GeSWall – изоляция приложения на основе политики ограничения доступа

    47

    GeSWall – это одно из бесплатных приложений, которое предлагает защиту операционной системы от вредоносных программ и вирусных атак, основанное на ее работе на изоляции запущенных приложений, которые имеют ограниченные права на изменение файлов и записей реестра. Принцип работы полностью отличается от традиционной антивирусной защиты, когда пользователь сам должен сделать выбор при обнаружении вредоносного файла. В случае неправильного решения файл может нанести серьезный ущерб системе. GeSWall работает по-другому – он изолирует приложения от системы, накладывая на них ограничения, и вредоносные файлы не будут иметь права вносить нежелательные изменения в систему.

    GeSWall 2.9.2 учебник, описание, инструкции по использованию

    Политика ограничения

    Изолированное приложение имеет ограничения на:

    • Может читать, но не может изменять доверенные ресурсы.
    • Не удается прочитать или изменить конфиденциальные ресурсы.
    • Невозможно отслеживать кейлогинг.
    • Он не может делать снимки экрана доверенных окон приложения.
    • Не удается прочитать содержимое буфера обмена из доверенных приложений.
    • Он может создавать новые ненадежные ресурсы, например файлы.
    • Может читать или изменять ненадежные ресурсы.

    Ограничения и эффекты:

    • нет доступа к ядру (ядро системы) – предотвращает заражение руткитами в режиме ядра и кейлоггерами
    • доступ к доверенным файлам, реестру, процессам и т. д. в режиме только для чтения – предотвращает заражение руткитами в пользовательском режиме, кейлоггерами и любым другим вредоносным ПО
    • нет запланированных перезагрузок – предотвращает заражение бэкдорами, зомби-ботами и червями
    • нет доступа к конфиденциальным файлам – предотвращает утечку конфиденциальной информации

    Все ресурсы считаются доверенными, за исключением тех, которые создаются изолированными приложениями. Ресурсы, созданные изолированными приложениями, не заслуживают доверия. Конфиденциальными (конфиденциальными) являются те ресурсы, которые помечены как конфиденциальные в базе данных.

    Сообщения и предупреждения

    Скачиваем установочный файл и устанавливаем приложения. Установка типична и не вызовет никаких сложностей. По завершении потребуется перезагрузка компьютера.
    После перезагрузки приложение автоматически защищает систему. База данных программы имеет конфигурацию по умолчанию для наиболее часто используемых веб-браузеров, где каждый раз, когда она запускается, она отображает окно с вопросом, следует ли запускать программу отдельно или в обычном режиме. И почему веб-браузеры ? Это потому, что большинство вредоносных файлов и вредоносных программ приходят из Интернета. С GeSWall вы можете безопасно пользоваться Интернетом, открывать вложения электронной почты, общаться в чате, обмениваться файлами и т. Д., Не обращая внимания на интернет-угрозы.

    В случае, когда приложение пытается подключиться к Интернету или пытается прочитать ненадежные ресурсы, появится окно:
    geswall-2

    В окне у нас есть возможность выбрать режим запуска:

    • Да – запуск программы изолированно
    • Нет – запустить программу нормально, без изоляции

    Мы можем запомнить выбор, выбрав «Не спрашивать снова». У нас есть 85, чтобы принять решение, после обратного отсчета приложение будет запускаться автоматически в изоляции.

    Изолированное приложение помечается цветной строкой заголовка и значком «G». После нажатия на иконку мы можем изменить цвет строки заголовка и перезапустить программу как не изолированную.
    Geswall-3

    Любой файл, загруженный из Интернета / созданный / измененный с помощью изолированного приложения, будет помечен как ненадежный. Визуально значок файла имеет красную рамку и значок «G». Следует помнить, что при копировании файлов в другое место с использованием неизолированного приложения удаляется «недоверенная» метка. Метка не удаляется, когда файл переименовывается или перемещается в пределах одного раздела. С помощью контекстного меню мы также можем пометить файл как доверенный (пометить как доверенный) или недоверенный (пометить как ненадежный).
    Geswall-4

