GeSWall – ізоляція додатки на основі політики обмеження доступу

    66

    GeSWall – це одне з безкоштовних додатків, що пропонує захист операційної системи від шкідливих програм і вірусних атак, засноване на її роботі на ізоляції запущених додатків, які мають обмежені права на зміну файлів і записів реєстру. Принцип роботи повністю відрізняється від традиційної антивірусного захисту, коли користувач сам повинен зробити вибір при виявленні шкідливого файлу. У разі неправильного вирішення файл може завдати серйозної шкоди системі. GeSWall працює по-іншому – він ізолює додатки від системи, накладаючи на них обмеження, та шкідливі файли не будуть мати права вносити небажані зміни в систему.

    GeSWall 2.9.2 підручник, опис, інструкції з використання

    Політика обмеження

    Ізольоване додаток має обмеження на:

    • Може читати, але не може змінювати довірені ресурси.
    • Не вдається прочитати або змінити конфіденційні ресурси.
    • Неможливо відстежувати кейлогинг.
    • Він не може робити знімки екрану довірених вікон програми.
    • Не вдається прочитати вміст буфера обміну з довірених додатків.
    • Він може створювати нові ненадійні ресурси, наприклад файли.
    • Може читати або змінювати ненадійні ресурси.

    Обмеження та ефекти:

    • немає доступу до ядра (ядро системи) – запобігає зараженню руткітами в режимі ядра і кейлоггерами
    • доступ до довіреною файлів, реєстру, процесів і т. д. в режимі тільки для читання запобігає зараженню руткітами в режимі користувача, кейлоггерами і будь-яким іншим шкідливим ПЗ
    • немає запланованих перезавантажень – запобігає зараженню бекдор, зомбі-ботами і черв’яками
    • немає доступу до конфіденційних файлів – запобігає витоку конфіденційної інформації

    Всі ресурси вважаються надійними, за винятком тих, які створюються ізольованими додатками. Ресурси, створені ізольованими додатками, не заслуговують довіри. Конфіденційними (конфіденційними) є ті ресурси, які помічені як конфіденційні в базі даних.

    Повідомлення та попередження

    Викачуємо інсталяційний файл і встановлюємо програми. Установка типова і не викличе ніяких складнощів. По завершенні потрібно перезавантаження комп’ютера.
    Після перезавантаження додаток автоматично захищає систему. База даних програми має конфігурацію за замовчуванням для найбільш часто використовуваних веб-браузерів, кожен раз, коли вона запускається, вона відображає вікно з питанням, чи потрібно запускати програму окремо або в звичайному режимі. І чому веб-браузери ? Це тому, що більшість шкідливих файлів і шкідливих програм приходять з Інтернету. З GeSWall ви можете безпечно користуватися Інтернетом, відкривати вкладення електронної пошти, спілкуватися в чаті, обмінюватися файлами і т. Д., Не звертаючи уваги на інтернет-загрози.

    У випадку, коли програма намагається підключитися до Інтернету або намагається прочитати ненадійні ресурси, з’явиться вікно:
    GeSWall - изоляция приложения на основе политики ограничения доступа

    У вікні у нас є можливість вибрати режим запуску:

    • Так – запуск програми ізольовано
    • Немає – запустити програму нормально, без ізоляції

    Ми можемо запам’ятати вибір, обравши «Не запитувати знову». У нас є 85, щоб прийняти рішення, після зворотного відліку додаток буде запускатися автоматично в ізоляції.

    Ізольоване додаток позначається кольоровий рядком заголовка і значком «G». Після натискання на іконку ми можемо змінити колір заголовка і перезапустити програму як не ізольовану.
    GeSWall - изоляция приложения на основе политики ограничения доступа

    Будь-який файл, завантажений з Інтернету / створений / змінений за допомогою ізольованого програми, буде позначено, як ненадійний. Візуально значок файлу має червону рамку і значок «G». Слід пам’ятати, що при копіюванні файлів в інше місце з використанням неізольованого додатки віддаляється «недоверенная» мітка. Мітка не віддаляється, коли файл перейменовується або переміщається в межах одного розділу. За допомогою контекстного меню ми також можемо позначити файл як довірений (позначити як довірений) або недоверенный (позначити як ненадійний).
    GeSWall - изоляция приложения на основе политики ограничения доступа

    Якщо виконуваний файл (.exe), при його запуску GeSWall відобразить вікно з пропозицією виконати його ізольовано. Це захист від модифікації системи, тому що ненадійні файли дуже часто викликають інфекції в системі.
    GeSWall - изоляция приложения на основе политики ограничения доступа

