none
ho una domanda sullo smartscreen e una su come aggiungere regole a WF per bloccare siti phishing RRS feed

  • Domanda

  • buona sera, premetto che su MS community( http://answers.microsoft.com/it-it/windows/forum/windows_10-security/ho-una-domanda-sullo-smartscreen-e-una-su-come/47f5cc73-e7fc-4db3-acb5-b6fa408139d6) un mod MS mi ha detto di postare qui. volevo solo una conferma(o meno) perchè sono inesperto

    -prima domanda: posto che lo smarscreen ho capito che funziona solo con IE o EDGE, ho trovato in impostazioni-> privacy -> generale, l'opzione "arriva smartscreen per controllare contenuto web usato dalle app di windows store": quindi vi chiedo: questa opzione funziona anche se non si usa IE o edge come browser predefinito? e fa quindi anche un po' come un firewall outbound per queste app?

    -seconda domanda: ho trovato su un sito attendibile(http://www.ransomware.it/risorse/domini-web-phishing/ ) dei siti che ogni tanto vengono usati come phishing per scaricare ransomware. e vorrei bloccarli tramite le regole di windows firewall.

    per questo ho reperito le seguenti regole che vorrei mi confermaste:

    1)cortesia dell'utene inkurax di malwaretips

    "1. Open Windows Firewall from the Control Panel; 2. Select Advanced Settings; On windows 10 just search for Windows Firewall in the search bar and choose Windows Firewall with Advanced Settings 3. Select Inbound Rules from the left panel. Select New Rule from the right side (Action window); 4. Select Custom (Custom rule) and click Next; 5. All Programs should be selected and click Next; 6. Click next on the Protocols and Ports page (leave as it is); 7. In the scope page enter the IP (i.e. 192.168.1.1 but not www) address of the site you want to block in the "Which remote IP addresses does this rule apply to?" section; 8. Select Block the connection on the Action page, click Next; 9. Leave all boxes checked on Profile page if you don't ever want to see the website on any network connection, modify if you want to allow on a Domain, Public or Private Network; 10. Enter a name for the new rule you created and click Finish; 11. Select Outbound Rules from the left panel and repeat ALL steps precisely from above. Side note: any rules can be edited later if you want to add more IP addresses to block."

    2) cortesia dell'utente Huracan di malwaretips

    "Obtaining website IP address:
    urlvoid

    1. Enter domain URL and Scan
    2. Wait for results...
    3. Click on IP Address tab"

    ho ritenuto giusto citare le fonti ,altrimenti pare che è farina del mio sacco.

    quindi se io prendo i siti e li copio/incollo su urlvoid, posso aggiungere l'ip che ottengo a windows firewall?

    grazie in anticipo

    martedì 5 aprile 2016 18:13

Risposte

  • Ciao, come hai già avuto modo di leggere SmartScreen è strettamente legato ai prodotti Microsoft e non si integra con altri browser. 

    Il discorso URL è più complesso di quanto si possa pensare. Il livello di analisi non si può basare esclusivamente sull'IP ma si deve spingere oltre. La natura mutevole degli attacchi va gestita a più livelli. Ci sono prodotti di terze parti, con differenti prezzi, che operano egregiamente garantendo una notevole sicurezza rispetto a quanto si possa fare in maniera personale. Un buon Endpoint, un backup costante ed una gestione accurata delle proprie attività garantisce una buona sicurezza.

    Saluti
    Nino

    • Contrassegnato come risposta Dirk4101 mercoledì 6 aprile 2016 07:08
    mercoledì 6 aprile 2016 06:58
    Moderatore
  • Secondo me ha poco senso perché non è l'IP a definire un phishing ma è il contenuto. E' vero che un IP, generalmente, non cambia, ma è anche vero che questi IP zombie vengono utilizzati per periodi più o meno brevi e poi sostituiti con altri non ancora segnalati. E' come il gatto che si morde la coda. L'elenco degli IP da inserire nelle regole salirebbe a dismisura, generando solo confusione. Tutti gli Endpoint più conosciuti ed i Firewall perimetrali con protezione UTM poggiano i loro filtri su database mondiali che garantiscono un'ottima accuratezza.
    • Contrassegnato come risposta Dirk4101 mercoledì 6 aprile 2016 07:31
    mercoledì 6 aprile 2016 07:25
    Moderatore

Tutte le risposte

  • Ciao, come hai già avuto modo di leggere SmartScreen è strettamente legato ai prodotti Microsoft e non si integra con altri browser. 

    Il discorso URL è più complesso di quanto si possa pensare. Il livello di analisi non si può basare esclusivamente sull'IP ma si deve spingere oltre. La natura mutevole degli attacchi va gestita a più livelli. Ci sono prodotti di terze parti, con differenti prezzi, che operano egregiamente garantendo una notevole sicurezza rispetto a quanto si possa fare in maniera personale. Un buon Endpoint, un backup costante ed una gestione accurata delle proprie attività garantisce una buona sicurezza.

    Saluti
    Nino

    • Contrassegnato come risposta Dirk4101 mercoledì 6 aprile 2016 07:08
    mercoledì 6 aprile 2016 06:58
    Moderatore
  • La ringrazio molto della risposta , ma comunque volevo capire se ha senso aggiungere quegli ip per i sisti di phishing o tanto possono cambiare ? Grazie buona giornata
    mercoledì 6 aprile 2016 07:18
  • Secondo me ha poco senso perché non è l'IP a definire un phishing ma è il contenuto. E' vero che un IP, generalmente, non cambia, ma è anche vero che questi IP zombie vengono utilizzati per periodi più o meno brevi e poi sostituiti con altri non ancora segnalati. E' come il gatto che si morde la coda. L'elenco degli IP da inserire nelle regole salirebbe a dismisura, generando solo confusione. Tutti gli Endpoint più conosciuti ed i Firewall perimetrali con protezione UTM poggiano i loro filtri su database mondiali che garantiscono un'ottima accuratezza.
    • Contrassegnato come risposta Dirk4101 mercoledì 6 aprile 2016 07:31
    mercoledì 6 aprile 2016 07:25
    Moderatore