maks61

Untitled

Dec 3rd, 2014
4,027
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. ЕСЛИ СВЯЗКА KAV Anti-Virus и Outpost Firewall
  2.  
  3. P...-Это тянется с давних времен и актуально по сей день: антивирусы в составе проектов файерволов — это недоантивирусы-заглушки,
  4. а файерволы в составе проектов антивирусов — это полуфайерволы.
  5. Хотя вторые менее плохи, чем первые.
  6.  
  7. G...-Hормальный файервол и антивирус должны работать как сервис для обеспечения максимальной защиты компьютера.
  8. При этом они запускаются ещё ДО входа пользователя в свой логин.
  9.  
  10. P...-Как известно, веб-антивирус в программах Касперского работает как прокси.
  11. Так не только у Касперского, но и у некоторых других.
  12. То есть пропускает через себя весь сетевой трафик, идущий через указанные основные для этого порты.
  13. В случае использования KAV c фаерволом другого производителя,
  14. даже при условии запрещения или некоторого ограничения трафика пользователем
  15. в фаерволе для указанных программ, в адреса определеных ресурсов, если KAV считает их доверенными,
  16. то данные ограничения в итоге не работают.
  17. Поскольку avp.exe доверенное, и внешний трафик в итоге получается его.
  18. Чтобы дейстовали в отношении соответствующих приложений ограничения в фаерволе на запрещение указанного трафика,
  19. остается либо:
  20. 1. выключать функцию веб-антивируса полностью соответствующей настройкой.
  21. 2. более сложным рутинным заморочным путем отслеживать сетевые адреса обращений и указывать ограничения
  22. в настройках фаервола, но уже для avp.exe.
  23. 3. находить через системный реестр скрытый способ вне обычных настроек для отключения проверки веб-антивирусом
  24. в одном направлении трафика в отношении указанных процессов или в отношении всех.
  25. Чтобы кеширование сетевого трафика через avp.exe работало только в одном направлении, а обращения и сетевой трафик в,
  26. а не из интернета фактически чтобы были самостоятельными, а не из под avp.exe
  27. В обычных настройках разными способами решение не найдено.
  28. Как выполнить пункт 3? Чтобы фаервол не был полуигрушкой полуфикцией.
  29.  
  30. P...-Outpost Firewall Pro + KAV (может кому пригодится...)
  31. Мне нужен был Фаервол + Антивирус (по отдельности),
  32. ибо во всяких IS/SS (комплексных системах защиты) либо антивирус плох, либо фаервол.
  33. Установил Outpost Firewall Pro 7.5, потом KAV 12.0.0.374 (на предупреждение об установленном Outpost нажал пропустить).
  34. Оказалось что в Outpost Firewall Pro 7.5 не только фаервол (в нём ещё и Антишпион и Проактивка),
  35. а в KAV оказалось не только антивирус (в нём ещё и Веб/Почтовый/IM экраны).
  36. Т.е. в Outpost Firewall есть функции свойственные антивирусу, а в KAV есть функции свойственные фаерволу
  37. (ПОСМОТРЕТЬ БЫ В ГЛАЗА разработчикам этих программ). Иными словами в обеих программах есть Антишпион,
  38. Проактивная защита, Сетевой экран (Веб/Почтовый/IM).
  39. Это значит, что проблемы обеспечены, если не отключать эти компоненты так, чтоб одинаковых функций не было.
  40. Вскоре это подтвердилось. Оказалось, что KAV выступает в роли сервера, перехватывая весь сетевой трафик
  41. (из-за Веб/Почтовый/IM экранов). Кто бы мог подумать. Этож черт возьми АНТИВИРУС.
  42. Антивирус не должен перехватывать сетефой трафик. Плюнуть бы в рожу разработчикам за это.
  43.  
  44. A...-гы, гы.
  45.  
  46. Но это ещё не всё. Поскольку этот "чудо"-антивирус перхватывает весь сетевой трафик,
  47. то Outpost Firewall становится бесполезным, ибо он уже не может контролировать сетевую активность,
  48. потому что между ним и Интернетом стоит локальный сервер KAV, и все сетевые программы начинают запрашивать соединение
  49. не в Интернет, а в localhost:1110 (в KAV).
  50. Т.е. вы уже не узнаете куда на самом деле пойдет информация, потому что удаленный сервер всегда будет localhost.
  51. Только KAV будет знать куда после него пойдет информация, но он вам ничего не скажет,
  52. потому что он не полноценный фаервол, он лишь сетевой фильтр.
