Мало того, пропишите во всех “преднастроенных” политиках (Доверенные, изолированные и т.д.) спрашивать пользователя или вообще блокировать действия над защищённым объектами. В таком случае, даже если кто-то вызовет доверенное приложение (намеренно, случайно, или обойдёт защиту), то даже доверенное не сможет ничего сделать без вашего прямого разрешения.
CIS, на мой ЛИЧНЫЙ взгляд, как Линукс (вообще *nix-системы). Т.е. много всяких фенечек, настроечек и т.д. Можно собрать “конфетку”, но для этого надо быть специалистом в области. Или пользоваться преднастройками, вкушая все прелести стараний разработчиков свести к минимуму пугание домохозяек и просто не очень знакомых с безопасностью пользователей.
serge#77, это принцип работы программы. В безопасном режиме не даются алерты по безопасным приложениям Точка. Это написано в документации. Помимо всего у Вас уже не настройки по умолчанию, Вы выключили песочницу. Значит Вам, как пользователю, нужно отвечать на алерты адекватно обстановке. У Вас ДВА алерта, но Вы их пропускаете, хотя стоит держать в уме, что на reg.exe, как безопасное, алертов не будет. Так устроен этот режим, в чём проблема? Вам не нравится этот режим из-за того, что нужно думать, что написано на алертах и предусматривать следующие шаги? Включайте параноидальный. Это тоже режим работы программы, про которую Вы заявляете, что она “ничего не защищает”. Чтобы Вам было проще, безопасный режим - это автопринятие в каспере, параноидальный - ручной режим там же. Запретите для reg.exe модификацию охраняемых ключей, если хотите. Запретите запуск reg.exe для неизвестных файлов, как Вам уже предложили. Включайте параноидальный режим по получении алерта о запуске неизвестного приложения, наконец. Поймите, это программа построенная на других принципах и вести с ней себя нужно тоже исходя из других принципов. Вы же пытаетесь подогнать под CIS какие-то свои представления основанные на других продуктах и требуете, чтобы он работал так же. Да еще начинаете меня, в частности, “стыдить” за то, что Ваши представления о том “как должно быть” не совпадают с представлениями разработчика.
Так у меня в предопределённой политике для доверенных и системных приложений стоит галочка “спросить” на изменение защ. ключей реестра… Этому я и удивляюсь. Получается REG.EXE (доверенное) противоречит установленной политике, хотя не должно.
Интуитивно чувствую, что должен этот алерт (http://xmages.net/i/3154230) в любом режиме появляться. Подозреваю, что может быть что-то с настройками оповещений не то…
[attachment deleted by admin]
Попробуйте в окне с оповещением нажать кнопку Больше, а затем повторить действия по запуску bat-файла.
Алерт стал появляться?
Нет, к сожалению…
Вот скрин настроек для REG.EXE (http://xmages.net/i/3154284), как видно, на любое действие стоит “спросить”
Действие первое (http://xmages.net/i/3154286), жму “ДА”
Действие второе (http://xmages.net/i/3154287), жму “ДА” и вот здесь ключевое то, что родительское приложение 1.bat независимо от установленного правила для REG.EXE, выполняет свою функцию.
Действие третье (http://xmages.net/i/3154289)
Если это логика работы продукта в безопасном режиме, то это выглядит довольно странно, если проблема настроек, то это решаемо, если конфликт устройств, то тоже решаемо.
Моя конфигурация: Win7 SP1 Home Premium х86 (лицензия), NOD 32 5.0.93.15 (антивирус лицензия), COMODO 5.5.195786.1383 (Firewall+Defence).
P.S. Спасибо всем откликнувшимся.
Не совсем так. От правила кое-что все-таки зависит. Если поставить в нем галочку на “блокировать” защищенные ключи, то реестр меняться не будет.
Да это я пробовал - работает… Но и это тоже не устраивает. Опять же без запроса, ставишь галочку в центре - “блокировать” ключ не меняется! Но запроса на блокирование тоже нет.
И тем более для REG.EXE заблокировать всё??? без алертов??? Извиняюсь, но …думай… В Comodo это равноценно песочнице, все файлы, по умолчанию, улетают в неё. Ну а вдруг, это мой батник, запускающий мне нужный файл - foto.avi? И при режиме “песочница” он улетает в … По-этому, я жду запроса на выполнение доверенного приложения, и вот когда доходит до последнего запроса, там уже я решаю, мой ли этот файл или нет.
Кто, где и когда предлагал такую чушь?
Вы, вот в этом сообщении
[/quote]
Если ставишь вот эту галочку( http://xmages.net/i/3156534), то кроме shell, ещё и много, ОЧЕНЬ много других ключей БЕЗ АЛЕРТОВ будут блокированы. Тему не зафлуживайте! По теме есть что-нибудь?
