добавить папку в список, щелкните кнопку Добавить в окне Выбрать папки и с помощью функции Обзор выберите требуемые объекты. Чтобы добавить выбранный объект, щелкните OK, чтобы удалить - щелкните Удалить. Чтобы настроить поведение сканера, на вкладке Действия определите действие, которое он должен производить над обнаруженными вредоносными программами. Возможны следующие действия: •
Показать все. В данном случае все обнаруженные объекты будут отображены после окончания проверки, и вы сможете выбрать для них дальнейшее действие индивидуально.
•
Лечить. При обнаружении подозрительного объекта Outpost Firewall Pro попытается его вылечить. Если объект не может быть вылечен, он будет автоматически помещен в карантин.
•
Удалить. Outpost Firewall Pro удалит обнаруженные вредоносные объекты.
Если вы хотите поместить обнаруженные объекты в карантин, выберите флажок Поместить в карантин, если возможно. Чтобы вернуться к настройкам по умолчанию, щелкните кнопку По умолчанию. После того, как вы указали все желаемые настройки, щелкните OK для сохранения. Примечания: •
Независимо от выбранного действия любая активность вредоносных программ блокируется сразу после их обнаружения.
•
Outpost Firewall Pro проверяет файлы, содержащиеся в архивах ZIP, RAR и CAB.
9.1.3 Сканирование выбранных объектов После того, как вы щелкните кнопку Далее, программа начнет сканирование выбранных объектов. В окне состояния отображаются общее число проверенных объектов и число обнаруженных потенциально опасных объектов:
77
Процесс сканирования может быть запущен в фоновом режиме. Если вы хотите работать с Outpost Firewall Pro во время осуществления проверки, щелкните кнопку Фоновый, и сканер будет свернут в индикатор процесса на информационной панели. Чтобы снова отобразить окно, выберите страницу Антишпион в левой панели главного окна и щелкните Подробно в группе Сканирование системы на информационной панели. Вы можете остановить процесс сканирования и перейти к результатам в любое время, щелкнув Отмена. По завершении проверки список обнаруженных объектов (если таковые были) отображается автоматически. Если ваша система чистая, т.е. никаких подозрительных объектов обнаружено не было, отобразятся результаты проверки. 9.1.4 Удаление обнаруженных объектов Шаг Выбор объектов для удаления позволяет вам просмотреть обнаруженное вредоносное ПО и удалить его из вашей системы. Для каждого объекта отображается степень риска, категория, к которой он был отнесен, и возможное последующее действие над ним:
78
Щелкните два раза мышью на объекте, чтобы просмотреть места на вашем компьютере, где он был обнаружен. Чтобы изменить выбранное действие, щелкните объект правой кнопкой мыши и выберите желаемое действие из контекстного меню. Отметьте действия, которые вы хотите совершить над объектами, флажками и щелкните Далее. После этого Outpost Firewall Pro приступит к выполнению заданных действий - лечению объектов, удалению из памяти и тех мест, где они зарегистрированы, или помещению в карантин, так что при желании вы в любое время сможете их восстановить, если используемые вами приложения не смогут без них работать, или удалить из системы полностью. Помещенное в карантин программное обеспечение не может нанести вреда вашей системе. Более подробно об использовании карантина для вредоносных программ см. в статье Карантин вредоносных программ. Программное обеспечение, которое вы решили не удалять, будет оставлено без изменений и продолжит работу в вашей системе. Подсказка: •
Если вам известно, что некоторые из обнаруженных программ не являются вредоносными, а являются законными программами, и вы не хотите, чтобы Outpost Firewall Pro обращался с ними как с вредоносными (например, хотите, чтобы в каком-то бесплатном программном продукте отображалась реклама), вы можете добавить эти программы в список исключений. Outpost Firewall Pro игнорирует программы из списка и не будет отображать предупреждения, обнаружив их работу. Также эти программы не будут отображены в списке обнаруженных вредоносных программ. Вы также можете указать файлы и папки, которые не будут проверяться Outpost Firewall Pro на наличие вредоносного ПО. Чтобы добавить обнаруженный объект в исключения, щелкните его имя правой кнопкой мыши и выберите либо Добавить угрозу в исключения или Добавить файл в исключения соответственно. Позже вы сможете удалить программы и папки из списка исключений, воспользовавшись кнопкой Исключения на странице Антишпион свойств продукта.
Важно: •
В действительности, cookie не являются вредоносным ПО, но могут быть использованы для кражи информации с вашего компьютера. Шпионское программное обеспечение, установленное на вашем компьютере, может записывать информацию в файлы cookie, и при посещении соответствующих страниц информация может быть переправлена третьему лицу.
9.1.5 Просмотр результатов сканирования На последнем шаге мастер отображает отчет по результатам сканирования, из которого вы можете узнать число обнаруженных, вылеченных, удаленных и помещенных в карантин вредоносных объектов, а также другую информацию о сканировании системы:
79
После просмотра результатов щелкните Готово, чтобы завершить работу мастера. Внимание: •
Для того, чтобы просмотреть объекты, обнаруженные и удаленные компонентом Антишпион, откройте Журнал событий в левой панели и выберите журнал Антишпион.
9.2 Постоянная защита от вредоносных программ Компонент Антишпион обеспечивает постоянную защиту от шпионских программ и вирусов в реальном времени. Когда постоянная защита включена, все уязвимые объекты системы находятся под постоянным наблюдением, чтобы гарантировать, что вредоносное ПО будет обнаружено прежде, чем сумеет нанести вред. Чтобы включить постоянную защиту, откройте свойства компонента, щелкнув Настройки > Постоянная защита и поставив флажок Включить постоянную защиту:
80
Вы можете выбрать один из трех уровней постоянной защиты: •
Максимальный. Предотвращает все попытки доступа к файлам, зараженным известными вредоносными программами; проверяет все фиксированные, съемные и сетевые диски; проверяет встроенные OLE-объекты; использует глубокий уровень эвристического анализа новых угроз; пропускает файлы размером более 50Мб.
•
Оптимальный. Проверяет файлы при любой попытке доступа; проверяет все фиксированные и съемные диски; использует глубокий уровень эвристического анализа новых угроз; пропускает файлы размером более 50Мб.
