前篇:COMODO Internet Security 8:事前注意事項與安裝教學
在前一篇文章中,我花了一點篇幅說明因安裝COMODO Internet Security 8 而遭遇BOSD時的處理方式,並且從頭開始介紹安裝時各個步驟應該注意的事項。從內容來講其實並不多,但是因為安裝的部分有不少的螢幕截圖,為了不要讓整篇文章載入的時間太久,因此把安裝教學和使用說明的部分切開。接下來就讓我們進入到這系列文的重頭戲。
內容索引:
- 如何備份COMODO Internet Security組態
- HIPS設定
- 沙箱設定
- 建立沙箱規則
- Viruscope設定
- 防火牆設定
- 隱身連接埠功能
- 建立應用程式規則
- 手動建立應用程式規則
- 應用程式規則範例:BitTorrent
- 檔案評價設定
- 附錄:我的COMODO Internet Security設定
一般設定/組態
COMODO Internet Security並沒有提供還原出廠設定值的功能,所有的設定都會直接更動到預設組態的內容,因此在進行任何更動之前,使用者最好先匯出設定檔來進行備份。首先要打開設定視窗,接著到一般設定、組態,之後就會看到三種預設的組態設定,接下來對每個組態點選右鍵叫出選單,最後選擇匯出,這樣就備份完成了。
COMODO Internet Security提供三種預設組態,分別是:Internet Security、Proactive Security、Firewall Security,根據COMODO官方提供的說明,這三種組態的特色如下:
- Internet Security:
這個組態是防毒軟體與防火牆都被安裝時的預設值,在此組態下Behavior Blocker預設為啟用,僅將經常受到感染的檔案、資料夾與COM介面被HIPS視為受保護的對象 - Proactive Security:
這個模式是COMODO Internet Security的終極模式,所有可能的保護措施都被啟用,並且所有關鍵的檔案、資料夾以及COM介面都被保護 - Firewall Security:
此組態下Behavior Blocker預設為停用(自動沙箱在此組態預設為停用),鍵盤與螢幕不在HIPS的監控範圍內,而與Internet Security這個組態相同,僅保護經常受到感染的檔案、資料夾與COM介面。
無論是何種組態,防火牆預設皆為安全模式,若系統掃描(前提是有安裝COMODO Antivirus)沒有發現惡意程式,HIPS會採用乾淨模式,否則會採用安全模式。
一般設定/使用者介面
在選擇好組態,設定好密碼之後,我們回到前面使用者介面設定的部分,以下是對各個功能選項的說明:
- 顯示來自COMODO訊息中心:
主要是COMODO的相關產品訊息,我習慣停用這個功能。 - 顯示通知訊息:
會通知使用者關於COMODO Internet Security正在執行的動作或者狀態更新,這項功能習慣上我也是把它給停用。 - 啟動時顯示歡迎畫面:
就只是歡迎畫面,這也是我習慣停用的功能之一。 - 顯示桌面小工具:
使用者可以到COMODO的系統通知圖示上按右鍵,選單裡的Widget就是桌面小工具,使用者可以透過選單選擇是否讓小工具在最上層顯示,是否顯示狀態窗格、一般工作窗格、瀏覽器窗格、連線窗格等功能。
- 狀態窗格:
這裡顯示三項狀態,由左到右分別是在沙箱中執行的應用程式數、CIS正在執行的工作數、無法辨識正在等待分析的檔案數。 - 一般工作窗格:
這裡的項目會跟COMODO Internet Security主視窗的工具列項目相同。 - 瀏覽器窗格:
點選這裡的瀏覽器圖示將在沙箱中開啟瀏覽器。 - 連結窗格:
分別連到COMODO的官方推特與臉書頁面。
- 狀態窗格:
- 當任務最小化或傳送到背景時顯示資訊訊息:如果勾選此功能,當任務縮小或傳送到背景時會跳出視窗告知對任務的影響,其實也是雞肋。
- 當顯示警示時播放音效。
- 啟用密碼來保護密碼設定:
用密碼來降低設定遭到竄改的風險,這是使用防毒或防火牆軟體時不可忽略的步驟。另外,由於密碼是跟著組態設定檔的的,所以要先選擇好組態然後再設定密碼,否則你會發現自己白忙一場。
安全性設定/Defense+
在COMODO Internet Secuirty 8,Defense+由三個部分組成:HIPS、沙箱(Sandbox)、Viruscope。HIPS在有害行為發生的同時提出警告,讓使用者可以決定要讓程式繼續執行還是要停止該行為,而Viruscope偵測到正在執行可疑的處理程序(Process)時除了可以隔離可疑程式外,還能還原該程式執行過的動作,Comodo Internet Secuirty的沙箱(Sandbox)則能夠可疑程式封鎖、限制程式的執行權限,或是讓應用程式透過虛擬化的方式執行,藉此來提升使用者電腦的安全性。
