Размещено 05.11.2011 01:15:29
Доброго времени суток.
Подскажите, есть ли в ESS 5(firewall) возможность, в правилах, задать в качестве удаленного адреса не IP, а DNS?
Можно ли в правилах firewall для SVCHOST указать сервис(службу)? Например, Windows Update(wuauserv).
Я не смог найти данных возможностей в ESS 5. Хотя, эти возможности есть во встроенном firewall-е Windows Vista (например) в режиме повышенной безопасности. Также в KIS 2012 (Kaspersky) есть возможность указать DNS, помимо IP.
Для чего все это нужно.
Не секрет, что malware могут выдавать себя за системный процесс, а именно таким и является SVCHOST из под которого запускаются системные сервисы. Поэтому, когда ESS 5 в режиме обучения разрешает доступ SVCHOST к любому IP по портам 80, 443 это не очень приятно. Становится не понятно, что за программа пытается установить соединение и куда. Не очень хочется разрешать доступ в интернет для программ, которые осуществляют соединения посредством SVCHOST, т.к. в этом случае отсутствует контроль за такими программами.
Но, с другой стороны, Windows update (служба wuauserv) работает из под процесса SVCHOST и соответственно устанавливает связь с серверами обновлений Microsoft через данный процесс. Microsoft советует разрешать доступ к серверам обновлений Windows по DNS именам таких серверов (пример: h**p://*.download.windowsupdate.com).
Таким образом, логичным кажется шаг разрешить для SVCHOST, как минимум, соединение с серверами обновлений посредством разрешения имен DNS этих серверов, как максимум, ограничить возможность доступа в интернет только службой wuauserv запускающейся из под SVCHOST. Но, кажется подобным функционалом ESS 5 не обладет. Так ли это?
Подскажите, есть ли в ESS 5(firewall) возможность, в правилах, задать в качестве удаленного адреса не IP, а DNS?
Можно ли в правилах firewall для SVCHOST указать сервис(службу)? Например, Windows Update(wuauserv).
Я не смог найти данных возможностей в ESS 5. Хотя, эти возможности есть во встроенном firewall-е Windows Vista (например) в режиме повышенной безопасности. Также в KIS 2012 (Kaspersky) есть возможность указать DNS, помимо IP.
Для чего все это нужно.
Не секрет, что malware могут выдавать себя за системный процесс, а именно таким и является SVCHOST из под которого запускаются системные сервисы. Поэтому, когда ESS 5 в режиме обучения разрешает доступ SVCHOST к любому IP по портам 80, 443 это не очень приятно. Становится не понятно, что за программа пытается установить соединение и куда. Не очень хочется разрешать доступ в интернет для программ, которые осуществляют соединения посредством SVCHOST, т.к. в этом случае отсутствует контроль за такими программами.
Но, с другой стороны, Windows update (служба wuauserv) работает из под процесса SVCHOST и соответственно устанавливает связь с серверами обновлений Microsoft через данный процесс. Microsoft советует разрешать доступ к серверам обновлений Windows по DNS именам таких серверов (пример: h**p://*.download.windowsupdate.com).
Таким образом, логичным кажется шаг разрешить для SVCHOST, как минимум, соединение с серверами обновлений посредством разрешения имен DNS этих серверов, как максимум, ограничить возможность доступа в интернет только службой wuauserv запускающейся из под SVCHOST. Но, кажется подобным функционалом ESS 5 не обладет. Так ли это?
Изменено: Ander - 05.11.2011 01:18:22
