|
|
 Guida ProSecurity: installazione ed uso |
Tutorial a cura di nV 25
ProSecurity, è disponibile come free o come buy, nella versione a pagamento è uno degli HIPS più validi e sofisticati attualmente in circolazione. Oltre al monitoraggio ed alla protezione del sistema garantisce anche la protezione del registro e dei file.
Il programma protegge il sistema e le sue componenti dalla lettura, dalla scrittura, dall'installazione di librerie, servizi e driver e hook vari, dall'accesso al disco a basso livello, dalla terminazione, dall'iniezione di codice maligno e da molte altre attività pericolose.
Oltre a questo ProSecurity consente la creazione di regole particolari per gli hook e per le librerie di sistema e, cosa non molto frequente in questo tipo di software, anche la creazione di regole per singole cartelle e sottocartelle e per singoli file.
Ma pur consentendo un alto livello di configurabilità nella creazione di regole per il controllo dei processi e delle applicazioni, ProSecurity si presenta anche con un'interfaccia gradevole e di uso sicuramente semplice, con la quale si può settare il proprio sistema in una maniera veramente individuale e personalizzata.
Gli HIPS ( Host intrusion prevention system ) come indica il nome, sono dei software di prevenzione delle intrusioni esterne nel proprio sistema, cioè dei programmi solitamente molto sofisticati che monitorano e controllano tutti i servizi, i processi e le applicazioni in attività in un sistema, assegnandoci la possibilità di consentirle, vietarle, o permetterle entro i limiti che noi stessi intendiamo definire.
Controllare infatti in un software come questo non implica solamente rilevare i processi e le applicazioni in uso, come fanno altri tipi di programmi con finalità esclusivamente informative: controllare in questo caso significa letteralmente assumere il controllo completo delle attività in funzione in ogni momento nel nostro sistema, mantenendo una supervisione che monitora l'avvio e il comportamento di qualunque attività in modo che non possa compiere niente che noi non intendiamo consentire e di cui non siamo preventivamente informati.
L'HIPS mantiene il controllo su tutte le attività e su tutti i cambiamenti in azione nel nostro sistema, e, se non hanno già una regola che li autorizzi, impedisce loro di attivarsi e lavorare in maniera autonoma e indipendente dalla nostra volontà e dal nostro controllo.
Da questo punto di vista un HIPS si comporta in maniera in qualche modo analoga a quella di un firewall, anche se ad un livello e con funzioni molto diverse. E l'analogia è rafforzata dal fatto che è possibile, anzi indispensabile se vogliamo sfruttare il programma al massimo delle sue capacità e della sua efficacia, configurare regole estremamente ristrette, e quindi molto sicure per il nostro sistema, anche su processi e servizi noti e teoricamente già sicuri, perfino sui servizi delle stesso Windows, autorizzandoli solo per determinate operazioni e entro determinati limiti.
Ad esempio, possiamo decidere per ogni applicazione se può o non può accedere ad aree essenziali del nostro sistema, come la memoria fisica o i livelli più bassi del sistema stesso, o se e quali applicazioni possano essere attivate da un'altra applicazione.
Per questo motivo gli HIPS, se sono stati progettati in maniera completa e approfondita e se vengono configurati in modo appropriato, rappresentano i sistemi di protezione attualmente più avanzati e, probabilmente, più adeguati per la difesa del nostro pc dai rootkit. In primo luogo perché l'HIPS costituisce una seconda linea di difesa, dietro quelle primarie rappresentate dai software attivi e dal firewall: un malware sfuggito ad una di queste difese nel momento in cui penetra nel nostro pc verrebbe comunque rilevato come una nuova attività e, come abbiamo detto, bloccato completamente finché noi non diamo una disposizione di autorizzazione o divieto.
Il caro nV25 ha preparato ha preparato un mini-tutorial relativo all'installazione di questo ottimo prodotto.
In successione, le FASI del processo di installazione
Questa è la parte comune a qualsiasi setup, dove si deve accettare il contratto di licenza e si sceglie il percorso di destinazione.
Sotto invece l'avvio del programma vero e proprio.
Sopra è stato ipotizzato che "NON SI SIA IN POSSESSO" di una chiave nè che sia interessato a consultare SUBITO la guida in linea.
A questo punto si arriva ad un Wizard di configurazione, pensato per semplificarci la vita in quanto và ad apprendersi per conto nostro tutta una serie di cose.
L'unica vera FASE CRITICA di tutto il processo è questa:
Se si seguono i settaggi proposti sopra, infatti, si và "col massimo grado di controllo su ogni singolo processo", ecc.... ma "solo" le .dll (e .scr) certificati da MS "ma NON" eseguibili, che saranno "riconosciuti e settati correttamente" solo a reboot eseguito, fatti salvi i processi che di default vengono creati da ProSecurity nella fase del wizard...(svchost, winlogon, services.)
