Процессы изменяют ключи реестра. Стоит ли разрешать?

skype.exe svhost.exe ctfmon и т.п. процессы при запуске обращащаются к ключам реестра и пытаются их изменить. Рассмотрим на примере SKYPE несколько ключей:
C:\WINDOWS\system32\wbem\Logs\wbemprox.log
\Device\Afd\Endpoint
HKUS\Software\Classes\Skype.Content\DefaultIcon
HKLM\SOFTWARE\Classes\CLSID{9E385F0A-0BA2-430C-96AA-4399C5E40F6C}
HKUS\S-1-5-21-682003330-113007714-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer

Частенько программы обращаются через COM-интерфейсы сами к себе. Зачем?
Понятно, что ничего особо плохого не будет если процесс обрабатывать как “доверенное приложение”. Но хотелось бы знать зачем при каждом запуске изменются ключи? Если запретить, как это в теории может повлиять на дальнейшую работу системы (в реесте не будет фигурировать сама программа, некоторые функции будут недоступны и т.п.)?
Спасибо.

p.s. пока постоянных правила для skype не прописывал.

sx88, а в каком режиме у вас работает фаервол проактивка? Параноидальном? Если да, то зачем вам такие настройки? Используйте Безопасный или Чистый ПК.
P.S. Для безопасных приложений лучше не ограничивать работу с реестром, иначе могут быть ошибки в их работе.
UPD: прошу прощение за “опечатку”, из-за чего вышла путаница. :slight_smile:

В “параноидальном”.
С такакими настройками я вижу что творится в системе. Или по крайней мере у меня создается такая иллюзия :smiley:
Дело в том, что многие программа что-то меняют в реестре, отправляют данные в интернет. Зачем это? Скайп вообще собирает информацию о процессах и отсылает неизвестно куда, и неизвестно зачем. Системные процессы ведут логирование ошибок системы (хотя я их отключил и в журналы/логи не смотрю) и т.п. Мне это не нужно и то, что я понимаю – то и запрещаю. Точно не скажу, но мне кажется, что в “безопасом” режиме софт может обновляться без уведомления. Я не приверженец новых программ и хочу пользоваться старыми, т.е. update мне не нужен. :a0

Хотелось бы знать к чему приведет изменение тех или иных значений в реестре.

Известно куда - в Мелкософт :slight_smile:

Вы путаете проактивную защиту с фаерволом. Фаервол лучше включить в Пользовательский режим.

sx88, у Вас здесь не только реестр, но и файлы. Рассмотрим:

  1. C:\WINDOWS\system32\wbem\Logs\wbemprox.log - единственное, насчёт чего не уверен и то, только потому, что не пользуюсь скайпом. Если у него есть какие-то завязки с WMI, то ничего удивительного или опасного в этом нет.

  2. \Device\Afd\Endpoint - создание сокета. Естественно, что для любой программы, работающей с сетью, это необходимая процедура.

  3. HKUS\Software\Classes\Skype.Content\DefaultIcon\ - присвоение иконки файлам, связанным со скайпом. Ничего особенного.

  4. HKLM\SOFTWARE\Classes\CLSID{9E385F0A-0BA2-430C-96AA-4399C5E40F6C}\ - это, насколько я понимаю, просто получение доступа на запись к настройкам скайповского аддона для IE. http://en.kioskea.net/faq/8580-how-to-insert-a-skype-icon-in-the-taskbar-of-internet-explorer

  5. HKUS\S-1-5-21-682003330-113007714-1606980848-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer - практически любая программа, работающая с интернетом, используя стандартные настройки интернета, в т.ч. любой браузер, “интересуется” разделом “…\Internet Settings”. К тому же это только для профиля текущего пользователя. Ничего особенного.

Итого - вполне объяснимые и, в данном случае (для скайпа), не вызывающие никакого беспокойства, действия.

!H

спасибо, улыбнуло Smiley
Согласен :)) Запутался.

ntoskrnl, спасибо что откликнулся. :slight_smile:
Вообще я для примера привел ключи. А узнать я хоте вот что:
К примеру запустил скайп. Он обращается к ключам реестра, что-то пишет в них (по крайней мере так говорит comodo). Разрешил “единожды”. При следующем запуске скайпа он опять обращается к тем же ключам. Вопрос: опять что-то в них изменяет? Или просто читает?

Опытным путем установлено, что часть обращений можно безболезненно отключить (все обращения к .log, proxy svhost). Разрешить следует обращение к клавиатуре (чтобы можно было вставлять скопированный текст)

!ot! Сейчас понимаю, что кажду программу нужно рассматривать отдельно.

По логике вещей, он просто открывает ключ на запись, второй вариант - пробует создать ключ, и если такой уже есть, то он просто открывается (если интересно, RegCreateKeyEx, RegOpenKeyEx, RegSetValueEx) Т.е., он может ничего и не изменять, но держать ключ открытым на запись на тот случай, если что-то понадобится изменить.

Я лично считаю, да и всегда советую, что программы, работающие с интернетом, всегда лучше “зажимать” правилами как можно сильнее, запрещать им установку драйвером, прямой доступ к диску и памяти, установку хуков и т.п. опасные действия, ограничивать доступ к файловой системе определёнными подкаталогами, запуск других программ и т.д. На тот случай, если такие программы вдруг “слопают” какой-нибудь эксплойт и чтобы в этом случае они могли, максимум, “убить сами себя”. Но создание таких правил предполагает проведение определённой работы по выяснению того, что программе нужно, а что нет для нормального функционирования.

Вообще говоря - да. Но, в принципе, можно разбить программы на какие-то классы, в зависимости от их потребностей, создать под это предопределённые политики D+ и потом просто назначать им эти пресеты.

Вообще говоря - да. Но, в принципе, можно разбить программы на какие-то классы, в зависимости от их потребностей, создать под это предопределённые политики D+ и потом просто назначать им эти пресеты.
Хорошая идея :-TU Можно было бы создать тему с предложениями политики для отдельных программ.

Может проще, эти программы, в песочнице всегда держать(с каким лучше уровнем)? Если нет помех для:

Но создание таких правил предполагает проведение определённой работы по выяснению того, что программе нужно, а что нет для [b]нормального функционирования.[/b]

нашел на сайте Касперского способ предотвратить возможное заражение WinLock: Рекомендации по предотвращению заражения компьютера

Очень важно предупредить заражение от вредоносных программ-вымогателей класса Trojan-Ransom. Для этого пользователи Kaspersky Internet Security 2012 могут использовать компонент Контроль программ. Компонент Контроль программ регистрирует действия программ, запущенных в системе, и регулирует их деятельность на основе правил. Эти правила регламентируют доступ программ к различным ресурсам системы.

Для предупреждения заражения создайте правило, контролирующее активность программ при обращении к следующим ключам реестра:

Ключ 1: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Ключ 2: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
Ключ 3: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Ключ 4: *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
Ключ 5: *\SOFTWARE\Policies\*
Ключ 6: *\SOFTWARE\Policies\*\
Ключ 7: *\SOFTWARE\Policies\*\*
Ключ 8: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*
Ключ 9: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*\
Ключ 10: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*\*

Все вышеуказанные ключи реестра изначально являются защищёнными в правилах проактивной защиты CIS.