    Як правило, настановні пакети не будуть працювати, якщо вони запускаються ізольовано. Якщо пакет вважається довіреною, ми запускаємо його без ізоляції, вибираючи «Ні».
    GeSWall - изоляция приложения на основе политики ограничения доступа

    Якщо установникові не довіряють, його запуск в ізольованому стані не дозволить установку з-за обмежень і неможливість запису в каталог Progrm Files. GeSWall використовується для запобігання атак, які встановленими довіреними додатками, такими як веб-браузери, месенджери, електронна пошта, p2p-клієнт і т. Д. Отже, в цьому випадку для тестування такого установника необхідно використовувати повністю віртуалізовані середовища .

    Якщо файли не є виконуваними, додаток за замовчуванням, використовується для їх відкриття, є ізольованим. Наприклад, при відкритті PDF-файлу ізолюється PDF – рідер , наприклад Foxit Reader. Але будьте обережні – додаток повинен бути в базі даних GeSWall (опис нижче).
    GeSWall - изоляция приложения на основе политики ограничения доступа

    Коли ізольоване програма намагається отримати доступ до конфіденційних файлів, з’явиться попередження. В цілях захисту конфіденційності GeSWall відмовить у доступі до файлу, але ми можемо авторизуватися, наприклад, якщо ви хочете додати вкладення в електронний лист.
    GeSWall - изоляция приложения на основе политики ограничения доступа

    Програма інтегрується з контекстним меню Провідника, додаючи три функції:

    • Run Isolated – запустити файл ізольовано
    • Майстер додатків: додавання програми в базу даних
    • Позначити як ненадійний / довірений: позначити файл як не / довірений

    GeSWall - изоляция приложения на основе политики ограничения доступа

    GeSWall відображає наступні повідомлення:

    • коли програма намагається отримати доступ до ресурсів. Це інформативні повідомлення про блокування доступу до файлів, реєстру, процесам. Давайте подивимося, що в даний час блокує програму. Натиснувши значок в системному треї поряд з годинником, ми можемо вказати, які оповіщення повинні відображатися, або повністю їх відключити, а також вказати час їх відображення.
      GeSWall - изоляция приложения на основе политики ограничения доступа
    • коли атака виявлена. Підозрілі операції, типові для шкідливого програмного забезпечення, блокуються. Ми можемо завершити процес, натиснувши «Завершити»
      GeSWall - изоляция приложения на основе политики ограничения доступа

    GeSWall Console

    Консоль GeCWall MMC (Microsoft Management Console) забезпечує детальне управління програмою.

    Рівень безпеки
    GeSWall підтримує декілька рівнів безпеки, і в даний час включений позначений червоною стрілкою.

    • Ізолювати укладені у в’язницю додатки: ізольовані тільки укладені у в’язницю програми.
    • Ізолювати відомі програми: програми, що знаходяться в базі даних програми, ізольовані. Режим за замовчуванням.
    • Автоизоляция, без спливаючих діалогів: аналогічно попередньому, але без спливаючих вікон. Програма ізолює додатки, не питаючи користувача.

    GeSWall - изоляция приложения на основе политики ограничения доступа

    Резюме GeSWall
    Загальне резюме роботи програми, включаючи кількість обмежень, атак та відокремлених додатків.
    GeSWall - изоляция приложения на основе политики ограничения доступа

    ресурси
    Розділ, що містить визначення надійних і ненадійних ресурсів. Політика обмеження доступу використовує ці визначення для ізоляції додатків.
    Краще не змінювати список за замовчуванням. Замість цього ви можете додати нові ресурси з меню Action Add Resource.
    GeSWall - изоляция приложения на основе политики ограничения доступа

    У класі безпеки ми визначаємо клас безпеки, Тобто Що може, і що можуть робити неізольовані додатка:

    • Довірені: ресурси є надійними і не можуть бути змінені (можливо читання). За замовчуванням усі ресурси є надійними.
    • Конфіденційно: ресурси є конфіденційними і не можуть бути прочитані або змінені. Папка за замовчуванням – «Мої документи». Тому ми створюємо таку папку, або вказуємо іншу і копіюємо в неї конфіденційні файли.
    • Заборонити створення: створення ресурсу відсутній. За замовчуванням програми можуть створювати файли і папки без обмежень, але вони не можуть створювати ключі в реєстрі.
    • Ненадійні: ресурси не заслуговують довіри й можуть бути змінені.
    • Ворота і система загроз: зарезервоване для внутрішнього використання GeSWall
    • Restricted for Trusted: ресурси, які не можна змінити навіть довіреними додатками.