  53. С таким раскладом можно было и не устанавливать Outpost Firewall.
  54. Я взялся исправить ситуацию.
  55. В настройках KAV-а отключил Веб/Почтовый/IM экраны (обьязательно все 3, иначе если оставить хоть 1,
  56. то KAV всеравно будет перехватывать трафик) и на всякий случай в свойствах сетевого подключения снял галочку с
  57. "Kaspersky Anti-virus NDIS Filter", перезагрузил комп, и теперь KAV перестал сувать нос туда, куда ему не надо,
  58. доверив это полноценному фаерволу Outpost. А в Outpost Firewall отключил Антишпион и Проактивную защиту
  59. (этим будет заниматься KAV). Я бы мог конечно оставить в Outpost Firewall Проактивную защиту,
  60. но тогда пришлось бы отключить в KAV Проактивную защиту и Мониторинг активности.
  61. Мне Проактивная защита в Outpost Firewall не нравится (из-за постоянных всплывающих окошков),
  62. поэтому доверил это дело KAV-у.
  63. Таким образом теперь они занимаются тем чем должны - Outpost Firewall контроллирует сетевые запросы,
  64. а KAV следит за вирусами в системе.
  65.  
  66. A...- может кому пригодится..., может, но не мне, я делал по другому.
  67.  
  68. U...- Зачем помимо антивируса нужно ставить еще и фаервол?
  69.  
  70. G...-Фаервол защищает от внешних атак, а антивирус ориентирован на вирусы, уже попавшие на компьютер.
  71. Поэтому разумно использовать одновременно оба способа защиты.
  72. Большинство современных вирусов используют интернет для распространения.
  73. Фаервол контролирует трафик, практически не влияя на скорость соединения.
  74. В тоже время файловый монитор антивируса должен проверять все открываемые файлы для обеспечения защиты,
  75. что снижает производительность жесткого диска в десятки раз.
  76.  
  77. P...-Если нет желания особо париться с настройками, то лучше не делать связок. ИМХО
  78.  
  79. G...-Краткая рекомендация по настройке связки Outpost Firewall + Kaspersky Antivirus:
  80. 1. первым установить KAV,
  81.  
  82. A...-Далее обязательно выключаем у Почтовый Антивирус фильтры обработки вложений, или убеждаемся,
  83. что эти фильтры выключены. Поскольку такие фильтры есть и в OUTPOST, то после установки последнего надо будет
  84. определиться, в каком из двух приложений эти фильтры будут работать.
  85. (Одновременная работа этих фильтров в двух приложениях не допускается).
  86. 2. занести оба продукта в доверенную зону каждого (сделать это нужно правильно);
  87. 3. ознакомиться с рекомендациями в ст. 1000273 на офсайте Агнитума.
  88. 4. отключить "локальную безопасность" (проактивная защита) в Outpost - это излишек при наличии KAV;
  89. 5. убедиться в отсутствии "антишпиона" в арсенале Outpost (он сам его заглушит при выполнении п.1)
  90. 6. перезагрузить ось.
  91. Итого мы получили отличную связку, где каждый компонент занят своим делом без всякого намека на конфликт с чем либо.
  92. Если приглядеться, то в этой схеме от Outpost'а оставлена чисто "файрвольная" функция, для чего он собственно и был
  93. предназначен изначально. Все остальное возложено на антивирус с расширенным функционалом, в данном случае выбор пал на
  94. Kaspersky Anti-virus.
  95.  
  96. G...-В моём случае KAV и Outpost Pro отлично дополняют друг друга, работают без конфликтов быстро и слажено, как единое
  97. целое (после правильной настройки конечно).
  98.  
  99. G...-B KAV оставить Ф.А. сканер, веб антивирус, почтовый антивирус и IM антивирус. Зато без помех начнут работать
  100. сторонние Firewall, со своей проактивкой.
  101.  
  102. U...-Установлен Outpost Firewall Pro 7 и Касперский Анти-Вирус. Хотел узнать, нужно ли добавлять папку
  103. агнитум в исключения каспера, и нужно ли (незнаю только куда именно) добавлять в Outpost Firewall Pro самого касперского?
  104.  
  105. P...-Агнитум не обязательно должен быть в исключениях каспера. Каспер обязательно должен быть в исключениях агнитума.
  106.  
  107. G...-Я бы не стал добавлять в исключения.
  108. 1. Про исключения быстро забываешь. Потом удивляешься странному поведению программы.
  109. 2. Безусловно доверять самозащите ОП?