安全性設定/Defense+/HIPS設定
HIPS設定我們先從介紹HIPS的模式開始,COMODO Internet Secuirty提供使用者四種模式,偏執模式、安全模式、乾淨模式、訓練模式,以下是各種模式的介紹:- 偏執模式:
這是HIPS最高等級的模式,這意味著HIPS監控與控制所有的執行檔,縱使你認為那些執行檔是安全無虞的。在這個模式底下COMODO Internet Security不會記住任何應用程式的行為模式,即使應用程式已經存在於COMODO官方的安全清單之中,而且雖然使用者可以將應用程式放入允許的清單中,但是COMODO Internet Security仍然會不厭其煩地跳出警告,因此本模式只建議需要時時刻刻注意系統活動的使用者採用。 - 安全模式:
在安全模式之下,如果使用者勾選"建立安全應用程式的規則",那被COMODO放在安全清單內的執行檔其行為就會自動被允許。而相對的,如果是沒被COMODO認可的(即是沒被COMODO放入信任程式清單的),未知的應用程式在執行時,你就會收到一個通知詢問是否要允許執行,若是使用者將其放入允許的應用程式的清單中,那未來就不會再跑出其他有關這個應用程式的警告訊息,這個模式我認為很適合推薦給大多數使用者使用 - 乾淨模式:
在乾淨模式底下,HIPS會認為已經被安裝的應用程式都是安全、可信任的,而這類應用程式的行為都會被允許,因此建議僅使用在剛灌好的系統或者是掃描之後確定沒有惡意程式的電腦上。另外,在這個模式底下若被COMODO Internet Security判定為"無法識別的檔案"的應用程式,將會被排除在允許清單之外。 - 訓練模式:
在訓練模式之下,HIPS會將所有被監控的應用程式加入允許的應用程式清單之中,除非使用者針對該應用程式的規則進行修改。因此COMODO官方強烈建議,若使用者要使用這個模式,首先必須非常了解自己電腦中安裝的應用程式。
除了選擇HIPS模式之外,在選單右邊有一個"監控設定",點開會看到下圖中的畫面,這裡頭大多數的項目都是預設被監控的,只有在FireWall Security組態底下,鍵盤和螢幕不受到HIPS所監控,但是鍵盤與螢幕可能會受到惡意程式的側錄(即是Keylogger與Screen Logger),因而造成使用者帳號與密碼等重要資訊外流,故我強烈建議使用Firewall Security這個組態的使用者應該將鍵盤和螢幕納入監控的範圍內,其他HIPS監控設定的相關介紹請見參考資料。
下面是對於HIPS設定這個頁面其他選項的介紹:
- 不要顯示跳出式警告:
這個選項若被勾選,未來COMODO將不再跳出警告訊息而逕行處理,使用者要選擇自動允許或者自動封鎖請求。 - 將彈出警示設定成詳細資訊模式:
若勾選此選項,COMODO Internet security的警示將顯示比預設更多的資訊,藉此幫助使用者判斷請求。 - 建立安全應用程式的規則:
使用者若勾選這項功能,COMODO Internet Security會自動允許安全的應用程式執行任何動作,而被COMODO Internet Security視為可信任程式的條件如下:- 該應用程式在"受信任的檔案"清單中
- 該應用程式的程式簽章在COMODO信任的廠商之中
- 該應用程式被列在COMODO安全清單(透過雲端更新)
- 將新的螢幕警示逾時設定成___秒鐘:
注意,未勾選時的預設值為120秒。 - 在系統資源不足下取用自我調整模式:
在某些極罕見的狀況下,系統負載過高可能導致COMODO Internet Security的某些功能失靈。如果啟用這項功能,COMODO Internet Security會試圖重新分配記憶體,使得等待中的工作項目能夠順利完成,然而勾選這項功能的代價是可能導致負載正常的系統無法發揮正常應有的效能,不建議一般的使用者勾選這個選項。 - 當應用程式未執行時封鎖所有未知的請求:
這個選項是相當嚴格的安全限制,只有當系統處於嚴重侵擾的情況之下才建議啟用此功能,當你認為問題已經解決,請務必將此功能停用。 - 啟用增強的保護模式:
在64位元的Windows 系統之下,惡意軟體能繞過某些HIPS規則,此功能主要是針對這部分提出相應的對策,建議64位元作業系統的使用者啟用此功能,此功能需重新開機之後才會正式生效。 - 對某些應用程式進行啟發式命令列分析:
