Дополнительные средства работы с реестром
1. RegistryBackup (Regback). Утилита Regback входит в состав Windows 2000 ResourceKit , обеспечивает резервное копирование кустов реестра Windows 2000/XP, используется в паре с программой REGREST.EXE.
2. RegistryRestoration (REGREST) обеспечивает восстановление того или иного куста реестра Windows 2000/XP из резерв-ной копии, подготовленной с помощью REGBACK.EXE.
3. Regfind. обеспечивает поиск и замену определенной строки в параметрах раздела реестра локального или удаленного компьютера Windows 2000 или Windows 9x.
4. Regdmp. обеспечивает вывод реестра на устройство стандартного вывода (stdout), которое можно переназначить, на-правив вывод в файл. Извлекает информацию и из реестра Windows 9x. Используется в паре с программой REGINI.EXE
5. Registry Change by Script (RegIni). Она вносит изменения в реестр локального или удаленного компьютера Windows NT, 2000, XP, 9x из текстового файла, подготавливаемого с помощью программы Regdmp. Утилита позволяет изменять списки прав доступа к разделам реестра.
7. Compreg. Утилита командной строки производит сравнение разделов реестра Windows 2000 и Windows 95 одно-го или разных компьютеров в сети.
8. ScanReg. Утилита обеспечивает поиск символов в названиях разделов и параметров реестра Windows XP, 2000, NT, 9x.
9. DumpReg. Программа фирмы Somarsoft. Обеспечивает просмотр, сортировку, поиск, сохранение данных, хранящихся в реестре Windows 2000 локального и удаленного компьютера.
2.6.11. MultiReg. является инструментом администратора, который позволяет просмотреть и модифицировать установки реестра на множестве компьютеров одновременно.
Особенности ЗИ в WindowsVista, Win7.
Защита компьютеров во время запуска.
Начиная с Vista используется среда которая загружает ОС. Она включает диспетчер загрузки, при этом параметры загрузки хранятся в следующем хранилище BCD.
Хранилище включает в себя элемент диспетчера загрузки, приложение WindowsBootLoader.
Boot единственный элемент для устаревшей ОС, который по прежнему используют для загрузки ОС.
Для редактирования BCD могут использоваться инструменты:
1) Можно выбрать ОС, загружаемую по умолчанию и способ восстановления системы.
2) Утилита восстановления ОС msconfig
3) Для редактирования BCD могут использоваться утилиты командной строки.
Цифровая подпись драйвера.
Начиная с Vista каждый драйвер должен иметь подпись. Попытка установить драйвер без подписи вызовет окно сообщения «установить или нет».
Изменение в политике привилегий учетных записей.
Начиная с Vista возможности стандартного пользователя расширены: установить подключения к беспроводным сетям.
Для некоторых служебных задач задан автоматический запуск.
Отпала необходимость в группе опытных пользователей.
Пользователи одной учетной записи не могут получить доступ к файлам другого пользователя.
Сохранение и изменение параметров учетной записи.
Начиная с Vista учетная запись администратора заблокирована для защиты от склероза пользователей.
Контроль учетной записи.
Администратор по умолчанию работает с правами пользователя. Обычно пользователь может выполнить действие если знает пароль администратора.
В Viste можно отключить подпрограмму «постоянного задавания вопросов».
В Windows 7 работа подсистемы улучшена за счет уменьшения количества вопросов и введения дополнительных уровней работы системы (4 уровня).
Родительский контроль.
Он позволяет разрешать загрузку ОС по времени, включить контроль игр, разрешения и запрещения запуска программ => замкнутая программная среда.
Vista:web-фильтр: явно задать список разрешенных (запрещенных) сайтов. Можно блокировать загрузку файлов. Особенность:
-Возможность создания отчёта о деятельности пользователя (фиксировать загрузку файла, время входа и выхода, полученная и отправленная эл. почту и т.д.)
Windows 7:исключили компоненты web-фильтрации и составления отчёта, но всё можно скачать и поставить.
Начиная с Vista групповая политика позволяет управлять активированной защитой, службой терминала, беспроводными сетями, сетевыми экранами, подсистемой контроля пользователей.
Межсетевые экраны (Классификация, основные характеристики основных типов – канального, сеансового, прикладного, экспертного уровня). Особенности и возможности МЭ, рассмотренных на лабораторной работе (PersonalFirewall, KasperskyAntihacker или InternetSecurity, Win 7).