    Если файл исполняемый (.exe), при его запуске GeSWall отобразит окно с предложением выполнить его изолированно. Это защита от модификации системы, потому что ненадежные файлы очень часто вызывают инфекции в системе.
    Geswall-5

    Как правило, установочные пакеты не будут работать, если они запускаются изолированно. Если пакет считается доверенным, мы запускаем его без изоляции, выбирая «Нет».
    Geswall-6

    Если установщику не доверяют, его запуск в изолированном состоянии не разрешит установку из-за ограничений и невозможности записи в каталог Progrm Files. GeSWall используется для предотвращения атак, совершаемых установленными доверенными приложениями, такими как веб-браузеры, мессенджеры, электронная почта, p2p-клиент и т. Д. Следовательно, в этом случае для тестирования такого установщика необходимо использовать полностью виртуализированные среды .

    Если файлы не являются исполняемыми, приложение по умолчанию, используемое для их открытия, является изолированным. Например, при открытии PDF-файла изолируется PDF- ридер , например Foxit Reader. Но будьте осторожны – приложение должно быть в базе данных GeSWall (описание ниже).
    Geswall-18

    Когда изолированное приложение пытается получить доступ к конфиденциальным файлам, появится предупреждение. В целях защиты конфиденциальности GeSWall откажет в доступе к файлу, но мы можем авторизоваться, например, если вы хотите добавить вложение в электронное письмо.
    Geswall-7

    Программа интегрируется с контекстным меню Проводника, добавляя три функции:

    • Run Isolated – запустить файл изолированно
    • Мастер приложений: добавление приложения в базу данных
    • Пометить как ненадежный / доверенный: пометить файл как не / доверенный

    Geswall-8

    GeSWall отображает следующие сообщения:

    • когда приложение пытается получить доступ к ресурсам. Это информативные уведомления о блокировке доступа к файлам, реестру, процессам. Давайте посмотрим, что в настоящее время блокирует программу. Нажав значок в системном трее рядом с часами, мы можем указать, какие уведомления должны отображаться, или полностью их отключить, а также указать время их отображения.
      Geswall-9
    • когда атака обнаружена. Подозрительные операции, типичные для вредоносного программного обеспечения, блокируются. Мы можем завершить процесс, нажав «Завершить»
      geswall-10

    GeSWall Console

    Консоль GeCWall MMC (Microsoft Management Console) обеспечивает детальное управление программой.

    Уровень безопасности
    GeSWall поддерживает несколько уровней безопасности, и в настоящее время включенный отмечен красной стрелкой.

    • Изолировать заключенные в тюрьму приложения: изолированы только заключенные в тюрьму приложения.
    • Изолировать известные приложения: приложения, находящиеся в базе данных программы, изолированы. Режим по умолчанию.
    • Автоизоляция, без всплывающих диалогов: аналогично предыдущему, но без всплывающих окон. Программа изолирует приложения, не спрашивая пользователя.

    Geswall-11

    Резюме GeSWall
    Общее резюме работы программы, включая количество ограничений, атак и изолированных приложений.
    Geswall-12

    ресурсы
    Раздел, содержащий определения доверенных и недоверенных ресурсов. Политика ограничения доступа использует эти определения для изоляции приложений.
    Лучше не изменять список по умолчанию. Вместо этого вы можете добавить новые ресурсы из меню Action Add Resource.
    Geswall-13

    В классе безопасности мы определяем класс безопасности, т. Е. Что может и что могут делать неизолированные приложения:

    • Доверенные: ресурсы являются доверенными и не могут быть изменены (возможно чтение). По умолчанию все ресурсы являются доверенными.
    • Конфиденциально: ресурсы являются конфиденциальными и не могут быть прочитаны или изменены. Папка по умолчанию – «Мои документы». Поэтому мы либо создаем такую ​​папку, либо указываем другую и копируем в нее конфиденциальные файлы.
    • Запретить создание: создание ресурса отсутствует. По умолчанию приложения могут создавать файлы и папки без ограничений, но они не могут создавать ключи в реестре.
    • Ненадежные: ресурсы не заслуживают доверия и могут быть изменены.
    • Ворота и система угроз: зарезервировано для внутреннего использования GeSWall
    • Restricted for Trusted: ресурсы, которые нельзя изменить даже доверенными приложениями.