    В полі «Тип ресурсу» ми вказуємо тип ресурсу: файл, папка, реєстр, пристрій, мережа, системний об’єкт, розділи пам’яті або «будь-який», Тобто Всі можливі ресурси (не рекомендується). Ви також можете вказати ресурси, вказавши власника або ім’я ресурсу.

    Наприклад, я додав папку «c: Downloads» в якості свого конфіденційного каталогу:
    GeSWall - изоляция приложения на основе политики ограничения доступа

    додатків
    Цей розділ містить визначення програм, разом з детальними правилами, які складають базу даних програми. Програми розділені на групи, наприклад, системні компоненти GeSWall, веб-браузери, поштові клієнти, засоби перегляду документів, мультимедіа.
    GeSWall - изоляция приложения на основе политики ограничения доступа

    З меню ActionAdd Group ми можемо додати нову групу. Вибравши меню «Дія / Додати додаток», ми можемо додати новий додаток в групу.
    У полі Ім’я файлу ми вказуємо виконуваний файл програми.
    У Security Level ми встановлюємо рівень безпеки:

    • Ніколи не ізолювати – додаток є довіреною і ніколи не буде ізольованим
    • Ізолювати при доступі – програма є надійним, але коли воно намагається підключитися до мережі або отримати доступ до ненадійним ресурсів, з’явиться вікно з проханням про ізоляції.
    • Автоизоляция, без спливаючих вікон – те ж саме, що ізоляція при доступі, але ізоляція автоматична.
    • Завжди запускати ізольовано – додаток автоматично ізолюється під час свого запуску.
    • Ненадійний (в’язниця) – в’язниця додатків, яка не має дозволів за промовчанням і може отримати доступ тільки до призначених ресурсів.

    Наприклад, я додав Free Download Manager в розпізнані програми. Після додавання додаток стане пізнаваних GeSWall і при додаванні нового файлу в чергу завантаження з’явиться вікно, потрібно ізолювати програму. Тоді завантажені файли будуть помічені як небезпечні, якщо додатки запускаються ізольовано:
    GeSWall - изоляция приложения на основе политики ограничения доступа

    Ми додаємо будь-яке інше додаток ідентично, зазвичай вибираючи Isolate при доступі. Потім, коли ви відкриваєте ненадійні файли, додаток, яке відкриває їх, буде ізольовано. Наприклад, при додаванні 7-zip-програми при відкритті ненадійного архіву RAR з’явиться вікно з проханням про ізоляції. Тут я також напишу, що при розпакуванні недоверенного архіву в довіреному додатку розпаковані файли будуть надійними.

    До кожного визначення програми можна додати спеціальні правила доступу: Меню дій / Додати правило. У «Дозвіл доступу» ми вказуємо опцію:

    • Дозволити: додаток може читати і змінювати ресурси
    • Перенаправлення: додаток може читати ресурси, але після зміни в реєстрі створюється копія файла / ключа, і на ньому виконується зміна. Ця копія видаляється при закритті програми.
    • Тільки читання: доступ до ресурсу тільки для читання
    • Заборонити: доступ заборонений

    Ці правила завантажуються при запуску додатка, якщо додаток не запущено, його необхідно перезапустити. Вони також мають більш високий пріоритет, ніж ці загальні правила.
    Приклад правила, що дозволяє доступ до розділу реєстру:
    GeSWall - изоляция приложения на основе политики ограничения доступа

    Ненадійні файли
    Всі файли, створені ізольованими додатками, позначаються як ненадійні. За замовчуванням цей список порожній. Для створення або оновлення списку файлів нам необхідно виконати сканування: меню «ActionStart scan:». Після заповнення списку кожен елемент позначається ім’ям файлу, розташування на диску, додатком, яке її створило, і дата останньої модифікації.
    При виборі даного файлу або групи файлів у нас є два варіанти з контекстного меню:

    • Видалити файл: назавжди видалити файл з диска
    • Позначити як довірені: позначити файл як довірений

    Результат сканування кешується і відображається при наступному запуску. Запустивши нове сканування, ми отримаємо оновлений список файлів.
    GeSWall - изоляция приложения на основе политики ограничения доступа

