2014년 11월 18일 화요일

COMODO Internet Security 8 도움말

COMODO Internet Security 8에서 가장 큰 변화는 7버전 까지 존재했던 Behavior Blocker의 기능이 AutoSandbox로 변경 됨으로써 기존에는 하나에 룰에 의해 실행파일에 제어를 두었지만 Autosandbox는 다양한 Rules를 이용해 사용자 임의되로 실행파일을 제어할수 있습니다.

간단하게 파일을 어떻게 실행할지를 Rule로 제어하는 것입니다.

CIS 8 업데이트 정보 - http://cdn.download.comodo.com/cis/download/updates/release/inis_4000/release_notes.html

그럼 업데이트 정보에 나와있는 것 외에도 변경된 점들을 들여다 보겠습니다.

==============================================================================

* CIS 프로그램 및 Antivirus DB 다운로드 속도 개선

Forum및 COMODO 홈페이지에서 받는 설치 파일들과 CIS Antivirus DB 다운로드 속도가 LTE급으로 빨라졌습니다. 더이상 다운로드 속도로 인한 불편함은 없어졌습니다.


* CIS 로그를 Windows Event에 기록이 가능


Write to Windos Event Logs에 체크하면 Windows Event 기록에서 COMODO Log에 기록되는 정보를 확인할수 있습니다.


* 새로운 테마 Flat Tile Theme 추가



Flat Tile Theme는 기존의 Tile Theme와 비슷하지만 좀더 블링블링 해졌습니다.^^

단. CIS 처음 설치시 기본 테마는 Modern Theme 입니다.


* Antivirus 수동 검사 설정은 'Advanced Settings / Antivirus / Scans'에 있는 Full Scan의 옵션이 적용됩니다.



* HIPS Settings / Advacned - 'Enable Enhanced protection mode (Requires a system restart)에 성능이 개선되었습니다.

위 메뉴를 선택시 아래와 같은 알림 창이 보입니다. 이는 Windows 7.8 x64 운영체제 환경에 특성상 HIPS 기능이 제한적으로 적용이 되어 발생하는 취약점으로 인해 우회하는 Malware가 존재했습니다. 이러한 취약점을 제거하기 위해 기능이 개선되었으며, 이러한 기능은 VMware, Virtualbox등 가상 시스템상에서는 특성상 지원하지 않습니다.



* Sandbox settings에 Protect Virtual Desktop with a Password 설정 추가

Virtual Desktop 실행후 닫을시 Password를 물어봅니다. 올바른 Password를 입력하지 못할시 Virtual Desktop를 닫을수 없습니다.





* Sandboxed Process가 Outside the Sandbox로 실행하려 할때 경고




* Auto-sandbox (기존에 Behavior Blocker의 차기 버전입니다.)

Auto Sandbox에 Rule은 다음과 같이 구성되어 있습니다.

Action은 처리 방식입니다. Run Virtually(완전 가상화), Restricted(운영체제 소스를 사용하는 범위를 제한), Block(차단), Ignore(무시,제한하지 않음)

Restriced = Partially Limited < Limited < Restriced < Untrusted
'<'는 제한 강도이며 Partially Limited는 Restriced에서 가장 개방된 환경입니다.


Target은 제어하는 대상입니다.

Source는 Target중 다음 조건에서 생성된 파일로 Target에 범위를 제한합니다.

Created By는 어떤 Process에 의해 생성되었는지를 구분합니다. 예를 들어 웹브라우저에 의해 생성된 파일만을 Target에 범위를 제한할수 있습니다.

Location은 Target중 위치한 장소를 구분합니다. Any (모든 저장 장소), Local Drive (HDD등 저장 장소), Removable Drive (USB 메모리등), Network Drive (네트워크 드라이브)로 구분집니다.

Origin은 네트워크 경로(내,외부 네트워크 구분)를 구분합니다. Any는 모든 네트워크를 말하며 Internet은 외부전산망을 말하며 (예를들어 우리가 일상으로 사용하는 웹서핑등), Intranet은 내부 전산망을 말합니다.


Reputation은 파일 평판을 말합니다. 파일 평판은 Antivirus DB 또는 Rating 검사를 통해 이루어 집니다. 체크 해제는 평판을 무시함을 말합니다.
Trusted (신뢰된 파일), Unrecognized (COMODO에 의해 결정되지 않는 파일 = Unknown File), Malware (악성코드)


Option은 Action 메뉴 선택하에 따라 설정 내용이 변경됩니다.

'Run Virtually' action 선택시 아래와 같이 보입니다.

Log When this action is performed - 해당 Target 실행시 CIS 로그에 기록

'Run Restriced' action 선택시 아래의 메뉴중 'Set Restriction Level'에 체크가 되어 해당 메뉴를 사용할수 있습니다.


