2010/03/07更新:Comodo Internet Security 4.0最新版推出,新功能分析請看:Comodo Internet Security 4.0 免費防毒防駭防火牆新版心得常常有人在電腦玩物中問我推薦使用哪個防毒軟體或哪款防火牆,而最近我的回答總是:「Comodo Internet Security」 這款免費的綜合型電腦安全中心。什麼是「安全中心(Internet Security)」?一般來說當一款安全工具使用了這個稱呼時,就表示它起碼同時具備防毒、防火牆功能,也就是可以同時掃描你電腦中不安全的檔案並阻止 不安全的網路連線,這通常被認為是現在使用電腦時需要的兩大防護。
而一般來說「安全中心」通常都是商業軟體,因為它整合了更多的防禦能 力,例如卡巴斯基、Norton等等知名商業軟體品牌的安全中心都廣受好評和用戶喜愛,或者像AVG有免費的防毒軟體和商業的安全中心版本。不 過,Comodo的安全中心(Internet Security)本身就有提供免費和商業的版本,對於一般家庭用戶來說只要使用免費版足以,因為商業付費版的功能是真的針對商業用戶來設計的,一般人基 本上不太需要那些額外的附加功能,也就是說,現在,我們可以在正版、免費的前提下,使用到一款同時整合了防毒、防駭與防火牆的安全軟體,那就是「Comodo Internet Security」。
當然也會有朋友問我:那卡巴斯基和Comodo哪一個功能比較強?比 較能防禦入侵?這種問題老實說我不知道怎麼回答,除了一方面沒有可以保證百分之百安全的安全軟體外,另外一方面就是要錢的卡巴斯基或Norton功能比免 費軟體強不就是一種最最基本的要求嗎?如果說商業軟體功能輸給免費軟體那還有得混嗎?但是問題就在於你真的有需要去使用商業軟體嗎?有時候殺雞焉用牛刀, 有時候好的攝影師用傻瓜相機也可以拍出好照片,其實使用軟體也是一樣的道理,市場上有商業軟體、有免費軟體,如果只論功能我相信絕大多數的商業軟體都強過 免費軟體,但是用戶有選擇的自由,與其盲目跟從你只能用到10%功能的商業軟體,不如好好的用免費軟體來搭配出適合自己的電腦環境吧!
- Comodo Internet Security:http://www.personalfirewall.comodo.com/
- 適用於Windows XP、Vista作業系統
- 最新3.8版的改進:
- NEW! COMODO Threatcast(新增社群防禦建議功能) - COMODO's community based alerts statistics
NEW! Native Vista Firewall - Improved Firewall with Windows Vista enhancements
NEW! Native Vista HIPS - Improved HIPS compatible with Windows Vista enhancements
NEW! Buffer Overflow Prevention(新 增緩衝區溢位攻擊防禦) - Defense+ can now detect and prevent one of the most common attacks used by attackers: shellcode injection
NEW! Antivirus Heuristics(新增啟發式防毒功能): The Antivirus engine now includes heuristics scanning capabilities
NEW! Proxy server settings for AV and program updates
IMPROVED! Trusted software vendor list is expanded, capable of detecting thousands of applications generically without any signatures(大幅增加信任程式辨識清單,減少操作麻煩)
IMPROVED! Revised AV engine - AV engine scanning and updating speed increased significantly
IMPROVED! File submission engine has been redesigned - 推薦討論區:http://bbs.kafan.cn/forum-38-1.html
- 討論CIS的優質部落格:http://antimalicious.blogspot.com/