  110. А если она будет выключена сознательно (в лучшем случае) или нейтрализована чем-то,
  111. а исключение останется в силе (см. п1)?
  112. 3. В конце концов, я бы понаблюдал за избыточной активностью КАВ (если таковая есть) в отношении папки ОП.
  113. Если таковой нет - забыть.
  114. Добавлять в Outpost Firewall Pro самого касперского?
  115. Я бы в режиме обучения создавал правила для него по мере необходимости.
  116. Он не заставит себя долго ждать.
  117.  
  118. U...-Outpost Firewall Pro где прописывать исключения на антивирус?
  119.  
  120. G...-Настройки - Общие - Исключения.
  121.  
  122. H...-Kaspersky Antivirus
  123. 1. Правой кнопкой мыши щелкните значок Антивируса Касперского в системном лотке и выберите
  124. Настройка -> Угрозы и исключения -> Доверенная зона.
  125. 2. На вкладке Правила исключений щелкните Добавить.
  126. 3. Убедитесь, что Объект отмечен галочкой.
  127. 4. Щелкните Укажите. При помощи кнопки Обзор найдите папку Outpost
  128. (обычно C:\Program Files\Agnitum\Outpost Firewall).
  129. Поставьте флажок напротив "Включая подкаталоги" и щелкните ОК.
  130. 5. Щелкните Указанный", так чтобы поле Oпиcaниe (щелкните нa подчepкнyтыe пapaмeтpы для изменений)
  131. выглядело следующим образом:-
  132. Oбъeкт нe бyдeт пpoвepятьcя пpи выпoлнeнии cлeдyющих условий:
  133. Oбъeкт: C:\Program Files\Agnitum\Outpost Firewall
  134. Кoмпoнeнт: любoй
  135. 6. Щелкните OK для сохранения изменений.
  136. 7. Выберите вкладку Доверенные приложения.
  137. 8. Щелкните Добавить укажите путь к исполняемому файлу Outspot.
  138. 9. Поставьте все флажки в этом окне и трижды щелкните OK, чтобы сохранить установки.
  139.  
  140. U...-Чем отличается правило исключений и доверенная программа?
  141.  
  142. G...-Доверенная - ей можно все с точки зрения HIPS.
  143. Исключение - она не будет контролироваться чем-либо. Разрешение HIPS!= нет контроля.
  144.  
  145. H...-Исключения, иначе называемые доверенной зоной, делятся на две группы:
  146. --Исключения для объектов (Правила исключений)
  147. --Исключения для процессов (Доверенные програмы)
  148. Правило исключение для объектов (Правила исключений) состоит из трех атрибутов:
  149. --Объект — имя файла или каталога, на который распространяется исключение.
  150. В имени объекта можно использовать переменные окружения (%systemroot%, %userprofile% и другие) и спецсимволы * и ?
  151. --Тип угроз — имя игнорируемой угрозы (как правило, имя вредоносной программы),
  152. которое тоже можно задать с использованием спецсимволов.
  153. --Компонент(ы) — перечень компонентов защиты, на которые распространяется правило.
  154. Из трех атрибутов, обязательными является любой из первых двух и третий.
  155. Можно создать полноценное правило исключения для отдельного файла или каталога,
  156. не указывая тип угроз — выбранные компоненты будут игнорировать любые угрозы в указанных объектах.
  157. И наоборот, можно создать правило исключения для некоторого типа угроз, например,
  158. для средства удаленного управления UltraVNC,
  159. так что выбранные компоненты не будут реагировать на эту угрозу независимо от того, где она обнаружена.
  160. Нередко используются все три атрибута.
  161. Так, в списке исключений сразу имеется набор правил для распространенных средств удаленного управления:
  162. UltraVNC, RAdmin и пр.
  163. В них задан и тип угроз, и объект — расположение исполняемого файла при типичной установке средства управления.
  164. Такое правило не будет реагировать на средства управления, запускаемые из Program Files,
  165. но если пользователь запустит UltraVNC из своего домашнего каталога, Антивирус Касперского воспримет это как угрозу.
  166. Правила исключения для процессов включают два атрибута:
  167. --Программа — полный или частичный путь к исполняемому файлу программы.
  168. --Действия — перечень разрешений для программы.
  169. Разрешение, в сущности, означает полное исключение действий программы из проверки одним из компонентов защиты:
  170. --Не проверять открываемые файлы — Файловый Антивирус будет игнорировать обращения к файлам,
  171. инициированные этой программой.
