Бесплатный Comodo Antivirus: как установить и настроить
В чём сила Comodo Antivirus
Если вы читали мою заметку “Как защитить свои устройства в 2017 году” и новости про WikiLeaks, то в курсе, что сейчас взламывают всё – от принтеров до умных телевизоров. Антивирусы, когда-то призванные защищать компьютеры от угроз, превратились в неповоротливые комбайны с функциями, которые никак иначе, как “свистоперделками”, назвать нельзя. Ну зачем в комплекте с антивирусом идут менеджер паролей, очередной браузер, оптимизатор системы и прочие штуки? Они не имеют прямого отношения к устранению вирусных угроз.
А вот режим “песочницы” – другое дело. Она не избавляет, но защищает от вирусов, запуская неизвестные программы в изолированном от окружающей системе режиме. Изоляция не полная, но достаточная, чтобы защитить критически важные части операционной системы.
В Comodo Antivirus режим “песочницы” называется Comodo Sandbox (или Containment в новой версии). Он не уникален – аналогичный режим встроен в Avast Pro Antivirus и Avast Internet Security, а также в отдельной программе Sandboxie. Раньше был в антивирусе Kaspersky Internet Security, но разработчики почему-то отказались от этой функции. Все эти программы платные, в то время как антивирус от Comodo бесплатен.
Преимущества Comodo Antivirus:
Недостатки:
Недостатки побороть можно, об этом я расскажу ниже.
Где скачать
Инсталлятор Comodo Antivirus лежит на официальном сайте: https://ru.comodo.com/software/internet_security/antivirus.php (зеленая кнопка “Скачать бесплатно”).
Антивирус работает в операционных системах Windows 10, 8, 7, Vista и XP.
Основные возможности:
Как установить
После скачивания и запуска программы установки не торопитесь пробежать установку. Смотрите внимательно – на некоторых этапах нужно снять галки. Например, во втором по счёту окне предлагается не слишком востребованный софт:
На следующем шаге вам скорее всего не захочется отправлять статистику работы антивируса разработчикам:
Потом будет шаг настройки Comodo Dragon – защищённого браузера, родственника Chrome. У вас же есть свой любимый браузер, так ведь? Поэтому снимайте обе галки:
После этого начнётся установка:
После завершения установки антивирус запустит полную проверку компьютера. Во время её работы уже можно приступить к настройке.
Настройка
Без настройки антивирус ОЧЕНЬ назойлив. Поэтому в главном окне жмите “Настройки”:
Вкладка Общие настройки – Интерфейс. Именно здесь укрощается назойливый характер программы:
Затем нужно настроить собственно работу антивирусного модуля. Вкладка Антивирус – Антивирусный мониторинг:
Здесь есть две важные галки, влияющие на производительность компьютера и безопасность.
Установка галки на “При запуске компьютера сканировать память” замедлит включение компьютера, зато вредонос, прописавшийся в автозагрузку, будет выявлен быстрее.
“Уровень эвристического анализа” влияет на качество обнаружения неизвестных вирусов. Без эвристики антивирус может определить только известные в базе. С высоким уровнем эвристики велико количество ложных срабатываний и программы в целом станут работать медленнее. В общем, здесь решать вам. На медленных ПК включение эвристики ощутимо замедлит запуск программ.
Режим HIPS – пожалуй, второе по значимости после “песочницы” преимуществ Comodo Antivirus:
HIPS – это поведенческий анализ программ. Что именно контролируется, можно настроить, нажав “Настройки мониторинга”:
По умолчанию стоит безопасный режим, в котором при любом серьёзном вмешательстве в работу систему будет задан вопрос (появляется справа внизу экрана) выбора категории программы – разрешить, запретить, отнести к доверенным и так далее.
