Comodo Firewall Pro @ まとめ

はじめに

設定をする場所は？

FIREWALLセクション → Advanced → Network Security Policy

DEFENSE+セクション → Advanced → Computer Security Policy

DEFENSE+セクション → Advanced → Defense+ Settings → General Settings → Deactivate the Defense+ permanentlyチェックボックス
(チェック外すとオン、チェックするとオフ)

MISCELLANEOUSセクション → Settingsで。

Firewallの設定

基礎的な事項

• Application Rules
• Global Rules
• その他Firewall全体に影響を与える設定。Firewall Behabior Settingsなど。

Firewall全体の通信の流れ

ルールはリストの上から順に適用されていく。

セキュリティの強度

• General Settingsタブ

Block All Mode

FirewallがコントロールしているPC上の通信をすべて遮断する。

Custom Policy Mode

Firewallの通信の自動学習機能を使用しない。

つまりすべてアラートが出てユーザが学習させる。

Train with Safe Mode

Firewallが安全と判断したアプリケーションの通信を自動で許可、学習する。未知のアプリケーションの通信はアラートで知らせ、許可/不許可をユーザにせまる。

Training Mode

すべてのアプリケーションの通信を学習する。常用は推薦されない。

Disable

Firewallを停止する。

• Alert Settingsタブ

Very High

Highに加え、IPアドレスごとに許可/拒否する。JeticoやKerioと同じアラートを求めるなら、これを選択すると良いだろう。

High

Mediumに加え、ポートを 個別に 許可/拒否する。ポートを個別設定したい人はこれ。

Medium

Lowに加え、TCPとUDPを 別に 許可/拒否する。まあまあ。

Low

Very Lowに加え、incoming/outgoingを 別に 許可/拒否する。TCPとUDPを 一緒に 許可/拒否する。Windows Firewallよりちょい上なレベル。

Very Low

アプリごとに通信を許可/拒否するだけ。Windows Firewall以下なレベル。

This computer is an internet connection gateway (i.e. an ICS server)

ICS(Internet Connection Sharing:インターネット接続共有) サーバーとは、自身のインターネットコネクションをLANで接続された別のコンピューターと共有しているコンピューターのことです。言い換えれば、その別のコンピュータはICSサーバーを介してインターネットに接続します。

複数のコンピューターが有るにもかかわらずインターネットコネクションが1つしか張れない環境の会社や家庭においては、 ICS サーバを立てると便利です。例えば、家に 2 台のコンピューターが有るのに接続権が 1 つしかない場合に、 1 台を ICS サーバに設定すると 2 台共インターネットにアクセスできます。

• コネクションを共有するためにLANを通じて接続している他のコンピューターが存在しない場合は、このチェックボックスはチェックせずにおいてください。大多数のユーザーはこちらに該当するでしょう。
• コンピューターが ICS サーバとして設定されていて他のコンピューターがこのコンピューターを介してインターネットに接続している場合は、このチェックボックスをチェックしてください。

注 : コンピューターが実際に ICS サーバーとして機能しているにもかかわらず、このチェックボックスをチェックしていない場合、ファイアウォールが出すアラートが増大することが想定されます。このチェックボックスをチェックしてもセキュリティが低下する様なことはありませんが、ファイアウォールが ICS リクエストにも対処するようになります。つまり、いくつかの追加機能が有効になってアラートの数を減らす手助けをするだけです。

Q : 2 台のコンピュータを所有していて両方ともインターネットに接続している場合、このチェックボックスをチェックしておく必要がありますか?
A : 大抵の場合、チェックする必要はありません。2 台のコンピュータを所有してそれぞれがルーターや無線を介してネットに接続している場合は、ここで述べているコネクション「共有」とは意味が異なります。真に コンピューターをICS サーバーとして使用する場合にこのチェックボックスをチェックしてください。

ステルスポート機能

1. FIREWALL -> Common Tasks -> Stealth Ports Wizard
2. 
   

Define a new trusted network - stealth my ports to EVERYONE else

この選択肢では、信頼すると指定されたネットワーク以外からPCのポートを不可視にします。
信頼するネットワークを指定します。




以下のルールが'Global Rules'に追加されます。

Allow	IP	Out	From Any IP Address	To <ZONE>	Where Protocol is ANY
Allow	IP	In	From <ZONE>	To Any IP Address	Where Protocol is ANY