•
Облегченный. Предотвращает запуск известных вредоносных программ; проверяет только фиксированные диски; пропускает файлы размером более 20Мб.
Если вы хотите указать индивидуальные настройки уровня постоянной защиты, щелкните Настройка. В открывшемся диалоге на вкладке Общие вы можете гибко установить параметры проверки: указать диапазон защиты, включить использование эвристического анализа и проверку встроенных OLE-объектов, а также указать максимальный размер проверяемых архивов. Выберите вкладку Дополнительно, чтобы указать режим работы постоянной защиты. Выберите Проверять файлы при любой попытке доступа, чтобы предотвращать любые попытки доступа к файлам, зараженным известными вредоносными программами. Учтите, что этот режим может существенно влиять на производительность системы. Или выберите Проверять файлы при запуске, если хотите предотвращать запуск известных вредоносных программ, но не хотите ограничивать другие попытки доступа, такие как копирование вредоносных файлов или просмотр содержимого папок, где они находятся. Вы также можете указать типы файлов для проверки, выбрав параметр Выбранные расширения файлов, щелкнув кнопку Расширения и указав расширения, которые вы хотите проверять. После указания настроек проверки, щелкните OK для сохранения. Чтобы вернуться к настройкам по умолчанию, щелкните кнопку По умолчанию.
81
Совет: •
Для повышения производительности вы можете включить кэширование статуса проверки, отметив параметр Включить технологию SmartScan на странице Общие настроек продукта. При этом Outpost Firewall Pro будет создавать кэшированные файлы, в которых хранится информация, которая с наибольшей вероятностью может быть запрошена, в каждой папке, к которым система будет обращаться в дальнейшем. Обратите внимание, что кэшированные файлы являются невидимыми, поэтому могут вызвать ложные срабатывания со стороны антируткитных технологий.
При обнаружении зараженной или подозрительной программы Outpost Firewall Pro будет выполнять действия, указанные на странице Постоянная защита в группе Действия при обнаружении вредоносных объектов. Следующие действия могут выполняться с зараженными программами: •
Лечить. При обнаружении зараженного объекта Outpost Firewall Pro попробует вылечить его.
•
Спрашивать. Outpost Firewall Pro отобразит запрос на действие с обнаруженной вредоносной программой.
•
Блокировать. Outpost Firewall Pro заблокирует обнаруженную вредоносную программу, не дав ей возможности выполнить свою активность.
Следующие действия могут выполняться с подозрительными программами: •
Спрашивать. Outpost Firewall Pro отобразит запрос на действие с обнаруженной вредоносной программой.
•
Удалить. Outpost Firewall Pro удалит обнаруженную вредоносную программу.
•
Блокировать. Outpost Firewall Pro заблокирует обнаруженную вредоносную программу, не дав ей возможности выполнить свою активность.
Аналогичные действия могут выполняться над объектами, которые не удалось вылечить. Если вы хотите поместить обнаруженный объект в карантин, выберите флажок Поместить в карантин, если возможно. Вы также можете настроить отображение визуальных и проигрывание звуковых оповещений при обнаружении угроз, выбрав страницу Оповещения и поставив соответствующие флажки. Outpost Firewall Pro будет отображать оповещение и проигрывать указанный звуковой файл каждый раз при обнаружении, лечении или помещении в карантин вредоносного объекта. Это позволяет вам быть в курсе того, какие из запускаемых вами программ и посещаемых сайтов подвергают вас риску заражения или, по крайней мере, являются подозрительными. Если вы хотите исключить из проверки какие-либо папки, щелкните Исключения на вкладке Антишпион, выберите вкладку Пути и щелкните Добавить. Выберите папку и щелкните OK, чтобы добавить ее в список. Примечание: •
Чтобы просмотреть список объектов, обнаруженных и удаленных компонентов Антишпион, выберите Журнал событий в главном окне и щелкните журнал Антишпион.
82
9.3 Сканирование почтовых вложений Одним из самых простых путей для червей, Троянов и прочих вредоносных программы попасть на ваш компьютер является электронная почта. Сотни самовоспроизводящихся программ используют для рассылок базы электронных адресов ничего не подозревающих пользователей. Стоит пользователю только запустить вложенный файл, как сетевой червь или вирус начинает выполнять вредоносные действия, инфицируя систему и заставляя ее нестабильно работать. Outpost Firewall Pro защищает вас от вложений, содержащих вирусы и сетевые черви, проверяя вложения входящих почтовых сообщений и отфильтровывая потенциально опасные:
Чтобы включить почтовый сканер, щелкните Настройки на панели инструментов, выберите страницу Сканер почты и установите флажок Включить сканер почты. Вы можете выбрать один из трех уровней защиты: •
Максимальный. Сканируется как входящая, так и исходящая почта. Используется обычный уровень эвристического анализа новых угроз. Пропускаются файлы размером более 5Мб. Проверяются встроенные OLE-объекты.
•
Оптимальный. Сканируется как входящая, так и исходящая почта. Пропускаются файлы размером более 5Мб.
•
Облегченный. Сканируется только входящая почта. Пропускаются файлы размером более 5Мб.
Если вы хотите создать свой уровень защиты, щелкните кнопку Настройка. На вкладке Общие вы можете гибко выбрать настройки проверки: указать требуемый диапазон защиты, включить использование эвристического анализа и проверку встроенных OLE-объектов, а также указать максимальный размер проверяемых файлов и максимальный размер проверяемых архивных файлов.