У HIPS есть недостаток: изначально этот модуль антивируса не знает о вашей системе ничего и достаёт вопросами. Даже полное сканирование дисков антивирусом не даст ему понять, какие программы что делают и что им нужно разрешать. Все вопросы будут появляться во время работы программ. Наиболее типичная проблема – появление запроса после открытия документов через пункт меню “Открыть с помощью”. Это раздражает и утомляет. Поэтому, если вы убеждены, что программы на вашем компьютере безопасны, можно ускорить процесс “дрессировки”, переключив HIPS в режим обучения (вместо “Безопасный режим” поставьте “Режим обучения”). Антивирус будет составлять базу правил, разрешая все действия софта во время вашей работы. Потом, недельку спустя, HIPS нужно переключить в “Безопасный режим” снова и тогда запросы будут появляться только в том случае, когда поведение программ будет отличаться от зафиксированного ранее.
Любые правила – как программ, так и поведение антивирусного модуля – настраиваются в остальных вкладках раздела HIPS. Можно защитить ключи реестра и файлы каких-то важных для вас программ, о которых разработчики антивируса не знали.
Обратите внимание, что на скриншоте выше я отметил пункт “Выполнять эвристический анализ в командной строке для определённых приложений”. Снятие галки со этого пункта избавит от появляющихся окон о том, что в песочницу попала программа по адресу “C:\Program Data\Comodo\Cis\tempscript\C_cmd.exe…”.
UPD от 4.04.2017: Спасибо Georg за поправку: оказывается, мой совет поставить галку на “Адаптировать режим работы при низких ресурсах системы”, наборот, вызывает снижение производительности.
Песочница антивируса настраивается в разделе Sandbox – Настройки Sandbox (Containment в новой версии):
В принципе, здесь настраивать нечего, за исключением, пожалуй, того момента, что по умолчанию папки браузеров со всеми настройками доступны для изолированных программ. Это чревато кражей сохраненных в браузерах паролей и установкой “левых” дополнений к ним. Поэтому жмите на “…указанным файлам и папкам”, затем правой кнопкой по “Области общего доступа” – “Изменить” – “Да” – откроется новое окно, где можно удалить искомые разрешения:
Тогда программы, запущенные в “песочнице”, не смогут добраться до приватных данных.
Ещё есть раздел Рейтинг файлов. Неизвестные антивирусу программы и файлы могут проверяться на серверах Comodo. По умолчанию функция отключена:
Нужна ли вам облачная проверка – решать вам. На производительность влияет незначительно, я никаких изменений не заметил.
Раздел VirusScope лучше не трогать, там всё оптимально:
Что влияет на скорость работы ПК
Под скоростью работы я понимаю:
И на то, и на другое, влияет степень паранойи антивируса. Чем меньше функций включено – тем выше скорость работы.
Если компьютер медленный, отключите:
Ещё один момент: антивирус по долгу службы должен проверять все открываемые файлы, запускаемые программы и анализировать их содержимое и активность. Если файлы были проверены ранее, скорость проверки возрастает многократно. Поэтому полная проверка сразу после установки антивируса необходима, чтобы антивирус знал, что к чему.
Послесловие
Comodo Antivirus – пример неплохого софта. Да, вместе с ним ставится браузер и GeekBuddy, но после допиливания антивирус выполняет свою задачу без помех. В отличие от конкурентов, он старается делать только то, для чего предназначен – защищать от угроз. Причём тремя способами:
Можно ли желать большего от бесплатного антивируса?
А вот про платный софт хочу сказать пару ласковых. На мой взгляд, у разработчиков, занимающихся системами защиты, должна быть высокая квалификация. Ну или работать должны по правилам, продиктованным здравым смыслом. В конце концов, люди им денежку платят и доверяют не за красивые глаза. Что можно сказать о разработчиках из компании Trend Micro, которые допустили ошибку в менеджере паролей Trend Micro AV, из-за которой открываемые сайты могли выполнять любые команды на компьютере и воровать пользовательские пароли. Это полнейшее раздолбайство или как? Разработчики просто сделали вот такую дыру в защите:
Разработчики героя сегодняшней заметки тоже доказали свою беспечность. Программа GeekBuddy, которая ставится вместе с Comodo Antivirus, в своих первых версиях разрешала подключаться к компьютеру без пароля. Вдумайтесь: в программе помощи пользователям, предназначенной для показа содержимого экрана (чтобы решить проблему, техподдержка Comodo должна её увидеть) был один и тот же пароль на всех компьютерах! Разумеется, проблему устранили, но при должном уровне ответственности её не было бы вовсе.