Alert me to incoming connections - stealth my ports on a per-case basis

この選択肢では、外部からのリクエストを受信する度にアラートを出すようにします。アラートにより、当該リクエストの続行を許可するかどうかを尋ねられます。この選択肢はP2PやRemote Desktop等の外部から接続される必要のあるアプリケーションに有用です。
以下のルールが'Global Rules'に追加されます。

Block

ICMP

In

From Any IP Address

To Any IP Address

Where Message is ECHO REQUEST

Block all incoming connections - stealth my ports to everyone

この選択肢では、信頼すると指定されているかどうかにかかわらず、すべてのネットワークからPCのポートを不可視にします。普通に家庭で使用する場合はこの選択肢が便利で安全です。リクエストをブロックしたときアラートは出ませんがイベントログに記録されるようになります。
以下のルールが'Global Rules'に追加されます。

Block And Log

IP

In

From Any IP Address

To Any IP Address

Where Protocol is Any

攻撃検知設定

Intrusion Detection タブ

TCP Flood / UDP Flood / ICMP Flood

フラッド攻撃は、何千ものパケットデータがスプーフィングされた送信元 IP アドレスを使って被害者のマシンに送信されることで起こります。被害者のマシンは、自動的にこれらのリクエストへの応答 (SYN パケット) を返して、肯定応答(ACK パケット) を待ちます。しかし スプーフィングされたIP アドレスが使われているので、被害者のマシンが何らかの応答や肯定応答パケットを受け取ることはありません。この結果、応答の無い要求が滞って、被害者のマシンのコネクションテーブルが満杯になってしまいます。コネクションテーブルが満杯になると、被害者のマシンは新たなコネクションの受け入れを拒否します。それは、コンピューターを使ってのインターネット接続や電子メール送信、 FTP の使用などができなくなることを意味します。これが複数の発信元から何度も実行されると、被害者のマシンは大量のリクエストを送りつけられて、クラッシュしてしまう可能性があります。

デフォルトでは、 Comodo Firewall は TCP ・ UDP ・ ICMP の アクセスを受け入れるのに、一定の時間連続して 1 秒あたりのパケット数の最大値を超えるかどうかで設定されます。上記の 3 プロトコルに対するデフォルト値は、 20 秒間連続して 20 パケット / 秒 に設定されています。ファイアウォールの 1 秒あたりのパケット数および最大連続時間は、ユーザーが適当なフィールドを変更することで再設定できます。もし最大値を超えたときは、Dos 攻撃として Firewall は緊急事態モードになります。

ファイアウォールは、ユーザーが設定した時間、緊急事態モードの状態を継続します。デフォルトでは、これは 120 秒間に設定されています。ユーザーは「How long should the firewall stay in emergency mode while the host is under DOS attack?」を設定して、この時間を変更することができます。緊急事態モードにおいては、これまでに確立されて今も使用中のコネクションを除いて、入ってくるデータは全てブロックされます。一方、出て行くデータはすべて許可されたままです。

How long should a suspicious host be automatically blocked after it attempts a port scan?

コンピュータ・クラッカーがよくやる手段ですが、ポートスキャンをすることで脆弱性を探り出すことができます。基本的に、ポートスキャンとは 1 つ 1 つのポートに対してメッセージを送信することです。受け取った応答の種類によって、当該ポートが使用されていて、かつ、脆弱性があることが分かります。

Comodo Firewall は最も一般的なポートキャンの形態を検知します。そして、ユーザーにアラートを出して、一時的に犯人の IP アドレスからのアクセスを禁止します。こうすることで、ユーザのシステムに関する有益な情報を手にする前に犯人を遮断して安全を確保します。

ユーザーは、ポートスキャンを実行している疑いのあるホストからのアクセスをブロックする期間を設定することができます。ポートスキャンを検知すると、ファイアウォールは犯人を特定して自動的に一定期間アクセスをブロックします。デフォルトでは 5 分です。この時間中、当該ホストからのアクセスは一切受け入れられません。この 5 分間、犯人からはユーザーのシステムにアクセスできませんが、ユーザー側からは犯人のシステムにアクセスすることができます。

How long should the firewall stay in emergency mode whilst the host is under DOS attack?