Comodo可以說和電腦玩物有我自以為的很深的淵源,因為在電腦玩物剛剛開始寫作的時候,因為寫了一篇關於「Comodo Firewall Pro 2.4」版的介紹,而讓電腦玩物增加了不少讀者也獲得不少關注,並且也因為我自己使用了這個很有意思的免費防火牆後,讓我開始有興趣去研究很多安全軟體,並在那段時間寫了很多關於電腦安全軟體的心得文章,如果要說因為Comodo而讓我開始認真的寫電腦玩物可是一點也不為過。
然後Comodo開始不斷的進化,在「免費強效防火牆 Comodo Firewall Pro 3 上手心得」中,我介紹了如何安裝最新版的Comodo,以及關於它的新功能心得。而目前已經來到「3.8」版的Comodo最大的改進就是它把防毒軟體功能也整合了進來,成為了結合防毒與防火牆多重防護的「Comodo Internet Security(簡稱CIS)」電腦安全中心,並且持續的在「強悍的防禦能力」與「分級的上手操作」之間進行優化調整;專業級、瘋狂的電腦用戶可以從CIS中獲得完全的電腦掌控權,小至每一種程序的分解動作你都可以監控;但是入門級、一般的電腦用戶也可以從CIS中獲得舒適的上手經驗,只要抓住基礎觀念與技巧,CIS就可以成為幫妳決定更多安全過濾的好管家。
而我這一篇文章就是要從入門級、一般用戶的使用經驗,來分享我使用最新版Comodo Internet Security 3.8的心得。
概論篇:
免費版的Comodo Internet Security主要提供三種防禦能力:- Antivirus:防毒功能,最新3.8版具備啟發式的掃描功能,可以防禦和解除病毒、木馬、蠕蟲的威脅。
- Firewall:網路防火牆功能,這是Comodo最早打出名氣的一個工具,可以抵禦各種連出、連入的連線資安危機,幫你過濾掉有問題的程式連線,也可以抵禦網路式的連線攻擊。
- Defense+:HIPS系統防火牆功能,幫你過濾各種程式的動作,並從中抓出可疑的程序,可以監控包含寫入檔案、修改註冊表、側錄鍵盤、啟動其它檔案等等行為,其實應該說可以監控電腦所有的操作,而當這些操作有問題時,讓你可以在執行前阻擋它。
Defense+對於一開始接觸的用戶要解釋起來比較困難,所以我用形象化的方式來說,例如當你看到一個人的外表,通常你不會知道他是好人還是壞人,但是孔子有教過我們要察其言、觀其行,一個人的行為動作就會透露出那個人的意圖,一個人之所以是壞人他就一定是做了一些不好的事。而回到電腦系統中,Defense+正是透過規則的檢查,查看檔案程式的各種行為,並且從裡面判斷出「可疑的」行為,如此一來不管程式是好人變心或壞人使壞,都可以在這樣的輔助檢查中被抓出來了。
其實現在大多數的電腦安全中心都會具備上述三種組合搭配的防禦能力,因為必須這麼做才有辦法抵禦現在環境中日新月異、推陳出新的惡意軟體和資安攻擊。不過別忘了我最前面說的,當其他安全中心都還是商業付費版時,Comodo Internet Security則是有評價頗高的免費版本可以使用!
另外我一定要提CIS除了強悍的防禦能力外,一個非常顯著的特色,就是它具有非常優異的執行效能。 在我長期使用的經驗中,不僅不會造成電腦系統當機,而且開啟、設定等等操作上都極度的流暢,事實上即使是整合了防毒、防火牆和Defense+功能 後,CIS佔用的系統主記憶體也不會超過10MB,也沒有遇過強佔CPU使用率的情形,也就是說即使是老舊電腦你應該也可以放心的常駐執行這個軟體,而不 用擔心因為安全防禦而過多的犧牲了電腦性能。
延伸閱讀:瞭解什麼是HIPS?HIPS有哪些軟體可用?
安裝篇:
接著我概略的說明安裝過程的一些重點心得,首先,為了避免不必要的衝突,最好不要同時安裝兩種相同類型的常駐安全軟體(如 果是手動的就另當別論),例如同時裝兩個常駐的防毒軟體、同時安裝兩種防火牆都有可能出現系統問題,尤其千萬不要同時安裝兩種HIPS常駐防禦軟體,這有 可能導致你連系統都進不去!而因為Comodo Internet Security同時具備防毒、防火牆和HIPS功能,所以請記得在安裝前要「反安裝」你電腦中已有的相同軟體。不過倒是可以留著防毒軟體,例如你習慣使用防毒功能更強悍的小紅傘(Avira AntiVir),那麼你可以選擇只安裝CIS的防火牆和Defense+功能,而不安裝防毒功能,這是可以的。只要在安裝步驟中,取消勾選「Install Comodo Antivirus」即可。而勾選「Install Comodo Firewall」就會同時安裝Defense+和防火牆。
最新版安裝步驟中會問你是否要開啟「Threatcast community」功能,這是一個網路社群式的功能,它會統計所有CIS用戶針對每種程式的「行為判斷」,然後當你的電腦彈出相同程式的警示視窗時,會出現統計圖告訴你有多少用戶阻止了這個程序?又有多少用戶允許了這個程序?透過這樣的社群統計功能,你就可以某種程度在出現警示視窗時依賴大家的意見來決定自己要不要阻擋其運行。