Межсетевой экран МЭ - это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных. Этим оно отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки.
Коммутаторы – их можно отнести к физическому (канальному) уровню. Управляемый коммутатор позволяет привязывать МАС адреса сетевой карты компа к определенным портам компьютера.
Если сделать фильтрацию информации на основе МАС адресов сетевых карт, у отправителя и получателя организуется VLAN. Комп позволяет реализовать VLAN на уровне самого коммутатора.
Недостатки:
- область фильтрации действия коммутатора распространяется на ближние маршрутизаторы, и поэтому они не годятся для регулирования доступа из интернета.
-МАС адреса сетевых плат легко подделать.
«МСЭ с фильтрацией пакетов»
Относятся к сетевому уровню, используется в небольших сетях.
Представляет собой маршрутизатор или работающую на сервере программу, осуществляющую фильтрацию входящих и исходящих пакетов, на основе информации в IP-заголовке пакета. В первую очередь анализируется информация сетевого уровня, а именно IP адрес отправителя и получателя, а также протокол сеансового уровня (TCP/IP), информация о котором тоже есть в заголовке IP пакета. Более продвинутые МСЭ также учитывают информацию о портах отправителя и получателя, которые относятся к транспортному уровню.
Поле «Действие» может принимать значения «пропустить», «запретить» и «отбросить».
В последнем случае пакет просто удаляется, а в предпоследнем отправитель посылает уведомление о том ,что пакет пропущен.
МСЭ производит проверку пока не найдет правило которое соответствует анализируемый пакет. Если такое правило не находится, используется правило по умолчанию, которое обычно запрещает вх. пакеты.
Достоинства:
- низкая стоимость.
- гибкость в определении правил.
- небольшая задержка при прохождении пакета.
-минимальное влияние на производительность сети.
В целом они обеспечивают минимальную безопасность за минимальную цену, что может оказаться вполне приемлимо для среды низкого уровня.
Недостатки:
- ЛС видно и марш. Из Интернета.
- При большом числе правил затрудняется их выполнение.
- решение о предоставлении доступа предоставляется на основании IP адресов, они м.б. подсмотрены и подделаны.
- за доверенный комп. может сесть не доверенный пользователь.
- не контролируется работа на уровне приложений, не обеспечивается защита от DOS-атак.
- практическое отсутствие средства по протоколированию доступа.
«МСЭ сеансового уровня»
Они следят за подтверждением связи между авторизированными клиентами и внешним хостом.
Определенный является запрашиваемый сеанс, допустимым – использование информацию из заголовка пакета сеансового уровня. При запросе от клиента МСЭ проверяет удовлетворяет ли клиент базовым условиям фильтрации. Например: может ли DNS-сервер определить IP адрес клиента и его имя. Затем действуя от имени клиента шлюз устанавливает соединение с внешним хостом и следит за квитированием связи протокола TCP/IP.
Эта процедура состоит из обмена TCP пакетами с флажками SYN и ASK.
Он поддерживает таблицу соединений, пропуская данные из сеансов связи, зафиксированной в этой таблице.
После совершения сеанса, соответствующий сеансовый элемент удаляется из таблицы.
МСЭ сеансового уровня способны обеспечить защиту от DOS-атак, примером которой является атака с наводнением SYN запросов (floading).
Для борьбы с подобными атаками могут использоваться специальные фильтры:
SYNDefenderGateway.
Обеспечение зашиты от DOS-атак:
SYNDefenderRelay.
МСЭ сеансового уровня относят также МСЭ с преобразованием или трансляцией IP адресом (NAT) которые реализуют NAT-преобразования.
Есть 2 основных режима:
- При динамическом режиме (PAT), в этом случае МСЭ имеет единственный внутренний IP адрес, все обращения в Интернет со стороны клиентов осуществляется с использованием этого внутреннего IP адреса.
- При статическом режиме, МСЭ имеет несколько внешних IP адресов.
Часто оба режима используются совместно.
Недостатки:
- фильтруют пакеты на сеансовом уровне и не проверяют содержимое пакетов на прикладном уровне.
- не поддерживают аутентификации на уровне пользователя, а только на основе IP адресов и они по прежнему уязвимы к атакам с подменой IP адреса.
- после завершения процедуры квитирования МСЭ просто перенаправляют все пакеты независимо от их содержимого.
«МСЭ прикладного уровня»
Они часто называются Proxy-серверами, и контролируют и фильтруют информацию на прикладном уровне.