DoSが検知されると、ファイアウォールは一定期間緊急事態モードになります。デフォルトでは 120 秒間です。ユーザーは期間を設定することができます。

Protect the ARP Cache

このオプションにチェックを入れると、 Comodo Firewall は、ARP (アドレス解決プロトコル: Address Resolution Protocol) コネクションの処理状態検査を開始します。こうすることで、偽装された ARP リクエストはブロックされて、ユーザのコンピューターは ARP キャッシュポイズニングから保護されます。

ARP キャッシュ (ARP テーブル) は、 コンピューターに保管されている IP アドレスの履歴です。それは、IP アドレスを MAC アドレスに対応づけるために使用されます。処理状態検査は、プロトコルスタック下層のデータを分析します。そして、現行のセッションを以前のものと比較して、怪しい行動を検知します。

背景 - ネットワーク装置はそれぞれ 2 つのアドレスを持っています。すなわち、 MAC (Media Access Control) アドレスと IP (Internet Protocol) アドレスです。MAC アドレスは、装置内の物理的なネットワーク・インターフェース・カードのアドレスであり、変更することはできません (つまり、PC内のネットワーク・カードは決め打ちされた MAC アドレスを持っていて、別のマシンに付け替えても同じ MAC アドレスのままです) 。その一方で、 IP アドレスは変更されることがあります。例えば、マシンが別のネットワークに移設したとき、または、ネットワークが DHCP を使用して IP アドレスを動的に割り当てている場合です。ホストから宛先ネットワーク・カードまで正確にパケットをルーティングするために、 IP アドレスと MAC アドレスの相関関係の情報を保持することは不可欠です。アドレス解決プロトコル は、IP アドレス をしかるべき MAC アドレスに適合させる (またはその逆) ことで機能を実現します。 ARP キャッシュは、当該コンピュータが今までに適合させてきた IP アドレスと MAC アドレスの履歴です。

DoS 攻撃や中間者攻撃、MAC アドレス・フラッディング、ARP リクエスト偽装など何らかの方法で、ハッカーがコンピュータの APR キャッシュを変更し得る可能性があります。注意してほしいのは、 ARP 攻撃が成功するには、大抵ハッカーが当該ネットワークへ物理的に接続できるか当該ネットワーク上のマシンを直接操作する必要があります。それ故にこの設定項目はホームユーザーよりむしろネットワーク管理者にとって意義があります。

Block gratuitous ARP frames

gratuitous ARP frame は 全てのマシンにブロードキャストされているにもかかわらず、いずれかのARP 要求の応答ではないARP 応答です。ARP 応答がブロードキャストされると、全てのホストはローカルに保持しているARP キャッシュを更新することが求められます。 ARP 応答が、それまでに発行された ARP 要求に対する応答であるかどうかにかかわらずです。ネットワーク上の別のマシンに変更があった場合すぐにユーザーマシンの ARP キャッシュを更新するために Gratuitous ARP frames は重要です (例えば、ネットワーク上のマシンのネットワーク・カードが付け替えられた場合、 gratuitous ARP frame によってこの変更を知ることができユーザーマシンの ARP キャッシュが更新されることでデータが正しくルーティングされます)。この設定を有効にすると、これらのリクエストをブロックします。 そして、ARP キャッシュが悪意によって更新されることを保護します。

Miscellaneous タブ

Block fragmented IP Datagrams

2 つのコンピュータ間でコネクションが確立された場合、 MTU(Mass Transmission Unit) について合意する必要があります。ユーザーが使用しているよりも小さい MTU のルーターをデータが通過した場合、IPフラグメンテーション (IP Datagram fragmentation) が起こります。すなわち、送信経路のネットワークの MTU よりもデータグラムが大きい場合、データグラムは「フラグメント」に分割されてそれぞれ別々に送信されます。フラグメント化された IP パケットは、 DOS 攻撃に似た脅威を作り出します。さらに、フラグメント化は 1 パケット送信に掛かる時間を倍増させます。その結果、ダウンロードに掛かる時間を遅らせます。

Comodo Firewall はデフォルトでフラグメント化された IP データグラムをブロックするように設定されています。すなわち、Block Fragmented IP datagrams はデフォルトでチェックが入れられています。

Do Protocol Analysis

プロトコル分析はサービス妨害攻撃に使用される偽装パケットを検知するための手掛かりです。このオプションにチェックを入れると、 Comodo Firewall は各パケットがプロトコル標準に従っているか検査します。従っていない場合、当該パケットはブロックされます。