    В поле «Тип ресурса» мы указываем тип ресурса: файл, папка, реестр, устройство, сеть, системный объект, разделы памяти или «любой», т. Е. Все возможные ресурсы (не рекомендуется). Вы также можете указать ресурсы, указав владельца или имя ресурса.

    Например, я добавил папку «c: Downloads» в качестве своего конфиденциального каталога:
    GeSWall - изоляция приложения на основе политики ограничения доступа

    приложений
    Этот раздел содержит определения приложений вместе с подробными правилами, которые составляют базу данных приложения. Приложения разделены на группы, например, системные компоненты и компоненты GeSWall, веб-браузеры, почтовые клиенты, средства просмотра документов, мультимедиа.
    Geswall-14

    Из меню ActionAdd Group мы можем добавить новую группу. Выбрав меню «Действие / Добавить приложение», мы можем добавить новое приложение в группу.
    В поле Имя файла мы указываем исполняемый файл приложения.
    В Security Level мы устанавливаем уровень безопасности:

    • Никогда не изолировать – приложение является доверенным и никогда не будет изолированным
    • Изолировать при доступе – приложение является доверенным, но когда оно пытается подключиться к сети или получить доступ к ненадежным ресурсам, появится окно с просьбой об изоляции.
    • Автоизоляция, без всплывающих окон – то же самое, что изоляция при доступе, но изоляция автоматическая.
    • Всегда запускать изолированно – приложение автоматически изолируется во время своего запуска.
    • Ненадежный (тюрьма) – тюрьма приложений, которая не имеет разрешений по умолчанию и может получить доступ только к назначенным ресурсам.

    Например, я добавил Free Download Manager в распознанные приложения. После добавления приложение станет распознаваемым GeSWall и при добавлении нового файла в очередь загрузки отобразится окно, нужно ли изолировать программу. Тогда загруженные файлы будут помечены как ненадежные, если приложения запускаются изолированно:
    Geswall-19

    Мы добавляем любое другое приложение идентично, обычно выбирая Isolate при доступе. Затем, когда вы открываете ненадежные файлы, приложение, открывающее их, будет изолировано. Например, при добавлении 7-zip-программы при открытии ненадежного архива RAR появится окно с просьбой об изоляции. Здесь я также напишу, что при распаковке недоверенного архива в доверенном приложении распакованные файлы будут доверенными.

    К каждому определению приложения можно добавить специальные правила доступа: Меню действий / Добавить правило. В «Разрешение доступа» мы указываем опцию:

    • Разрешить: приложение может читать и изменять ресурсы
    • Перенаправление: приложение может читать ресурсы, но после изменения в реестре создается копия файла / ключа, и на нем выполняется изменение. Эта копия удаляется при закрытии приложения.
    • Только чтение: доступ к ресурсу только для чтения
    • Запретить: доступ запрещен

    Эти правила загружаются при запуске приложения, если приложение запущено, его необходимо перезапустить. Они также имеют более высокий приоритет, чем эти общие правила.
    Пример правила, разрешающего доступ к разделу реестра:
    GeSWall-23

    Ненадежные файлы
    Все файлы, созданные изолированными приложениями, помечаются как ненадежные. По умолчанию этот список пуст. Для создания или обновления списка файлов нам необходимо выполнить сканирование: меню «ActionStart scan:». После заполнения списка каждый элемент помечается именем файла, местоположением на диске, приложением, которое его создало, и датой последней модификации.
    При выборе данного файла или группы файлов у нас есть два варианта из контекстного меню:

    • Удалить файл: навсегда удалить файл с диска
    • Пометить как доверенные: пометить файл как доверенный

    Результат сканирования кэшируется и отображается при следующем запуске. Запустив новое сканирование, мы получим обновленный список файлов.
    Geswall-15

    Изолированные приложения
    Список приложений, которые работают в изоляции. Отображается подробная информация о процессе – заголовок окна, путь процесса, описание, производитель. Кнопка «Завершить» отключит процесс. Чтобы закрыть все, выберите меню «ActionTerminate all». Чтобы обновить список, выберите меню «ActionRefresh» или нажмите клавишу «F5».
    Geswall-16

