程序规则
本文是《适应KIS 8.0程序监控方式的转变》一文的后续。那篇文章中谈的是现在威胁的趋势及卡8的应对思路,比较抽象。不少人还是认为卡8提供的防火墙设置太麻烦。本文具体谈谈卡8中的这些组件。
[比较懒,没截图,各位阅读的时候还麻烦打开卡8相应的窗口]
点击 程序过滤 旁的 设置 ,打开 规则设置 窗口。卡8中,HIPS和防火墙是高度整合的,体现为程序规则模块是共用的。在刚才找开的窗口中,有三个标签,程序、资源、设备。其中程序标签管的便是程序规则,我们可以看到程序列后有4列,前3列(操作系统、机密数据、权限)是标准的HIPS监控的对象,最后一列(网络)是标准的防火墙监控的对象。
程序规则中的程序是分为4组的,信任、低受限、高受限、不信任。注意,信任这一组只有三种可能,1、带有信任厂商的数字签名,数字签名正常就能够保证该文件的确是来自该厂商且中途未遭修改(为什么能保证将是另一篇文章了,有兴趣自己去Google);2、在卡8的白名单中,只要你开启了卡巴的自我保护,这个白名单不可能遭到其它程序的修改;3、用户添加。其它程序,当它第一次启动或遭修改时,卡巴会自动打分,然后分到低受限、高受限和不信任组中去。在这几组中,程序稍有点危险的动作都会询问用户或干脆直接禁止。恶意程序在写入系统、窃取数据、发送数据,尤其是利用正常程序发送数据,每一环都会遭卡8拦截。好了,到这里,我们明确了两点:1、恶意程序不可能被分到信任组,除非用户自己添加;2、恶意程序难以利用正常程序发送数据。
让我们回头看看传统防火墙在安全方面起的作用。防火墙有防外和防内两个功能,防外主要是Batch层次的规则,这个下面再谈;防内主要是靠程序层次的规则,一是防止恶意程序直接访问网络,这种恶意程序现已少见,而且卡8中非信任组的程序访问网络是要用户授权的,二是防止恶意程序利用正常程序访问网络,但传统防火墙这方面表现并不是非常好,防火墙这里可以使用详尽的规则来限制正常程序使用的端口,但现今的技术,恶意程序已能做到利用正常程序的正常端口而不影响正常程序自身使用这些端口,这对传统防火墙是一个巨大的挑战,而且编写这些规则很麻烦,而卡8中,严密的权限监控使得恶意程序想要利用正常程序几乎是不可能的,不管是是利用来访问网络还是干其它。好了,这里,我们明确了,传统防火墙防内的功能,卡8的权限、网络监控就能够完成,而且干得更好,何况还有文件、注册表监控。
卡8中的主动防御其实就是卡6卡7中的程序活动分析,不过大大加强。这个和HIPS是相对独立的,HIPS是用规则来过滤程序的每一个动作,而PDM是监控程序的一系列动作,看其是否与可疑行为相匹配。有了以上这些,我们可以大声的说:放心的、不用大胆的(因为很安全)把信得过的软件扔信任组里面去吧,而且只需要简单的允许其访问网络就可以,不用编写复杂的网络规则,不用担心它被恶意程序利用。当然了,像酒精这类会访问网络检查注册码的,还是要右键BAN掉它的网络访问。
网友评论