Также, МСЭ прикладного уровня, могут перехватывать входящие и исходящие пакеты используя программы «посредники», что исключает прямого соединения клиента и сервера. А также посредники используют МСЭ прикладного уровня имеют важное отличие от канальных посредников канального уровня, т.е. они требуют отдельного Proxy сервера для каждой службы.
Обычно имеются посредники для след.служб: Эл.почты, Web-сервера, FTP и для терминальных служб.
Если служба не поддерживает Proxy то возможны 3 варианта:
1) Отказаться
2) Разработать свой Proxy
3) Пропускать службы через МСЭ с помощью так называемого «заглушения» с минимальной фильтрацией пакетов что не безопасно.
Отличие от МСЭ сетевого уровня:
1.От клиента до сервера образуется 2 соединения: от клиента до МСЭ, и от МСЭ до сервера.
2.Анализируется содержимое каждого проходящего пакета.
Бывают прозрачные МСЭ и непрозрачные.
Достоинства:
- от внешнего пользователя скрывается структура корпоративной сети.
- прикладной МСЭ это единственный хост имя которого м.б. известно.
- прокси сервер для разных служб предотвращает доступ к ним.
- надежность на уровне пользователя при протоколировании.
- оптимальное соотношение между ценой и качеством.
Недостатки:
- при непрозрачных, необходима 2-ух шаговая структура.
- более высокая цена.
- (хз какой, но он есть).
«МСЭ экспертного уровня»
Они сочетают в себе элементы 3-х предыдущих видов МСЭ, т.е. прикладного, сеансового и сетевого. Как МСЭ с фильтрацией пакетов, они работают на сетевом уровне, фильтруя вх. и исх. Пакеты, на основе IP адресов и номеров портов. Они выполняют функции МСЭ сеансового уровня, также выполняют функции прикладного уровня проверяя содержимое каждого пакета в соответствии с использованной политикой безопасности.
Но в отличие от МСЭ прикладного уровня, при анализе данных прикладного уровня, они не нарушают клиент-серверные модели взаимодействия и допускают прямые соединения между клиентами и внешними хостами. Вместо программ посредников используются специальные алгоритмы распознавания и обработки данных на уровне приложения.
Недостаток: прямое соединение.
( Так как у нас не было данной лабораторной работы, я рассмотрю только один вариант и это будет:PersonalFirewall, KasperskyAntihacker.)
PersonalFirewall:
Главное окно информативно и содержит в виде графиков текущую информацию об использовании канала. Внизу показаны приложения и их режим доступа в сеть (разрешить, запретить или спросить). Режимы для каждого из приложений меняются при помощи правой кнопки мыши. Особенность SygatePersonalFirewall в том, что прямо из главного окна программы можно завершить выполнение процесса. Это бывает полезно при заражении или подозрении на заражение компьютера, когда в сеть просится непонятное приложение. Сетевая активность приложения отмечается синим цветом в списке RunningApplications.
Отметка пункта HideWindowsServices приводит к сокрытию из списка работающих приложений сервисов операционной системы, а отметка пункта HideBroadcastTraffic исключает широковещательные запросы из их фиксации на графиках. Кнопка ShowMessageConsole выводит в нижнюю часть главного окна программы поле, в котором фиксируются события, происходящие во время работы файрвола.
В верхней части главного окна собраны кнопки, которые выполняют наиболее часто используемые функции. Кнопка BlockAll блокирует весь трафик, что бывает необходимо срочно сделать при подозрении на заражение компьютера для неспешного решения проблемы. Кнопка Applications выводит на экран окно для настройки правил для приложений, которые будут рассмотрены ниже. При помощи кнопки Logs можно просмотреть один из четырёх журналов работы файрвола. Кнопка SecurityTest открывает в браузере раздел сайта Sygate, с помощью которого можно проверить компьютер на наличие уязвимостей и проконтролировать, таким образом, текущее состояние безопасности. Пользы от такого теста не много, особенно, если машина под защитой файрвола работает в локальной сети, имеет серый адрес и выходит в интернет через прокси-сервер провайдера. Кнопка Help открывает справочную систему, которая очень полная и даёт ответы практически на все вопросы, которые могут возникать у пользователя при работе с файрволом. Все эти функции дублируются соответствующими пунктами меню.