若啟用此功能,COMODO Internet Security會對諸如Visual basic script (vbs)或以java為基礎的應用程式根據現有的安全規則進行檢查,此功能在COMODO Internet Security 8是預設啟用的。假設現有testest.vbs企圖連上網路,若此功能有開啟,則CIS 8 會提醒使用者testest.vbs正在企圖連上網路,若此功能遭停用,則CIS 8 在此狀況則會出現wscript.exe企圖連上網路的訊息,因此建議使用者不要停用此功能,否則可能會造成許多安全的執行碼無法被執行。 - 偵測Shellcode注入:
這功能就是所謂的緩衝區溢位保護,預設為啟用,不建議使用者關閉此功能。
安全性設定/Defense+/沙箱設定
接下來介紹的是沙箱這個功能,沙箱是一個與系統隔絕的操作環境,當應用程式在沙箱中運行的時候,使用者可以讓應用程式僅在有限的權限下執行、修改虛擬的檔案系統與登錄表,甚至完全封鎖應用程式的執行,使應用程式無法修改到實際作業系統下的處理程序(Process)、程式以及資料,透過這種方式提升使用者的系統安全性。
當一個未知的應用程式被COMODO Internet Security放到沙箱底下去執行之後,COMODO會自動將檔案送到COMODO CLOUD 進行分析,如果被判定為惡意程式,COMODO會將其加入COMODO黑名單並提供給使用者,如果初步並未發現疑似惡意行為,那COMODO會將其視為"無法識別的檔案",而轉交給COMODO的技術人員做進一步的分析,雲端掃描的過程從上傳到初步結果出來大概需花費十五分鐘的時間。
但使用者要留意的是,沙箱並非萬靈丹,現在已有具備穿破沙箱能力的惡意程式。
現在問題來了,既然沙箱內應用程式的修改都是在虛擬的系統下進行,如果我希望保留這些應用程式所產生的資料該怎麼辦?COMODO Internet Security在安裝的同時會在系統中建立一個叫做Shared Space的資料夾,沙箱底下運作的應用程式若將產生的資料儲存到此資料夾,就可以在原本的系統下存取這些資料。舉例來說,如果在沙箱底下運作的網路瀏覽器要把下載的檔案轉存到沙箱外,就可以將下載路徑設為Shared Space資料夾的路徑:預設位置為
C:/Program Data/Shared Space ,但我個人不建議使用者這樣設定,原因下面會解釋。
雖然被沙箱的應用程式只能存取資料而不能儲存變更到原本的系統,但是可以透過修改"不要虛擬化存取 指定的檔案/資料夾"這項功能來將特定路徑排除在虛擬化的項目內,不過這裡有一個預設值是我認為應該要修改的部分,點開"指定的檔案/資料夾"這個連結之後,會出現一個管理排除項目的視窗,預設的排除項目是一個叫做共用空間的群組,在底下有兩個路徑被排除,其中一個是Shared Space的路徑,另外一個路徑為:
%USERPROFILE%\Downloads\*
剔除的步驟很簡單,對該路徑點選編輯之後,會跳出一個提示視窗,詢問使用者是否要開啟群組視窗來編輯此項目?點選確認之後就會跳出管理檔案群組的視窗,找到共用空間底下就有我們要修改的路徑:%USERPROFILE%\Downloads\*接著把它移除就可以了。
在"不要虛擬化存取 指定的檔案/資料夾"底下還有另一項預設為停用的功能:"不要虛擬化存取 指定的登錄機碼/值",除非使用者很清楚該機碼是用做何用途,否則不建議一般的使用者做這方面的設定。
接著我們就對下列項目進行說明:
- 將安裝在沙箱中的服務啟用成自動啟動:
勾選這個項目,將允許沙箱中的應用程式在系統開機的同時被啟用。 - 將虛擬化程式顯示反白框架:
如果啟用此功能,被沙箱化的應用程式視窗周圍將會顯示綠色的框線。 - 偵測需要更高權限的程式,例如安裝程式或更新程式:
當安裝程式或更新程式要求使用Administrator系統管理員的權限來執行時,沙箱會跳出警示詢問使用者是否要將該應用程式丟入沙箱執行。 - 顯示未知程式的權限提高警示:
與前項功能類似,當未知的應用程式要求提升權限執行時會跳出警示視窗提醒使用者。 - 保護虛擬桌面(Virtual Desktop)使用密碼:
如果使用這項功能,當使用者要關閉虛擬桌面時會要求使用者輸入密碼,作用有二:避免使用者手殘不小心關閉虛擬桌面,導致進行中的工作前功盡棄,另一個作用則是當使用者開虛擬桌面給訪客或年幼的使用者暫時使用時,可以避免這類使用者關閉虛擬桌面而讓原本的系統暴露在其他危害之下。
接著我們介紹下一個頁面─自動沙箱的部分,在前面我們介紹的沙箱功能,如果發現可疑的項目會詢問使用者是否要丟入沙箱,然而如果啟用自動沙箱的功能,只要符合條件就會直接放入沙箱中執行,並且可以依照使用者的需求設定權限等級:像是部分限制等級、低權限等級、限制等級、不限制等級等等。
要新增沙箱規則,共有五個步驟:選取動作、決定目標、設定來源、設定規則適用的檔案評價、設定額外選項,下面就介紹這五個步驟要如何進行:
- 選取動作:
這裡使用者有四種不同的動作可以選擇
