Главная страницаОбратная связьКарта сайта

Бронзовая защита компьютера Eset Smart Security 4



В этот раз решил поставить галку и не указывать логин/пароль.

На следующем экрана ESS спросил, пользуюсь ли я прокси и по умолчанию предложил брать настройки из IE. После этого простого вопроса снова пришло время улыбаться локализации.


Тип обновления – Компоненты программы: Предложить, оказывается, означает, что ESS спросит пользователя, нужно ли обновлять модули. Почему-то разработчики не развили логику и не написали «Перезагрузка компьютера: Предложить»

Следующий этап касается технологии   ThreatSense.Net. Судя по описанию из справки (которая, между прочим, не доступна во время установки), технология схожа с Kaspersky Security Network (но несравненно более гибкая, имеет различные настройки): от пользователя к ESET уходят данные о подозрительных файлах (и сами файлы) и обнаруженных угрозах, а от ESET к пользователю приходит что-то, что помогает улучшить защиту или принять меры, когда угроза уже активна. К сожалению, в справке не говорится, есть ли лимит на размер файла, который уходит в ESET за счет пользователя. Соответствующей настройки тоже нет.

На следующем шаге у пользователя спрашивают, разрешать ли ESS детектировать потенциально опасное ПО. Я попросил ESS детектить этот класс ПО, но продукт проигнорировал это! Позже выяснилось, что везде, где встречается эта настройка, она была отключена.

Следующий этап – выбор режима работы фаервола. Здесь ESS предлагает более богатый выбор, чем я ожидал. Те, кто видит это впервые, настоятельно рекомендую читать описание каждого режима.

По окончанию установки ESS, не попросив перезагрузки, сразу принялся за работу.

Обычная работа пользователя, GUI

В первые же секунды Продукт тонко намекнул, что проблем с железом, с диагоналями мониторов, у их пользователей нет. Намек этот был в виде алерта от фаервола, который в развернутом виде имеет размер 450x630!


Непонятно, зачем разработчики запихнули два метода создания правила в один алерт. К счастью, их мониторы тоже оказались не гигантскими и третий метод они спрятали под кнопку «Пользовательское правило».

Кстати, здесь то ли ошибка локализации, то ли еще что-то подобное. По текстовому описанию ро-утер пытается соединиться с ПК, а ниже уже svchost инициирует соединение.

Главное окно продукта имеет два режима: стандартный и расширенный переключаться между которыми можно и из самого окна, и с помощью горячих клавиш. Работа в стандартном режиме рекомендуется только тем, кто боится даже взглянуть на своего защитника и тем, кто пытается перенастроить то, в чем совершенно не разбирается. Для всех остальных лучше расширенный. За эти режимы пользователи должны быть ESET благодарны. Вдвойне хорошо, что окно можно развернуть на весь экран. Однако предел минимального размера окна в ESET выбрали неудачно.




Вполне возможно, что так и было задумано.

В блоке Состояние защиты собраны статистические сведения обо всех угрозах и о работе Продукта. Там же, в «Наблюдение», есть графики. Прелесть графиков и диаграмм можно почувствовать, когда проводишь курсором мыши по легенде. Там, где находится курсор, элементы выделяются, а остальные затеняются. Т.е. даже клики не нужны.


Отличный подход. Еще приятнее он на графике – наведение курсора на элемент легенды скрывает остальные графики, оставляя только тот, который желает видеть пользователь.

Порадовал монитор сетевых подключений в этом же блоке. В нем наглядно виден расход трафика, скорость каждого подключения, адрес и порт (с расшифровкой, см. скрин), но можно ли собирать какие-то реально полезные статистические сведения или нет, сходу сказать не могу. Возможно, ответит кто-нибудь из пользователей.




Вид монитора можно настраивать. Например, по умолчанию не отображаются внутренние соединения.

Сканирование ПК

Этот блок не раскрывается. Методов проверки две: Smart (в справке называется Обычное сканирование) и Выборочный. Т.к. мне совершенно неясно было, что есть Обычное сканирование, я решил подчеркнуть сведения из справки. Первым же предложением ESET намекнул, что ума у меня нет: «Обычное сканирование является интуитивно понятным методом, позволяющим пользователю запускать сканирование компьютера и очищать зараженные файлы без участия самого пользователя». Суть в трех словах: «проверка с настройками по умолчанию». Соответственно второй для тех, кто хочет настроить все самостоятельно.


Что ESS не понравилось в этих объектах? Восстановление системы отключено, т.к. использую продукцию Акронис, потому не могу сказать, на сколько успешно NOD32 4 умеет обнаруживать и удалять вредоносов из папок этой системной утилиты.

Обновление.