Do Packet Checksum Verification

パケットデータはそれぞれシグニチャーを持っています。このオプションにチェックを入れると、 Comodo Firewall は入ってくるパケットのチェックサムを再計算して、シグニチャーで提示されているチェックサムと比較します。それらが一致しない場合は、送信後にパケットが改ざんされたということで、 Comodo Firewall は当該パケットをブロックします。この機能を使用することでセキュリティ上の恩恵がありますが、同時に全てのパケットのチェックサム検証を実行すると、リソースを消費してインターネット接続速度は大きく低下します。この機能は上級ユーザー向けです。 Comodo としては、大抵のホームユーザにはこの機能を無効にすることをお勧めします。

Monitor other NDIS protocols than TCP/IP

このオプションにチェックを入れると、 Comodo Firewall は TCP/IP 以外のプロトコルドライバに属するパケットをキャプチャーします。トロイの木馬 は、パケットのやり取りに独自のプロトコルドライバを使用する場合があります。このオプションは、そのような攻撃を捕捉するのに有用です。このオプションはデフォルトでは無効になっています。なぜなら、システムのパフォーマンスが低下しますし、一部のプロトコルドライバと相性が悪い可能性があるからです。

Defense+の設定

Defense+とは

Defense+のセキュリティ強度

• DEFENSE+ -> Advanced -> Defense+ Settings

Paranoid Mode

これは最も高いセキュリティレベルの設定です。Defense+は、あなたが安全であると判断したファイルを除き、すべての実行ファイルを監視・制御します。Defense+はあらゆるアプリケーションの動作を学習しません(Comodoの安全リストにあるアプリケーションも同様です)。システムの危険な活動をフィルタリングする際、ユーザの環境設定だけを唯一使用します。同様に、Defense+は、あらゆるアプリケーションに対し、勝手に"許可(Allow)"ルールを作成しません。とはいえ、Defense+がアラートを出した際、当該アプリケーションを"信頼(Trusted)"として取り扱う選択肢を選ぶことができます。Paranoid ModeはDefense+がアラートをもっと多く出す選択肢であり、システムの活動を完全に認識したいと願う上級ユーザに推奨します。

Safe Mode

システムの危険な活動を監視すると同時に、Comodoの安全リストにあるアプリケーションの活動を学習します。そして、それらのアプリケーションの活動に対して、"許可(Allow)"ルールを作成します。それ以外のアプリケーションを実行しようとした際、アラートを出します。アラートが出た際、"Treat this application as a Trusted Application"を選択することで当該アプリケーションを安全リストに追加することができます。それにより、当該アプリケーションが次に実行された際、Defense+がアラートを出さないようになります。"Clean PC Mode"の様にあなたのPCが新品であるかマルウェア等の脅威がないとわかっているわけではない場合は、大部分のユーザに"Safe Mode"を推奨します。高いセキュリティレベルと手頃なアラート頻度を兼ね備えています。

Clean PC Mode

Defense+はすべて新しい実行ファイルを監視・制御すると同時に、現在PCにインストールされているアプリケーションの活動を学習します。この特許出願中の選択肢は、PCが新品であるかマルウェア等の脅威がないとわかっている場合に推奨されます。以降、新しく未承認のアプリケーションをインストールするとDefense+がアラートを出します。このモードでは、"My Pending Files"に入っているファイルは、安全とはみなされず監視・制御の対象になります。

Installation Mode

インストーラや更新プログラムは実行時に他のプロセスを立ち上げることがあります。いわゆる"子プロセス"です。"Paranoid"/"Train with Safe"/"Clean PC"のそれぞれのモードにおいては、それらの子プロセスが実行しようとするたびにDefense+はアラートを出すでしょう。なぜなら、それらの子プロセスはアクセス権をDefense+から与えられていないからです。そこで"Paranoid"/"Train with Safe"/"Clean PC"のそれぞれのモードにおいては、COMODOは一時的に"Installation Mode"に変更するように提案することで信頼できるアプリケーションのインストールを容易にすることができます。"Installation Mode"では、子プロセスは親プロセスと同じアクセス権を与えられます。そうすることでアラートが頻発することなくインストールを行うことができます。

新しい未知のアプリケーションをインストールしようとすると、Defense+はポップアップのアラートを出します。このアプリケーションのインストールを継続したいときは、ポップアップアラート上の"Treat this application as an Installer or Updater"を選択してください。すると次のようなポップアップが出ます。