83
Ф ильтр почтовы х влож ений Если вы считаете определенные типы вложений потенциально опасными даже после прохождения сканирования (например, сканер может просто не распознавать новые появившиеся вирусы) или вы по каким-то причинам отключили сканирование почты, вы все равно сможете предотвратить потенциальную опасность, возникающую при открытии или запуске подобных файлов. Фильтр вложений запускается после сканирования почты на наличие вредоносных программ. Он помещает в карантин или удаляет файлы определенного типа согласно настройкам на вкладке Фильтр вложений диалога Сканер почты. Выберите Переименовывать вложения с выбранными расширениями, если вы хотите изменить расширение файлов, или Помещать в карантин вложения с выбранными расширениями, чтобы изолировать их от остальных документов и поместить в карантин Outpost Firewall Pro. Наиболее часто встречающиеся типы файлов, которые могут содержать вредоносный код, уже содержатся в списке, тем не менее, вы можете редактировать список, добавлять или удалять расширения файлов в зависимости от ваших целей. Чтобы вернуться к первоначальному списку, щелкните кнопку По умолчанию. Если вы не хотите, чтобы фильтр переименовывал или помещал в карантин какие-либо вложения, выберите опцию Отключить фильтр вложений. Чтобы Outpost Firewall Pro отображал визуальные оповещения при обнаружении переименовании вложений, выберите страницу Оповещения в окне настроек продукта и установите флажок в поле Переименование вложений. После указания настроек проверки, щелкните OK для сохранения. Чтобы вернуться к настройкам по умолчанию, щелкните кнопку По умолчанию. При обнаружении зараженной или подозрительной программы Outpost Firewall Pro будет выполнять действия, указанные на странице Сканер почты в группе Действия при обнаружении вредоносных объектов. Следующие действия могут выполняться с зараженными программами: •
Лечить. При обнаружении зараженного объекта Outpost Firewall Pro попробует вылечить его.
•
Удалить. Outpost Firewall Pro удалит обнаруженную вредоносную программу.
Следующие действия могут выполняться с подозрительными программами: •
Удалить. Outpost Firewall Pro удалит обнаруженную вредоносную программу.
•
Пропустить. Outpost Firewall Pro пропустит обнаруженный объект в ваш почтовый ящик.
Аналогичные действия могут выполняться над объектами, которые не удалось вылечить. Если вы хотите поместить обнаруженный объект в карантин, выберите флажок Поместить в карантин, если возможно. Чтобы Outpost Firewall Pro отображал визуальные оповещения о событиях почтового сканера, выберите страницу Оповещения в окне настроек продукта и установите соответствующие флажки. Внимание: •
Поддерживаются только протоколы IMAP, POP3 и SMTP. Outpost Firewall Pro не поддерживает клиент Microsoft Exchange.
84
9.4 Карантин вредоносных программ По умолчанию обнаруженное вредоносное ПО Outpost Firewall Pro не удаляет полностью с вашего компьютера, а помещает в специальное изолированное место - "карантин" - чтобы в дальнейшем иметь возможность восстановить его в случае необходимости (если вы решите, что удаленный объект не наносил вреда системе). Объекты, помещенные в карантин, не могут нанести вреда вашему компьютеру. Помещенные в карантин объекты отображены на странице Карантин главного окна Outpost Firewall Pro. Каждая вредоносная программа или объект учитывается в карантине только один раз, вне зависимости от количества обнаруженных сигнатур. Для каждой программы выводятся дата и время, когда она была помещена в карантин, а так же тип и место в системе, где она обнаружена. При выделении объекта, в группе Подробная информация вы увидите его описание и подробную информацию о месте нахождения всех связанных с ним объектов. Каждый объект может быть восстановлен из карантина для выполнения своих обычных функций на вашем компьютере. Чтобы восстановить объект, щелкните соответствующую ссылку рядом с ним. При этом ключи реестра и файлы INI будут восстановлены на момент помещения их в карантин. Чтобы Outpost Firewall Pro не рассматривал объект как вредоносный или просто пропускал его при проверке, вы можете восстановить его и добавить в список исключений, выбрав в контекстном меню объекта, соответственно, команду Добавить угрозу в исключения или Добавить файл в исключения. Позже вы всегда сможете удалить объект из исключений с помощью кнокпи Исключения на странице Антишпион в настройках продукта. Зараженные файлы почтовых вложений, помещенные в карантин фильтром почтовых вложений, можно сохранить на жестком диске с помощью команды Сохранить как. Это позволяет открыть файл, не причиняя вреда системе. Вы также можете удалить объект навсегда, щелкнув ссылку Удалить рядом с ним. Для того, чтобы полностью очистить карантин, воспользуйтесь соответствующей командой в контекстном меню компонента. Внимание: •
Не все шпионское ПО может быть помещено в карантин.
9.5 Расписание сканирования системы Установить определенное время, когда сканер будет автоматически проверять систему на наличие вредоносных программ, очень удобно, если вы хотите сберечь ваши время и ресурсы на сканирование или вам необходимо регулярно проводить данную поверку системы. Outpost Firewall Pro позволяет сканировать систему даже тогда, когда вы не работаете за компьютером. Чтобы установить задание для сканирования, щелкните Настройки > Профили и расписание:
85
По умолчанию быстрая проверка системы выполняется после обновления базы сигнатур и ежедневно в час дня. Чтобы создать вашу собственную проверку, щелкните Новое. Введите название, выберите профиль сканирования, который будет применен, из ниспадающего списка и укажите расписание сканирования. В диалоговом окне Назначенные задания вы можете задать время сканирования с помощью ниспадающих списков. При выборе еженедельного сканирования, вы также можете задать конкретный день и время для сканирования системы, при выборе ежедневного сканирования, вы можете установить для него время. Чтобы временно отключить выполнение назначенного задания, но не удалять его, выделите его и щелкните кнопку Изменить. Снимите флажок с параметра Это задание активно. Задание не будет удалено полностью, поэтому вы сможете активировать его снова в любое время. Чтобы полностью удалить задание, выделите его и щелкните кнопку Удалить. Чтобы сберечь системные ресурсы во время выполнения системой каких-либо критических действий, отметьте параметр Выполнять назначенные задания с низким приоритетом. Щелкните OK, чтобы сохранить внесенные изменения. Outpost Firewall Pro будет запускать сканирование системы согласно указанному расписанию.
