本帖最后由 Candygu 于 2014-9-19 11:14 编辑
如果你发现升级到CIS 8之后,面对这个全新的Auto-Sandbox无所适从,怎么办?是否习惯了原来的Auto-Sandbox:未识别的文件第一次运行,右下角都会有一个窗口提示,xx程序被限制为xx等级运行。更新到CIS 8之后,这个窗口哪里去了?
就如a256886572008在这里所说的那样Auto-Sandbox“不再自動入沙所有未知程序,而是根據規則,做入口防禦。”从这里是不是闻出点DefenseWall HIPS的味道?
从Auto-Sandbox的5条默认规则中,可以看出,默认规则已经做好了入口防御的各个点。程序一旦触发规则,则会根据相应的规则限制其运行。
这个新的Auto-Sandbox最大的好处在于非常灵活,用户可以根据自己的喜好和需求随意制定规则,完全没有制定HIPS规则那么繁琐。举几个例子:
Case 1:某人问了,我怎么样把沙盘变成原来的那样,未知程序都要入沙。
首先我们先来了解新的Auto-Sandbox的含义及其工作原理。
其含义为:由“Created by”从“Origin”来源创建的位于“Location”,且被评级为“Reputation”的“Target”文件,对其执行“Action”的操作,并应用“Options”中的相关选项。
以一条默认Auto-Sandbox规则举个简单的例子:
| Action | Target | Created by | Location | Origin | Reputation | Options | | Run Virtually | All Application | Web Broswers | Any | Any | Unrecognized | Log when this action is performed |
套用上述的含义,本条规则可理解为:
由Web Broswers从任意来源下载的位于任意位置,且被判定为Unrecognized的所有文件,都以Run Virtually的方式运行,并且在日志中记录这一操作。
好了,现在回到Case 1所提到的问题。我怎么才能把Auto-Sandbox恢复为原先那种工作方式?其实很简单,只需要简单的几步。
1) Enable Auto-Sandbox;
2) 按照下表添加一条规则
| Action | Target | Created by | Location | Origin | Reputation | Options | Run Restricted
| All Application
| 留空
或
All Application
| 留空即可
或
Any
| 留空
或
Any
| Select file rating Unrecognized
| ①Log when this action is performed.
②Set Restriction Level Partially Limited
|
3) 好了,接下来你就可以把默认的那几条Auto-Sandbox中除了两条Block规则之外的几条都Disable就行。如下图所示。
Case 2:防止入沙的程序访问隐私文件。
以某扫描硬盘的某雷为例:
1) Defense+ -> Protected Objects -> Protected Data Folders 下添加你要保护的私人文件所在的文件夹目录,比如我的是E:\*;
2) File Rating -> File Group 的File Downloaders文件组下添加:*\thunder.exe,*\thunderplatform.exe两个文件;
3) Defense+ -> Sandbox -> Auto-Sandbox,Enable Auto-Sandbox。 4) Defense+ -> Sandbox -> Auto-Sandbox -> Add。
| Action | Target | Sources | Reputation | Options | | Run Virtually | File Downloaders | 留空白 | 不勾选 | 不勾选 |
OK,某雷就碰不到你的隐私文件了。
但是,我用某雷下载的文件不也是在沙盘里了吗?是的。因此我们还需要把某雷的下载目录添加到Share Space。
方法一:File Rating -> File Group 的Share Space文件组下添加,比如我电脑里某雷的下载目录是:D:\Download\*;
方法二:Defense+ -> Sandbox -> Sandbox Settings,勾选“Do notvirtualize access to the specified files/folders”,添加D:\Download\*;
原理:因为Protected Data Folders中的文件,对于Sandbox里运行的程序来说都是不可见的。所以,把某雷放进Sandbox里,并在Protected Data Folders中添加需要保护的隐私文件即可。这样做的好处是:不需要像以前在Blocked Files里添加需要保护的文件那样,自己需要访问的时候还需要调整COMODO的设置,很不方便。当然了,如果真的需要用Blocked Files来保护某些文件,Blocked Files还是十分十分给力的!
抛砖引玉,希望大家多摸索,多分享经验和技巧。
| 
[复制链接]
发表于 2014-9-19 10:27:39
楼主
发表于 2014-9-19 15:29:58