- 執行受限制:應用程式不被允許同時存取超過十個處理程序(Processes),並且只被允許在受限制的存取權限下執行。
- 虛擬化執行:應用程式將被執行在一個與使用者作業系統完全隔離的虛擬環境中。
- 封鎖:不允許應用程式執行。
- 忽略:應用程式將不受到沙箱限制。
- 決定標的:
這個步驟使用者可以選擇那些標的將套用自動沙箱的規則,按下瀏覽鍵會看到下列幾個選項
- 檔案:將單獨的檔案作為標的
- 執行中的處理程序:選擇這個選項之後,會跳出"瀏覽處理程序"的視窗,使用者可以從中選出想要的標的。
- 檔案群組:使用者可以選取預設的檔案群組作為標的,當然使用者也可以到"安全性設定→檔案評價→檔案群組",在這裡修改或新增檔案群組清單。
- 資料夾:指定特定資料夾作為標的
- 檔案雜湊:不同於前面用檔案作標的之選項,CIS不會用檔名來識別標的是否與使用者設定的相同,而是以檔案的雜湊值(什麼是雜湊值?)作為識別該檔案是否為使用者設定的標的,即使檔案名稱改變、但是雜湊值相同的情況下會被視為相同的檔案。
- 進程雜湊(處理程序雜湊,又或者行程雜湊,進程雜湊是中國翻譯):與前面"執行中的處理程序"類似,只是作為識別的並非處理程序名稱,而是處理程序的雜湊值,即使處理程序名稱改變,只要雜湊值相同就會被判定為同樣的處理程序。
- 設定來源:
如果你想要一個條件裡有數個項目,譬如以"資料夾"或"檔案群組"作為標的,但你又希望規則只適用在特定條件下,那可以在這個步驟設定,可以設定的條件選項就跟設定標的的選項相同,故這裡就不做重複介紹,僅就資料夾這一項進行解釋
如果條件設定為資料夾的話,會顯示兩個欄位,分別是位置(Location)與原始(Origin),以下為位置這項底下的子項目:- 任意
- 本機磁碟
- 卸除式磁碟(譬如:USB隨身碟)
- 網路磁碟
- 任意:無論檔案來自何處皆適用規則
- 網際網路:檔案下載自網際網路
- 內部網路:檔案下載自內部網路
注意:如果只設定這這個步驟,那檔案評價預設為任意,選項預設則為"當執行此動作時紀錄"。
- 設定規則適用的檔案評價:
檔案評價共有三種等級:- 受信任:
符合下列其中一項條件會被COMODO Internet Security判定為受信任的應用程式,具有COMODO信任廠商的數位簽章,或者經由被Defense+判定為可信任安裝程式所安裝的檔案。 - 無法辨識:
當檔案不在COMODO安全檔案資料庫中時,會被分類為無法辨識的檔案 - 惡意程式碼:
當檔案被判定為無法辨識,COMODO Internet Security會同時將檔案上傳到Comodo的 Instant Malware Analysis servers進行分析,如果具有惡意程式的特徵會被判別為惡意程式碼。
- 受信任:
- 其他選項:這個部分的項目會因為一開始選擇的處理動作而有所不同。
- 當執行此動作時紀錄
- 不要將所選動作套用到子程序:
這個選項只有在使用者勾選"忽略"這個動作時才會出現,預設值為勾選。舉例來說,如果今天Mozilla Firefox網路瀏覽器被判定為符合沙盒忽略的規則,但是若勾選此項,則透過第三方安裝的外掛程式(Plugins)如Flash Player、JAVA、還有工具列等子程序將不會一併適用忽略的規則。 - 設定限制等級:
當使用者選擇"虛擬化執行"與"執行受限制"這兩種動作時,將會出現這個選項,當選擇"執行受限制"時,此選項將會強制勾選,在"虛擬化執行"時則可以取消勾選。
- 不信任等級:
應用程式不被允許存取作業系統資源,應用程式不被允許同時執行超過十個處理程序(Process),且執行時只被允許一小部分的存取權限。 - 低權限等級:
應用程式只被允許存取少數的作業系統資源,應用程式不被允許同時執行超過十個處理程序(Process),且執行時只被允許一小部分的存取權限。 - 限制等級:
只有選取的作業系統資源可以被存取,應用程式不被允許同時執行超過十個處理程序(Process),並且不被允許執行Administrator帳號的權限。 - 部分限制等級:
允許存取作業系統的檔案與資源,但是不允許應用程式修改受保護的檔案與登錄檔,此為COMODO沙箱的預設值。
- 不信任等級:
- 將最大記憶體耗用量限制成__MB:只允許應用程式存取使用者設定的記憶體耗用量
- 將程式執行時間限制成__秒鐘:當應用程式執行到使用者指定的時間長度時,程式將被終止。
- 隔離程式:如果啟用這個選項,符合條件的應用程式或檔案將被COMODO Internet Security移動到隔離區並進行加密,如此一來該程式或檔案就無法被執行或使用。
安全性設定/Defense+/Viruscope
