Bluegem
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Dimitr1s Цитата: Эта таблица скорее для ознакомления, не стоит в ней создавать запрещающие правила. В конце я использую так: | Не понял почему для ознакомления, разве не туда Jetico кидает правила созданные по запросу(ask правило) связанные с определением хеша приложения? Цитата: Я имел ввиду, как Jetico идентифицирует процессы на постоянной основе(только путь и название)? Как я понимаю работу Jetico, если запустился новый процесс, оно пробегает по правилам на предмет совпадения пути и названия оного с таковым в каком либо правиле, далее в зависимости от правил оно либо спрашивает, что делать дальше, либо запрещает или разрешает в опираясь на правило по умолчанию или общее правило. Применительно к таблице "Application checksum " Jetico скорее всего ищет совпадение с названием файла и его расположением, если находит его в каком либо правиле, смотрит event, то есть что делает приложение, и если он совпадает с указанным проверяет хеш, если event или хеш не совпали, оно игнорирует правило и идет до конца таблицы пока не упирается в правило ask, соответственно спрашивает что делать, или в правило по умолчанию, тогда либо блокирует либо разрешает. Кстати, а в случае правила по умолчанию, что оно блокирует, только какую-то определенную активность приложения или вообще полностью его(в рамках своих возможностей, которые скорее всего ограничены действиями связанными с "Process attack"). По ощущениям происходит именно блокировка, потому что приложение просто "замерзает". И еще о event'ах в данной таблице, в справке немного абстрактно написано, что event "network activity" - all other application and process attack events, то есть они смешали в кучу сетевую активность приложения и действия из "process attack" - это как-то странно... Еще один момент, в корне политики "Optimal protection" болтаются правила типа "ICQ", "Windows messenger", если я не ошибаюсь - это шаблоны, но мне не понятно куда ведет правило по умолчанию "Continue", которым они заканчиваются. Согласно справке, оно должно переводить на родительскую таблицу, а тут где она? Также в справке написано "Please note also that Configuration explorer does not show the full set of rule parameters for the root table.", о каких параметрах недоступных из конфигуратора идет речь, не подскажите и где они правятся? | Всего записей: 262 | Зарегистр. 03-10-2009 | Отправлено: 23:35 15-10-2016 | Исправлено: Bluegem, 23:37 15-10-2016 |
|