    Ізольовані додатки
    Список додатків, які працюють в ізоляції. Відображається детальна інформація про процесі – заголовок вікна, шлях процесу, опис, виробник. Кнопка «Завершити» відключить процес. Щоб закрити всі, виберіть меню «ActionTerminate all». Щоб оновити список, виберіть меню «ActionRefresh або натисніть клавішу «F5».
    GeSWall - изоляция приложения на основе политики ограничения доступа

    колоди
    У разі блокування доступу до ресурсів програма зберігає всі події в журналах. Типи обмежень:
    Доступ READONLY – доступ обмежений тільки для читання
    СПРЯМОВАНИЙ доступ – доступ був перенаправлений на локальну копію
    ЗАБОРОНИТИ доступ – доступ заборонений
    DENY message – відмова відправити повідомлення у вікні

    GeSWall як брандмауер

    Ми також можемо використовувати програму для обмеження доступу до мережі.

    Щоб запобігти підключення всіх ізольованих додатків до мережі, нам необхідно додати новий конфіденційний ресурс у розділі «Ресурси»:

    Конфіденційний рівень забороняє мережевий доступ до ізольованим додатками. Однак вибір Restricted for Trusted заблокує доступ до мережі всіх додатків, включаючи довірені. Цей параметр блокує доступ до мережі для всієї системи (за винятком системних процесів System, services.exe, svchost.exe, lsass.exe і winlogon.exe) і повинен надаватися для окремих додатків.
    GeSWall - изоляция приложения на основе политики ограничения доступа

    На додаток до глобальних налаштувань, можна додати певну політику для конкретного додатка. Ці параметри мають пріоритет над глобальними параметрами. У цьому прикладі я заблокував доступ до своєї сторінки:
    GeSWall - изоляция приложения на основе политики ограничения доступа

    «*» Позначає всі хости в мережі.
    В якості хоста ви також можете увійти на певну сторінку, використовуючи DNS-ім’я чи ІР-адресу, наприклад,
    update.microsoft.com
    192.168.1.17

    При спробі підключитися до мережі з’явиться повідомлення про блокування:
    GeSWall - изоляция приложения на основе политики ограничения доступа

    Захист системи

    1. При роботі в Інтернеті ми ізолюємо інтернет-браузери – тоді ніякі файли, які будуть завантажені або автоматично запущено в результаті атаки «drive-by download», не будуть заражати систему.
    2. Якщо ми використовуємо менеджер завантаження для завантаження файлів, ми додаємо його в базу даних GeSWall – завантажені файли будуть помічені як небезпечні, і при їх запуску з’явиться повідомлення з проханням про ізоляції від системи.
    3. Додаємо в базу даних програми всі програми, які використовуються для відкриття файлів даних. Потім, відкривши, наприклад, ненадійні файли PDF або стислі архівів (zip, rar, 7z), з’явиться вікно з проханням ізолювати читача.
    4. У Windows 7 з включеною технологією UAC не можна позначити файли як ненадійні за допомогою параметра контекстного меню. Рішенням може бути використання зовнішнього файлового менеджера, наприклад, FreeCommander. При запуску програми від імені адміністратора ми можемо позначити окремі файли як довірені (довірені) або недоверенные (ненадійні).
    5. Використовуючи зовнішній файловий менеджер і запускаючи його ізольовано, ми можемо безпечно переглядати портативні диски без ризику зараження від pendrives .

    «GeSWall має витоку і витоку файлів»

    Читаючи теорії деяких користувачів цього додатка, деякі не розуміли принципи цієї програми. Вони запускають програми як ізольовані програми, крім того, вони можуть бути навіть зразками вірусів. Потім закрийте програми і перегляньте файли на диску, щоб знайти файли, створені ізольованою програмою. Вони автоматично визначають програму як негерметичний, проникний файл, що він нічого не захищає і що система заражена.
    Відповідаючи – вони не праві. GeSWall дозволяє створювати файли на диску окремих додатків. Але головна відмінність полягає в тому, що файли позначені як ненадійні – ненадійні і самі по собі не здатні заражати систему . Вони можуть навіть розглядатися як пустушки.
    Файли, створені або змінені ізольованими додатками, позначаються як «ненадійні». Якщо файл:

    • виконуваний файл (.exe) і скрипти – GeSWall класифікує як процес являє загрозу і автоматично ізолює його при запуску
    • драйвер або бібліотека (.dll) – GeSWall запобігає його завантаження в ядро і довірені процеси

    Наприклад, я встановив Burnaware, який знаходиться на диску, але повністю відокремлений від системи (значки файлів мають характерну літеру G):
    GeSWall - изоляция приложения на основе политики ограничения доступа