  172. --Не контролировать активность программы — Анализ активности программ (модуль Проактивной защиты)
  173. не будет анализировать действия этой программы.
  174. --Не контролировать обращения к реестру — Мониторинг реестра (еще один модуль Проактивной защиты)
  175. будет игнорировать обращения это программы к реестру.
  176. --Не проверять сетевой трафик — компоненты, сканирующие сетевой трафик
  177. (Веб-антивирус, Почтовый антивирус, Анти-шпион, Анти-спам) не будут выполнять проверку данных,
  178. пересылаемых этой программой.
  179.  
  180. G...-Внесены ли в исключения в Каспере op_mon.exe и acs.exe?
  181. Внесён ли в исключения внутренней защиты Аутпоста Каспер?
  182. Устанавливает ли Каспер свой NDIS-фильтр - если да, то отключен ли он?
  183. Включена ли проактивная защита в Аутпосте - если да, то включен ли антилик?
  184. Если антилик включен, то даны ли соответствующие разрешения Касперу в
  185. "Правила для приложений"- AVP.EXE - вкладка "Контроль Anti-Leak"?
  186.  
  187. U...-NDIS-фильтр Каспера надо отключать?
  188.  
  189. G...-В принципе NDIS-фильтр Каспера можно оставить включенным
  190. (у меня он в паре с фильтром Аутпоста нормально работает - правда у меня KIS),
  191. но можно и отключить (так как непонятно для чего ещё, кроме как для поиска своих ключей в сети,
  192. нужен KAV этот фильтр).
  193.  
  194. G...-"Правила для приложений" - AVP.EXE - вкладка "Контроль Anti-Leak"
  195. Можно везде выставить "Разрешать" - только "Низкоуровневый сетевой доступ" запретить если не хотите NDIS-фильтр отключать.
  196.  
  197. G...-Нужно всю папку с Аутпостом в исключения(доверенные) вносить; еще, возможно SYSTEM32\Filt\* и дрова агнитума
  198. из SYSTEM32\drivers\
  199.  
  200. А...-Никогда не вносил в исключения SYSTEM32\Filt\* и дрова агнитума из SYSTEM32\drivers\
  201.  
  202. U...-Сам Касперский не лает и не кусает Оутпоста, если его настроить в пассив полный.
  203. Так я и делаю и проверку запускаю в ручную, а мониторинг любова рода отключаю, это уже работа Оутпоста.
  204.  
  205. G...- Я включил всю папку с OF в Доверенную зону КАВа, туда же отдельно прописал доверенными модули OF,
  206. которые он грузит в память при загрузке винды.
  207.  
  208. U...-Я так понимаю всем приложениям которым нужна сеть достаточно правил для my_computer и DNSа все остальные правила
  209. создаются для KAV?
  210.  
  211. P...-Да, при использовании стороннего веб-антивируса с гибкостью в настройках правил брандмауэра Outpost можно попрощаться.
  212.  
  213. G...-Весь траф идёт параллельно через KAV, тут уж никуда не денешься... Поэтому столько соединений.
  214. Правила создаются автоматически, причем создаются в основном не полностью, приходится задавать вручную направления
  215. соединений и протоколы, порты.
  216.  
  217. P...-Если правило:
  218. "где tcp, где направление исходящие, и удалённый адрес my_computer, разрешить"
  219. даёт полную волю приложению через KAV, а блокировка данного правила блокирует всю работу приложения в сети.
  220. И самое интересное, что данное правило необходимо для каждого сетевого приложения.
  221.  
  222. G...-Не знаю, все правила касаемо KAVa, у меня выставились еще сразу после установки аутпоста.
  223. После мне оставалось поправлять и создавать правила приложениям.
  224. Так как KAV не все протоколы могут корректно контролировать (не говоря уже о портах), то, например,
  225. та же опера щеманувшись на неизвестный KAVu порт, пропадает из поля зрения и тут уже нужно конкретно передать
  226. контроль аутпосту (либо добавлять порт в настройках KAVa), создавая и поправляя правила.
  227. Иначе дело пойдёт на самотёк и бесхозный процесс может притянуть что-нибудь извне...
  228.  
  229. G...-KAV работает прокси-сервером для всех сетевых соединений по указанным в "Настройках сети" KAV портам:
  230. При этом все соединения средствами драйвера (т.е. незаметно) перенаправляются на слушающий порт 1110 (или 1111, если
  231. занят 1110; 1112, если занят 1111; и т.д.), и лишь затем выпускаются наружу уже из-под процесса avp.exe.