「Yes」を選択すると"Installation Mode"に変更され、子プロセスは親プロセスと同じアクセス権を与えられます。
"Installation Mode"に変更すると元のモードに戻すことを忘れないように次のような注意喚起がなされます。

Training Mode

Defense+はすべての実行ファイルの活動を監視し学習します。そして当該実行ファイルの活動に対して、勝手に"許可(Allow)"ルールを作成します。Defense+はアラートを出しません。"Training Mode"を選択する場合は、PCにインストールされている実行ファイルとアプリケーションが実行しても安全であることを100%確信しているようにしてください。

Disabled

Defense+の保護を無効化します。すべての実行ファイルとアプリケーションが実行許可されます。他の不正侵入防止システムをインストールしていて確信があるとき以外はこのモードを選択しないように強く勧告します。

Keep an alert on screen for maximum (n) seconds

ユーザの操作がない場合に、どれだけの時間アラートを表示しておくかを決定します。デフォルトは120秒です。

Trust applications digitally signed by Trusted Software Vendors

これをチェックしておくと、信頼できる認証局を使って署名されたアプリケーションは自動的に安全リストに追加されます。Comodoはこのオプションを有効にしておくことを推奨しています。

Block all unknown requests if the application is closed

これをチェックしておくと、Comodo Firewall Proが起動していないか、シャットダウンされてしまっている場合に、未知の(Computer Security Policyに定義されていない)要求を全てブロックします。

Deactivate Defense+ permanently (Requires a system restart)

Basicで入れた後でDefense+の全機能を使いたいなら

DEFENSE+ → Advanced → Defense+ Settings → General Settings の 
Deactivate the Defense+ permanently のチェックを外す必要がある 

でも、普通はDefense+使ってもウザイだけだろうから、Basicで入れた後にスライダーでセキュリティレベルを上げる程度で良いと思う

Image Execution Control Settings

Aggressive

これに設定すると「Files to Check」タブ で指定されたファイルがメモリーにロードされる場合に加えて、プリフェッチやキャッシュされる場合にも遮断して確認するようになります。

Normal

Aggressive と同様ですが、プリフェッチやキャッシュされる場合にはチェックされません。これはデフォルトであり、お勧めする設定です。

Disabled

実行制御は作動しません。

Detect Shellcode injections (i.e. Buffer overflow protection)

この設定にチェックを入れるとバッファオーバーフロー保護が有効になります。

バッファオーバーフローはプロセス/実行プログラムが固定長バッファー領域を超えてデータを格納しようとして起こる変則的な状態です。結果として、はみ出たデータで隣接するメモリ領域を上書きしてしまいます。上書きされてしまったデータに別のバッファや変数、プログラムフローデータが含まれていた場合、プロセスがクラッシュしたり間違った結果を返したりする可能性があります。悪意のあるコードが実行されたりプログラムに意図しない動きをさせたりするように仕向けられたデータが、バッファオーバーフローを引き起こす場合があります。そのようにして、バッファオーバーフローはソフトウェアの脆弱性の原因になったり、弱点を突く手段になってしまいます。
バッファオーバーフロー保護を有効にすると、バッファオーバーフロー攻撃の可能性があると Comodo Internet Security はアラートを表示するようになります。ユーザーはアラートで要求された動作を許可するか拒否することができます。
Comodo はこの設定を常に有効にしておくことをお勧めします。

その他の設定

Threatcast

I would like to join the Threadcast community

何百万人という CIS ユーザのコミュニティーに参加してCIS のアラートに対する対応を共有する場合に選択してください。

I do NOT want to join the Threadcast community

参加したくない場合に選択してください。

tips

Firewall

GlobalRulesの基本設定

1.Allow All Outgoing Requests If The Target Is In [NIC] 
2.Allow All Incoming Requests If The Sender Is In [NIC] 
3.BLock And Log ICMP In From IP Any To IP Any Where ICMP Message Is ECHO REQUEST

"Stealth Ports Wizard"を開く 
↓ 
"Define a new trusted network - stealth my ports to EVERYONE else"にチェック入れて"Next" 
↓ 
"I would like to trust an existing 'My Network Zone'"にチェック入れて"Zone Name"でNIC選んで"Finish"

すべてのincoming通信を遮断する(推薦)