86
10 Контроль веб-активности Разработчики современных веб-сайтов используют различные технологии, позволяющие улучшить их функциональность и увеличить уровень интерактивности с помощью т.н. встраиваемых интерактивных элементов. Среди таких технологий ActiveX, Flash, сценарии Java, сценарии VB и другие. И хотя эти технологии разрабатывались с тем, чтобы облегчить жизнь пользователей, не менее успешно используются они и хакерами, чтобы получить доступ к вашему компьютеру. Таким образом, они ставят под угрозу безопасность вашей системы. Кроме того, многие сайты используют такие технологии для отображения назойливой рекламы, которая значительно снижает скорость загрузки веб-страниц. Более того, все больше и больше сайтов используют рекламные баннеры, которые зачастую раздражают, засоряют Интернет-страницы всплывающей рекламой и могут значительно снизить скорость работы браузера. Компонент Outpost Firewall Pro Веб-контроль контролирует работу интерактивных элементов, встроенных в загружаемые веб-страницы или входящие почтовые сообщения, и позволяет вам разрешать или блокировать любые из них. Возможен контроль над следующими элементами: ActiveX, приложения Java, программы на основе сценариев Java и Visual Basic, cookies, всплывающие окна, сценарии ActiveX, внешние интерактивные элементы, referrers, скрытые фреймы, GIF- и flash-анимации. Веб-контроль также блокирует определенные рекламные объявления и баннеры, увеличивая таким образом скорость загрузки веб-страниц. Объявления могут блокироваться по двум критериям: по ключевым словам, найденным в содержимом загружаемой страницы, или по размеру рекламного изображения. Чтобы активировать защиту от ненужной рекламы, щелкните Настройки > Веб-контроль и отметьте параметр Включить веб-контроль:
87
10.1 Настройка уровня Веб-контроля Вы можете определить, насколько чувствительным должен быть Outpost Firewall Pro в процессе обработки содержимого веб-страниц с помощью изменения уровня веб-контроля. Чтобы изменить уровень веб-контроля, щелкните Настройки на панели инструментов и выберите страницу Вебконтроль. Вы можете выбрать один из следующих уровней: •
Максимальный. Реклама блокируется на основе ключевых слов и размера; наиболее опасные интерактивные элементы блокируются, либо вызывают появление запроса к пользователю.
•
Оптимальный. Реклама блокируется на основе ключевых слов; большинство интерактивных элементов разрешены.
•
Облегченный. Реклама блокируется на основе ключевых слов; разрешены все интерактивные элементы.
Если вы хотите настроить определенные параметры, вы можете настроить уровень защиты вручную. Щелкните кнопку Настройка, и в появившемся окне вы сможете определить настройки для блокировки интерактивных элементов и рекламы, содержащихся в загружаемых веб-страницах или электронной почте и новостях, отдельно:
Выберите вкладку Веб-страницы или Почта и новости и выберите элемент, настройки для которого хотите изменить. Внизу диалогового окна вы увидите описание элемента. Чтобы разрешить или запретить какой-либо элемент, щелкните ссылку справа от него. Вы можете выбрать одно из следующих действий: •
Разрешать. Элементы данного типа всегда разрешены.
•
Спрашивать. Outpost Firewall Pro запрашивает вас, прежде чем разрешить элемент данного типа.
•
Блокировать. Элементы данного типа всегда запрещены.
В отношении рекламы Outpost Firewall Pro дает вам возможность выбора замены рекламных баннеров текстом "[AD]" или прозрачным изображением того же размера, что и баннер. Обратите 88
внимание на то, что хотя замена рекламного изображения на прозрачное значительно повышает степень комфортности при навигации сети, удаляя ненужную графику, вы, возможно, захотите замещать баннеры текстовыми ссылками "[AD]", чтобы вы смогли ими воспользоваться при необходимости. Щелкните OK, чтобы сохранить настройки. Внимание: •
Параметр Спрашивать недоступен для скрытых фреймов, GIF-анимаций и внешних интерактивных элементов.
•
Некоторые сайты требуют активации всех или некоторых из интерактивных элементов страниц для корректного отображения содержимого или даже работы сайта. Если задать слишком много ограничений для всех сайтов, можно столкнуться со следующими проблемами: не будут видны изображения, веб-страница не отобразится вовсе, вебстраница отобразится некорректно или не будут работать нужные службы на странице. Если это происходит лишь с небольшим числом сайтов, просто измените настройки подключаемого модуля для этих сайтов, добавив их в список исключений. В противном случае, вам следует установить более мягкую политику, чем заданная по умолчанию.
10.2 Блокировка рекламы Объявления могут блокироваться по трем критериям: по ключевым словам, найденным в содержимом загружаемой страницы, по размеру рекламного изображения и согласно данным, собранным с помощью программы Agnitum ImproveNet:
89
Блок ировка по клю чевы м сл овам Outpost Firewall Pro блокирует объявления, основываясь на ключевых словах, найденных в HTMLтегах "IMG SRC=" и "A HREF=" рекламного баннера. Если URL баннера содержит хотя бы одно из заданных ключевых слов, баннер заменяется текстом "[AD]" или прозрачным GIF-изображением такого же размера. Чтобы открыть список ключевых слов, щелкните Параметры > Реклама и сайты > Блокировка рекламы > Настройка. Чтобы добавить слово в список блокировки, введите его в предназначенное для этого текстовое поле и щелкните Добавить. Слово появится в списке, и реклама, содержащая это слово, не будет отображаться в вашем веб-браузере. Вы можете редактировать и удалять ключевые слова из списка, а также сохранять и загружать сохраненные списки ключевых слов, используя соответствующие кнопки.
Блок ировка реклам ы по разм еру изображ ений Outpost Firewall Pro блокирует рекламные изображения, основываясь на их размере, заданном в HTML-теге "A". Если размер баннера соответствует одному из заданных в списке, он заменяется текстом "[AD]" или прозрачным GIF-изображением такого же размера. По умолчанию блокируется реклама некоторых стандартных размеров. Чтобы заблокировать рекламный баннер другого размера, щелкните Параметры > Реклама и сайты > Блокировка рекламы > Настройки. Выберите вкладку По размеру, задайте его ширину и высоту в соответствующих полях и щелкните Добавить. Запись для этого размера появится в списке, и объявления такого размера не будут отображаться в вашем веб-браузере. Вы также можете редактировать и удалять размеры из списка. Чтобы вернуть настройки по умолчанию, щелкните кнопку По умолчанию.
Блок ировка реклам ы по данны м I m proveNet Данная функция имеет тот же механизм работы, что и функция блокировки рекламы по ключевым словам с той разницей, что ключевые слова в ней предоставляются и распространяются среди всех пользователей Outpost Firewall Pro. Список слов автоматически обновляется во время обновления продукта. Функция блокировки рекламы по данным ImproveNet является дополнительной, поэтому если вы не хотите ее использовать, ее можно отключить, сняв флажок напротив параметра Использовать список ключевых слов ImproveNet на вкладке По ImproveNet. Примечание: •
Рекламные баннеры блокируются согласно установленным вами настройкам. Поэтому, если ваши настройки слишком строги (например, если вы добавили слово "image" в список ключевых слов), некоторые легальные изображения также могут быть блокированы. В то же время, некоторая реклама не блокируется с помощью настроек, заданных по умолчанию.