Viruscope會隨時監控使用者電腦中的處理程序(process),並且在執行某些可能會危害使用者電腦隱私與系統安全的動作時警告使用者,讓使用者決定是否需要隔離程式與相關檔案並還原所造成的影響,要注意的是,由於系統效能的緣故,目前COMODO Internet Security預設讓Viruscope只針對沙箱內的應用程式進行偵測,要讓Viruscope偵測沙箱外的應用程式需要使用者修改設定。
以下是使用者可以設定的Viruscope功能選項:
- 啟用Viruscope:
允許Viruscope動態分析並記錄處理程序的動作 - 不要顯示彈出式警示:
若啟用此選項,將自動將偵測到的威脅隔離並還原其執行過的動作。 - 僅監控沙箱中的應用程式:
如果勾選此項目,則Viruscope將僅監視在沙箱中虛擬化執行或執行受限制的應用程式,如果要監視沙箱以外的應用程式需要取消勾選此項,此項目前為預設值。
安全性設定/防火牆/防火牆設定
以下是防火牆設定頁面的功能選項介紹:
- 啟用流量過濾:
啟用防火牆來過濾輸入和輸出的流量,停用此選項等同於停用防火牆對系統的保護。此功能有四種模式,全部封鎖、自訂規則集、安全模式、學習模式,以下為此四模式的介紹:
- 全部封鎖:
在全部封鎖的模式下,COMODO Internet Security將封鎖一切輸入或輸出的流量。 - 自訂規則集:
自訂規則模式之下,防火牆只套用使用者自行建立的規則,並且是處於一個"Do Not Learn"的狀態,不會學習與記憶應用程式的行為,也不會自動替應用程式建立規則,每當有應用程式企圖連上網路的時候,使用者都會收到通知,即使該應用程式已經在COMODO的安全清單之中。換言之,除非使用者手動建立允許連線的規則,否則任何網路連線一律不允許,此模式與學習模式相對。 - 安全模式:
在安全模式之下,一旦應用程式被COMODO認定為安全,,且啟用下方「建立安全應用程式規則」這項功能,COMODO會自動創造一個規則來允許該應用程式所有的網路流量。如果是尚未被認證的應用程式企圖連上網路的時候,COMODO會跳出現警告通知使用者,由使用者來判斷是否將應用程式視為可信任的。此模式為COMODO Internet Security的防火牆預設模式 - 學習模式:
學習模式會讓COMODO防火牆監控所有的網路流量,且會自動替所有的新應用程式建立允許連線的規則,此模式之下使用者將不會接受到任何警告訊息,因此使用者只能自行手動修改網路連線規則。與「自訂規則集」這個模式相對,除了使用者手動修改規則為不允許的連線,通通都會自動允許。
- 全部封鎖:
- 不要顯示彈出式警示:
所有網路連線的警示通知都會自動允許/封鎖,此選項預設值為啟用且自動允許連線請求,個人建議停用此項功能。 - 啟用TrustConnect警示:
當電腦連線至未加密的無線網路或公用網路時,COMODO將提醒使用者,並且詢問是否啟用TrustConnect服務,使用者要注意的是TrustConnect這項服務並只被包含在COMODO Internet Security Complete (付費版)之中,因此當COMODO Internet Security Pro/Premium的使用者勾選這項功能,在警示視窗選擇以TrustConnect連線之後,COMODO Intenet Security會開始下載並安裝TrustConnect,並且要求使用者購買TrustConnect這項服務,或者輸入已經付費啟用的TrustConnect帳號以及密碼,此功能預設為啟用,但對免費版的使用者而言根本雞肋。 - 開啟流量動畫特效:
預設值為啟用,若啟用此功能,則COMODO Internet Security的系統列圖示將會即時顯示輸出輸入的流量動畫
- 建立安全應用程式規則:
與HIPS的規則相同,符合下面其中一項條件的應用程式將被COMODO防火牆視為可信任的應用程式- 應用程式在檔案評價/受信任的檔案清單之中
- 由COMODO所信任的廠商發行的應用程式(應用程式必須具有數位簽章)
- 應用程式包含在即時更新的COMODO安全清單之中(透過COMODO雲端掃描確認)
- 警示頻率等級
:警示頻率的差異在於,COMODO防火牆以那些項目作為判定同一次警告的依據
- 很高:將應用程式的輸入和輸出,TCP和UDP協定,Port、IP等視為判定的項目。
- 高:將應用程式的輸入和輸出,TCP和UDP協定,Port等視為判定的項目。
- 中:將應用程式的輸入和輸出,TCP和UDP協定等視為判定的項目。
- 低:僅將應用程式的輸入與輸出視為判定的依據,本項目為預設值。
- 很低:將應用程式視為判定的依據。
- 將新的螢幕警示逾時設定成__秒鐘:
預設值為120秒。 - 過濾IPv6流量:
使用者若有使用IPv6協定,務必啟用本功能,否則建議停用此功能。 - 過濾回送流量:
預設值為啟用,COMODO將會過濾IP包含127.0.0.1(localhost)的網路連線。 - 封鎖分散的IP流量:
Fragmented traffic(分散的流量)的發生有兩種可能,一種是路徑中有設備的MTU值較小,因此必須分次發送,此為正常情況;另一種情形則為阻斷服務攻擊(DoS Attack),本功能主要是用來防範DoS攻擊,但要注意的是若有安裝網路印表機,有時可能造成使用上的問題,這時關閉此功能即可恢復正常。本功能預設為停用,但我建議使用者開啟此功能。 - 啟動訊協定分析:
本功能主要也是針對DoS攻擊,若啟用此功能,則COMODO將檢查每一個封包是否符合通訊協定的標準,若不符合,COMODO將封鎖該封包。本功能預設值為停用,同樣我也建議啟用此功能,但是若有使用BitTorrent或Emule的需求,則建議停用此功能。 - 啟用防ARP詐騙:
ARP Spoofing在區域網路中是相當大的安全威脅,他人可以透過ARP Spoofing來中斷區域網路內其他電腦的網路連線,也可以藉此盜取他人的帳號密碼。本功能預設值為停用,但強烈在區域網路底下的使用者啟用此功能。
警示
進階
隱身連接埠功能 [調整全域功能]
COMODO Internet Security有三種方式可以來訂定防火牆規則,分別是應用程式規則、全域規則、規則集等。在任務面板上有一個名為「隱身連接埠」的功能,透過這個功能使用者在不需要太多背景知識的情況下,選擇適合使用者的全域規則設定。不過這裡還是簡單敘述一下這個功能最初的目的,當我們要從對網路傳送或接受訊息時,必須透過各式各樣的連接埠(Port),譬如HTTP使用的Port 80,又或者Telnet的Port 23等等。而透過掃描其他電腦的連接埠(Port Scan),並且蒐集回傳的資訊,就可以得知這台機器那些連接埠是開啟的,正在使用那些服務,藉此決定要用哪種模式攻擊這台電腦。針對Port Scan,若是單純的把連接埠給關閉,關閉的連接埠會回報給對方這個連接埠是關閉的,這也意謂這台機器目前是開機並且有連上網路,隱藏連接埠的好處是讓對方以為這台電腦是離線狀態,藉此降低電腦被攻擊的風險。
要操作這項功能首先要先回到COMODO Internet Security的任務面板,到防火牆任務之後,就會看到隱身連接埠這個項目。
點下去之後會出現兩個選項,一個是封鎖連入連線,另一個是警示連入連線,下面就針對這兩個選項進行說明:
- 封鎖連入連線:
不管制連出的網路連線,但封鎖大部分的主動連入連線,只允許少部分連入,譬如ICMP Fragmentation required (Type 3,code 4),或是ICMP Time Exceeded (Type 11)等。這個選項在遇到有主動連入連線的時候,不會顯示警告使用者而是直接封鎖連線,對於一般家用的使用者而言,省去判斷警告的時間並且有較高安全性。 - 警示連入連線:
警示連入連線的作法跟封鎖連入連線不同,警示連入連線只針對部分主動連入的ICMP進行封鎖,但也沒有允許主動連入連線,因此當有連線主動連入的時候COMODO Internet Security就會提出警告,如果有使用P2P相關的應用程式,或者有遠端連線需求的使用者,建議使用這種方式來隱蔽連接埠。
關於其他ICMP資訊請參照ICMP Parameters。
安全性設定/防火牆/應用程式規則
COMODO Internet Security的防火牆規則設定,無論是應用程式規則、全域規則又或者是規則集也好,其實思維上大同小異,前面已經介紹如何利用「隱身連接埠」來調整全域規則的設置,而接下來我們要介紹的是就算初學者也能輕易上手的應用程式規則建立方式。
這裡以PCMAN這個大家耳熟能詳的telnet連線軟體為例,當使用者在安裝好COMODO Internet Security之後,第一次啟動PCMAN的時候會跳出這個警告訊息。警告訊息有三個選項供使用者選擇:「允許、封鎖、視為」。如果使用者選擇「允許」或「封鎖」,COMODO Internet Security都會替PCMAN這個軟體在「應用程式規則」中建立起一項網路規則。
規則的內容與細節會與前面在防火牆設定時介紹的「警示頻率等級」這項功能有關。舉例來說,如果使用者將「警示頻率等級」設定為「很高」,那規則將會限定進出方向、通訊協定類型(TCP/UDP)、IP位址還有網路連接埠(Port),結果如下圖。
同一個事件下所制定的規則,如果將「警示頻率等級」設定為「高」與警示頻率等級的「很高」做比較,等級為「高」時並不會限定IP位址,其餘條件則完全相同,結果如下圖。
