KIS 2011 и защита ваших персональных данных

Сентябрь 20th, 2010 по Perlover Оставить ответ »

Kaspersky Internet Security, или сокращенно, KIS, позволяет очень гибко выполнять настройки по защите ваших персональных данных. Возьмем, для примера, самую свежую версию — KIS 2011. В данной статье я расскажу основные принципы по защите ваших данных с помощью гибких настроек, выполненных самим пользователем. Стандартные настройки не позволяют гибко и надежно защищать ваши данные. Например, вы имеете Webmoney ключи. По умолчанию, KIS 2011 позволит читать их любым программам, находящимся в группе «Доверенные». В этой группе находятся те программы, которые подписаны, например, цифровой подписью Microsoft, такие как Explorer — «проводник Windows» или просто широко-известные приложения (например far.exe, total commander и т.п..). Но любая программа из этой группы может быть когда либо заражена трояном, который может быть запрограммирован на кражу Webmoney ключей. И это пройзойдет, если KIS не знает про этот троян. Либо другая ситуация — ваш клиент SSH имеет ключи. Как правило, место ключей может быть отсутствовать в базе KIS, тогда ваши ключи не попадают в какую либо защищаемую группу файлов и доступ к ним будет из любой программы, даже из группу «Сильных ограничений».  Вообщем, самым идеальным способом, на моя взгляд, был бы такой метод настройки — запретить для всех программ, включая группу «Доверенные», читать ключи и важные данные (например, базы StatsRemote с чувствительными данными — паролями), а для тех программ, которые их используют (ssh.exe, pscp.exe, statsremote.exe) — для них разрешить читать их директории и файлы с этими ключами. Тем самым, вы несможете даже скопировать случайно ключи программой Far.exe или простым копированием, но запустив программу, которой необходимы ключи для работы, вы предоставите ей доступ. Тогда, украсть ключи можно будет одним способом — заразив, например, ту же программу StatsRemote.exe или ssh.exe, что сделать довольно сложно. Тем самым, вы сократите напорядки вероятность кражи таких чувствительных данных и будете защищены даже от троянов, которых нет в базе KIS и которые им не обнаружились.

Сразу оговорюсь. Пока мне сложно сделать скриншоты, что как настраивать, поэтому буду писать сухим текстом что и куда кликнуть и выполнить. Возможно, позже добавлю сюда скриншоты.

Определяем, что защищаем

Первое, нам надо определить, что мы защищаем. Например, для такой программы, как ShellGuard (программа доступа по ssh протоколу, удобный ssh клиент) ключи находятся в папке C:\Program Files\ShellGuard\keys. Для ее защиты, создаем категорию «Мои ключи» таким способом: кликаем по исконке Касперского, там «Центр защиты» -> разворачиваем «Защита файлов и персональных данных» -> находим и кликаем по «Защита персональных данных» -> клик по вкладке «Персональные данные» -> выбираем из списка «Файлы пользователя». Здесь, кликая по «Добавить категорию», мы создаем категорию «Мои ключи». Тем самым, мы создали категорию, в которой опишем места, где у нас будут хранится ключи и другие данные. После создания категории, внутри нее мы кликаем по кнопке «Добавить» и добавляем ресурс с названием, например, «SSH Ключи», а путь — C:\Program Files\ShellGuard\keys\* . Чтобы указать путь, кликните по кнопке «Обзор», но не выбирайте в директориях папку — проще удалите там текст под «Объект» и скопируйте прямой путь — C:\Program Files\ShellGuard\keys\* .  Звездочка в пути говорит KIS-у, что мы защищаем все файлы в директории и поддиректориях. Таким же способом можно было бы защитить даже ветки в Registry, но как именно, вы догадайтесь сами. Нам в этом примере это не нужно. Везде жмем «OK», чтобы настройки сохранились. Помните, что у KIS есть особенность — чтобы настройки запомнились, надо во всех открытых окошках с настройками нажать «OK».

