http://forum.esetnod32.ru Новое в теме Правила на основе DNS. SVCHOST. Windows update. форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 30 Apr 2026 13:35:43 +0300 Правила на основе DNS. SVCHOST. Windows update. в форуме Установка и настройка антивируса.

====quote====
Ander пишет:
Параметры запуска данной службы C:\Windows\system32\svchost.exe -k netsvcs.
=============
Да, согласен, в данной ситуации так сделать не получится.

====quote====
Ander пишет:
Можно было бы найти выход из ситуации умей бы ESS работать не только с IP, но и с DNS, но увы.
=============
Создать правило на домен, к сожалению, нельзя. Но можно через команду nslookup выяснить адреса для домена, Создать соответствующую зону для них и затем создать правило на данную зону.
08.11.2011 10:43:49, Валентин.]]> http://forum.esetnod32.ru/messages/forum4/topic2666/message23048/ http://forum.esetnod32.ru/messages/forum4/topic2666/message23048/ Tue, 08 Nov 2011 10:43:49 +0400 Установка и настройка антивируса Правила на основе DNS. SVCHOST. Windows update. в форуме Установка и настройка антивируса.
Честно говоря, я не понимаю, как то, что Вы предлагаете реализовать в ESS. Возможно Вы могли бы привести инструкцию, как это сделать?

Wuauserv (Центр обновления Windows) это служба, которая запускается из под svchost. Параметры запуска данной службы C:\Windows\system32\svchost.exe -k netsvcs.
Таким образом, служба wuauserv не является каким-либо отдельным исполняемым файлом и сама от своего имени не лезет в интернет.
Если я правильно понимаю, то при создании правила я должен указать приложение, а именно EXE файл, но в данном случае это не применимо.
Можно было бы найти выход из ситуации умей бы ESS работать не только с IP, но и с DNS, но увы.
07.11.2011 20:54:09, Ander.]]> http://forum.esetnod32.ru/messages/forum4/topic2666/message23015/ http://forum.esetnod32.ru/messages/forum4/topic2666/message23015/ Mon, 07 Nov 2011 20:54:09 +0400 Установка и настройка антивируса Правила на основе DNS. SVCHOST. Windows update. в форуме Установка и настройка антивируса.

====quote====
ander.home@gmail.com пишет:
Таким образом, логичным кажется шаг разрешить для SVCHOST, как минимум, соединение с серверами обновлений посредством разрешения имен DNS этих серверов, как максимум, ограничить возможность доступа в интернет только службой wuauserv запускающейся из под SVCHOST. Но, кажется подобным функционалом ESS 5 не обладет. Так ли это?
=============
У Вас есть возможность создать разрешающее правило для службы wuauserv для любого соединения. Например, в режиме на основе политик, соединения будут разрешены только для правил, созданных Вами самостоятельно. Режим обучения устанавливать не рекомендуется. Как вариант, Вы можете использовать интерактивный режим.
07.11.2011 16:35:41, Валентин.]]> http://forum.esetnod32.ru/messages/forum4/topic2666/message22989/ http://forum.esetnod32.ru/messages/forum4/topic2666/message22989/ Mon, 07 Nov 2011 16:35:41 +0400 Установка и настройка антивируса Правила на основе DNS. SVCHOST. Windows update. в форуме Установка и настройка антивируса.
Доброго времени суток.

Подскажите, есть ли в ESS 5(firewall) возможность, в правилах, задать в качестве удаленного адреса не IP, а DNS?
Можно ли в правилах firewall для SVCHOST указать сервис(службу)? Например, Windows Update(wuauserv).

Я не смог найти данных возможностей в ESS 5. Хотя, эти возможности есть во встроенном firewall-е Windows Vista (например) в режиме повышенной безопасности. Также в KIS 2012 (Kaspersky) есть возможность указать DNS, помимо IP.

Для чего все это нужно.
Не секрет, что malware могут выдавать себя за системный процесс, а именно таким и является SVCHOST из под которого запускаются системные сервисы. Поэтому, когда ESS 5 в режиме обучения разрешает доступ SVCHOST к любому IP по портам 80, 443 это не очень приятно. Становится не понятно, что за программа пытается установить соединение и куда. Не очень хочется разрешать доступ в интернет для программ, которые осуществляют соединения посредством SVCHOST, т.к. в этом случае отсутствует контроль за такими программами.

Но, с другой стороны, Windows update (служба wuauserv) работает из под процесса SVCHOST и соответственно устанавливает связь с серверами обновлений Microsoft через данный процесс. Microsoft советует разрешать доступ к серверам обновлений Windows по DNS именам таких серверов (пример: h**p://*.download.windowsupdate.com).
Таким образом, логичным кажется шаг разрешить для SVCHOST, как минимум, соединение с серверами обновлений посредством разрешения имен DNS этих серверов, как максимум, ограничить возможность доступа в интернет только службой wuauserv запускающейся из под SVCHOST. Но, кажется подобным функционалом ESS 5 не обладет. Так ли это?
05.11.2011 01:15:29, ander.home@gmail.com.]]> http://forum.esetnod32.ru/messages/forum4/topic2666/message22838/ http://forum.esetnod32.ru/messages/forum4/topic2666/message22838/ Sat, 05 Nov 2011 01:15:29 +0400 Установка и настройка антивируса