При помощи пункта меню Security или при помощи щелчка правой кнопки мыши по значку файрвола в трее можно выбрать один из трёх режимов работы файрвола: блокировать весь трафик, обычный режим работы, разрешить весь трафик.
При попытке приложения выйти в сеть, если это новое приложение или для него установлен режим «спрашивать», файрвол выводит на экран запрос.
Настройка правил для приложений производится в окне «Applications». В этом окне для каждого приложения можно изменить тип выхода в сеть (разрешить, спросить, блокировать). Нажатие кнопки Advanced открывает окно для тонкой настройки правила для приложения.
Настроек достаточно для создания правила, которое сможет решить практически любую задачу для управления доступом приложения в сеть. Можно указать диапазоны доверенных адресов, с которыми приложение сможет устанавливать соединения, разрешить приложению соединяться или открывать на прослушивание только определённые порты, разрешить ICMP, заблокировать приложение во время включения хранителя экрана и указать временные интервалы, в которых правило будет либо разрешать, либо запрещать общение приложения с сетью.
При помощи SygatePersonalFirewall достаточно просто настроить фильтр пакетов. Следует помнить о том, что правила в пакетном фильтре применяются к проходящим пакетам сверху вниз и имеют более высокий приоритет над правилами для приложений. Если правилом для приложения разрешить ему бесконтрольно общаться с сетью, а правилом фильтрации пакетов запретить обращаться к любым серверам, то приложение не получит доступа ни к каким ресурсам.
Настроек у каждого правила достаточно много, что позволяет создавать такие правила, которые решат задачу контроля именно так, как это необходимо.
В настройках каждого из правил фильтрации пакетов можно указать сетевой интерфейс, к которому будет применяться это правило, указать, следует ли активировать или деактивировать правило при запуске хранителя экрана. Нужно или нет собирать информацию о пакетах, к которым было применено данное правило, указать IP адрес, подсеть адресов или MAC-адрес удалённого хоста, выбрать протокол и направление движения пакетов, которые будут обрабатываться этим правилом. Включить и настроить активацию правила по расписанию, создать правило только для одного конкретного или нескольких приложений. Внизу окна настройки фильтра в текстовом виде отображается текущая настройка фильтра при помощи которой очень просто понять, как правило будет фильтровать трафик. Настроек вполне достаточно для создания самого сложного правила.
Файрвол может сохранять различную информацию о событиях, происходящих во время его работы, в достаточно подробных отчётах. Сохраняемая информация очень полная, вплоть до содержимого проходящих пакетов.
Вывод о PersonalFirewall:
Результаты тестирования говорят о том, что файрвол хорошо контролирует приложения и надежно прикрывает компьютер от посягательств из сети. Правила, как для фильтрации пакетов, так и для приложений, достаточно гибки в настройках и могут решить практически любую задачу по ограничению доступа. Возможность ограничить действие правила по времени в сумме с защитой настроек и закрытия файрвола паролем, поможет, например, ограничить доступ в интернет для ребенка в то время, когда отсутствуют родители. В тоже время, SygatePersonalFirewall без проблем решает любые другие задачи по фильтрации трафика, например, по публикации в сети только определённых сервисов, работающих на компьютере, и сокрытия всей остальной информации о нём. По качеству исполнения и количеству функций файрвол легко может конкурировать с платными аналогами, иногда даже превосходя их в чём-то. Всё это позволяет рекомендовать SygatePersonalFirewall тем, кто не нуждается в каких-то дополнительных функциях, использует антивирус, поставляемый в виде отдельного продукта, и хотел бы использовать легальный, бесплатный и качественный файрвол.
KasperskyAntihacker:
KasperskyAnti–Hacker является персональным файрволом и его использование надежно защищает компьютер от проникновения извне, позволяет контролировать поведение установленного на компьютере программного обеспечения, пресекая его несанкционированные попытки отправить данные в сеть. Программа предохраняет компьютер от заражения некоторыми типами вирусов и обеспечивает сохранность файлов от несанкционированного удаления или изменения.
KasperskyAnti–Hacker позволяет пользователю гибко настраивать правила для приложений и фильтровать пакеты, которыми обменивается компьютер с серверами, расположенными в сети. Детектор атак обнаруживает наиболее распространенные атаки на компьютер и автоматически блокирует атакующего. Режим невидимости делает компьютер под защитой KasperskyAnti–Hacker невидимым в сети, что затрудняет подготовку и проведение атаки на него. KasperskyAnti–Hacker контролирует целостность приложений, и если его файлы изменяются, то пользователь будет проинформирован об этом. Все события, происходящие во время работы в сети, протоколируются в журнале работы.