Выставляем, как защищаем

Теперь, когда группа создана и в ней описан объект для защиты (директория с файлами), мы идем в другой пункт для указания программ, которые имеют и не имеют доступа к этой группе. Кстати, для простоты, можете в эту же группу сразу добавить другие объекты — директории — например, OpenVPN места ключей и т.п.. Можно в группе «Мои ключи» создавать подгруппы и там добавлять объекты. Вообщем, гибкости хватает. Экспериментируйте. Ну а теперь, как установить права для самих программ. Там, где мы кликали «Защита файлов и персональных данных», есть доступ к настройкам «Контроль программ». Кликаем по ней, затем «Настроить», а там кнопку «Программы». Вам выдается окошка со списком программ, распиханным по 4-ем стендартным категориям (категории новые мы создавать не можем, но можем создавать подкатегории). Сейчас, главное, надо выставить для всех 4-х групп запрет к нашей группе объектов — «Мои ключи». Кликаем по каждой группе -> «Правила группы» -> вкладка «Файлы и системный реестр» -> в «дереве» пункт «Персональные данные» -> «Файлы пользователя» -> «Мои ключи» и выставляем запрет для каждой из четырех колонок (правая кнопка мыши в нужном месте и «Запретить»). Проверяем, например, пытаемся Far-ом или Total Commander открыть файл — должен быть запрет (разумеется после сохранения настроек).  Затем, там же находим программу — в нашем примере ShellGuard.exe (там есть поиск по имени программы). Лучше сразу ее переместить в группу «Доверенные», а затем кликая по ней правой кнопкой мыши, выставляем «Правила программы» и там во вкладке «Файлы и системный реестр» выставляем разрешения для всех колонок «Мои ключи». Но тут стоит обратить внимание! Нужно также поставить опцию во вкладке «Исключения» — отметить галочку «Не наследовать ограничения родительского процесса (программы)». Объясняю почему. Обычно, программы наподобии ShellGuard, ssh, StatsRemote и т.д.. запускаются из других программ, например из проводника, Far или Total Commander. KIS по умолчанию, для запущенных программ «наследует» права из родительских процессов, например, из проводника. Причем, при наследовании он выбирает самые ограниченные права между запускающей и запущенной программы. Например, если для проводника стоял запрет на доступ в директорию, а программа, запущенная проводником, имела доступ в эту директорию в своих правах, то KIS выберет из двух типов прав правило с наименьшим приоритетом (наименьший приоритет — чем более ограничено, тем меньший приоритет) — то есть запрет (приоритеты от меньшего к большему: «запрет», «разрешение по запросу», «рарешение»). Именно поэтому, для ShellGuard.exe мы выбираем опцию «Не наследовать ограничения родительского процесса (программы)», тем самым отключаем механизм наследования — теперь KIS будет принимать во внимание только те права, что стоят для ShellGuard.exe.

StatsRemote

И еще нюанс по поводу StatsRemote.exe (4-ая версия). Эта программа использует виртуальную Java машину для работы. Поэтому, не она непосредственно обращается к вашей базе. StatsRemote.exe при запуске запускает процесс javaw.exe, а сама прекращает работу. Теперь вот что получается. Для правильной работы нам нужно сделать несколько иначе, чем описано в примере выше. Для самой StatsRemote.exe мы делаем все по такому же принципу, как делали для ShellGuard.exe.  Но, когда StatsRemote.exe запустит javaw.exe, KIS 2011 будет размышлять так: ага, javaw.exe запущена программой, которая имеет доступ, и права мы также наследуем от нее, но javaw.exe принадлежит группе «Доверенные», а для нее по умолчанию доступа нет — тогда берем права с наименьшим приоритетом — то есть запрет. В результате — после запуска StatsRemote не будет работать — не увидит директорию. Нам надо также выставить индивидуальные права для javaw.exe с разрешением на доступ в директорию. Но, нельзя ставить опцию «Не наследовать ограничения родительского процесса (программы)»! Если вы ее поставите, вы позволите любой Java программе иметь доступ в вашу директорию. А если опция не стоит, KIS будет выбирать права с наименшьим приоритетом с учетом дерева запуска процессов — в нашем примере и запускающая программа StatsRemote.exe, и javaw.exe имеют доступ в директорию — значит доступ для javaw.exe будет! Если javaw.exe будем запущена другой программой, то также будет выбрано правило наименьшего приоритета — то, что будет установлено для запускающей javaw.exe программы! А так как мы запретили всем другим программам доступ — значит доступа не будет 🙂

Заключение

Применений этому методу много. Например, его можно использовать и для защиты пасскарт Roboform, LastPass, ваших документов и т.п..

QR-Code этой страницы:

3 комментария

  1. Роман:

    Да, КИС 2011 хороший антивирь. На себе уже его испытал, вернее на своем компе. Респект…за статью спасибо, кое что новое для себя почерпнул. А то некоторые моменты мне были до этого непонятны.

  2. Geo:

    C roboform очень странно КИС ведет себя:
    создал место для ключей — запретил доступ всем, кроме всех программ входящих в робоформ. Для каждой из них указал правила. Один все работало нормально, на след перестало…

  3. Perlover:

    > Для каждой из них указал правила. Один все работало нормально, на след перестало…
    Вы имели ввиду, что в один день все работало, а в другой перестало?
    Если так, что в норме такого не должно быть. Настройки должны быть такими и на слудующий день.
    У меня есть только одно предположение: KIS (по умолчанию) имеет в настройках «Контроль программ» опцию «Загружать правила для программ из Kaspersky Security Network (KSN)». Возможно, на следующий день KIS обновил базы и вместе с тем обновил правила для Roboform. Робоформ — программа известная и для нее есть предопреденные правила, которые «подтянулись» на следующий день и перетерли ваши изменения. Выход — либо снять галочку этой опции, либо попробовать отписать суппорту KIS (или на их форум) и предложить изменить поведение — не «перетирать» правила для программ из KSN, если таковые правила были изменены пользователем. По идее, последнее очень логично, и первую опцию не хотелось бы снимать, так как она тоже важна. Может быть, я сам попробую связаться с суппортом на эту тему.