90
10.3 Настройка исключений Если вы испытываете трудности с просмотром определенных сайтов из-за того, что большая часть их содержимого блокируется, вы можете добавить такие сайты в список исключений и определить для них индивидуальную политику обращения с интерактивными элементами и рекламой. Щелкните Настройки > Веб-контроль > Исключения и щелкните Добавить, чтобы указать адрес сайта, для которого вы хотите определить настройки индивидуально:
Вы можете Разрешить любое содержимое и рекламу на этом сайте, сделав его полностью доверенным, или задать индивидуальные настройки, выбрав параметр Создать индивидуальные правила для данного сайта. Во втором случае после нажатия кнопки Добавить будет отображено диалоговое окно Свойства, позволяющее определить индивидуальные настройки для интерактивных элементов. Для добавляемого сайта по умолчанию указываются настройки, определенные для текущего уровня веб-контроля, схожие с глобальными настройками для всех сайтов. Единственным отличием является то, что вы можете задать использование наследуемого глобального значения (для интерактивных элементов - вместо действия Спрашивать), чтобы поведение элемента определялось глобальным значением (помеченным звездочкой) для данного сайта. После определения параметров (используйте кнопку По умолчанию, если вы хотите начать заново с глобальных установок) щелкните OK, чтобы сохранить изменения. Вы всегда сможете изменить настройки интерактивного содержимого и рекламы для указанных сайтов, щелкнув кнопку Настройки.
10.4 Блокировка шпионских сайтов В сети Интернет существуют разные сайты, содержащие шпионские программы и нацеленные на его распространение среди ничего не подозревающих пользователей. В базе данных Outpost Firewall Pro имеется определенный перечень подобных сайтов, доступ к которым не желателен, если вы сознательно не намерены закачивать шпионское ПО. Таким образом, если происходит попытка соединения с одним из таких сайтов или попытка отправить туда данные, продукт автоматически блокирует доступ. Список сайтов не доступен для пользователей, но при обнаружении попытке доступа к подобному сайту, Outpost Firewall Pro добавляет сайт в видимый список, с которым возможно ознакомиться, щелкнув Настройки > Реклама и сайты > Блокировка вредоносных сайтов > Настройки. При необходимости вы можете удалить из списка сайты, которые используете или считаете безопасными. Для этого снимите флажок напротив названия сайта. Чтобы включить блокировку шпионских сайтов, выберите флажок Включить блокировку вредоносных сайтов.
91
10.5 Блокировка передачи персональных данных Outpost Firewall Pro позволяет вам задать персональные данные, которые можно защитить от передачи вашим компьютером через Интернет-браузер, средства instant messaging, почтовые клиенты или другие приложения. Это обеспечивает защиту от кражи личных конфиденциальных данных, таких как номер кредитной карты, пароли или другой важной и уникальной личной информации. Для того, чтобы защитить ваши личные данные, выберите страницу Личные данные в окне свойств продукта и поставьте флажок напротив параметра Блокировать передачу личных данных:
Щелкните Добавить и в поле Ввод личных данных введите следующую информацию:
•
Описание. Описание для идентифицирования строки в дальнейшем.
•
Данные для защиты. Любая комбинация символов, букв и цифр, которую вы хотите защитить от утечки с вашего компьютера.
•
Категория. Категория, к которой будут относиться ваши данные. 92
Щелкните OK, затем Применить - информация, содержащаяся в этой строке, будет заблокирована от передачи посредством исходящей связи. При обнаружении попытки передачи ваших личных данных Outpost Firewall Pro может либо Заменять личные данные звездочками, либо Блокировать передачу пакетов, содержащих личные данные. В первом случае источник запроса личных данных получит информацию в виде символов "*" на месте данных, а во втором все попытки получить данные будут полностью заблокированы. Поставив флажок напротив параметра Показывать визуальные оповещения, можно установить, чтобы система оповещала вас каждый раз, когда компьютер пытается передать в сеть информацию, содержащуюся в Личных данных. Если вы считаете определенные сайты заслуживающими доверия или им необходимо получать ваши личные данные, вы можете добавить подобные сайты в исключения, щелкнув кнопку Исключения. Введите имя сайта в наиболее удобном для вас формате, щелкните Добавить и OK, чтобы сохранить изменения.
93
11 Защита внутренних компонентов Так как средства защиты от вредоносного ПО становятся все мощнее, хакеры стали пытаться отключать их, используя руткиты (rootkits) и другие утилиты, перед тем как совершать свои несанкционированные действия. Чтобы противостоять этой угрозе, Outpost Firewall Pro предлагает так называемый Режим внутренней защиты. С включенной внутренней защитой Outpost Firewall Pro охраняет себя от остановки вирусами, Троянами или шпионским ПО. Outpost Firewall Pro также обнаруживает и блокирует попытки смоделировать нажатия клавиш пользователем, которые могли бы привести к завершению работы продукта, постоянно отслеживает целостность своих компонентов на жестком диске, значений реестра, состояние памяти, запущенные службы и так далее и не позволяет вредоносным программам совершать какие-либо действия над ними. По умолчанию, внутренняя защита включена и доступ ко всем компонентам запрещен. Если вы считаете, что какие-либо приложения имеют право на получение доступа к компонентам и регистрационным ключам Outpost Firewall Pro, вы можете добавить данные приложения в исключения, щелкнув Настройки > Исключения и добавив их в список. Чтобы отключить Внутреннюю защиту, щелкните Настройки и снимите флажок напротив параметра Включить внутреннюю защиту, либо щелкните правой кнопкой мыши значок Outpost Firewall Pro в системном лотке и выберите параметр Отключить внутреннюю защиту:
Внимание: •
Выключение внутренней защиты может существенно сказаться на безопасности всей системы. Хотя для установки подключаемых модулей, а также использования некоторых дополнительных функций, внутреннюю защиту необходимо выключить, рекомендуется включить ее снова сразу по окончании всех действий.