你 可以在這裡決定要不要使用這個功能,如果選擇「我願意」的話你的判斷行為也會被上傳到Comodo的社群中。我自己是有使用的,基本上我相信Comodo 不會拿這些行為記錄亂搞(好像也只能選擇是否信任Comodo),而使用後我覺得效果還不錯,看看大家如何為某個程式製定規則,確實有一定的參考價值。
另外安裝時也會問你是否要一起安裝適用於瀏覽器的安全工具列(Comodo SafeSurf), 我這邊自己是取消勾選「Install Comodo SafeSurf」的,不安裝的原因只是我自己不喜歡這種包含搜尋功能的工具列,不過其實Comodo SafeSurf和那種一般的工具列不太一樣,因為它確實是可以主動的防禦你在瀏覽網路時可能遭遇的一些攻擊行為,以下是官方說明中Comodo SafeSurf可以防禦的攻擊:
- Buffer Overflows which occur in the STACK memory,
- Buffer Overflows which occur in the HEAP memory,
- ret2libc attacks,
- Corrupted/bad SEH Chains
安裝完成CIS後,會詢問你是否要用防毒引擎徹底掃描電腦系統,這邊也是建議大家掃描看看,先把電腦中可能存在的問題檔案抓出來,這樣會有利於你之後使用CIS的判斷。
介面操作篇:
安 裝並執行後,你會在右下角系統列看到Comodo Internet Security的圖示,在圖示上雙擊滑鼠左鍵可以打開主程式,而按滑鼠右鍵可以打開功能選單,你可以在功能選單的【Antivirus Security Level】、【Firewall Security Level】、【Defense+ Security Level】快速切換防毒、防火牆與Defense+的防禦等級。
進入主程式後,也是像之前說的,區分成防毒(Antivirus)、防火牆(Firewall)和Defense+三個區塊讓你設定與監控。另外你可以看到主程式的「Summary」頁面中三個防禦功能區塊裡都有一些可以點選的連結,如果你仔細試試看可以發現在這裡Comodo有很優秀的介面設計,讓你可以快速呼叫一些功能或查看一些數據。
例如我自己常用的,點選左下方「Network Defense(防火牆)」區塊中 的「The firewall has blocked....」連結,查看有哪些網路連線被阻擋,也可以點擊下方的連出、連入的連結,查看有那些程序正在進行網路連線,這都是很好的檢查功能, 或者電腦有問題時還可以趕快按下「Stop All Activties」立刻阻擋所有網路連線。而右下方「Traffic」區塊則讓你立刻看清楚目前哪些程序佔用最多的網路頻寬。
另外我也會在主介面右方的「Preactive Defense(Defense+功能)」區塊中, 點選「...applications are active」,就可以像工作管理員(Active Process List)那樣去查看目前在系統執行中的所有程式,而且這個Comodo的工作管理員更優秀,會用樹狀排列告訴你每個程式的對應關係,可以看到每個程式的 發行商、位置等資料,你也可以在這裡手動去停止、關閉任何程序。
而且在「Preactive Defense(Defense+功能)」區塊中的「Switch to installation Mode」功能更是常常用到,當你要安裝某一個應該安全的軟體時,可以暫時切換到「Install Mode」(安裝模式),這樣會讓你安裝軟體的過程不會一直跳出警告視窗,否則你每寫入一個檔案就有可能會跳出一個視窗實在缺乏效率。
警告視窗篇:
前面一再說過CIS就是由防毒、防火牆和Defense+三種功能組成的,所以當執行防禦時出現的警告視窗也是有三種類型。要注意的就是既然叫做「警告視窗」,也就是說並非出現在警示視窗裡面的檔案都是有問題的,尤其Firewall、Defense+的視窗更是如此,大多都只是提醒意味而已,這部份仍然是最終需要使用者自己做判斷的(所有的安全軟體也都是這樣)。Antivirus防毒的警告視窗比較簡單,你可以把檔案送進〔Quarantine〕隔離所關起來,這樣檔案不會影響其他程式,而如果事後發現該檔案沒有問題或者那是重要的系統檔案,也可以從隔離區再把它「放出來」。當然你也可以直接選擇〔Remove〕移除這個問題檔案,或選擇〔Ignore〕忽略它。