除了允許會建立新的網路規則之外,在警示視窗選擇「封鎖」也有同樣的結果,只是封鎖這個動作之下還包括三個子選項要使用者選擇:「僅封鎖」、「封鎖並終止」、「封鎖、終止並恢復」。簡單來說「僅封鎖」這個選項只是禁止應用程式進行網路連線並建立一項封鎖的規則,而「封鎖並終止」除了前述動作之外,還會關閉試圖連上網路的應用程式。最後一個選項「封鎖、終止並恢復」則更進一步,除了關閉應用程式之外,還會還原該應用程式先前所進行過的動作,建議在懷疑該應用程式為惡意程式時才選擇這個選項。
若想知道警示頻率等級對規則細節上的差異,請參考先前我對「警示頻率等級」的介紹,以我個人的習慣來講,我會將「警示頻率等級」設定為高,如此才能有效的建立防火牆規則。
前面介紹的是透過警示視窗的「允許」或「限制」來建立應用程式的防火牆規則,但使用者也可以用手動的方式建立規則。應用程式規則頁面有一個隱藏式選單,選單裡有一個新增的按鈕,按下去就會跳出管理應用程式規則的視窗
叫出編輯視窗之後,首先要先選擇應用程式,點選瀏覽之後會跳出選單:「檔案群組、檔案、執行中的處理程序」,這部分就請使用者自行摸索
選好應用程式之後,有兩種方式可以制定防火牆規則,一種是直接套用規則集(使用規則集),另一種則是從現有的規則集或其他應用程式複製規則範本來進行修改(使用自訂規則集),當然也可以從0開始新增,只要在下面空白處按下右鍵就可以叫出選單,點選新增就會出現規則編輯視窗。
叫出下圖中的規則編輯視窗之後,我們可以看到防火牆規則有幾個條件能讓使用者設定:
- 動作:允許或封鎖
- 通訊協定:前面介紹的方法,COMODO Internet Security只會選擇TCP或UDP,但手動設定的情形下除了基本的TCP或UDP之外,尚有IP與ICMP這兩個選項可以選擇
- 方向:進(連入)、出(連出)以及詢問
- 來源位址:傳送訊息一方的位址,可以使用主機名稱、一段IPv4位址範圍(譬如192.168.2.1~192.168.2.99)、IPv4單一位址、IPv4子網路遮罩、MAC位址、又或者於安全性設定/防火牆/網路區域中定義一段位址集。
- 目的位址:接受訊息一方的位址,形式同上。
- 來源通訊埠與目的通訊埠:這兩個選項只有在通訊協定選擇TCP、UDP、TCP或UDP時才會出現。可以使用單一連接埠、一段連接埠區間(譬如Port1-1024)也可以在安全性設定/防火牆/連接埠組中定義一組連接埠組(譬如說將Port80和Port443還有Port8080放在同一個連接埠組中。)。
- ICMP詳細資料:只有通訊協定選擇ICMP時才會出現。
- IP詳細資料:只有通訊協定選擇IP時才會出現。
應用程式規則範例:以BitTorrent軟體為例
基本上防火牆規則就是經由上述幾項條件來進行控制,這裡提供一份應用程式規則的實例供其他使用者參考,本規則是以大家耳熟能詳的BitTorrent(BT)做範例。在建立此規則之前,由於BitTorrent(BT)屬於Peer-to-Peer(簡稱P2P)的相關應用,因此要先請各位使用者到安全性設定/防火牆/防火牆設定,將「啟動訊協定分析」這個選項取消勾選。
規則一
- 動作:允許
- 通訊協定:TCP或UDP
- 方向:進
- 規則描述:連入的TCP或UDP連線
- 來源位址:任何位址
- 目的位址:任何位址
- 來源連接埠:連接埠範圍(1025-65535)
- 目的連接埠:BitTorrent指定的連接埠
規則二
- 動作:允許
- 通訊協定:TCP
- 方向:出
- 規則描述:連出的TCP連線
- 來源位址:任何位址
- 目的位址:任何位址
- 來源連接埠:連接埠範圍(1025-65535)
- 目的連接埠:連接埠範圍(1025-65535)
規則三
- 動作:允許
- 通訊協定:UDP
- 方向:出
- 規則描述:連出的UDP連線
- 來源位址:任何位址
- 目的位址:任何位址
- 來源連接埠:BitTorrent指定的連接埠
- 目的連接埠:連接埠範圍(1025-65535)
規則四
- 動作:詢問,並勾選「如果觸發此規則,記錄成防火牆事件」。
- 通訊協定:TCP
- 方向:連出
- 規則描述:HTTP要求
- 來源位址:任何位址
- 目的位址:任何位址
- 來源連接埠:連接埠範圍(1025-65535)
- 目的連接埠:單一連接埠:80
規則五
- 動作:封鎖,並勾選「如果觸發此規則,記錄成防火牆事件」。
- 通訊協定:IP
- 方向:進或出
- 規則描述:封鎖並記錄所有為匹配的請求
- 來源位址:任何位址
- 目的位址:任何位址
- IP詳細資訊:IP通訊協定:任何