  232. Таким образом, в Аутпосте нужно лишь разрешить процессу avp.exe:
  233. --слушать порт 1110 (или выше, согласно описанному мной алгоритму)
  234. --устанавливать соединения по портам, указанным в "Настройках сети"
  235. После установления этих настроек и Аутпост, и KAV будут работать в полную силу без каких-либо проблем совместимости.
  236. Для браузера также должно быть разрешение на коннект на localhost исходящее по порту 1110.
  237.  
  238. G...-КАВ идет первым, а уже через него, по его порту, в инет идут все остальные проги – браузер и проч..
  239.  
  240. U...-Как рациональнее запретить программе доступ на определенный сайт,
  241. когда все сетевые соединения идут через AVP content filter?
  242. Соответственно, трафик идет по цепочке клиент - файрвол - "прокси avp" - удаленный порт.
  243. По этой причине контроль над сетевыми соединениями стал весьма неочевидным...
  244.  
  245. G...-Модулем блокировка IP. Ему собственно говоря безразлично что блокировать - браузер, прозрачный проксик или какой
  246. нибудь icq клиент.
  247.  
  248. U...-Хотелось бы запретить доступ конкретной программе, не блокируя для всех. Такое возможно на данной конфигурации?
  249.  
  250. G...-Можно. В правилах для конкретно приложения, во вкладке для сетевых правил. Там и можно создать любые запрещающие
  251. правила на любые айпишники, порты...
  252.  
  253. U...-Было б оно так просто :) Дело в том, что все приложения в данной системе, прежде чем попасть в сеть,
  254. "пролезают" через веб-антивирус. И если им пытаться запретить лезть на такой-то удаленный порт или адрес,
  255. то попросту ничего не выйдет, ведь они лезут не на удаленный порт/адрес, а на локальный прокси AVP.exe по порту 1110,
  256. где тот их проверяет (вернее, не их, а их трафик) и уже потом отпускает на удаленный адрес.
  257.  
  258. P...-То есть Вы попробовали, и не получилось или это предположение, что не получится?
  259. Не вижу причин, почему правила для приложений должны не работать даже при наличии стороннего веб-антивируса.
  260.  
  261. U...-Пробовал конечно. Попробую объяснить более наглядно: например, запрещаем соединение для IEXOPLORE.EXE на xx.xx.xx.xx,
  262. но правило окажется бесполезным, т.к. c xx.xx.xx.xx будет соединяться AVP.EXE а IEXPLORE.EXE соединяется лишь c AVP.EXE
  263. (localhost, порт 1110) -- ведь это ему не запрещено, не так ли?; Иными словами, IEXPLORE.EXE соединяется с удаленным
  264. сервером посредством AVP.EXE. Первому разрешено соединяться со вторым, а второму разрешено все.
  265. Вот таким образом приложения достигают своей цели, пользуясь единственным правилом "Allow local TCP activity",
  266. невзирая на другие.
  267. Есть ли в Outpost Firewall Pro функционал для контроля такой схемы, вот в чем вопрос...
  268.  
  269. P...-спасибо за подробности. Понял сразу, просто... получается, что "правила для приложений" становятся полностью
  270. бесполезными с веб-антивирусом?
  271. Может проще его отключить, а для безопасности разрешить java-скрипты только избранным сайтам?
  272.  
  273. G...-Да ход мысли верный, если какое то приложение лезет в сеть от имени avp.exe то и запрещать нужно правилом для avp.
  274. Как было написано выше, решение слишком "грубое". Нужно учитывать что не все приложения лезут в сеть через avp.
  275. Avp работает по портам, которые Вы задаете в настройках -> параметры -> сеть -> контролируемые порты.
  276. То есть в случае моего ПК через avp лезут только 1 браузер опера, 1 mail клиент the bat и 1 асько\джаббер клиент инфиум.
  277. Они все работают по разным портам, можно настроить еще детальнее. Ограничивать кому то из них в отдельности доступ
  278. к какому либо сайту по всей видимости с web av не получится.
  279.  
  280. G...-Дополнение. Ограничить не получится если они работают по одному порту.
  281. Скажем заблокировать http сайт для ie и разрешить его для оперы.
  282.  
  283. U...-Удивляет, что такой старый файрвол не научен разбираться, какие приложения лезут "от чьего-то имени"...
  284. Касаемо контроля портов в Kaspersky Internet Security - у меня специально стоит галка контролировать все порты.