Найденные проблемы устраняются, но всегда находят новые. Этот процесс будет длиться, пока пользователи голосуют рублём за такой уровень качества.
А вы уверены, что ваш антивирус надёжен?
Себе и людям
Виртуальная среда Comodo
Виртуальная среда Comodo Sandbox, приемы работы с ней, права и ограничения виртуализированных программ
Работа в виртуальной среде
Статус процесса, выполняющегося виртуально
Существует возможность запускать программы в виртуальной среде (Sandbox, «песочница»), чтобы их активность почти не затрагивала реальную систему. Если, например, вызвать контекстное меню на какой-либо программе и выбрать пункт «Запустить в Comodo Sandbox», то она запустится и во многих случаях будет полноценно работать, но не произведет нежелательных изменений. Запущенные ей программы также будут виртуализированы.
О том, что программа виртуализирована, можно судить по зеленой рамке вокруг ее окна, однако в некоторых случаях зеленая рамка отсутствует: в частности, у консольных приложений. Гарантированный способ узнать о виртуализации — нажать в главном окне CIS индикатор «Изолировано в Sandbox» и найти программу в открывшемся списке активных процессов: в столбце «Ограничение» должно быть указано «Полная виртуализация».
Очистка виртуальной среды
Все следы активности виртуализированных программ сохраняются в специальном каталоге на диске и в специальном разделе реестра. Эти данные останутся доступными и после перезагрузки компьютера. Например, можно будет запускать и использовать программы, установленные в виртуальной среде.
Чтобы завершить все виртуальные процессы и удалить все данные из виртуальной среды, следует нажать кнопку «Очистка Sandbox» (главное окно > «Задачи» > «Задачи Sandbox»). Для удобства эту кнопку можно добавить в виджет и на панель главного окна (через контекстное меню). Также напомню, что окно очистки песочницы можно вызвать командой:
Очистка песочницы является обычным удалением файлов, а не безвозвратным стиранием данных. Об этом следует помнить тем, кто работает в виртуальной среде с конфиденциальной информацией. Если какая-либо программа выполняется в правами администратора, виртуально или реально, то она способна восстановить содержимое удаленных файлов.
Области общего доступа
Если необходимо сохранить файлы с результатами работы виртуализированной программы, следует поместить их в специальную папку обмена, доступ к которой не виртуализируется. Соответственно, очистка Sandbox не затронет эти файлы.
Если виртуализированная программа сохранила результаты работы в иное место, следует запустить какой-либо файловый менеджер (проводник, Total Commander и т.п.) виртуально через контекстное меню и переместить нужные файлы в папку обмена. Также можно сделать специальные ярлыки для запуска файловых менеджеров в виртуальной среде.
Если необходимо, чтобы для какой-либо программы, выполняемой в виртуальной среде, даже после очистки Sandbox сохранялись изменения конфигурации и прочие данные, можно исключить из виртуализации используемые ей конфигурационные файлы и записи реестра. Эти исключения задаются в соответствующих опциях на вкладке «Настройка Sandbox». При указании путей реестра следует использовать полные названия корневых разделов, а не их аббревиатуры.
Особенности виртуализации Comodo
Параметры виртуальной среды
В версии CIS 8 введена поддержка аппаратной виртуализации, ее использование включается опцией «Включить режим усиленной защиты» на вкладке «HIPS» > «Настройка HIPS». Кроме аппаратной виртуализации, данная опция активирует дополнительные меры по предотвращению обхода защиты в 64-битных версиях Windows, поэтому ее включение необходимо в таких системах. Однако перед ее включением появляется также предупреждение о возможном конфликте с виртуальными машинами при работе в них с 64-битными гостевыми системами. Впрочем, на практике я пока не обнаружил конфликтов с VMware.