По другому спрошу, как заблокировать ЛЮБУЮ запись в ключ HKLM\Software\Microsoft\Windows NT\Current Version\Winlogon\Shell с помощью Comodo С АЛЛЕРТОМ?
Прочитайте ЕЩЕ РАЗ ВНИМАТЕЛЬНО мое сообщение и найдите в нем хоть намек на слова ПРЕДЛАГАЮ, СОВЕТУЮ, ИСПОЛЬЗУЙТЕ, УСТАНОВИТЕ, и т.д.. Прям детский садик какой-то. 
Это правило я бы передвинул выше над “Все приложения”, впрочем, CIS сам знает ответ на этот вопрос, и не велика разница если режим не параноидальный.
Разработчики долго и упорно работают над тем, чтобы обеспечить приемлемый уровень защиты и при этом в пределе вообще НИЧЕГО не спрашивать у пользователя. Я использую режим “Чистый ПК” с выключенной песочницей. Мне достаточно и одного алерта - на запуск неизвестного bat-файла. Я подумаю откуда он вообще взялся, открою и посмотрю что там внутри. Второй алерт на запуск из bat-файла reg.exe - сраховка на случай если я на первом алерте кнопку перепутал 
. Третий алерт меня уже будет раздражать - а оно мне надо если это мой собственный bat-файл и я все равно разрешу.
Хотим алерт на модификацию реестра reg.exe - включаем параноидальный режим. Если параноидальный режим “не предлагать”, то приспосабливаемся жить в соответствие с логикой работы программы, которую ntoskrnl в предидущих постах исчерпывающе растолковал. Не хотим приспосабливаться, не согласны, не устраивает - обращаемся к разработчику с предложениями или просто меняем программу.
[quote author=Hause link=topic=77210.msg554131#msg554131 date=1318672866]
Прочитайте ЕЩЕ РАЗ ВНИМАТЕЛЬНО мое сообщение и найдите в нем хоть намек на слова ПРЕДЛАГАЮ, СОВЕТУЮ, ИСПОЛЬЗУЙТЕ, УСТАНОВИТЕ, и т.д.. Прям детский садик какой-то.
[
Если детский сад, то как вытащить это? (http://xmages.net/i/3154230) Скрины приложишь?
Ox, нелёгкая это работа - из болота тащить бегемота! (с) К.И. Чуковский
А если по теме, то уведомления о изменении реестра программой reg.exe в Безопасном режиме Проактивной защиты не будет видно НИКОГДА. Таков принцип работы в этом режиме. В настройках можно либо разрешить менять определенный раздел/ключ реестра этому безопасному приложению, либо запретить. И действие будет выполняться в фоновом режиме без уведомления.
Если этот момент понятен, то дальше еще раз читаем то, что написал zil968
Судя по Вашей (c), Hause, Вы, оскорбили Корнея Чуковского - “…из болота тащить бегемота! (с) К.И.Чуковского”. Хотя если Вы имели ввиду меня, то я не обижаюсь, т.к. безумно люблю М.А.Булгакова, про Кота, если что. А если у вас опечатка, то какой Вы … модератор, нельзя так… А вот теперь по теме.
Разобрался я что и как мне надо, но логика программы Comodo получается уникальна. Включил режим Параноик, но поставил галочку в правилах для Reg.exe, на “разрешить”, и получил кучу новых алертов, но последний был как в Безопасном - файл 1.bat запускает reg.exe - доверенное приложение. Так вот, получается, чтобы запретить 10% нужного, в Comodo надо выставлять режим Параноик, разрешать 90% необходимого для работы СИСТЕМЫ и только потом “спать спокойно”, то есть идти от противного, а ведь даже у каспера есть настройка Antiwinlocker, да и Eset 5 выпустил нормально работающий HIPS. Чтобы мне запретить запись для Regedit в Shell, представьте сколько нужно будет пройти в Параноике? Ведь проще же, запретить то, что нужно.
И кстати, исчерпывающего ответа (не о режимах работы Comodo), очень уважаемого мной Ntoskrnl, я так и не получил. Повторюсь - как методом проактивки Comodo защитить *\Winlogon?
Приношу свои извинения Hause, я ошибся, назвав Вас модератором.
Вот тут не понял, чем именно я его оскорбил?
Принимается.
Смотрите скриншот. Winlogon (и не только) Вы защитите, но алертов в Безопасном режиме не будет, изменения будут блокироваться в фоне.
[attachment deleted by admin]
Вы не поняли, Вы после (с) вместо Чуковский, написали Чуковского, Если это (с), то пишется тот, чьему лицу этот copyright принадлежит. А у Вас ошибка, и получилось, что из болота тащить бегемота - К.И. Чуковского.
На эту ошибку я и обратил внимание.
А у тебя какая система?
Исправил. “Ошибаются все, кроме цифр.” (с) Грегори Хаус и (с) Hi
XP SP3