  285. И уж тем более это применимо для браузеров. Не жертвовать же безопасностью, решая такой довольно узкий вопрос...
  286.  
  287. A...--Контролировать все сетевые порты - будут контролироваться все порты, открываемые программой.
  288. Ведь вредоноса можно передать по какому-нибудь 35795, который не контролируется в "выбранные".
  289. Kонтроль всех портов на деле является полной блокировкой почти всех,
  290. т.е. у пользователя выбор такой - либо держать почти все порты полностью открытыми,
  291. либо отказаться от работы ФТП клиентов в активном режиме.
  292. --Kонтролировать только выбранные порты - Если программа использует какой-то экзотический порт,
  293. то веб-антивирус, почтовый антивирус, им-антивирус не смогут контролировать
  294. (проверять на вредоносы, фишинг) трафик этой программы, если порт не указан в списке).
  295.  
  296. G...-Ну вообще говоря прокси сервер для того и нужен...чтобы с нескольких приложений (систем) на выходе шел 1 поток,
  297. который и фильтрует агнитум. У меня просто честно говоря такой задачи никогда не возникало.
  298. IE вся сеть запрещена, опере разрешена.
  299.  
  300. H...-С точки зрения Outpost цепочка, например, для браузера будет выглядеть так:
  301. 1. Браузер честно лезет на внешний сервер:
  302. --Срабатывает исходящее правило Аутпоста для браузера (TCP, исходящее, удаленный 80 порт).
  303. 2. После этого редиректор KAV заворачивает коннект на процесс avp.exe:
  304. --Срабатывает глобальное правило (TCP, исходящее, тип пакета локальный, удаленный адрес 127.0.0.1, удаленный порт
  305. 1110-1112, локальный адрес 127.0.0.1)
  306. --Срабатывает входящее правило для avp.exe (TCP, входящее, удаленный адрес 127.0.0.1, локальный порт 1110-1112)
  307. 3. И теперь уже avp.exe лезет на внешний сервер:
  308. --Срабатывает правило Аутпоста для avp.exe (TCP, исходящее, удаленный порт 80).
  309.  
  310. H...-В процессе работы продуктов Лаборатории Касперского с сетевыми экранами сторонних производителей могут возникнуть проблемы:
  311. --Невозможно принимать\отправлять электронную почту;
  312. --Страницы Интернета не загружаются или загружаются не полностью;
  313. --Соединение с Интернет разрывается сразу после подключения или через некоторое время.
  314. Дело в том, что продукты Лаборатории Касперского работают в режиме сервера, переводя на себя весь Интернет и почтовый
  315. трафик для проверки, а также сам устанавливает соединение с сервером в Интернете. Поэтому в сетевом экране необходимо
  316. правильно настроить правила для сервиса программы AVP.EXE:
  317. Если установленный сетевой экран имеет режим обучения, то необходимо включить этот режим. При попытке сервиса AVP.EXE
  318. установить соединение, сетевой экран должен информировать об этом пользователя.
  319. Разрешайте любую сетевую активность процессу AVP.EXE
  320.  
  321. G...-Растолковать можно так: в Сеть (интернет) программы ходят через КАВ.
  322. Поэтому следует разрешать соединения (порты) для КАВ (или для приложения: Путь...\avp.exe). Эти порты: bla, bla, bla.
  323.  
  324. H...-Одна из особенностей совместной работы этих программ состоит в том, что каждая встраивает в систему свой сетевой драйвер.
  325. Драйвер Касперского будет перехватывать трафик только для тех портов, которые прописаны у него в
  326. Настройка -> Настройка сети -> Настройка портов, и
  327. --обрабатывать HTTP трафик Веб-Антивирусом,
  328. --POP3, SMTP, IMAP, MAPI и NNTP - Почтовым Антивирусом.
  329. Поэтому не имеет смысла вводить здесь например порт 21 для протокола FTP, потому что этот протокол
  330. KAV/KIS не обрабатывает.
  331.  