Следует понимать, что KasperskyAnti–Hacker является файрволом, который контролирует трафик между компьютером и серверами, а не антивирусом. Лишь некоторые типы вирусов и шпионских программ, которые при заражении компьютера загружают из сети свои компоненты или отправляют данные в сеть могут быть обнаружены при помощи KasperskyAnti–Hacker. Чтобы надежно защитить компьютер и от вирусов и от взлома рекомендуется пользоваться связкой из KasperskyAnti–Hacker и KasperskyAntivirus.
Основные функции KasperskyAnti–Hacker:
· Контроль сетевой активности всех приложений, установленных на компьютере. При помощи правил определенному приложению можно разрешить доступ только к определенному серверу в сети или разрешить доступ ко всем серверам, а запретить только к одному или нескольким определенным. Таким образом, все приложения, установленные на компьютере, находятся под постоянным контролем и могут обмениваться данными с серверами только после разрешения пользователя.
· Режим невидимости в сети, который обеспечивает файрвол, значительно затрудняет обнаружение компьютера в сети, и, следовательно, осложняет процесс подготовки и проведения атаки на него.
· Фильтрация пакетов обеспечивает контроль над трафиком на более низком уровне, чем уровень приложений. Таким образом, сетевая активность в определенных направлениях может быть пресечена раз и навсегда, вне зависимости от того, какое приложение пытается отправить данные в запрещенных направлениях.
· KasperskyAnti–Hacker определяет попытки сканирования портов, и блокирует тот хост, с которого производилось сканирование. При помощи сканирования злоумышленник определяет открытые порты и собирает информацию для последующей атаки на компьютер с целью получения полного контроля над ним для последующих незаконных действий в сети от имени взломанного компьютера. Либо, собрав информацию о компьютере–жертве, злоумышленник проводит атаку с целью вывести компьютер из строя или сделать невозможным доступ к нему из сети.
· Файрвол позволяет просматривать список всех установленных соединений с сетью и при необходимости разрывать их.
· Режимы работы программы позволяют контролировать обмен данными приложений с сетью от разрешения любых данных, проходящих в любом направлении, до полного запрещения обмена данными между компьютером и сетью. После установки файрвол работает в режиме обучения, то есть, спрашивает пользователя о каждой попытке приложения выйти в сеть. Пользователь, в зависимости от собственных предпочтений, либо разрешает, либо запрещает обмен данными между компьютером и сетью. Через некоторое время, когда для всех приложений будут созданы правила общения с сетью, файрвол может быть переключен в более строгий режим работы. В этом режиме файрвол контролирует обмен данными между компьютером и сетью на основе существующих правил, а все остальные попытки приложений отправить или получить данные из сети, для которых не было создано правил, блокируются. Переключение режимов работы файрвола производится в два щелчка мыши.
· Файрвол очень гибок в настройках. Если на компьютере под защитой файрвола работают сервисы, которые должны быть доступны из сети, например, www–сервер, то при помощи одного правила доступ к этому сервису может быть предоставлен как всем желающим, так и определенным посетителям.
В главном окне программы, при помощи ползунка, можно изменить текущий уровень безопасности. Возможен выбор следующих режимов:
· Запретить все. При выборе этого режима будет запрещен любой обмен данными между компьютером и сетью. Выбор этого режима аналогичен физическому отключению компьютера от сети.
· Высокий. В этом режиме общение с сетью ограничивается уже созданными правилами. Все попытки обмена данными приложений, для которых не были созданы правила, будут отклонены. Данный режим лучше использовать через продолжительное время, которое файрвол проработал в режиме Средний и если для всех приложений, которым нужен доступ в сеть, были созданы правила. Если на компьютер устанавливается приложение, которому нужен доступ в сеть, то нужно временно перевести файрвол в режим Средний или вручную создать правило для нового приложения.
· Средний. При попытке выйти в сеть приложений, для которых еще не было создано правил, файрвол выдаст запрос и попросит указать действие, которое он должен предпринимать при выходе в сеть приложения. Пример запроса будет рассмотрен ниже. С его помощью можно создать правило, которым файрвол будет руководствоваться при последующих попытках приложения выйти в сеть, либо однократно запретить или однократно разрешить приложению обменяться данными с сетью.