Т.к. триальных логина и пароля у меня сначала не было, обновление проверить не смог. Зато обнаружил другое. База у меня была устаревшая (Update 3832 (20090206) от 2009-02-06 10:30), но ESS никаким видом это не показывал. Иконка в трее была ничуть не красной, «Состояние защиты» сообщало о максимальном уровне. Единственное, что могло хоть как-то намекнуть, что базы от 6-го февраля на 7-ое марта являются устаревшими, это окно на скриншоте:



Несколько раз видел балун, что попытка обновления не удалать, т.к. у меня проблемы с лицензией. Но проблемы с лицензией и базы более чем месячной давности – это две большие разницы и сигнализировать об этом нужно отдельно!

Настройка.

Здесь GUI сделан так, чтобы пользователь старался не залезть в реальные настройки продукта, а ограничивался простыми кликами вида Включить-Выключить, Переключить в … режим. Если уж сильно нужно сделать тонкие настройки, нужно кликать на те гиперссылки, которые оканчиваются многоточием. «Настройка» в самом верху окна, к сожалению, не переносит пользователя туда, куда он ожидает и вообще является чуть ли не самостоятельным блоком, который появился от безысходности и непродуманности.

Кстати, клик на «Изменить режим обеспечения безопасности ПК» в настройках фаервола показывает окно, где нашли друг друга сразу две проблемы: локализация и глупость разработки. Впрочем, не исключаю, что это все одна большая проблема локализации.


Надеюсь, кто-нибудь сможет рассказать суровым парням из Словакии, что Wi-Fi вполне себе используется в домашних и офисных сетях? ©

Служебные программы

Неясно, о чем думали разработчики и локализаторы, но ESET пытается доказать пользователям, что отчеты работы ESS и файлы, попавшие в карантин, являются служебными программами. Ну да Бог с ними.

В блоке «Служебные программы», среди прочего, есть очень важный пункт - SysInspector, усиленно пиаренный тем, о ком нельзя говорить. © Результат работы утилиты оставлю, пожалуй, без комментариев.




Справка и поддержка

В этом блоке нет подпунктов. Из него можно открыть справку, перейти на офциальный сайт ESET Россия, сделать запрос в техподдержку и узнать версию используемой программы.

Иконка в трее

Иконка имеет три назначения:

1.  Информирование о версии программы и баз (нужно навести и задержать курсор)

2.  Сигнализация об ослаблении защиты (отключен почтовый антивирус, например) – цветом

3.  Доступ к некоторому набору возможностей, которые нужны быстро и срочно





«Включить защиту от вирусов и шпионских программ». На самом деле у меня отключен только почтовый антивирус и антиспам. Т.е. либо проблема логики работы продукта, либо проблема локализации ошибки.

Очень не нравится, что нельзя выгрузить продукт.

Настройка

Когда я нажал F5, то первое, о чем подумал - это IM, которым пользуются в ESET ©




В Миранде мне нравится такое разнообразие и гибкость, но в защитном ПО я этого не понимаю. Тем более многое и многое можно было объединить и упростить. Т.к. настроек много, а цитирование всех надписей и комментариев мало кому интересно, я буду описывать их выборочно.

Глобальная настройка «Защита от вирусов и шпионских программ». Как я писал выше, во время установки у меня спрашивали, нужно ли детектить потенциально опасное ПО и я согласился. Однако ESS эту настройку проигнорировал. И ладно бы, но почему при загрузке системы упаковщики проверяются (думаю, имелись в виду все-таки упакованные объекты), а защитой в реальном времени – нет? И почему среди объектов проверки есть отдельный «файл»? Архивы, видимо, файлами не являются.




Во вложенной для файлового монитора ветке «Дополнительные настройки» есть чекбокс «Параметры сканирования архивов по умолчанию». Если он включен, то архивы проверяются согласно каким-то умолчаниям. Каким – тайна за семью печатями, справки здесь не предусмотрено (нажал F1):



Зато в исключениях работает справка и она гласит: «Съемные носители могут содержать вредоносные программы и подвергнуть компьютер риску заражения. ESET Smart Security дает возможность заблокировать съемные носители». Это все здорово, но почему не предусмотрено просто отключение автозапуска сменных носителей?

Настройка «Защита документов». В справке написано: «Функция защиты документов сканирует документы Microsoft Office перед их открытием, а также проверяет файлы, автоматически загружаемые браузером Internet Explorer, например элементы Microsoft ActiveX». Все хорошо и здорово. Но вот штука – Лаборатория Касперского отказалась от Office Guard в своих продуктах, а ESET ее реализовала. Так нужен этот тип защиты или нет? Вопрос специалистам.

Настройка «Защита почтового клиента». С ней пришлось знакомиться почти сразу после установки. Дело в том, что ESS взял и поставил свои метки-подписи в почтовые сообщения, которые лежат


у меня в Thunderbird! Благо, они удаляются, если отключить опцию или вообще защиту. Интересно, что пользователю самому нужно указывать, по какому порту идет POP3 и POP3S соединения (по умолчанию стоит 110) и выбрать свою почтовую программу из списка приложений. А в списке, видимо, присутствуют все программы, которые ESS «уличил» в работе с Сетью, в том числе он сам. Почему бы не отфильтровать системные приложения и себя самого?