Опция «Включить автозапуск сервисов, установленных в Sandbox» на вкладке «Sandbox» > «Настройка Sandbox» имеет следующий смысл: если в виртуальной среде создать службу, то при каждом использовании виртуальной среды эта служба будет запускаться. Если лишь перезагрузить компьютер — автозапуск службы не произойдет. Но если запустить какую-либо программу в виртуальной среде, то вместе с ней запустится и эта служба. Так запускаться будут программы, установленные именно как службы, а не добавленные в автозагрузку иными способами. При очистке виртуальной среды эти службы, естественно, удаляются. Если нет необходимости в данной опции, рекомендую ее отключить. Ее отключение сменит тип запуска службы «Comodo Virtual Service Manager» с автоматического на ручной.
Опции на вкладке «Настройка Sandbox», связанные с обнаружением программ, требующих повышенных привилегий, относятся к компоненту Auto-Sandbox, а не собственно к виртуальной среде.
Размещение данных виртуальной среды
Виртуальному реестру соответствует раздел реального реестра HKLM\SYSTEM\VritualRoot (sic!). При работе виртуализированных программ данные реестра записываются в его подразделы.
При очистке виртуальной среды каталог VTRoot и раздел реестра VritualRoot удаляются.
Контроль HIPS над виртуализированными программами
Разбор компонента HIPS будет в другой статье, здесь же коснусь особенностей его работы с виртуальной средой.
Если программа выполняется в виртуальной среде, то ее активность не вызовет оповещений HIPS: все действия, на которые не наложен явный запрет, получат разрешения. Впрочем, эти действия затронут только виртуальную среду.
Также в виртуальной среде не действуют запреты на изменение защищенных файлов, каталогов и ключей реестра. Однако действуют другие запреты (если они явно заданы в правилах): на запуск приложений, на завершение процессов, на слежение за клавиатурой, на доступ к COM-интерфейсам и др.
Относительно COM-интерфейсов отмечу, что они могут по-разному идентифицироваться при обращении к ним в реальной и в виртуальной среде. Поэтому следует проверять работу правил для них в разных условиях. Вообще, защита COM-интерфейсов в виртуальной среде устроена довольно непредсказуемо:
Защита от чтения
Виртуальная среда может защищать данные не только от изменения, но и от чтения: если в окне настройки открыть вкладку «Защита+» > «HIPS» > «Защищенные объекты» > «Папки с защищенными данными» и добавить в список какой-либо каталог, то виртуализированные приложения будут воспринимать его пустым. Полезно скрыть таким способом каталог с профилем интернет-браузера, различные хранилища паролей и т.п.
Через интерфейс CIS можно добавить в список «Папок с защищенными данными» лишь те каталоги, которые видны в проводнике. Если необходимо защитить данные в каком-либо скрытом каталоге, следует временно разрешить показ скрытых файлов и папок в проводнике (например, через «Панель управления»).
В список «Папок с защищенными данными» следует добавлять каталоги, расположенные только на локальных дисках. Формально можно добавить в этот список съемные носители или виртуальные шифрованные диски, но для них защита, как правило, не работает.
Программы, выполняющиеся от имени администратора, хотя и в виртуальной среде, способны обойти эту защиту и прочитать конфиденциальные данные.
Контроль фаервола над виртуализированными программами
Однако в версии CIS 8 поведение фаервола в «Безопасном режиме» стало различным для программ, выполняющихся в реальной и в виртуальной среде. Доверенная программа в этом режиме автоматически получает разрешение на исходящие соединения, если она не имеет запрещающих правил и выполняется в реальной среде. Но при выполнении в виртуальной среде сетевая активность контролируется аналогично режиму «Пользовательский набор правил»: независимо от рейтинга, программа получит разрешение только при наличии разрешающего правила; в отсутствие же правила появится оповещение.