  332. H...-Если установленный сетевой экран не имеет режима обучения, то необходимо вручную создать разрешаюшие правила для
  333. процесса AVP.EXE по системным портам:
  334. --Порт процесса AVP.EXE: 1110
  335. --Стандартные HTTP порты: 80, 81, 82, 83, 1080, 7900, 8080, 8088, 3128, 11523
  336. --Стандартный SMTP порт: 25
  337. --Стандартный POP3 порт: 110
  338. --Стандартный NNTP порт: 119
  339. --Стандартный IMAP порт: 143
  340. --Локальный порт: 19780
  341. --Почтовый Антивирус анализирует информацию, передаваемую по POP3, SMTP, IMAP, MAPI и NNTP, а так же через защищенные
  342. соединения (SSL) по протоколам POP3 и IMAP;
  343. --Веб-Антивирус – по протоколам HTTP, HTTPS и FTP, а также предотвращает запуск на компьютере опасных скриптов;
  344. --IM-Антивирус (KAV)предназначен для проверки трафика ,
  345. в том числе ICQ, MSN, AIM, Yahoo! Messenger, Jabber, Google Talk, Mail.Ru Агент и IRC.
  346. --Файловый Антивирус что делает?; наверно проверяет файлы,которые попадают на компьютер;
  347. --компоненты обработки трафика (почтовый и веб-антивирусы)
  348.  
  349. G...-Что бы не спросил фаервол в режиме обучения, надо разрешать все соединения любым программам и приложениям на
  350. порты 1110 и 19780. Начинать настраивать правила следует отключившись от Сети и запуская все программы, установленные на
  351. компьютере поочередно. (Потом, когда система заработает стабильно, надо запретить СЕТЕВУЮ активность программам, которые
  352. вы не хотите "пускать" в Сеть. Или даже не так: сначала без Сети, а потом и в Сети настроить программы, хотя бы изредка
  353. выходящие в Сеть (например обновление Windows, качалки), добившись стабильной работы выходя в Сеть, - потом запретить
  354. сетевую активность ненужным). Надо просто запомнить: 1110, 19780; 1110, 19780. КАВ работает как прокси-сервер
  355. (т.е пропуская через себя, контролируя проходящее) не только при работе в Сети, но и при обращении программ к системе!
  356. Этого я долго не мог понять. Поэтому просто запомните: 1110, 19780.
  357.  
  358. H...-Если порт 1110 закрыт, то процесс AVP.EXE начинает перебирать по порядку порты, начиная с 1110 и заканчивая 2110 до
  359. тех пор, пока не найдет открытый порт.
  360.  
  361. U...-Как открыть порты? Что бы каспер их вообще не контролировал и не закрывал?
  362.  
  363. G...-Объявите сеть доверенной.
  364.  
  365. A...-OF -> Настройки -> Брандмауер -> НастройкиLAN -> Доверенная, тут отметить галкой?
  366.  
  367. U...-При совместной работе Agnitum Outpost Firewall с антивирусным ПО происходит замедление в работе системы. Как побороть?
  368.  
  369. G...-Вы можете исключить из списка проверяемых файлы *.mdb
  370. Кликните правой кнопкой мышки на иконку монитора Kaspersky Antivirus в системной области панели задач.
  371. Выберите Kaspersky Antivirus Monitor Settings.
  372. Выберите Objects.
  373. В Scan files of the following types выберите Exclude by mask.
  374. Выберите New value и введите *.mdb
  375. Нажмите ОК для сохранения настроек.
  376.  
  377. A...-Что то не найду Kaspersky Antivirus Monitor Settings это в КИСе?.
  378.  
  379. U...-Появились проблемы с притормаживанием системы на несколько секунд. это происходит в приблизительно одинаковые промежутки...
  380. также стоит Антивирус Касперского и каждый сабж [Аутпост + Кав] занесён в исключения и доверенные программы.
  381. также в Каспере выключил полностью компоненты Мониторинг активности и Проактивная защита. в чём дело?
  382.  
  383. P...-По-моему, в самом аутпосте еще можно отключить все проверялки и антиличи - кроме, собственно, самого фаервола.
  384.  
  385. U...-Отключил только что Anti-leak никаких результатов так же зависает на какой-то момент [сек. 5] затем опять все норм...
  386.  
  387. P...-Есть еще одна проблема в работе данной связки, но она решается правкой реестра в версии KAV 2011.
  388. Если работа с сетью резко замедлилась и от имени SYSTEM на порт 19780 устанавливается множество подвисающих соединений
  389. (по логам Outpost), в реестре по пути
  390. [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP11\profiles\TrafficMonitor\settings] необходимо найти параметр
  391. "UseKavsend" и поменять его значение на "1".
  392. В этом случае соединения SYSTEM:19780 не устанавливаются вовсе, и соединения в браузере больше не подвисают.
  393. Я не нашел данный параметр в версиях 2012 +, нужно ли его создавать?
  394. Просто в связке KAV 2012 + Outpost 7.5.1 есть небольшие замедления при загрузке сайтов в браузере,
  395. но подвисаний не наблюдается.