К счастью для пользователей Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail и Mozilla Thunderbird, ESS ставит свой плагин для этих почтовых клиентов и выбирать их из списка и указывать нестандартный порт для них нет необходимости. В Thunderbird модуль добавляет свою панель, на которую он помещает кнопки антиспама («Классифицировать как спам» и др.) и кнопку вызова настроек антиспама и почтового антивируса. Панель и кнопки на ней нельзя перемещать. Кроме того, настройки «маленькие значки», «значки и текст» и т.п. не распространяются на кнопки ESS – они настраиваются самостоятельно.



«Защита доступа в интернет». Так невразумительно обозвали группы настроек компонента, который проверяет трафик браузеров (или не только?). Прежде всего, локализаторам стоит зайти на gramota.ru и прочитать вопрос № 216994: слово Интернет пишется с большой буквы (что бы ни говорил Артемий Лебедев).

К сожалению, ESET считает, что проверять трафик следует только по портам 80, 8080 и 3128! Именно эти порты по умолчанию контролируются фильтром HTTP. Кроме того, нужно указать приложения-браузеры. В окне настроек об этом пользователя пытаются предупредить, но ничего не выходит – мысль обрывается.



Самостоятельно ESS обзывает браузерами, видимо, любое приложение, которое использовало перечисленные выше порты, в т.ч. Thunderbird и Miranda IM.

Для настройки браузеров есть отдельный подпункт «Активный режим». Там еще один список приложений, не связанный со списком «Веб-браузеры». Предлагается отметить приложения, трафик которых следует проверять в активном режиме. Суть режима описана в справке – трафик загружается в специальный файл, созданный ESS, проверяется, а затем отдается приложению, для которого настройка включена. По умолчанию проверка для всех приложений идет в пассивном режиме. «В пассивном режиме данные сразу передаются запросившему их приложению, что позволяет избежать задержек». Т.е. возвращаемся к истории «если вредонос обнаружен в кеше браузера, то он уже выполнил свое вредоносное действие и уже поздно»?!

«Сканирование ПК по требованию». Здесь можно настроить профили, созданные по умолчанию (их 3) и создать свои собственные.

«Фильтрация протоколов». Здесь можно включить проверку зашифрованных соединений.

«Персональный фаервол». Здесь можно выбрать один из режимов фильтрации, как в мастере установки,   изменить их под свои требования, настроить правила приложений и пакетные правила (которые называются «Правила без назначенных приложений»). Пакетные правила работают по логике KIS 6, 7: в зоне типа Trusted не работают правила, запрещающие NetBIOS. Можно, конечно, сказать, что у меня беспроводная сеть и я хочу рекомендованную для нее Тщательную защиту либо использовать «Дополнительные настройки IDS», но хочется логики, гибкости, четкости. Кстати, пакетные правила не редактируются, не удаляются. Кроме того, правила нельзя поднимать/опускать в списке, изменяя их приоритет и созданные пользователем правила всегда будут внизу списка.

«Дополнительные настройки IDS». Складывается впечатление, что в ESET решили, что их клиенты не доросли до понимания и, тем более, управления пакетных правил. А потому засунули в IDS то, что ожидалось именно в пакетных правилах. Причем в виде «Разрешить и точка», «Запретить и точка».




«Включить связь для соединенных мостом соединений» - шедевр. ©

Кроме прочего, фаервол умеет обнаруживать изменение файла (при заражении или обновлении, например) и предупреждать об этом пользователя своим гигантским красным алертом, когда оно снова попытается выйти в сеть. По умолчанию ESS предложит заблокировать доступ. Обнаружение это настраивается, что делает чести разработчикам из ESET. ESS не будет ругаться, когда обновится подписанное приложение (разумеется, если обновиться опять же на подписанное) или приложение из списка (по умолчанию он пуст).

«Модуль защиты от спама». Очень темное место в ESS. Непонятно, как и какими методами осуществляется фильтрация. Справка об этом не просто не говорит, она показывает, насколько рано проект NOD 32 4.0 рано вышел в релиз.



Кстати, когда я снял галку и полностью отключил почтовый антивирус и антиспам, зависимые настройки остались доступны. Кому-то нравится такая логика, я привык, что зависимые настройки становятся недоступными.

«Интерфейс». Некоторые параметры из этой группы настроек кажутся мне притянутыми за уши. Зачем спрашивать у пользователя, нужно ли показывать меню под заголовком окна в том или ином режиме? Особенно комична эта настройка, если вспомнить, что меню сделано без особой логики;   нужно оно как корове седло и можно было обойтись парой дополнительных кнопок.