Block (차단) action 선택시 해당 Option은 아래와 같으며 Quarantine Program은 해당 파일을 보관소로 이동시킨다 입니다.



Ignore (무시, 제한 하지 않음) action 선택시 내용은 아래와 같으며습니다.

'Dont apply the selected action to chiled processes'는 해당 Target의 Process가 실행하는 하위 Process에 대해 동일하게 Ignore action 규칙을 적용 여부를 선택합니다. 체크가 안되어 있다면(기본설정) 해당 Process가 생성하는 Process에 대해서도 Ignore action이 적용됩니다.



* Autosandbx룰에 Reset to default 메뉴 추가 - Internet (Firewall)와 Proactive 기본 설정에 따라 적용된 기본 Rule이 다릅니다.



CIS 설치시 적용되는 'COMODO - Interent (Firewall) Security' 설정 선택시 아래와 같습니다.

특징은 CIS가 설치된 운영체제는 Clean(깨끗함) 상태임을 전제하에 기존에 파일은 Unknown 상태더라도 제어를 하지 않으며 (단. 악성코드나 특정 장소에 존재하는 파일은 실행을 막습(Block)니다), 새로이 생성되는 파일(웹브라우저를 통한 다운로드 파일등)들을 Autosandbox룰에 의해 Virtually 상태로 실행합니다.


COMODO - Proactive Security 설정 선택시 아래와 같습니다.

Behavior Blocker의 제어 방식과 비슷하며 악성코드 또는 특정 장소에 존재하는 파일은 실행을 막으(Block)며 기존의 파일과 더불어 새로이 생성되는 파일중 Unknown 파일에 대해서는 기본적으로 Virtually 상태로 실행이 됩니다.



* Viruscope 에 감시 범위 설정
메뉴에 체크를 할시 Viruscope는 Sandbox (Run Virtually,Restriced) 상태로 실행된 Process만을 감시하며, 체크 해제시 모든 Process를 감시합니다.




* Viruscope의 Recognizer 파일 관리 - Recognizer에는 Viruscope가 진단하는 데이터(DB)들이 들어있는 파일입니다. Antivirus DB와 비슷합니다.


* VIruscope에 의해 기록되는 Process 활동 정보 및 Reverse(복원) 기능

Viruscope 활동 정보 - 각 경고창에서 우측하단에 있는 'Show Activities'를 선택하면 보여지며, Active Processes List (Sandboxed Only)에서 'Show Activities'메뉴를 선택, 또는 Watch Activity( KIllswtich)에서 Properties/ Process Activity에서도 확인할수 있습니다.




Viruscope Reverse 기능 - 프로세스에 의해 생성,수정,삭제된 파일 및 레지스트리를 본래 상태로 되돌리는 Reverse 기능은 Antivirus,Cloud Scanner, Viruscope 경고창에서 Clean를 선택시 작동하며, 방화벽,HIPS 경고창에서는 'Block-> Block, Terminate and Reverse' 를 선택시 작동됩니다.

( 현재 Reverse 기능은 Unknown 파일에만 적용되고 있으며, 모든 복원 기능이 활성화된 상태는 아닙니다.)





* Network Zone에 새로운 메뉴 추가
Enable automatic detection of private networks - 새로운 네트워크 존을 자동으로 감지합니다.
Do not show popup alerts and treat loaction as~ - 새로운 네트워크 존에 대해 사용자에게 경고를 보이지 않고 자동으로 해당 네트워크 존의 하위 메뉴로 감지된 네트워크 존이 추가가 됩니다. (예를들어 Home 선택시 새로이 감지된 네트워크 존은 Home에 자동으로 등록이 됩니다.)



* HIPS Group에서 File Groups 독립

HIPS/ Groups 의 Registry Groups, COM Groups과 함께 있었던 File Groups은 File Rating 하위 메뉴로 이동되었습니다.

그 이유는 CIS 8 부터서는 File Groups에 활용도가 높아졌습니다. 특히 Autosandbox에서 Rule안의 Target 선택시 또는 그 외 다양한 Rule에서 File Groups에 필요한 정보를 사용자가 등록한 후  간편하게 사용할수 있습니다.

직접 사용해보면 그 편리성을 알수 있을것입니다.



* Viruscope Events  - CIS Log에 개별 항목으로 추가되었습니다.



* 모든 파일에서 마우스 우측 메뉴에 등록된 "Run in COMODO sandbox" 메뉴를 사용할수 있습니다.

기존에는 특정 파일(exe)에서만 보였습니다.

===============================================================================

댓글 없음:

댓글 쓰기