Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 10 (http://forum.oszone.net/forumdisplay.php?f=118)
-   -   [решено] Отключение проверки *.msi сертификатов издателя. (http://forum.oszone.net/showthread.php?t=327608)

Georg5 15-06-2017 02:18 2744680
Отключение проверки *.msi сертификатов издателя.
 
Добрый день.

Если кто знает истину то подскажите пожалуйста. Хочу сделать так что бы Windows 10 не лезла в инет каждый раз при запуске *.msi файлов для проверки сертификата издателя. Для этого в инете нашёл твик регистра:

Код:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing]
"State"=dword:00023e00
Твик действительно работает и я добился желаемой цели. Но теперь меня беспокоит то что кроме отключения проверки сертификата он мог отключить что-то посерьёзней. Если кто-то разбирается в данной теме не могли бы вы меня успокоить что я не оголил защиту пк перед сетевыми атаками или что-то в этом роде. Данный твик регистра отключает только проверку сертификатов *.msi файлов и всё?

Petya V4sechkin 15-06-2017 10:15 2744730
Georg5, данный твик соответствует отключению параметра Проверять аннулирование сертификатов издателей в настройках IE.
Цитата:
Данный твик регистра отключает только проверку сертификатов *.msi файлов и всё?
Любых сертификатов.

Georg5 15-06-2017 12:08 2744761
То есть, я правильно понял, затрагивает только *.msi файлы и проверку SSL подключений в IE? Больше ничего?

Petya V4sechkin 15-06-2017 12:12 2744762
Georg5, затрагивает любые сертификаты, не только у *.msi.

Georg5 15-06-2017 12:40 2744768
Угрозы безопасности значит нет? По сути ничего не изменилось просто теперь не лезет в инет каждый раз и всё. Я прав? Какие файлы запускать, а какие нет я разберусь без вмешательства самой Windows.

Charg 15-06-2017 13:30 2744785
Цитата:
Цитата Georg5
Угрозы безопасности значит нет? »
В смысле нет? Проверка сертификата на вшивость это дополнительный слой защиты, который ты выключил. Естественно одной дырой в системе стало больше.

Georg5 15-06-2017 14:19 2744800
Ну это уж с какой стороны смотреть. Как и в случае с проверкой SSL сертификатов в браузерах, OCSP сервера получают данные о том что ты посетил такой-то сайт в такое-то время. Тоже самое касается уже и *.msi, *.msu и других подобных файлов которым нужна верификация сертификата. Сервера проверки получают данные какие приложения устанавливались и в какое время. Тут уже приходится выбирать между конфиденциальностью и сомнительным способом защиты от подделки файла или его подмены. Я к примеру UAC всегда отключаю и ничего страшного. Лучшая защита компьютера это голова на плечах. Главное что бы не пустая. :)

Казбек 15-06-2017 14:50 2744816
Цитата:
Цитата Georg5
Лучшая защита компьютера это голова на плечах. Главное что бы не пустая »
О роли головного мозга в защите операционной системы

Отключать не рекомендуется. Ответ на вопрос: "Почему?"
  1. Certificate Revocation List (CRL)
  2. Disabling the revocation check in production environments isn't recommended
Цитата:
Цитата Georg5
Я к примеру UAC всегда отключаю и ничего страшного. »
Так ли страшен контроль учетных записей (UAC)?

Busla 15-06-2017 16:45 2744877
Цитата:
Цитата Georg5
Сервера проверки получают данные какие приложения устанавливались и в какое время. »
это преувеличение:
Обычно одним и тем же сертификатом подписано всё ПО издателя.
Сертификат проверяется не только при установке.
механизм OCSP можно вообще выключить.

Charg 15-06-2017 16:54 2744883
Цитата:
Цитата Georg5
OCSP сервера получают данные о том что ты посетил такой-то сайт в такое-то время »
А еще этими данными владеют:
1. очевидно провайдер, и скорее всего его вышестоящий провайдер тоже;
2. владельцы днс-серверов которые ты используешь;
3. кулхацкер вася который вскрыл админку твоего роутера либо просто подключился по вайфаю и сниффером смотрит весь трафик;
4. авторы зловредов, которые с ненулевой вероятностью у тебя есть (да, для того чтобы словить чего-нибудь не обязательно запускать сиськи.exe, есть еще уязвимости в ОС; из недавних - wannacry).
Ну и еще всякиеразные люди о которых я так сходу не вспомню.
Такие махинации с отключением функций сродни листочка подорожника поверх перелома - чувство "я что-то сделал" появляется, но эффективность стремится к 0.

Georg5 15-06-2017 18:27 2744909
1: Ну это и ежу понятно. Tor просто мне скоростью не очень устраивает. Но если "закрутят гайки" то перейду на него.
2: DNS сервер у меня провайдера.
3: А фиг тут. У меня длинный пароль из разных букв, цифр, символов и знаков на роутере и ещё намного больший на Wi-Fi. Прошивка последняя вышла месяц назад. Скрытый SSID и соответственно отключён WPS. Фильтрация по MAC адрессу. Динамический IP. Обламается Вася.
4: C 100% вероятностью ПК чист как слеза. Файерволом заблокировано всё, вплоть до LocalHost. Кстати у меня их два. Один просто предупреждает что такое то хочет в инет на такой то адрес через такой то порт. Держать открытыми порты просто глупо. Всё входящее дропается.

А ещё я полностью отключил телеметрию в Windows 10. Да-да, чере политики, планировщик и реестр я именно отключил, а не просто блокирую файерволом. Так что Windows умолкла навсегда. Даже не пытается куда та стучаться. Обновления конечно же оффлайновые. Часы приходиться тоже вручную синхронизировать. Мониторю постоянно сетевой трафик. Ещё у меня в браузере около двухсот изменённых настроек через about:config (hardening, так сказать). Если пользователь допускает левый исходящий трафик с компьютера который он не генерирует своими действиями то все вышеперечисленные вами проблемы могут иметь место.


Время: 19:48.

Время: 19:48.
© OSzone.net 2001-