Но это ерунда. Совершенно неясны назначения настроек требования прав администратора. Из справки:

«Требуются права администратора (система без поддержки UAC)»

— при изменении определенных параметров системы (схожих с UAC в Windows Vista) функция запрашивает у пользователя без административных прав имя администратора и пароль. К изменениям относится отключение модулей защиты или файервола.


«Требуется полный набор прав администратора для ограниченных учетных записей администратора» (доступных в таких системах с поддержкой UAC как Windows Vista)

— функция увеличивает полномочия ограниченного числа администраторов при изменении определенных параметров системы с поддержкой UAC.

Во-первых, то ли я глупый, то ли снова локализаторы не смогли сформулировать мысль второй настройки. Во-вторых, если администратор задал пароль на изменения настроек (это отдельная настройка), то зачем спрашивать пароль администратора? А если он не задал, значит согласен, что другие пользователи могут менять параметры работы продукта.

«Разное». Неясно почему, но в ESS, в домашнем продукте, зачем-то, есть возможность удаленного администрирования! Лучше бы PDM прикрутили.

Остальное

ESET обещала, что в 4-ке улучшена самозащита. Проверим.

Начнем с простого:

C:\Documents and Settings\Root>net stop ekrn Затребованная пауза или останов службы невозможны.

C:\Documents and Settings\Root>sc config ekrn start= disabled [SC] ChangeServiceConfig FAILED 5:

C:\Documents and Settings\Root>taskkill /F /IM ekrn.exe

Ошибка: Не удается завершить процесс ekrn.exe с идентификатором 1280.

Причина: Отказано в доступе.

При этом

C:\Documents and Settings\Root>taskkill /F /IM egui.exe

Успешно: Процесс egui.exe, с идентификатором 1104, был завершен.

Но это мелочь – eicar удалился с рабочего стола и не загрузился с eicar.org

Есть еще служба EHttpSrv (ESET HTTP Server)

C:\Documents and Settings\Root>sc config EHttpSrv start= disabled [SC] ChangeServiceConfig SUCCESS

Т.е. вспомогательная служба не контролируется.

Проверяем контроль прав:

1.  Папка. c:\Program Files\ESET\ESET Smart Security. Ставлю запрет на все в списки и, до кучи, добавляю «Все» и тоже запрет. После перезагрузки ОС ESS не загрузился.

2.  Реестр. HLM\SOFTWARE\ESET . Сделал проще – добавил «Все» и выставил запреты. После перезагрузки продукт запустился, но был совершенно нерабочим. Везде, где должно было быть название продукта, появилось «%ProductName%» - ESS не мог считать не только свои настроки, но и сведения о себе. Документы Word перестали открываться! Обратная сторона Office Guard. При таком раскладе продукт невозможно было деинсталлировать (пришлось прибегнуть к помощи AVZ) и восстановить. А утилиты удаления у ESET, кажется, нет.

3.  HLM\SOFTWARE\ESET\Setup не защищается вообще. Не знаю, насколько опасно для продукта удаление этого куста.


Дальше в ход пошли ProcExp и AVZ. Первый не смог ничего сделать с ekrn.exe. В ход пошел AVZ. ESS успешно себя защищал от утилиты Олега Зайцева – он карантинил драйвер утилиты. Максиум, что удавалось, это прибить GUI и отключить его автозапуск, т.е. ничего толкового.

Итого получается двоякая ситуация. С одной стороны ESS никак не реагировал на установку драйверов утилит, с другой стороны вполне успешно защищал себя от них.

Мои выводы

ESET удалось:

1.  Удивить меня©

2.               Сделать почти отличную интеграцию почтового антивируса и антиспама с некоторыми почтовыми клиентами

3.               Сделать удобное отображение статистики

4.               Улучшить самозащиту

ESET не удалось:

1.  Довести интеграцию с почтовыми клиентами до ума. Проигнорирован The Bat!, панель ESS не зависит от общих настроек панели инструментов

2.               Нормально локализовать продукт. « EICAR тест файла», закончить отрисовку GUI (не сохранил скриншот со «съеденными» кнопками на алерте фаервола), дописать справку. В общем, уложиться в сроки

3.               Сделать полноценный фаервол

4.               Расширить проактивную защиту

5.               Добавить уже популярный Родительский контроль





Источник http://www.anti-malware.ru/








Обсудить статью на форуме


Если прочитаная статья из нашей обширной энциклопедия компьютера - "Бронзовая защита компьютера Eset Smart Security 4", оказалась полезной или интересной, Вы можете поставить закладку в социальной сети или в своём блоге на данную страницу:

Так же Вы можете задать вопрос по статье через форму обратной связи, в сообщение обязательно указывайте название или ссылку на статью!
   


Copyright © 2008 - 2024 Дискета.info