Таким образом, для использования браузеров и подобных программ в виртуальной среде необходимо создать для них разрешающие правила, даже если выбран «Безопасный режим» фаервола. Ценой этого неудобства предотвращается утечка данных в ситуации, когда вредоносная программа запускает безопасную для доступа в интернет.
Разумеется, разрешающие правила не потребуются, если фаервол вообще отключен или настроен на разрешение всех запросов без оповещений.
Прочие возможности и ограничения программ в виртуальной среде
В виртуальной среде не действуют правила Auto-Sandbox: например, если некое приложение положено блокировать, то оно все же выполнится при запуске в виртуальной среде. Можно сказать, что в виртуальной среде вообще не осуществляется проактивная защита, за исключением явно заданных правил HIPS.
Хотя запуск программ в виртуальной среде относительно защищает от повреждения данных и заражения системы, виртуализированные программы способны выполнять такую деятельность, как слежение за нажатием клавиш, буфером обмена, экраном. Более того, виртуализированные программы все же могут нанести вред реальной системе, симулируя нажатие клавиш. Заблокировать эту активность можно правилами HIPS.
Кроме того, программы, выполняющиеся в виртуальной среде от имени администратора, имеют возможность восстанавливать удаленные файлы и получать таким образом конфиденциальную информацию.
Считается, будто от утечки данных надежно спасает фаервол Comodo, однако, если не приняты дополнительные меры, определенные методы позволяют обойти его защиту «изнутри» и выйти в интернет, в том числе в виртуальной среде. Так что следует соблюдать осторожность, запуская сомнительные программы даже виртуально.
С другой стороны, некоторые ресурсы жестко заблокированы для виртуализированных программ, независимо от правил HIPS. Например, в виртуальной среде блокируется доступ к службе BITS, использование которой является одним из способов выхода в интернет в обход фаервола. Также блокируются различные операции виртуализированных процессов с процессами, выполняющимися в реальной среде.
Кроме обычной виртуализации, есть возможность запускать программы в виртуальной среде с дополнительными ограничениями, накладываемыми Auto-Sandbox. Особенность этих ограничений в том, что они наследуются дочерними процессами, в отличие от ограничений HIPS. Они будут рассмотрены в статье про Auto-Sandbox.
Способы открытия файлов и ссылок в виртуальной среде
Основной способ запуска программ в виртуальной среде — пункт контекстного меню «Запустить в Comodo Sandbox». В версии CIS 8 этот пункт введен для всех файлов и учтены параметры командной строки при запуске ярлыков. Поэтому больше нет необходимости менять этот пункт правкой реестра.
Установка программ в виртуальной среде и их запуск
В виртуальной среде можно устанавливать различные программы, пользоваться ими и сохранять результаты работы. Программы, установленные виртуально, будут доступными и после перезагрузки компьютера. Удаление этих программ вместе со следами их работы производится нажатием кнопки «Очистка Sandbox».
Установка в виртуальной среде может дать сбой в случае использования Windows Installer. Решение:
Если программа установлена в виртуальной среде, то для ее запуска потребуется сначала через контекстное меню открыть в Sandbox какой-либо файловый менеджер, найти исполняемый файл или ярлык этой программы и запустить ее. Поскольку при установке программы, как правило, создается ее ярлык на рабочем столе, было бы удобно сразу открывать виртуальное содержимое рабочего стола. Для этого создадим ярлык, указав в поле «Объект» команду:
Зададим этому ярлыку желаемый значок и назовем, например, «Desktop (virtual)». Теперь этот ярлык будет запускать в виртуальной среде проводник с открытым в нем рабочим столом.
Открытие интернет-ссылок в песочнице
Можно оснастить интернет-браузер контекстным меню для открытия сомнительных ссылок в виртуальной среде. Приведу пример для браузера Firefox.
