JV_

В логе: Правило которое не срабатывает: (На скриншоте не полностью поместился путь: "HKLM\SYSTEM\ControlSet001\Services\EventLog\Application\NVIDIA OpenGL Driver")

Пытаюсь создать правило (разрешающее запись) для конкретного ключа реестра. Почему-то правило не срабатывает. Приложение открывает ключ "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\NVIDIA OpenGL Driver" CurrentControlSet является ссылкой на ControlSet001. HKLM является синонимом HKEY_LOCAL_MACHINE Справка по окну создания правила в KIS просто убивает: Какой путь нужно указывать в правиле? Тот что указывает приложение в вызове WinAPI или тот на который идет ссылка в реестре? HKLM или HKEY_LOCAL_MACHINE? CurrentControlSet или ControlSet001? Что необходимо сделать если правило является частным случаем общего правила (В KIS по умолчанию есть правило для HKLM\SYSTEM\ControlSet???\Services)? Нужно ли как-то устанавливать приоритет правил, или частное правило всегда имеет приоритет выше общего правила?

Приложение совершает вызов WinAPI: RegCreateKeyExA(HKEY_LOCAL_MACHINE, "System\\CurrentControlSet\\Services\\Tcpip\\Parameters", 0, 0, REG_OPTION_NON_VOLATILE, KEY_READ, 0, &hKey, 0); (Открывает ключ HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, с сохранением состояния ключа при перезапуске (REG_OPTION_NON_VOLATILE), с желаемыми правами доступа на чтение (KEY_READ) ) Судя по всему, виновата особенность WinAPI - при открытии ключа учитываются права пользователя для выбранной ветви реестра, а желаемые права доступа учитываются при отказе доступа. (см https://docs.microsoft.com/en-us/windows/desktop/api/winreg/nf-winreg-regcreatekeyexw ) Т.е. получается что даже если приложение открывает ключ на чтение, KIS будет блокировать чтение если заблокированна запись. :( Безвыигрышная ситуация

Экспериментальным путём выяснилось, что правило срабатывает только если установить разрешение на "Запись". Разрешение на "Создание" и "Удаление" не влияет. При этом для всех вызовов RegCreateKeyEx устанавливается samDesired=KEY_READ. KIS неправильно определяет доступ к ключам реестра?

Здравствуйте, Да, речь о компоненте "Контроль программ". Если я правильно понимаю, в разделе настроект "Защита\Контроль программ\Управление ресурсами" находятся правила доступа которые меня интересуют: Однако, для категории "Слабые ограничения", для правил доступа к ключам раздела Services\TcpIp стоит разрешение на чтение, если я правильно понимаю. При этом KIS всё равно выдает запрос. Вот лог Process Monitor для приложения для которого KIS выдает запрос: (в логе эти события появились только после того как действие было разрешено в KIS) Может быть я неправильно понимаю обозначения в разделе "Управления ресурсами" ?

Если в настройках Kaspersky Internet Security (KIS) в разделе Общие\Интерактивная защита не выбрана опция "Автоматически выполнять рекомендуемые действия", то KIS при обнаружении действий со стороны любой программы выдает запрос - разрешить/запретить. Казалось бы, один раз настроить правила - и будет удобно. Однако мне не удается настроить эту функцию чтобы ей было удобно пользоваться. При запуске многие приложения открывают ключи реестра. KIS реагирует на эти действия, выдавая запрос - разрешить или запретить действие: (пример: открывается ключ в разделе Tcpip\Parameters на чтение) В частности, многие приложения открывают несколько ключей реестра соответствующих настройкам eventlog, TCP/IP и др. Причем, многие приложения открывают несколько разных ключей в этих разделах (KIS не указывает название ключа). На каждое открытие ключа KIS выдает запрос. В итоге, при запуске приложения которое создает TCP/IP соединение, KIS выдает до нескольких десятков запросов - на КАЖДЫЙ из ключей реестра, даже если ключи находятся в одном разделе. Опция "Запомнить выбор для этой программы" не сильно помогает - она сохраняет выбор только для конкретного ключа (Какого? KIS не показывает!) Опция "Сделать доверенной", естественно помогает с настойчивостю антивируса. Но так придётся делать доверенными буквально все приложения! В итоге запуск любого приложения превращается в закликивание десятков уведомлений от KIS, в которых нет возможности автоматизировать процесс (например разрешить доступ к выбранному ключу всем приложениям) :( Мало того что утомляет, так еще и легко пропустить что-то более опасное. Как избавиться от этой проблемы?