  396.  
  397. A...-В этом случае соединения SYSTEM:19780 не устанавливаются вовсе, и соединения в браузере больше не подвисают.
  398. Тем не менее, по словам одного из разработчиков,
  399. "в этом случае могут возникать проблемы при открытии сайтов" (какого рода проблемы, он не пояснил).
  400.  
  401. U...-Чем проверка трафика (KAV Веб-антивирус) предпочтительнее проверки монитором (Outpost op_mon)?
  402.  
  403. G...-Она не предпочтительнее, это просто еще один уровень защиты от вирусов. Грубо говоря, если вирус сидит в картинке,
  404. отображаемой на HTML-странице, то файловый антивирус не сможет воспрепятствовать этому вирусу,
  405. т.к. картинка сначала будет отображена (т.е. будет исполнен код вируса), а лишь потом положена на диск в кеш браузера.
  406.  
  407. U...-Отсутствует возможность контроля приложений, пытающихся работать с сервисами, порты которых перехватил KAV, т.к.
  408. Аутпост видит только входящие на 127.0.0.1 и исходящие от AVP во вне.
  409.  
  410. G...-KAV веб-антивирус не делает иных dns-запросов, нежели gethostbyname(lpszServerName) (где в роли lpszServerName может
  411. выступать как IP-адрес, так и символьное имя сервера)
  412.  
  413. U...-OF блокирует результаты поиска google в Chrome.
  414.  
  415. P...-В настройках надо зайти в "Правила для приложений", и в правилах для Chrome.exe на вкладке "Параметры" в пункте
  416. "Фильтрация содержимого" выбрать "Не осуществлять фильтрацию".
  417. Но и сделать те же правила для AVP.exe - так как chrome ходит через Каспера.
  418.  
  419. A...-Веб-контроль для Хрома будет доступен при таких настройках?
  420.  
  421. H...-Для AVP.exe Outpost по умолчанию выставляет фильтрацию.
  422.  
  423. P...-"Outpost и при включенной фильтрации KAV" - это сурьезный замес :) Странно, что пинг вообще хоть как-то пролазит.
  424.  
  425. G...-Перехватывать/фильтровать можно на разных уровнях и одна прога не будет мешать другой.
  426.  
  427. U...-Почему к созданным в OF по умолчанию правилам для AVP.exe (правила для приложений- сетевые правила) со временем
  428. автоматически добавляются дополнительные правила? Я их туда не добавлял.
  429.  
  430. G...-Правила по умолчанию ("синенькие") периодически дополняются и обновляются вместе с апдейтами баз продукта, это нормально.
  431. На мои тикеты в сапорт касаемо правил для каспера реагировали стремительно, то есть цели создать несовместимую
  432. конфигурацию со стороны агнитума нет. Если что то не работает - можно по журналам посмотреть что именно из активности
  433. каспера агнитум заблокировал (если стоит режим блокировки).
  434.  
  435. G...-Проактивная защита KAV:
  436. [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP11\profiles\Protection\profiles\pdm]
  437. чтобы отключить, параметр "installed" изменить на 0. Не забудьте отключить самозащиту.
  438.  
  439. P...-wl_hook.dll
  440. Это легитимный компонент Outpost - Winlogon Hooking;
  441. Вкратце - перехват событий, нужен по нескольким причинам, Например:
  442. 1. Контролирует события в среде Outpost или разрешение выхода из Outpost как из сервиса.
  443. 2. Загружает графическую часть (GUI) самого Outpost, после входа юзера в систему.
  444. 3. Дополняет кое-какие фичи для анализа Agnitum Feedback.
  445. 4. Связан с модулен Anti-Spyware.
  446. wl_hook.dll может подгружать другие библиотеки, что является подозрительным для антивируса.
  447.  
  448. A...-У меня в реестре так:
  449. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
  450. "AppInit_DLLs" REG_SZ c:\progra~1\agnitum\outpost firewall pro\wl_hook.dll
  451. "LoadAppInit_DLLs"=dword:00000001
  452.  
  453. P...-Если кому понадобится, нашел такое решение:
  454. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
  455. "AppInit_DLLs"=""
  456. "LoadAppInit_DLLs"=dword:00000000
  457.  
  458. A...-Инфа собрана со всего Ru-Net, особая благодарность спецам с ru-board.
  459. 7 лет юзаю данную связку, 7 лет в системе ни вирусов, ни прочей нечисти не наблюдаю.
RAW Paste Data