Запуск программ в песочнице через интерфейс CIS
На «обратной стороне» главного окна CIS имеется кнопка «Запуск в Sandbox». Этой кнопкой можно также создать ярлык для запуска какого-либо приложения в виртуальной среде.
Также есть возможность создавать правила, чтобы определенные программы или их группы всегда запускались в виртуальной среде. Для этого следует включить Auto-Sandbox и добавить правило на вкладке «Sandbox» > «Авто-Sandbox».
Запуск программ в виртуальной среде с ограничениями
Существует возможность запускать программы не только в виртуальной среде, но и с дополнительными ограничениями. Для этого следует включить Auto-Sandbox и создать правило, предписывающее целевому приложению запускаться виртуально, при этом задав на вкладке «Опции» уровень ограничений. Данные ограничения наследуются дочерними процессами. Например, если задать файловому менеджеру FreeCommander уровень «Ограниченное», то он и запущенные из него программы будут работать в виртуальной среде и не получат доступа к буферу обмена. Также можно ограничить время выполнения этих программ и выделяемую им память.
На мой взгляд, неудобно заниматься настройкой CIS каждый раз, когда требуется запустить новое сомнительное приложение в виртуальной среде с ограничениями. Предложу способ такого запуска через контекстное меню проводника.
Поместим программу ExecArg.exe в каталог C:\ContextMenu и выполним настройку CIS:
Виртуальный рабочий стол
Кроме виртуального запуска отдельных программ, CIS имеет дополнительную оболочку: «Виртуальный рабочий стол». Эта оболочка имеет двоякое назначение, причем для прямо противоположных целей.
Во-первых, виртуальный рабочий стол — это отдельный рабочий стол для запуска сомнительных приложений в виртуальной среде. Однако, на мой взгляд, он не имеет преимуществ перед обычным запуском в песочнице через контекстное меню, а в качестве безопасного рабочего стола лучше использовать полноценные виртуальные машины. Вообще, следует сказать, что виртуализация в CIS по функциональности уступает другим подобным средствам, как, например, Sandboxie.
Впрочем, виртуальный рабочий стол все же спасает от атак, связанных с симуляцией клавиатурных нажатий.
Во-вторых, эта оболочка предназначена для совершения защищенных операций, например, с платежными системами. Защита заключается в том, что от всех программ, кроме запущенных в самом виртуальном рабочем столе, скрывается экран и нажатия клавиш. Дополнительно имеется виртуальная клавиатура. По завершении работы пользователь якобы может удалить следы своей деятельности очисткой песочницы.
Однако виртуальный рабочий стол не защищает от перехвата буфера обмена или доступа к файлам (например, к «кукам» браузера). Главное: он совершенно не защищен от запуска сомнительных программ внутри него самого. Активность всех программ виртуального рабочего стола протекает в виртуальной среде и неподконтрольна проактивной защите. И если при работе в нем произойдет запуск шпиона — нажатия клавиш могут быть перехвачены. Кроме того, конфиденциальные данные, удаленные путем очистки виртуальной среды, могут быть восстановлены.
Проблема другого рода: из виртуального рабочего стола невозможен доступ к защищенным данным. Например, при работе с платежной системой пользователю понадобится хранилище паролей, однако разумно было бы защитить его от чтения из виртуальной среды.
Суть проблем виртуального рабочего стола в том, что он работает в той же самой виртуальной среде, которая предназначена для выполнения сомнительных программ. В результате имеем защиту внешней среды от виртуальной, тогда как для платежных операций, наоборот, следовало бы защищать саму виртуальную среду: пресекать запуск неопознанных программ в ней, шифровать создаваемые в ней файлы и при этом предоставлять ей доступ к защищенным данным.
Таким образом, я нахожу виртуальный рабочий стол малополезной функцией и не рекомендую к применению.
Ситуация, в которой виртуальный рабочий стол все же может пригодиться — зараженная система. Если есть риск, что запущена шпионская программа, то безопаснее воспользоваться этой оболочкой, чем допустить перехват нажатий клавиш. Но следует соблюдать осторожность:
