Kaspersky
Question

Как исправить поведение KIS при отключенной опции "Автоматически выбирать действие"?


  • Community Citizen
  • 5 replies
Если в настройках Kaspersky Internet Security (KIS) в разделе Общие\Интерактивная защита не выбрана опция "Автоматически выполнять рекомендуемые действия", то KIS при обнаружении действий со стороны любой программы выдает запрос - разрешить/запретить. Казалось бы, один раз настроить правила - и будет удобно.

Однако мне не удается настроить эту функцию чтобы ей было удобно пользоваться. При запуске многие приложения открывают ключи реестра. KIS реагирует на эти действия, выдавая запрос - разрешить или запретить действие:


(пример: открывается ключ в разделе Tcpip\Parameters на чтение)

В частности, многие приложения открывают несколько ключей реестра соответствующих настройкам eventlog, TCP/IP и др. Причем, многие приложения открывают несколько разных ключей в этих разделах (KIS не указывает название ключа). На каждое открытие ключа KIS выдает запрос.

В итоге, при запуске приложения которое создает TCP/IP соединение, KIS выдает до нескольких десятков запросов - на КАЖДЫЙ из ключей реестра, даже если ключи находятся в одном разделе.

Опция "Запомнить выбор для этой программы" не сильно помогает - она сохраняет выбор только для конкретного ключа (Какого? KIS не показывает!) Опция "Сделать доверенной", естественно помогает с настойчивостю антивируса. Но так придётся делать доверенными буквально все приложения!

В итоге запуск любого приложения превращается в закликивание десятков уведомлений от KIS, в которых нет возможности автоматизировать процесс (например разрешить доступ к выбранному ключу всем приложениям) 😞 Мало того что утомляет, так еще и легко пропустить что-то более опасное.

Как избавиться от этой проблемы?

10 replies

Userlevel 4
Badge +3
Здравствуйте, @JV_ ,
Проверьте наличие проблемы в 2020 версии сразу.
Вы пытаетесь настроить компонент Контроль программ в Kaspersky Internet Security?
Userlevel 2
Badge
Зайдите в настройки и выставите для вашей программы нужные разрешения. https://support.kaspersky.ru/14310?_ga=2.134074182.914146438.1545675857-944675375.1520956806#block2
Или перенесите программу в группу доверенных.
Но так придётся делать доверенными буквально все приложения!
Да. А смысл использовать на своём компьютере программу,которой не доверяешь?

(например разрешить доступ к выбранному ключу всем приложениям)
Можно разрешить. В контроле программ выделите группу "слабоограниченные", и поставьте на требуемый ключ реестра параметр разрешить. И все приложения попавшие в эту группу, наследуют разрешение.
Здравствуйте,

Да, речь о компоненте "Контроль программ".
Если я правильно понимаю, в разделе настроект "Защита\Контроль программ\Управление ресурсами" находятся правила доступа которые меня интересуют:



Однако, для категории "Слабые ограничения", для правил доступа к ключам раздела Services\TcpIp стоит разрешение на чтение, если я правильно понимаю. При этом KIS всё равно выдает запрос.

Вот лог Process Monitor для приложения для которого KIS выдает запрос:


(в логе эти события появились только после того как действие было разрешено в KIS)

Может быть я неправильно понимаю обозначения в разделе "Управления ресурсами" ?
Экспериментальным путём выяснилось, что правило срабатывает только если установить разрешение на "Запись". Разрешение на "Создание" и "Удаление" не влияет.

При этом для всех вызовов RegCreateKeyEx устанавливается samDesired=KEY_READ.

KIS неправильно определяет доступ к ключам реестра?
Userlevel 2
Badge
Возможно, что приложение запрашивает сразу полный доступ к реестру. Поэтому галочки разрешающей чтение не достаточно.
Userlevel 4
Badge +3
@JV_ вам нужно настраивать каждый параметр в отдельности.
В отчете можно посмотреть о каком ключе идет речь, если в настройках компонента поставите записывать в отчет и в настройках самих отчетов включите запись некритических событий.
Приложение совершает вызов WinAPI:
code:
RegCreateKeyExA(HKEY_LOCAL_MACHINE, "System\\CurrentControlSet\\Services\\Tcpip\\Parameters", 0, 0, REG_OPTION_NON_VOLATILE, KEY_READ, 0, &hKey, 0);


(Открывает ключ HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, с сохранением состояния ключа при перезапуске (REG_OPTION_NON_VOLATILE), с желаемыми правами доступа на чтение (KEY_READ) )

Судя по всему, виновата особенность WinAPI - при открытии ключа учитываются права пользователя для выбранной ветви реестра, а желаемые права доступа учитываются при отказе доступа. (см https://docs.microsoft.com/en-us/windows/desktop/api/winreg/nf-winreg-regcreatekeyexw )

Т.е. получается что даже если приложение открывает ключ на чтение, KIS будет блокировать чтение если заблокированна запись. 😞
Безвыигрышная ситуация
Пытаюсь создать правило (разрешающее запись) для конкретного ключа реестра. Почему-то правило не срабатывает.


Приложение открывает ключ "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\NVIDIA OpenGL Driver"
CurrentControlSet является ссылкой на ControlSet001.
HKLM является синонимом HKEY_LOCAL_MACHINE

Справка по окну создания правила в KIS просто убивает:
Путь к ключу
В поле можно указать путь к ключу реестра.


Какой путь нужно указывать в правиле? Тот что указывает приложение в вызове WinAPI или тот на который идет ссылка в реестре? HKLM или HKEY_LOCAL_MACHINE? CurrentControlSet или ControlSet001?

Что необходимо сделать если правило является частным случаем общего правила (В KIS по умолчанию есть правило для HKLM\SYSTEM\ControlSet???\Services)?

Нужно ли как-то устанавливать приоритет правил, или частное правило всегда имеет приоритет выше общего правила?
Userlevel 4
Badge +3
@JV_ в отчете Kaspersky Internet Security что указывается?
Какому ключу запрашивается (запрещается) доступ?
В логе:


Правило которое не срабатывает:


(На скриншоте не полностью поместился путь:
"HKLM\SYSTEM\ControlSet001\Services\EventLog\Application\NVIDIA OpenGL Driver")

Reply / Ответить