· Низкий. В этом режиме файрвол разрешает общение с сетью всех приложений, за исключением тех, для которых созданы запрещающие правила. То есть, если явно не указано, что приложению доступ предоставлен быть не должен, то оно получит доступ в сеть.
· Разрешить все. Выбор этого режима равносилен отключению файрвола. Контроль над сетевой активностью отключается, все приложения получают доступ в сеть, не смотря на созданные правила.
Пункт Режим невидимости предназначен для включения режима работы, в котором файрвол скрывает компьютер в сети. В данном режиме компьютер перестает откликаться на запросы о его существовании в сети. Режим невидимости может быть использован, когда файрвол работает в режиме Высокий, Средний или Низкий. При работе в режиме невидимости инициатором создания соединения с любым сервером в сети может выступать только компьютер под защитой файрвола. Правила фильтрации, разрешающие подключение к определенным сервисам, работающим на компьютере, имеют высший приоритет над режимом невидимости. Таким образом, если на компьютере установлен, например, www–сервер, ожидающий подключения на 80–м порту, то можно создать правило, которое разрешит устанавливать соединения с этим портом и включить режим невидимости. При такой настройке www–сервер будет доступен из сети, но запросы о существовании компьютера в сети (ping) будут игнорироваться.
Правила фильтрации пакетов
Правила выполняются сверху вниз. Файрвол проверяет пакет на соответствие правилу и если оно указывает на действие, которое необходимо выполнить с проходящим пакетом, то действие выполняется. Например, если разрешен обмен пакетами между компьютером с установленным файрволом и 21–м портом хоста 192.168.2.2, а весь остальной трафик между этими компьютерами запрещен, то разрешающее правило должно находиться выше запрещающего.
Приоритет правил фильтрации пакетов выше, чем правил фильтрации приложений. Если запретить отправлять пакеты на определенный сервер в сети правилом фильтрации пакетов, а потом разрешить какому–либо приложению общаться с этим же сервером, то приложение не получит доступа к указанному серверу, так как, пакет будет отвергнут пакетным фильтром.
Правила для приложений
Правила для приложений могут быть созданы как вручную, так и при помощи мастера. Окно мастера создания правил выводится на экран когда файрвол работает в среднем режиме безопасности. При первом обращении приложения в сеть, когда для него еще не созданы правила, откроется окно.
Файрвол предложит создать правило для приложения на основе стандартного. Если необходимость выхода приложения в сеть сомнительна, то в окне мастера можно нажать кнопкуБлокировать однократно. Это приведет к тому, что запрос приложения будет отклонен, но лишь до следующей его попытки выйти в сеть. Если приложение будет работать некорректно, то во время следующей его попытки выйти в сеть на экране снова появится запрос файрвола на создание правила для этого приложения и такой доступ ему может быть предоставлен. Причем, доступ приложению в сеть может быть предоставлен как полный (то есть, ему будет разрешено устанавливать соединения с любыми портами на любых серверах), так и ограниченный, в соответствии с его типом, который файрвол определит автоматически. Предоставление полного доступа или ограниченного производится путем выбора соответствующего значения из поля со спискомРазрешить активность приложения в соответствии с его типом. Стандартные типы приложений показаны ниже.
Если во время создания правила для приложения переключатель поставить в положениеЗапретить любую активность приложения, то файрвол создаст для него запрещающее правило и до момента удаления этого правила приложение не получит доступа в сеть.
Вывод:
Результаты тестирования файрвола указывают на то, что, в целом, продукт достаточно качественный и обеспечивает барьер между сетью и компьютером. Это подтверждается объемом занимаемой памяти и использованием программой процессора при проведении атаки на компьютер «в лоб». Результаты сканирования подтверждают то, что система под защитой KasperskyAnti–Hacker защищена от атак с использованием обнаруженных и еще не известных уязвимостей в системных сервисах. Разумный минимализм настроек значительно облегчает работу с файрволом неподготовленного пользователя. В то же время, можно вручную создавать достаточно сложные правила, которые при определенном объеме знаний помогут организовать гибкий контроль над трафиком. Не смотря на все это, он–лайн тестирование показало, что файрвол не достаточно хорошо контролирует приложения. Пользователь должен внимательно следить за запуском приложений, не открывать файлов, полученных из сомнительных источников. В некоторых случаях, выполнить это условие невозможно и при неблагоприятном стечении обстоятельств, с компьютера под защитой файрвола могут быть похищены важные данные.