推荐一套简单好用的卡巴“应用程序控制”设置

显示全部楼层 · 发表于 2022-1-16 14:32:22

本帖最后由 aiqinghe 于 2022-1-16 21:43 编辑

卡巴斯基作为杀软中立体防护的典范之一，其中的HIPS组件——应用程序控制是重要的组成部分。
以下是简单介绍：所谓HIPS，就是主机入侵防御系统的英文缩写，分注册表防护（RD），文件防护（FD），应用程序防护（AD）三块，在程序运行时拦截程序所有的行为并弹窗报告用户是否放行，一般可以通过预先设定规则来减少弹窗，增加易用性。实质上是一种把系统控制权完全交给用户的安全工具。卡巴的应用程序控制，将AD单列为“管理应用程序”，将FD与RD合并为“管理资源”通过信誉云实时调整分组，配以直观的界面，大大简化了HIPS的使用难度。

能看出来，卡巴的应用程序控制对比传统的HIPS是有很多优势的，比如连接KSN信誉云、整合了机器学习模块、与引擎和防火墙联动等，让大部分用户都能够简单上手。自己的这套设置是力求在简洁有效智能的同时拉高安全属性，发挥HIPS规则的高安全性。自己摸索的，不算大神，有不足或者说错的地方还请各位大佬多多指教

首先要设置的是两个地方
1、在设置-常规-操作模式中把“自动执行推荐操作”打开。这个我看论坛的各位都是推荐关闭以获取更多的个人操作空间，但对于大部分普通用户来说，那些弹窗的确是有些多（我试着把chrome拉进低权限组，光打开个chrome就有13个弹窗）虽然卡巴做了简易化的呈现，但还是很难判断到底是选择允许还是阻止，与其这样繁琐还不如让卡巴自己去判断，再通过对权限组的调整来保障安全性。所以推荐打开，DIY爱好者和大神自行选择。
微信截图_20220116133145.jpg

2、在设置-保护-应用程序控制页面中把 ”信任具有数字签名“的选项关掉。现在很多流氓软件和病毒也都会挂个正规的数字签名，而且因为卡巴在中国良好的本土化，就算关了这个，大部分常用软件都还是能依据KSN信誉库自动匹配信誉组，对易用性影响不大
微信截图_20220116133824.jpg

3、从上图也能看出，卡巴的逻辑是把不够匹配到高信誉组，同时也没有检测到恶意行为的未知软件放在低信誉组，所以设置的重点就是如何设置低信誉组的规则。以下是低信誉组的推荐设置
微信截图_20220116132834.jpg

首先是资源上，把系统和个人文件的所有写入和删除权限关掉。我看也有大神会在这里自己加入防流氓的一些自定义规则，但每个人的使用场景和需求不一样，盲目上自定义可能会出现兼容问题，所以就只把默认规则里的权限改成了拒绝。
微信截图_20220116132855.jpg

然后是权限设置，需要拒绝的权限有：运行代码注入、读取其他进程的内存、底层磁盘访问、底层文件系统访问、关闭windows、访问账户设置、访问摄像头、访问录音设备、使用浏览器命令行和KLDriver，其他权限都按默认。
这是自己摸索出来的一套规则，试着把wps、微信、tim和chrome都拖进低限制组使用，都可以正常用，虽然看日志有拦截wps和tim很多行为动作（流氓你懂得）但正常的功能都是可以使用的，所以大部分安全的未知文件在这套规则下都是可以使用的，没有兼容问题。
另外强烈推荐打开这些权限右键中的”记录事件“选项，这样万一有个程序在默认低限制下出了问题，都可以去日志报告中去看是阻碍了哪个权限，来判断是给权限、拉入信任组还是有恶意行为阻止运行。
微信截图_20220116141946.jpg

以下是在虚拟机做的一个简单测试（虚拟机装的是kes，和kis功能基本一致可以参考）样本是最新的https://bbs.kafan.cn/thread-2225429-1-1.html 卡巴的扫描是miss的
微信截图_20220116141813.jpg

双击后程序是自动掉入了低限制组，也就自动阻止了恶意行为，成功保护。以卡巴KSN这种云响应速度，只要能挡住未知文件的第一波恶意行为，剩下的等着云杀就行了。

这套是自己摸索出来的兼顾易用和安全的规则，几乎无弹窗自动防护，通过控制低限制组的高危行为+卡巴的自动判断来实现。我看也有大佬说可以关闭低限制组的网络权限，这个就看个人选择吧。
逻辑如下：
微信截图_20220116145127.jpg

新增对付新免杀样本的效果 https://bbs.kafan.cn/thread-2225457-2-1.html 双击全部拦截
微信截图_20220116200555.jpg

显示全部楼层 · 发表于 2022-1-16 16:14:08

过来支持一下

显示全部楼层 · 发表于 2022-1-16 17:39:28

感谢分享，期待这样的技术文章越多越好

显示全部楼层 · 发表于 2022-1-16 18:46:57

卡巴很多人用，但是内存隔离的bug不知道现在还有吗

显示全部楼层 · 发表于 2022-1-16 18:48:25

谢谢分享，又学习了好东西。

显示全部楼层 · 发表于 2022-1-16 18:49:41

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2022-1-16 19:06:19

小白问下楼主，“询问”和“拒绝”差别大吗？“询问”是否是在用户同意前保持拒绝的意思？相比直接拒绝会降低安全性吗？

显示全部楼层 · 发表于 2022-1-16 19:06:46

小白问下楼主，“询问”和“拒绝”差别大吗？“询问”是否是在用户同意前保持拒绝的意思？相比直接拒绝会降低安全性吗？

显示全部楼层 · 发表于 2022-1-16 19:27:44

野小子SAS 发表于 2022-1-16 18:46
卡巴很多人用，但是内存隔离的bug不知道现在还有吗

内存隔离哪个bug 我目前真没见到过。。我看帖子都是和火绒冲突的？

显示全部楼层 · 发表于 2022-1-16 19:32:33

本帖最后由 aiqinghe 于 2022-1-16 19:36 编辑

cutekingkids 发表于 2022-1-16 19:06
小白问下楼主，“询问”和“拒绝”差别大吗？“询问”是否是在用户同意前保持拒绝的意思？相比直接拒绝会 ...

如果不选择“卡巴自动处理威胁”，那“询问”就是会弹窗让你选择是否允许程序的这一行为，就是传统的hips，一切由自己判断。“拒绝”就是直接拒绝，可以去日志查看，不会弹窗。

如果选择“卡巴自动处理威胁”，那“询问”就是摆设了，全自动的，你只有看日志才能知道是拒绝还是放行了。“拒绝”当然还是直接拒绝。
所以如果你是懂一些的，知道程序每一步动作是安全还是危险，能接受hips的弹窗，就关闭“卡巴自动处理威胁”，权限设置“询问”

如果不懂或者想简易使用，就开启“卡巴自动处理威胁”，把低权限组的高危动作直接设置成“拒绝并记录日志”，其他权限设置默认即可

心中的红太阳头像被屏蔽	发表于 2022-1-16 18:49:41 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
心中的红太阳头像被屏蔽
	回复举报

[卡巴教程] 推荐一套简单好用的卡巴“应用程序控制”设置

评分

评分