94
12 Удаление Outpost Firewall Pro Чтобы удалить Outpost Firewall Pro: 1. Щелкните правой клавишей мыши значок Outpost Firewall Pro в системном лотке и выберите Выход. 2. Щелкните Пуск на панели задач Windows и выберите Панель управления > Установка и удаление программ. 3. Выберите Agnitum Outpost Firewall Pro и щелкните Удалить. 4. Щелкните Да чтобы подтвердить удаление. Программа попросит вас при желании заполнить форму обратной связи, где вам необходимо будет указать причины удаления. Это поможет разработчикам улучшить последующие версии продукта:
Все необходимые действия будут произведены автоматически. После этого вам будет предложено перезагрузить систему. Внимание: •
Во избежание конфликтов программ, перезагрузите систему после завершения процесса удаления.
95
13 Слежение за системной активностью Для вашего удобства вся деятельность системы и происходящие в ней события подробно регистрируются и сохраняются и могут быть просмотрены с помощью Журнала событий, в котором отображаются все заблокированные или разрешенные Outpost Firewall Pro соединения, специфическая деятельность каждого компонента Outpost Firewall Pro, запуск каждой программы и все изменения, внесенные в политики продукта, его настройки и пароли. В отличие от журнала Сетевая активность, который подробно отображает только текущие соединения, Журнал событий отображает подробную статистику всей деятельности продукта и системы по категориям, таким образом представляя историю событий, произошедших во время текущей сессии работы Outpost Firewall Pro. Чтобы просмотреть записи Журнала событий, щелкните Журнал событий на левой панели главного окна Outpost Firewall Pro. Набор отображаемых журналов зависит от вида главного окна. В Обычном виде доступны следующие журналы (щелкните название журнала в левой панели для просмотра содержащейся в нем информации): •
Внутренние события
Это данные о запуске и выключении продукта, статусе его компонентов и всех изменений, внесенных в политики продукта, его параметры и настройки конфигурации. •
Детектор атак
Отображает все подозрительные действия и атаки, совершенные на ваш компьютер из сети Интернет и локальной сети, задействованные порты и адреса злоумышленников. Более подробно о Детекторе атак см. статью Предотвращение сетевых атак. •
Антишпион
Отображает информацию о проверках системы и представляет список всех вирусов и вредоносных программ, которые были обнаружены и удалены/помещены в карантин на вашем компьютере. Более подробно о компоненте Антишпион см. статью Защита от вредоносного ПО. •
Защита файлов и папок
Отображает события компонента Защита файлов и папок. Подробнее смотрите Контроль файлов и папок. •
Защита приложений
Отображает события компонента компонента Защита приложений. Подробнее смотрите Контроль критических файлов приложений. Если вы работаете с Расширенным видом главного окна, отображаются дополнительные журналы: •
Брандмауэр
Отображает все заблокированные или разрешенные Outpost Firewall Pro соединения и причину выбранного действия. Более подробно о компоненте Брандмауэр см. в статье Настройка сетевых соединений. •
Почта
Отображает историю входящей и исходящей почты и заблокированные в ней элементы содержимого и вложения. Подробнее о почтовом сканере и фильтре вложений смотрите Сканирование почтовых вложений. •
Журнал пакетов
Отображает все пакеты данных, отправленные и полученные системой, и причину их блокировки или разрешения. Более подробно см. Настройка сетевых соединений.
96
•
Журнал HTTP
Отображает историю активности вашего браузера, то есть объекты, загруженные пользователем. •
Блокировка содержимого
Отображает интерактивные элементы веб-страниц, заблокированные в соответствии с настройками Java, VBScript, ActiveX и другие интекрактивные элементы, рекламные объявления и вредоносные сайты, заблокированные веб-контролем. Подробнее смотрите статью Контроль веб-активности. •
Контроль компонентов
Отображает события компонента Outpost Firewall Pro Контроль компонентов. Более подробно см. Контроль компонентов приложения. •
Контроль Anti-Leak
Отображает события компонента Outpost Firewall Pro Контроль Anti-Leak. Более подробно см. Контроль методов проникновения. •
Защита системы
Отображает события компонента Защита системы. Подробнее смотрите Контроль критических системных объектов. Совет: •
Файлы журнала могут быть просмотрены вручную с помощью любого текстового редактора. Чтобы открыть папку, в которой хранятся журналы, щелкните Открыть папку на странице Журналы настроек продукта.
•
Чтобы очистить все файлы журналов, щелкните Журнал событий на левой панели главного окна и щелкните Очистить.
13.1 Уровень регистрации информации Чтобы иметь возможность получить больше информации о деятельности вашей системы в случае, если вы сталкиваетесь с какими-либо трудностями в работе программ, вы можете повысить уровень регистрации событий брандмауэра или даже активировать регистрацию отладочной информации, которая может понадобиться службе технической поддержки компании Agnitum для решения возникших у вас проблем.
Уровень регистрации собы тий брандм ауэра Чтобы настроить сохранение информации для брандмауэра, щелкните Настройки на панели инструментов, выберите страницу Журналы и щелкните кнопку Уровень регистрации. У вас есть возможность установить уровень регистрации глобальных системных событий и низкоуровневых событий.
Р егистрация отладочной инф орм ации Чтобы включить регистрацию дополнительной отладочной информации, необходимой для службы технической поддержки компании Agnitum, щелкните Настройки на панели инструментов, выберите страницу Журналы и отметьте флажком параметр Регистрировать отладочную информацию. Это увеличит количество и детальность сохраняемой информации. Вы можете изменить детальность сохраняемой отладочной информации, выбрав уровень регистрации от 1 до 4. Для вступления изменений в силу вам потребуется перезагрузить Outpost Firewall Pro.
97
Внимание: •
Повышение уровня регистрации может снизить скорость работы системы.
Совет: •
Размер каждого файла журнала может быть ограничен, чтобы предотвратить "разрастание" журнала и сохранить свободное дисковое пространство. Для этого на странице Журналы в группе Настройки журналов вы можете указать ограничение размера в килобайтах.
98
14 Приложение Данное приложение содержит несколько технических разделов, которые могут явиться подспорьем для продвинутых пользователей, чтобы лучше разобраться во внутреннем устройстве Outpost Firewall Pro.
14.1 Служба технической поддержки Если вам необходима помощь при работе с Outpost Firewall Pro, пожалуйста, посетите страницу службы технической поддержки Agnitum по адресу http://www.agnitum.ru/support/index.php. Среди предлагаемых служб - база знаний, документация, онлайн форум службы поддержки, полезные веб-ресурсы, а также непосредственная связь с инженерами службы технической поддержки.
14.2 Методы проникновения Outpost Firewall Pro позволяет контролировать множество подозрительных действий. Для вашего удобства они поделены на 4 группы: Win32-подсистема
Внедрение к ом понентов Архитектура операционной системы Windows предполагает установку системных перехватчиков (hooks), через которые посторонний код может быть внедрен в другой процесс. Часто эта технология используется для выполнения обычных, легитимных действий, например, переключения раскладки клавиатуры или запуска PDF-файла в окне браузера. Однако, она также может использоваться вредоносными программами для внедрения постороннего кода и захвата приложений. Примером ликтеста, использующего этот метод для моделирования атаки, является программа PC Audit (http://www.pcinternetpatrol.com/). Outpost Firewall Pro контролирует установку перехватчиков в адресном пространстве процессов. Контроль выполняется с помощью перехвата функций, которые обычно используются вредоносными процессами (Троянами, шпионским ПО, червями и т.д.) для введения своего кода в легитимный процесс (т.е. Internet Explorer или Firefox). Поведение DLL-файла, вызывающего такие функции, рассматривается как подозрительное и вызывает проверку на легитимность.
Контроль над другим прил ож ением Технология DDE используется для контроля приложений. Наиболее известные браузеры являются DDE-серверами и могут быть использованы вредоносными программами для передачи инофрмации в сеть. Примером использования этого метода является ликтест Surfer (http://www.firewallleaktester.com/leak test15.htm), а также ZABypass. Outpost Firewall Pro отслеживает все попытки использования DDE-взаимодействия, независимо от того, открыт или нет процесс. Контроль межпроцессорного DDE-взаимодействия позволяет Outpost Firewall Pro отслеживать методы, используемые приложениями для получения контроля над легитимными процессами. Он предотвращает захват легитимных программ вредоносным ПО, а также проверяет, разрешена ли данная активность на DDE-уровне по отношению к сетевым приложениям. В случае обнаружения попытки такой активности срабатывает проверка легитимности.
Контроль окон прилож ения Windows позволяет приложениям осуществлять обмен оконными сообщениями между процессами (используя SendMessage, PostMessage API и т.д.). Вредоносные процессы могут получить контроль над другим сетевым приложением, отправив ему оконное сообщение и имитируя ввод
99
пользователя с клавиатуры или с помощью мыши. Примером использования этого метода является ликтест Breakout (http://www.firewallleaktester.com/leak test16.htm). Этот метод иногда используется для легитимного межпроцессорного взаимодействия, но также может использоваться злоумышленниками и в нечестных целях. Outpost Firewall Pro контролирует такие попытки.
Контроль прил ож ений с пом ощ ью OLE Относительно новый метод контроля активности приложений через механизм OLE (команды связывания и встраивания объектов, Object Linking and Embedding) - механизм Windows, позволяющий одной программе управлять поведением другой. Он использует технологию OLEвзаимодействия для обмена данными и командами между приложениями, например, для управления активностью Internet Explorer, чтобы отправлять указанные пользователем данные удаленному узлу. Примером использования этого метода является ликтест PCFlank (http://www.pcflank.com/PCFlankleak test.exe). Outpost Firewall Pro обнаруживает OLE-коммуникации и запрашивает пользователя о том, разрешено ли приложению контролировать активность другого приложения. NT-подсистема
Изм енение пам яти процесса Некоторые Трояны и другое вредоносное ПО используют изощренные методы, позволяющие им изменять код запущенных в памяти доверенных приложений и таким образом обходить защитный периметр системы и выполнять свои несанкционированные действия. Этот метод также известен как уязвимость внедрения кода или copycat. Примерами использования этой уязвимости являются ликтесты Thermite и Copycat (http://www.firewallleaktester.com/leak test8.htm, http://www.firewallleaktester.com/leak test9.htm). Outpost Firewall Pro позволяет контролировать функции, которые могут быть использованы для записи вредоносного кода в адресное пространство доверенных приложений, и таким образом предотвращать внедрение кода. Outpost Firewall Pro исследует все пространство памяти, используемое любым активным приложением (а не только сетевыми приложениями). В случае, если вредоносный процесс пытается изменить память какого-либо легитимного приложения, Outpost Firewall Pro обнаруживает это и отображает запрос, ожидая вашего решения. Система работает проактивно: она позволяет разрешать или блокировать изменение памяти другого процесса на уровне приложений. Например, Visual Studio 2005 сможет производить изменения в памяти, в то время, как ликтест "copycat.exe" будет блокирован при такой попытке. Эта возможность защищает даже от "неизвестных" вредоносных программ, не обнаруживаемых антивирусами и антишпионскими программами.
Заверш ение процессов Любой легитимный процесс может быть насильно завершен в самый неожиданный момент с помощью отладочных функций (debugging APIs). Примером использования этого метода является ликтест Comodo Leaktest Suite (http://personalfirewall.comodo.com/cltinfo.html; метод Injection: AdvancedProcessTermination). Outpost Firewall Pro контролирует попытки завершения процессов.
Низкоуровневы й сетевой доступ Некоторые сетевые драйвера разрешают прямой доступ к сетевому адаптеру в обход стандартного стэка TCP. Эти драйвера могут использоваться снифферами и другими вредоносными программами 100
для получения низкоуровневого доступа в сеть и представляют дополнительный риск для системы, так как трафик, проходящий через них, не может отслеживаться системой безопасности. Примером использования этого метода является ликтест MBtest (http://www.firewallleaktester.com/leak test10.htm). Outpost Firewall Pro позволяет контролировать приложения, запрашивающие сетевой доступ в обход стандартных методов. Эта возможность усиливает общий уровень сетевой безопасности, предотвращая утечку данных наружу. Пользователь может контролировать попытки приложений открыть сетевой драйвер, то есть без авторизации пользователем приложение не сможет отправить даже ARP- или IPX-данные.
Откры тие сетевого драйвера Приложения, работающие под высоко привилегированной учетной записью, могут устанавливать модули уровня ядра, для того чтобы получить полный и ничем не ограниченный доступ к системе и работать от ее лица. Это может быть необходимо им для маскировки своего присутствия на компьютере или обезвреживания систем защиты. Примером использования такой технологии являются разнообразные руткиты уровня ядра. Outpost Firewall Pro контролирует попытки установки драйверов и перед установкой сверяет каждый файл драйвера со своей базой вредоносных кодов. При корректном использовании эта технология является 100-процентной защитой от установки руткитов на компьютер.
Прям ой доступ к диску Вредоносные приложения могут пытаться получить доступ к жесткому диску напрямую и изменять его содержимое в обход защиты компьютера. Это распространенный метод заражения, который может привести, например, к изменению загрузочного сектора и загрузке драйверов устройств. Примером использования этого метода является ликтест Comodo Leaktest Suite (http://personalfirewall.comodo.com/cltinfo.html; метод Invasion: RawDisk). Outpost Firewall Pro обнаруживает попытки программ получить доступ к диску напрямую, защищая ваш компьютер от заражения. Сетевые приложения
Отправка DNS-запроса Служба DNS Client содержит потенциальную уязвимость, называемую DNS-туннелирование. Она заключается в том, что вредоносный код может передавать и получать любую информацию, используя корректные DNS-пакеты к корректно настроенному DNS-серверу. Примером использования этого метода является ликтест DNSTester (http://www.klake.org/~jt/dnshell/). Outpost Firewall Pro выполняет двойную проверку доступа к службе DNS Client, обеспечивая большую безопасность системы. Это позволяет контролировать доступ к DNS API даже с включенной службой DNS Client, защищая тех пользователей, которые из соображений совместимости не могут выключить ее. Данная функциональность позволяет делегировать права на использование службы DNS Client конкретному процессу.
Запуск сетевы х прилож ений Вредоносные процессы могут запускать браузер в скрытом окне с параметрами своей командной строки или заданным заранее URL-адресом и передавать ему адрес веб-узла, заставляя систему безопасности поверить, что совершается легитимное действие. Средства безопасности, доверяющие приложениям без проверки того, кто действительно запустил его и каковы дополнительные параметры соединения, не в состоянии бороться с этим методом, а 101
следовательно, важные данные могут покинуть компьютер в обход защиты. Примерами использования этого метода являются ликтесты Tooleaky, Ghost и Wallbreaker (http://www.firewallleaktester.com/leak test2.htm, http://www.firewallleaktester.com/leak test13.htm, http://www.firewallleaktester.com/leak test11.htm). Outpost Firewall Pro следит за каждой запускаемой на компьютере программой, контролирует приложения, имеющие права на запуск программ с помощью параметров командной строки, защищая ваш браузер от несанкционированного использования. Кроме традиционных браузеров, контроль запуска с параметрами защищает все сетевые приложения, присутствующие в конфигурации. Кейлоггеры Перехват нажатий клавиш Регистрация нажатий клавиш является способом перехвата и записи информации, вводимой пользователем. Хакеры могут применять данный метод в специализированных программахкейлоггерах для кражи паролей, ключей и прочей информации, которую вы вводите с помощью вашей клавиатуры. Outpost Firewall Pro обнаруживает попытки программ записать и передать введенную информацию, защищая ваш компьютер от утечки данных.
14.3 Использование макроопределений Для облегчения процесса создания правил Outpost Firewall Pro позволяет использовать макроадреса. Создавая правила для ваших Интранет-соединений или служб Windows (например, DNS), вы можете использовать предлагаемые макроопределения вместо того, чтобы вручную указывать IP-адрес. Макроопределения могут быть использованы, например, для обозначения всех локальных сетей как LOCAL_NETWORK или всех DNS-серверов как DNS_SERVERS. Outpost Firewall Pro автоматически распознает текущее значение макроса, так что вам не нужно изменять адрес узла или подсети при смене настроек сетевого адаптера. Например, пользователь мобильного ПК всегда будет защищен, так как правила на его компьютере будут работать независимо от сети, к которой он подключен. Когда вы указываете локальный или удаленный адрес в правиле, вы можете выбрать один из следующих макросов: DNS_SERVERS Указывает адреса всех DNS-серверов вашей сети. LOCAL_NETWORK Указывает адреса всех ваших локальных сетей, а также адреса из широковещательного диапазона, доступные на этом компьютере. WINS_SERVERS Указывает адреса всех WINS-серверов вашей сети. GATEWAYS Указывает адреса всех шлюзов вашей сети. MY_COMPUTER Указывает все IP-адреса вашего компьютера в различных сетях, а также loopback-адреса. ALL_COMPUTER_ADDRESSES Указывает все IP-адреса вашего компьютера в различных сетях, а также адреса из широковещательного диапазона и групповые адреса.
102
BROADCAST_ADDRESSES Указывает адреса из широковещательного диапазона, доступные на этом компьютере. Широковещательный адрес (broadcast address) - это IP-адрес, позволяющий отправлять информацию всем компьютерам данной подсети. MULTICAST_ADDRESSES Указывает адреса из мультивещательного диапазона. Мультивещательный адрес (multicast address, групповой адрес) - это IP-адрес, определяющий группу станций локальной сети, одновременно получающих сообщение.
103
О компании Agnitum Ltd. - признанный профессионал в области создания программных средств для защиты корпоративных и домашних компьютеров. Компания предлагает четыре основных программных продукта: •
Outpost Firewall Pro, защищающий домашние компьютеры и отдельные рабочие станции в корпоративной сети от взлома, заражения шпионским ПО и кражи данных;
•
Outpost Network Security, обеспечивающий надежную защиту конечных пользователей корпоративной сети от несанкционированной активности ПО и утечки данных;
•
Outpost Antivirus Pro, защищающий ваши личные данные от вредоносного ПО и зараженных сайтов;
•
Outpost Security Suite Pro, обеспечивающий комплексную защиту от вторжений на ПК.
Более подробную информацию о компании Agnitum можно получить на сайте http://www.agnitum.ru/. Юридический адрес: Acropoleos Avenue 8 Mabella Court Nicosia, Cyprus
104