1. FIREWALL -> Common Tasks -> Stealth Ports Wizard
2. Block all incoming connections - stealth my ports to everyone

NetBIOSを遮断する

Remote Desktop

1. 既に定義されている %windir%\system32\svchost.exe をEdit 
2. Use Custom Rule Set -> Copy From -> Predefined Security Policies -> Outgoing Only 
3. 一番上にAdd 
Action: Allow 
Protocol: TCP 
Direction: In 
Destination Port: A Single Port: 3389 
Source Addressで接続元の制限推奨

svchost.exeの設定

http://61.203.92.65/~fkz/
後はサービス停止で対処できる

P2P設定

・Application Rules 
1.Allow TCP OR UDP Out from IP Any To IP Any Where Source Port Is Any And Destination Port is Any 
2.Allow TCP OR UDP In From IP Any To IP Any Where Source Port Is Any And Destination Port is　開放ポート番号 
3.Block IP In/Out From IP Any To IP Any Where Protocol Is Any

FTPでダウンロードが出来ない場合

jeticoやKeiroなどから移ってきた人へ

• FIREWALL -> Advanced -> Firewall Behavior Settings の General SettingsタブのFirewall Security LevelをCustom Policy Modeへ変更。(自動学習がOFFになる)
• 同じくAlert SettingsタブのAlert Frequency LevelをVery Highにする。

Defense+

ctfmon.exeがいちいちうざい。

出なくする方法1(Comodoを設定する)

1. DEFENSE+ -> Advanced -> Computer Security Policy
2. *があるAll ApplicationsをEdit
3. Access Rights -> Interprocess Memory AccessesをModify
4. Allowed ApplicationsにAdd -> Running Proccessesでctfmon.exeを選択。
5. Apply四連打

出なくする方法2(ctfmon.exeを消す)

Tips：ctfmon（テキスト・サービス）を自動起動しないようにする － ＠IT

某Antivirのポップアップ広告を禁止する

1. DEFENSE+ -> Advanced -> Computer Security Policy
2. C:\Program Files\AntiVir PersonalEdition Classic\update.exeをEdit
3. Access Rights -> Run an executableをModify
4. Blocked ApplicationsにC:\Program Files\AntiVir PersonalEdition Classic\avnotify.exeを加える。
5. Apply四連打

今ちょっと古いソフトをVersionアップしてみたら、アラートデマ栗で萎えた……orz

IMEツールバー（言語バー）が出て邪魔

• MS-IME 2007等を導入すると治る模様。

[導入方法]

MS-IME 2007を無料で利用するあたりを参考に導入すると良いかも。
導入後、おすすめなのは
http://www.microsoft.com/japan/office/2007/ime/fixmodule.mspx
とか
http://office.microsoft.com/ja-jp/ime/FX010937461041.aspx
を入れれば変換精度が上がる。（聖闘士星矢、幽遊白書、みたいに）

上記の最新語辞書を入れた場合は以下の作業をしておく。

「コントロールパネル」→「地域と言語のオプション」→「言語」タブ→「テキスト サービスと入力言語」→「詳細」→「設定」タブ→「インストールされているサービス」→「Microsoft Office IME 2007」を選択→「プロパティ」→「辞書/学習」タブ→「システム辞書」の「最新語辞書」を選択→「一般」にチェック

MS-IME 2007入れてもバーが出る場合以下を実行

「コントロールパネル」→「地域と言語のオプション」→「言語」タブ→「テキスト サービスと入力言語」→「詳細」→「設定」タブ→「インストールされているサービス」→「Microsoft Office IME 2007」を選択→「プロパティ」→「その他」タブ→「詳細なテキストサービスを使用しない」

アラートの対処

黄色

危険度：低

オレンジ

危険度：中

赤

危険度：高

• Allow this request

• Block this request

• Treat this applicaition as

• Remember my answer

Firewall Alert

Defense+ Alert

• • Installer or Updater

• • Trusted Application

• • Windows System Application

• • Isolated Application

• • Limited Application

限定的にアプリケーションを動作させたい場合、選択する。得体の知れないアプリケーションをとりあえず動かしてみる時などに有効かもしれない。Isolated Applicationで動かない場合にこれを選択すると良いと考えられる。
参考？URL:
http://forums.comodo.com/help_for_v3/a_few_questions_please_help-t24602.0.html;msg176307
http://www.google.com/search?aq=f&num=50&hl=en&newwindow=1&safe=off&q=site%3Acomodo.com+%22limited+application&btnG=Search&lr=