到目前為止,介紹過兩種不同制定應用程式規則的方式,其實關於防火牆規則也就講得差不多了,你說還有規則集?規則集其實只是由數條防火牆規則所組成的集合,除了預設的那幾條規則集之外,使用者也可以手動制定屬於自己的規則集。前面不是有提到警示視窗分為三部分:「允許、封鎖、視為」嗎?「視為」這個選項讓使用者可以將應用程式套用內建或使用者自行建立的規則集,這種做法可以縮減使用者建立防火牆規則的時間,但前提是使用者對這方面具有一定程度的背景知識,個人建議初學者還是用警示視窗的方式來建立防火牆規則較佳。
檔案評價/檔案評價設定
接下來是最後的部分,這裡將對COMODO Internet Security檔案評價設定的部分進行說明。
- 啟用雲端查閱:
這是COMODO Internet Security相當重要的功能,若停用將喪失檔案評價的功能,且會對HIPS與防火牆的功能都會受到影響,故強烈不建議使用者停用此功能,本功能預設啟用。 - 藉由上傳未知檔案到雲端作即時分析:
COMODO Internet Security會將尚未受到COMODO雲端檢視過的檔案傳送至雲端進行分析,一旦發現有惡意行為將立刻加入黑名單,本功能預設啟用。 - 不顯示彈出式警示:
啟用這個選項將使得COMODO Internet Security在遭遇到惡意程式的時候不顯示防火牆警示,並且自動「封鎖並終止」偵測到的惡意程式,本功能預設啟用。 - 信任的應用程式簽章由 信任的廠商:
若勾選此功能,COMODO Internet Security將會自動信任受到信任的廠商所簽署的檔案與執行檔,本功能預設啟用。 - 信任的檔案由信任的安裝程式所安裝:
若啟用此功能,將信任在HIPS規則被列為"安裝程式與更新程式"的應用程式其子程式與檔案,本功能預設啟用。 - 偵測潛在的垃圾應用程式:
根據COMODO的官方說明文件,此功能是由COMODO Antivirus進行掃描,因此若只安裝防火牆的部分應是無法作用。若勾選此功能,COMODO Antivirus將掃描使用者可能沒注意到被安裝,或是使用者不清楚功能或安裝動機的應用程式。舉例來說,廣告軟體與瀏覽器工具列就屬於這一類應用程式。
附錄:我目前所用的防火牆設定
- 一般設定/使用者介面:
- 顯示來自COMODO訊息中心:停用。
- 顯示通知訊息:停用。
- 啟動時顯示歡迎畫面:停用。
- 顯示桌面小工具:停用。
- 當任務最小化或傳送到背景時顯示資訊訊息:停用。
- 當顯示警示時播放音效:啟用。
- 啟用密碼來保護設定:啟用。
- 安全性設定/Defense+/HIPS/HIPS設定:
- 啟用HIPS:啟用。
- 不顯示彈出式視窗:停用。
- 將彈出警示設定成詳細資訊模式:啟用。
- 建立安全應用程式規則:停用。
- 將新的螢幕警示逾時設定成480秒鐘:啟用。
- 在系統資源不足下啟用自我調整模式:停用。
- 當應用程式未執行時封鎖所有未知的請求:停用。
- 啟用增強的保護模式(需要重新啟動系統):啟用。
- 對某些應用程式進行啟發式命令列分析:啟用。
- 偵測Shellcode注入:啟用。
- 安全性設定/Defense+/沙箱/沙箱設定:
- 不要虛擬化存取指定的檔案/資料夾:啟用。
- 不要虛擬化存取指定的登錄機碼/值:停用。
- 將安裝在沙箱中的服務啟用成自動啟用:停用。
- 對虛擬化程式顯示反白框架:啟用。
- 偵測需要更高權限的程式,例如安裝程式或更新程式:啟用。
- 顯示未知程式的權限提高警示:啟用。
- 保護虛擬桌面使用密碼:停用。
- 安全性設定/Defense+/沙箱/自動沙箱:
- 啟用自動沙箱:啟用。
- 安全性設定/Defense+/Viruscope:
- 啟用Viurscope:啟用。
- 不顯示彈出式警示:停用。
- 僅監控沙箱中的應用程式:啟用。
- 安全性設定/防火牆/防火牆設定:
- 啟用流量過濾:啟用。
- 不顯示彈出式警示:停用。
- 啟用TrustConnect 警示:停用。
- 開啟流量動畫特效:啟用
- 建立安全應用程式規則:停用。
- 警示頻率等級::啟用。
- 將新的螢幕警示逾時設定成480秒鐘:啟用。
- 過濾IPv6流量:停用。
- 過濾回送流量(例如:127.x.x.x, ::1):啟用。
- 封鎖分散的IP流量:啟用。
- 啟用通訊協定分析:停用。
- 啟用防ARP詐騙:停用。
- 安全性設定/檔案評價/檔案評價設定
- 啟用雲端查閱:啟用。
- 藉由上傳未知檔案到雲端作即時分析:啟用。
- 不顯示彈出式警示:停用。
- 信任的應用程式簽章由信任的廠商:啟用。
- 信任的檔案由信任的安裝程式所安裝:啟用。
- 偵測潛在的垃圾應用程式:停用。
延伸閱讀:[How To] 忘記COMODO Internet Security的密碼該怎麼辦?
本著作依據Creative Commons 姓名標示-非商業性-相同方式分享授權條款釋出
內容如有錯誤 煩請不吝指教
留言