[QUOTE]Контроль компонентов Аутпост показал:[/QUOTE] [url]http://forum.five.mhost.ru/kb2/[/url] - [I]Почему иногда Agnitum Outpost Firewall говорит, что были изменены компоненты приложения, когда на самом деле они изменены не были?[/I] - Вопрос 24
Printable View
[QUOTE]Контроль компонентов Аутпост показал:[/QUOTE] [url]http://forum.five.mhost.ru/kb2/[/url] - [I]Почему иногда Agnitum Outpost Firewall говорит, что были изменены компоненты приложения, когда на самом деле они изменены не были?[/I] - Вопрос 24
"Outpost реагирует на подгрузку новой DLL в процессы, имеющие выход в Инет, и на любое изменение DLL (он проверяет контрольную сумму). Это конечно раздражает, но очень полезно, т.к. позволяет изловить многих шпионов. Нужно просто убедиться, что DLL не опасна ..."
Какой вывод? Слать все застуканые Аутпостом DLL вам на проверку?
(Ежедневно от 2 до 20)
А выхода нет. Фактически этот контроль компонентов бесполезен.
Мдя...
Хотя если была б возможность сопоставлять доверенным приложениям доверенные DLL, а если не доверенное - доступ запрещен толк был бы,
Может можно этот контроль организовать. Чем можно?
[B]Geser[/B] [QUOTE]А выхода нет. Фактически этот контроль компонентов бесполезен.[/QUOTE] Ответ неверный, но все равно прикольно. (Что ты имеешь ввиду? - проясни)
[B]Din Gior[/B]
[QUOTE]Слать все застуканые Аутпостом DLL вам на проверку?
(Ежедневно от 2 до 20)[/QUOTE] Ничего и никуда слать не нужно. Может быть от 2 и до сотен/тысяч/миллионов/миллиардов... Вы внимательно читали ссылку? [QUOTE]Хотя если была б возможность сопоставлять доверенным приложениям доверенные DLL, а если не доверенное - доступ запрещен толк был бы,
Может можно этот контроль организовать. Чем можно?[/QUOTE] Честно говоря ничего не понял. Что Вы имеете ввиду? Давайте поподробнее.
Аутпост выдает два вида сообщений относительно компонентов (примеры):
1.Приложение IE, компоненты (дерево перечисление компонентов) БЫЛИ ИЗМЕНЕНЫ (т.е. произошел доступ приложения IE с разрешением изменить этот компонент и записать его). В этом случае в дереве видно, что изменяются компоненты не только принадлежащие IE, но и ряд не имеющих к нему отношения. Естественно у меня возникает вопрос, а почему Аутпост не спросил меня "Хозяин, А можно мне разрешить IE изменить и сохранить этот к или другой компонент?".
2.Во втором сучае собщение от аутпоста менее тревожное, дескать IE начал общаться с таким-то компонентом. (т.е изменения не происходит, видимо только чтение, но явно этого не говориться - только для чтения открыто или НЕ ТОЛЬКО)
Первый вид сообщений частенько всплывает при перезагрузке системы.
Самая неприятная его особенность он сообщает об изменении Апостериорно (постфактум), когда изменение уже произошло.
Претензий особых к Аутпосту нет, никто не совершенен, наоборот эта фича Аутпоста даже в таком виде заставляет задуматься вот о чем: существуют ли программы, методы администрирования, позволяющие прописать 1."Программе IE имеет право доступа на уровне ИЗМЕНЯТЬ к следующим компонентам(Список)", 2."Программе IE имеет право доступа на уровне ЧИТАТЬ к следующим компонентам(Список)". Все остальное для IE недоступно.
IE взят для примера.
Вот такое скромное желание пользователя. :)
[QUOTE]Приложение IE, компоненты (дерево перечисление компонентов) БЫЛИ ИЗМЕНЕНЫ (т.е. произошел доступ приложения IE с разрешением изменить этот компонент и записать его). В этом случае в дереве видно, что изменяются компоненты не только принадлежащие IE, но и ряд не имеющих к нему отношения. Естественно у меня возникает вопрос, а почему Аутпост не спросил меня "Хозяин, А можно мне разрешить IE изменить и сохранить этот к или другой компонент?".[/QUOTE] сам IE не меняет компоненты. Вы внимательно читали ссылку? А ОР вносит данные о компонентах себе в базу. Параметры - приложения - Iexplore.exe - щелкаем мышей - в окошке внизу - компоненты. [QUOTE]А можно мне разрешить IE изменить и сохранить этот к или другой компонент?[/QUOTE] ?????????????????????? [QUOTE]Самая неприятная его особенность он сообщает об изменении Апостериорно (постфактум), когда изменение уже произошло.[/QUOTE] Функция фаера в курсе какая? Представьте ситуацию. Вы насильно заинсталлили драйвер/софт, ест-но он переписал (опять же насильно) другие драйвера, их версии и т.д. И что Вы хотите от фаера? Вот Он Вам честно и сообщает, что юзер/винда/софт изменила файлы, находящиеся на жестком диске. При чем тут фаер вообще? Вы вот мне скажите. Я заинсталлил софт, он переписал мне некоторые файлы. А почему тогда в винде я вижу, что у меня изменились файлы? Я же разрешения не давал?! Вы понимаете, что Вы вообще говорите не о том, совсем не о том. Еще раз говорю. При чем тут софт, если юзер сам что-то изменил? Вы понимаете о чем я говорю? [QUOTE]1."Программе IE имеет право доступа на уровне ИЗМЕНЯТЬ к следующим компонентам(Список)", 2."Программе IE имеет право доступа на уровне ЧИТАТЬ к следующим компонентам(Список)". Все остальное для IE недоступно.[/QUOTE] Если через ОР, то читать доки к ОР, а тонны прописных истин вылаживать ... - извините. А если не знаете и не понимаете как это работает в ОР, то отключите "контроль компонентов". Иначе он Вам принесет больше вреда, чем пользы.
А вообще, есть такие программы. А можно еще и через панельку IE кое-что прописать. А можно прописать самой виндой разрешения на файлики. Варианты есть.
Ссылку внимательно узучил. Неоднократно.
"При чем тут софт, если юзер сам что-то изменил? Вы понимаете о чем я говорю? "
Надеюсь, что понимаю, В конечном итоге всегда Юзер сам причина собственных неприятностей, ведь это-ж он нажимает кнопку Вкл. на системном блоке :)))
Я говорю, что если Фича называется КОНТРОЛЬ компонентов, то она и должна видимо давать возможность пользователю контролировать т.е. УПРАВЛЯТЬ, а не уведомлять об изменениях.
А управлять - значит спросить и предложить варианты действий до сохранений измененного компонента(либо возможность отката)вплоть до занесением компонента в карантин до выяснения.
А Аутпост, насколько я понял по его сообщениям в лучшем случае предлагает отключить прогу до следующего перезапуска, т.е. к примеру поймал вирус(спай), который изменил компонент,сейчас или при следующем перезапуске он один хрен свое дело сделает. Или что? при следующем перезапуске этот компонент не будет использоваться? Сомнительно.
Ну это я говорю не о тех случаях, когда пользователь Инсталл прогу. В этом случае как раз все понятно.
Не поймите меня привратно, я не противник Аутпоста, я конечный юзер ЛЮБОЙ программы, которая дружит с моими желаниями в том числе и в сфере безопасности.
"А вообще, есть такие программы. А можно еще и через панельку IE кое-что прописать. А можно прописать самой виндой разрешения на файлики. Варианты есть."
- Вот об этом и речь. Если можно ссылочки.