    бревна
    В случае блокировки доступа к ресурсам программа сохраняет все события в журналах. Типы ограничений:
    Доступ READONLY – доступ ограничен только для чтения
    НАПРАВЛЕННЫЙ доступ – доступ был перенаправлен на локальную копию
    DENY доступ – доступ запрещен
    DENY message – отказ отправить сообщение в окне

    GeSWall как брандмауэр

    Мы также можем использовать программу для ограничения доступа к сети.

    Чтобы предотвратить подключение всех изолированных приложений к сети, нам необходимо добавить новый конфиденциальный ресурс в разделе «Ресурсы»:

    Конфиденциальный уровень запрещает сете
    ой доступ к изолированным приложениям. Однако выбор Restricted for Trusted заблокирует доступ к сети всем приложениям, включая доверенные. Этот параметр блокирует доступ к сети для всей системы (за исключением системных процессов System, services.exe, svchost.exe, lsass.exe и winlogon.exe) и должен предоставляться для отдельных приложений.
    Geswall-20

    В дополнение к глобальным настройкам, можно добавить определенную политику для конкретного приложения. Эти настройки имеют приоритет над глобальными настройками. В этом примере я заблокировал доступ к своей странице:
    Geswall-21

    «*» Обозначает все хосты в сети.
    В качестве хоста вы также можете войти на определенную страницу, используя DNS-имя или IP-адрес, например,
    update.microsoft.com
    192.168.1.17

    При попытке подключиться к сети появится сообщение о блокировке:
    GeSWall - изоляция приложения на основе политики ограничения доступа

    Защита системы

    1. При работе в Интернете мы изолируем интернет-браузеры – тогда никакие файлы, которые будут загружены или автоматически запущены в результате атаки «drive-by download», не будут заражать систему.
    2. Если мы используем менеджер загрузки для загрузки файлов, мы добавляем его в базу данных GeSWall – загруженные файлы будут помечены как ненадежные, и при их запуске отобразится сообщение с просьбой об изоляции от системы.
    3. Добавляем в базу данных приложения все программы, которые используются для открытия файлов данных. Затем, открыв, например, ненадежные файлы PDF или сжатые архивы (zip, rar, 7z), появится окно с просьбой изолировать читателя.
    4. В Windows 7 с включенной технологией UAC нельзя пометить файлы как ненадежные с помощью параметра контекстного меню. Решением может быть использование внешнего файлового менеджера, например, FreeCommander. При запуске программы от имени администратора мы можем пометить отдельные файлы как доверенные (доверенные) или недоверенные (ненадежные).
    5. Используя внешний файловый менеджер и запуская его изолированно, мы можем безопасно просматривать портативные диски без риска заражения от pendrives .

    «GeSWall имеет утечки и утечки файлов»

    Читая теории некоторых пользователей этого приложения, некоторые не понимали принципы этой программы. Они запускают приложения как изолированные приложения, кроме того, они могут быть даже образцами вирусов. Затем закройте приложения и просмотрите файлы на диске, чтобы найти файлы, созданные изолированной программой. Они автоматически определяют программу как негерметичный, проницаемый файл, что он ничего не защищает и что система заражена.
    Отвечая – они не правы. GeSWall позволяет создавать файлы на диске отдельных приложений. Но главное отличие заключается в том, что файлы помечены как ненадежные – ненадежные и сами по себе не способны заражать систему . Они могут даже рассматриваться как пустышки.
    Файлы, созданные или измененные изолированными приложениями, помечаются как «ненадежные». Если файл:

    • исполняемый файл (.exe) и скрипты – GeSWall классифицирует процесс как представляющий угрозу и автоматически изолирует его при запуске
    • драйвер или библиотека (.dll) – GeSWall предотвращает его загрузку в ядро ​​и доверенные процессы

    Например, я установил Burnaware, который находится на диске, но полностью отделен от системы (значки файлов имеют характерную букву G):
    GeSWall-24