Si risponde "NO" ai 6/7 pop up che seguono (secondo me qui il wizard ha un bug perchè crede che già sia installato PS sul sistema e ci chiede se vogliamo tenere le vecchie regole....)
Si lascia che il processo finisca:
All fine, ProSecurity è PRONTO:
è necessario un reboot (è già in Learning mode, infatti..) e, A CONNESSIONE WEB SPENTA, si "SIMULA" di usare normalmente il Pc per un certo tot di tempo (anche 10 minuti, non è questo il nocciolo...), Poi, si dovrà togliere il Learning mode ecc...
Ci sono pochissime regole "DI BASE" da aver a mente, il resto scorre via da solo....
PRIMA regola di base:
installare un hips su un sistema (ragionevolmente) pulito:
dato che tutti hanno il LEARNING MODE che si avvia in automatico a fine set up, infatti, il nostro programma (che è stupido!) apprende tutte le azioni settando cosi' regole e quant'altro per conto nostro....
Va da se che se ho già un Trojan nel Pc, l'hips gli assegna permessi come se fosse un normale processo di sistema...
SECONDA regola di base:
TOGLIERE il LEARNING MODE alla fine del periodo di training (i motivi sono descritti sopra...)
Nel periodo di training, infatti, l'hips ha imparato tutto (e noi lo abbiamo aiutato ad apprendere lanciando tutti gli eseguibili dei vari programmi che usiamo solitamente...)
Il Pc, a questo punto, è AUTOSUFFICIENTE.
TERZA regola di base:
Proprio perchè il Pc era autosufficiente, va da se che qualsiasi pop-up che si dovesse registrare d'ora in avanti è ANOMALO, specie se si tratta di un Pop-Up di "prima esecuzione" (tipo: il processo XY [che non è nel mio ruleset!!] vorrebbe eseguirsi, che faccio, va bene??...e, a ruota, tutti gli avvisi che "nascono" dal NUOVO processo precedentemente lanciato...)
Questa è un pò "sensibilità", per carità, ma non credo neppure sia una cosa drammatica da dover assimilare, no?
Queste regole, di fatto, valgono poi "PER QUALSIASI HIPS"...
Alcuni ulteriori consigli
1 consiglio
(legato alla FUNZIONALITA') da operare per gli altri software di sicurezza presenti sul Pc (per Alexsandra, ad es, Prevx2): trasformare il processo di Prevx in un processo fidato (trust). Come?
clic sul processo stesso->overview...
2° consiglio (di estetica):
rendiamo PS più "professionale" togliendo la spunta a:
(se si vuole), modifichiamo anche aspetto all'interfaccia (da settings->linguetta others):
Infine, disabilitiamo la funzione "use own desktop" nel warning box:
un altro piccolo suggerimento attiene invece alla sfera del controllo/sicurezza, e cioè far si che il generico svchost.exe abbia in realtà determinati attributi assegnati in base al tipo di command line assunto dal processo svchost.exe...(ovvio, dovremo avere il Learning mode attivo.)
Eseguito il reboot, allora, e cliccando su settaggi avanzati di svchost.exe, ci troveremo di fronte ad una cosa di questo tipo:
(in sostanza, è possibile che un certo permesso sia attribuito solo ad un particolare ramo [command line..] di svchost "E NON" ad altri rami del solito processo.
nv25 si è inoltre dedicato alla traduzione in italiano dell'interfaccia di ProSecurity. Il file può essere scaricato da questo link
COME APPLICARE LA LINGUA ITALIANA?
1- Togliere il segno di spunta alla voce "Nascondi le estensioni per i tipi di file conosciuti",
2- Dezzippare e trasformare il file ITA.txt in ITA.LGU
3- Chiudere la protezione e uscire dal programma
4- Riavviare ed entrare in modalità provvisoria (premere tasto F8 a bomba a reboot iniziato...)
5- Incollare il file ITA.LGU nella cartella di destinazione di ProSecurity. In particolare, nella sottocartella Lang relativa alla lingua....
6- Cancellare i 2 file per la lingua cinese e inglese lasciando solo la nostra...
Fonte : Pianeta Pc
|
|
|
Devi essere loggato per poter inserire un messaggio.
|
 |
Nick: Unsigned
Iscritto: 15.08.08
01:09:21 |
|
 |
Nick: Faby
Iscritto: 28.05.08
01:29:52 |
|
 |
Nick: Neutrino
Iscritto: 21.11.08
01:52:03 |
|
 |
Nick: Max90
Iscritto: 12.08.08
05:05:10 |
|
 |
Nick: angarat
Iscritto: 17.05.08
05:56:57 |
|
Totale iscritti: 299
Il nuovo iscritto: Bruno56
|
|
Home
Articoli
Downloads
Informazioni
Rubriche
Utility