Firewall防火牆的警告視窗就是當某個程序要進行網路連線時,會跳出來詢問你是否允許它上網連線。你可以在視窗下方選擇允許或阻擋,也可以透過「Treat this application as」來選擇某種預設連線規則,例如這是一個網路瀏覽器的話你就可以選擇預設的「Web Browser」連線規則,這些預設規則都是你可以自己新增和修改的。
另外如果你確定以後都要禁止或允許這個程式連線,那就要記得勾選「remember my answer」,讓comodo記住你這次設定的規則。
而我們前面有提到3.8版新增的Threatcast社群建議功能就會在警告視窗裡顯現,你可以看到有多少人允許或禁止這個程式進行連線,這可以當做你自己判斷上的輔助。
關於很多人可能會關心的P2P使用問題,新版中基本上你只要在跳出相關警告視窗時,設定為允許連線,那麼你的P2P軟體通常就可以正常上傳、下載了。
而你更常會看到的警告視窗應該是Defense+的警示,因為這個功能會監控整個系統的運作,一有可疑行為(或有任何行為,看你選擇的防禦等級)就會提示,例如下圖中就是Yahoo奇摩輸入法的安裝程式企圖去讀取磁碟機的警告視窗,當然這是安全合理的行為,所以給予放行。同樣的你可以在這邊選擇允許或禁止,但是禁止的話很有可能這個程式就會完全無法運作。
在Defense+的警告視窗中,也有一個「Treat this application as」的選單,讓你可以給這個程式加上預設的安全規則,這樣可以減少許多麻煩的操作步驟,對於一般用戶來說可以增加很多方便性。例如說當你執行某個你認為安全的安裝、更新程式的時候,跳出警告視窗時記得要到這裡選擇【Install or Updater】,這樣就會讓CIS進入我前面說的「Install Mode(安裝模式)」,這時候CIS會自動放行這個安裝程式的安裝動作,你就不會在安裝過程中一直看到警告視窗而導致安裝失敗。另外即使進入所謂的安裝模式中,也只有該安裝程序的動作會被放行,如果這時候有其他可疑的動作,或是有程序企圖打開其他程式,CIS還是一樣會跳出警告視窗來警告你的。
另外如果警示視窗中出現的是電腦中重要的系統軟體,或者是一些你確知非常安裝的重要城市,你也可以在「Treat this application as」中選擇相應的預設規則,這都可以減少後續操作的麻煩。
而在CIS 3.8中,前面有提到大幅增加了信任軟體的白名單,所以很多重要的系統檔案或知名軟體,只要軟體簽章有通過CIS的辨識驗證,那麼也都會自動建立相應的安全規則,這對一般用戶來說可是節省了很多自己控管的力氣呢!
防毒篇:
前面有提到如果你不想要使用Comodo的防毒功能,可以在安裝時選擇不要安裝它,這樣你就可以繼續使用自己慣用的防毒軟體。而在Comodo的防毒功能確實設定比較簡單,但還是可以進行常駐掃描、手動掃描和排成掃描的功能,而且掃描時的效能也很好。另外在最新版中增加了啟發式防毒(Heuristics)的等級設定,你可以在「Virus Scanner Settings」中將其調到【High】就會讓防毒引擎變得更敏感,但也更有可能誤判就是了,不過這本來是就需要用戶自己去過濾的。
防火牆篇:
在主程式介面的〔Firewall〕分頁,選擇左方的〔Advanced〕就可以為防火牆進行深入設定。
在「Network Security Policy」中可以看到已經被建立的程式連線規則,可以在這邊重新修改每個程式的網路連線規則,不過對於一般用戶來說,其實主要依靠警告視窗提示時來判斷即可。
在「Attack Detection Settings」裡面可以設定針對各種可疑網路攻擊的主動防禦,例如出現某些不正常的連線或流量時可以自動禁止,防止電腦操受入侵破壞。不過對於一般用戶來說,如果你不了解這裡每個設定的意義,其實也可以維持預設規則即可,因為隨便調整這裡的設定,有可能降低你的電腦系統、網路連線效能。
對於一般用戶來說,比較需要知道的是「Firewall Behavior Settings」裡面的設定,因為你可能會想要調整你的防火牆防禦等級,我這邊就稍微說明一下這些等級的意義:
Block All Mode: 很簡單,這個就是禁止所有的網路連線。
Custom Policy Mode: 完全讓你手動決定每個程式是否連線,每次有程式要連線上網時都會出現警告視窗,除非你之前有設定好其規則。(我自己是使用這個模式,因為有些安全的程式我可能也不希望它連線上網。)
Safe Mode: 這是Comodo預設的模式,當你剛剛安裝完CIS時,防火牆就是被設定在這個模式上面,在此模式中所有被Comodo認定為安全的程式都會自動建立連線規則,而沒有在白名單中的程式要連線時才會跳出提醒視窗詢問你,一般用戶其實可以使用這個模式就好。
