Добрый день.

Если кто знает истину то подскажите пожалуйста. Хочу сделать так что бы Windows 10 не лезла в инет каждый раз при запуске *.msi файлов для проверки сертификата издателя. Для этого в инете нашёл твик регистра:


Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing]
"State"=dword:00023e00


Твик действительно работает и я добился желаемой цели. Но теперь меня беспокоит то что кроме отключения проверки сертификата он мог отключить что-то посерьёзней. Если кто-то разбирается в данной теме не могли бы вы меня успокоить что я не оголил защиту пк перед сетевыми атаками или что-то в этом роде. Данный твик регистра отключает только проверку сертификатов *.msi файлов и всё?

Georg5, данный твик соответствует отключению параметра Проверять аннулирование сертификатов издателей в настройках IE.
Данный твик регистра отключает только проверку сертификатов *.msi файлов и всё?
Любых сертификатов.

То есть, я правильно понял, затрагивает только *.msi файлы и проверку SSL подключений в IE? Больше ничего?

Georg5, затрагивает любые сертификаты, не только у *.msi.

Угрозы безопасности значит нет? По сути ничего не изменилось просто теперь не лезет в инет каждый раз и всё. Я прав? Какие файлы запускать, а какие нет я разберусь без вмешательства самой Windows.

Угрозы безопасности значит нет? »
В смысле нет? Проверка сертификата на вшивость это дополнительный слой защиты, который ты выключил. Естественно одной дырой в системе стало больше.

Ну это уж с какой стороны смотреть. Как и в случае с проверкой SSL сертификатов в браузерах, OCSP сервера получают данные о том что ты посетил такой-то сайт в такое-то время. Тоже самое касается уже и *.msi, *.msu и других подобных файлов которым нужна верификация сертификата. Сервера проверки получают данные какие приложения устанавливались и в какое время. Тут уже приходится выбирать между конфиденциальностью и сомнительным способом защиты от подделки файла или его подмены. Я к примеру UAC всегда отключаю и ничего страшного. Лучшая защита компьютера это голова на плечах. Главное что бы не пустая. :)

Лучшая защита компьютера это голова на плечах. Главное что бы не пустая »

О роли головного мозга в защите операционной системы (http://www.outsidethebox.ms/16582/)

Отключать не рекомендуется. Ответ на вопрос: "Почему?"

Certificate Revocation List (CRL) (http://searchsecurity.techtarget.com/definition/Certificate-Revocation-List)
Disabling the revocation check in production environments isn't recommended (http://windowsitpro.com/windows/disabling-internet-explorer-feature-checks-server-certificate-revocation)

Я к примеру UAC всегда отключаю и ничего страшного. »

Так ли страшен контроль учетных записей (UAC)? (http://www.outsidethebox.ms/10034/)

Сервера проверки получают данные какие приложения устанавливались и в какое время. »
это преувеличение:
Обычно одним и тем же сертификатом подписано всё ПО издателя.
Сертификат проверяется не только при установке.
механизм OCSP можно вообще выключить.

OCSP сервера получают данные о том что ты посетил такой-то сайт в такое-то время »
А еще этими данными владеют:
1. очевидно провайдер, и скорее всего его вышестоящий провайдер тоже;
2. владельцы днс-серверов которые ты используешь;
3. кулхацкер вася который вскрыл админку твоего роутера либо просто подключился по вайфаю и сниффером смотрит весь трафик;
4. авторы зловредов, которые с ненулевой вероятностью у тебя есть (да, для того чтобы словить чего-нибудь не обязательно запускать сиськи.exe, есть еще уязвимости в ОС; из недавних - wannacry).
Ну и еще всякиеразные люди о которых я так сходу не вспомню.
Такие махинации с отключением функций сродни листочка подорожника поверх перелома - чувство "я что-то сделал" появляется, но эффективность стремится к 0.

1: Ну это и ежу понятно. Tor просто мне скоростью не очень устраивает. Но если "закрутят гайки" то перейду на него.
2: DNS сервер у меня провайдера.
3: А фиг тут. У меня длинный пароль из разных букв, цифр, символов и знаков на роутере и ещё намного больший на Wi-Fi. Прошивка последняя вышла месяц назад. Скрытый SSID и соответственно отключён WPS. Фильтрация по MAC адрессу. Динамический IP. Обламается Вася.
4: C 100% вероятностью ПК чист как слеза. Файерволом заблокировано всё, вплоть до LocalHost. Кстати у меня их два. Один просто предупреждает что такое то хочет в инет на такой то адрес через такой то порт. Держать открытыми порты просто глупо. Всё входящее дропается.

А ещё я полностью отключил телеметрию в Windows 10. Да-да, чере политики, планировщик и реестр я именно отключил, а не просто блокирую файерволом. Так что Windows умолкла навсегда. Даже не пытается куда та стучаться. Обновления конечно же оффлайновые. Часы приходиться тоже вручную синхронизировать. Мониторю постоянно сетевой трафик. Ещё у меня в браузере около двухсот изменённых настроек через about:config (hardening, так сказать). Если пользователь допускает левый исходящий трафик с компьютера который он не генерирует своими действиями то все вышеперечисленные вами проблемы могут иметь место.