Training Mode : 當切換到這個訓練模式時,所有你接下來執行的連線程式都會自動被建立允許的規則,這麼模式的用途是你假設自己電腦安全時,或者要執行某個確認為安全的大型軟體時(例如電腦遊戲),想要為已經存在於電腦中的程式快速建立連線規則,就可以使用這個模式。
Disabled: 關閉防火牆功能。
Defense+篇:
老 實說,Defense+是一個很博大精深的功能,可以調整的地方太多了,所以我也無法全部都說得很清楚,還是一樣的,專業的用戶可以到我前面提供的論壇去 研究,而一般用戶我就在這裡聊聊我的心得。你可以在〔Defense+〕頁面的〔Advanced〕中進行相關的設定,不過基本上其實大多數的操作還是以 警告視窗出現時的允許、禁止為主即可。
在「Computer Security Policy」中,你可以看到所有已經建立的程序行為規則,你可以選擇某個程序,按右上方的〔Edit〕。
接著會進入設定畫面,選擇「Access Rights」後,你可以看到一個讓你完全手動調整這個程式的行為權限的對話盒,包含這個程式可不可以打開其他程式?這個程式可不可以監控鍵盤?這個程式可不可以修改註冊表?這個程式可不可以讀取磁碟等等?這些行為規則完全可以讓你手動調整,很多CIS愛用者可能也會在這裡的規則設定中樂此不疲的研究。
不過對於一般用戶來說,我再次強調其實你也可以不需要管這裡的設定,只要在出現警告視窗的同時,選擇允許、禁止,或者選擇某種預設程序規則即可,不一定需要那麼麻煩。
不 過像Launchy這種快捷啟動軟體,因為它的目的就是要打開其他程式,這在CIS中一定是會被認為是可疑行為的,所以你就可以到這裡的「Run an executable」中,設定允許Launchy之類的軟體去打開所有檔案,這樣就不會被反覆出現的警告視窗搞瘋了。
「Image Execution Control Settings」是一個輔助的監控阻擋功能,要和下面我們要介紹的基本防禦等級搭配在一起才有效果。形象化的來說它會在某個執行檔(exe、bat或你可以自訂監控的檔案類型)要載入你的記憶體前先做一個驗證,如果通過Comodo白名單驗證才會放行,否則就會出現警告視窗,並且暫時不允許該程式執行和載入記憶體。
Aggressive:最高等級的監控,不管是執行檔要載入記憶體還是預先快取時,都會進行阻擋驗證。
Normal:預設模式,剛安裝完CIS時會設定在這個等級,只會阻擋並驗證要載入記憶體的執行檔。
「Defense+ Settings」中可以設定Defense+基本的防禦等級,這是最重要的,防禦等級的設定攸關你電腦的監控程度,選擇一個適合你需求的防禦等級可以讓你操作起來更順手。
Paranoid Mode:偏執狂模式,也就是所有的程序行為都會監控阻擋並且詢問你是否放行,讓你擁有完全手動自訂的能力,所有的白名單都會在這個模式失效,你也可以在這個模式看到無數的警告視窗XD
Train with Safe Mode:自動訓練與自訂安全性兼備的模式,那些被Comodo設定為白名單的程式會自動設定相關規則,這可以讓你節省為一些系統程式、安全程式設定規則的手續。但是其他沒有在白名單中的程式就會跳出警告視窗來詢問你,由你手動設定。
Clean PC Mode:安全電腦模式,這是當你安裝完CIS後預設的防禦等級,這個模式假設你目前電腦中已經安裝的軟體都應該是安全的,所以加上Comodo自己白名單中的程式,這些都會被自動建立允許規則。 但是如果有新安裝的程式,或是新寫入的檔案,還是說已有程式不正常的啟動行為等等,還是會被抓出來並彈出警告視窗。這個模式對於一般用戶來說可以最大幅度 減少不必要的警告視窗,並且又獲得足夠的安全性(前提是假設你的電腦目前是安全的,所以適合在剛重灌完電腦基本元件後使用)。
Training Mode:訓練模式,切換到這個模式時,CIS會把你接下來執行的所有動作都自動設定為允許,這個模式不適合長期打開,但是可以在你要執行一連串確定的安全行為時打開,這樣你就可以非常省力的建立一系列安全規則。最適合這個模式的時機就是你「玩遊戲」的時候,如果是官方正版的遊戲(或大型軟體)你當然可以確定那是安全的,所以「首次」進入遊戲時就切換到這個模式,讓CIS自動學習玩這個遊戲的所有行為規則,這樣你就可以順利玩遊戲又不用作複雜設定了!
Disabled:關閉Defense+功能。
在「Defense+ Settings」裡面切換到〔Monitor Settings〕分頁,你可以在這裡勾選「要監控」的項目,你可以保留CIS安裝完的預設值,當然對於高度重視安全的用戶也可以全部勾選。勾選後就表示Defense+要去監控該項行為,並會在程式出現該項行為時跳出警告視窗。
- 小結:
加入書籤 :
0 意見:
張貼留言