Comments 98
Недели чистых окон на хабре
> Нельзя указать полные пути. Если файл вируса будет называть так же, как какая-нибудь программа из «белого списка», то он (вирус) будет запущен. Так же юзер может сам переименовать файл в разрешенный и запускать таким образом (почти) любые программы.
Всегда радовал этот идиотизм.
А вообще это так удобно, когда можно юзеров деражать под собственно юзерами… На прошлой работе использовалась какая то странная программа, представляющая собой обертку для базы данных, которой для работы категорически необходимы были административные права…
Всегда радовал этот идиотизм.
А вообще это так удобно, когда можно юзеров деражать под собственно юзерами… На прошлой работе использовалась какая то странная программа, представляющая собой обертку для базы данных, которой для работы категорически необходимы были административные права…
Их куча, на самом деле.
Запсибкомбанк, клиент для работы с пластиковыми картами — ставится исключительно в корень системного диска, требует прав на запись в свою папку и в windows/system32
Маленькая утилитка проверки валидности отчетов для налоговой (представляет собой, насколько я понял, просто парсер XML-файлов, который проверяет синтаксис) — при установке требует прав на запись в windows/system32, в процессе работы меняет файлик, записанный туда, стало быть — тоже требует прав на запись.
Тысячи их.
Запсибкомбанк, клиент для работы с пластиковыми картами — ставится исключительно в корень системного диска, требует прав на запись в свою папку и в windows/system32
Маленькая утилитка проверки валидности отчетов для налоговой (представляет собой, насколько я понял, просто парсер XML-файлов, который проверяет синтаксис) — при установке требует прав на запись в windows/system32, в процессе работы меняет файлик, записанный туда, стало быть — тоже требует прав на запись.
Тысячи их.
Не пробовали виртуализовать приложения, например, с помощью App-V или ThinApp? Говорят, помогает.
Можно дать права на запись только этого файла, а не на всю папку system32
Интересно, как вы дадите права на запись в Windows XP Home? Речь же о нем…
В Windows Home Edition нет просто вкладки в GUI (а именно в свойствах папок/файлов в Explorer) для настройки разрешений NTFS. А у самих объектов файловой системы при этом таблицы доступа (ACL) всё равно есть. А значит и настроить права доступа к файлам/папкам можно.
В частности это можно сделать родными виндовыми утилитами командной строки или скриптами: cacls.exe, xcacls.exe, xcacls.vbs, subinacl.exe и др.
В частности это можно сделать родными виндовыми утилитами командной строки или скриптами: cacls.exe, xcacls.exe, xcacls.vbs, subinacl.exe и др.
Спасибо, не знал. Поставил щас хоум на виртуалку… calcs.exe действительно есть о_О
Но остальных нету.
Т.ж. проверил безопасный режим… Все верно. Еще раз спасибо. Сэкономили мне кучу времени и нервов на будущее :)))
Но остальных нету.
Т.ж. проверил безопасный режим… Все верно. Еще раз спасибо. Сэкономили мне кучу времени и нервов на будущее :)))
> calcs.exe действительно есть
> Но остальных нету.
Что-то вы не то нашли, с порядком буковок повнимательнее. В основе названия утилит аббревиатура ACL (access control list), а вовсе не calc (калькулятор).
cacls.exe — есть в базовой поставке системы, начиная с Win2k;
xcacls.vbs — скачивается с сайта MS;
xcacls.exe — входит в пакет Windows Support Tools;
subinacl.exe — входит в пакет Windows Resource Kit Tools;
ну или всё скачивается по отдельности с сайта MS.
> Но остальных нету.
Что-то вы не то нашли, с порядком буковок повнимательнее. В основе названия утилит аббревиатура ACL (access control list), а вовсе не calc (калькулятор).
cacls.exe — есть в базовой поставке системы, начиная с Win2k;
xcacls.vbs — скачивается с сайта MS;
xcacls.exe — входит в пакет Windows Support Tools;
subinacl.exe — входит в пакет Windows Resource Kit Tools;
ну или всё скачивается по отдельности с сайта MS.
ктстаи, в home вкладка «безопасность» появляется, если загрузиться в безопасном режиме.
Кстати, вкладки Security в свойствах папок и файлов не видно потому, что в Explorer включен режим Simple File Sharing. В WinXP Pro этот режим тоже включен по умолчанию, но там его можно отключить в настройках вида Explorer'а. А в WinXP Home режим Simple File Sharing по умолчанию включен и штатно не выключается.
Однако, можно загрузить WinXP Home в безопасном режиме (Safe Mode), а в этом режиме Simple File Sharing отключен. Т.е. таким образом даже в WinXP Home можно будет настроить разрешения объектов NTFS через вкладку Security в свойствах папок/файлов в Explorer'е.
Однако, можно загрузить WinXP Home в безопасном режиме (Safe Mode), а в этом режиме Simple File Sharing отключен. Т.е. таким образом даже в WinXP Home можно будет настроить разрешения объектов NTFS через вкладку Security в свойствах папок/файлов в Explorer'е.
да поставь ты эту нуйню налоговую в виртуальную машину и не парься
На виртуалку отдельная лицензия нужна ;)
я не знаю почему здесь на хабре все прикидываются добрыми и пушистыми и делают вид и пишут о том, что они юзают только лицензионный софт
я ведь знаю что все эти люди блефуют
я ведь знаю что все эти люди блефуют
Ваше мнение = ваше право ;)
Лично мне свобода дороже халявы!
Лично мне свобода дороже халявы!
вот не верю я что у вас все лицензионное
особенно дома
особенно дома
В том офисе, о котором речь в посте, только лицензионное ПО. Винду и 1С купили, а остальное либо бесплатное либо OpenSource. Сервера там не в моей компетенции, поэтому не знаю как с ними дела. Хотя те что я поднимал были на Linux'е.
Дома у меня два ноута, оба шли с виндой. На текущем стоит виста (просто не стал сносить) и Linux. На втором ноуте сейчас стоит только Linux, ноут юзает мама.
Вот щас подумывают над тем, чтобы содрать со второго ноута наклейку винды и перелепить на текущий и поставить винду домашнюю в виртуалку. Знаю, что это будет нарушением лицензии (oem), но все же винде не пиратская будет.
Дома у меня два ноута, оба шли с виндой. На текущем стоит виста (просто не стал сносить) и Linux. На втором ноуте сейчас стоит только Linux, ноут юзает мама.
Вот щас подумывают над тем, чтобы содрать со второго ноута наклейку винды и перелепить на текущий и поставить винду домашнюю в виртуалку. Знаю, что это будет нарушением лицензии (oem), но все же винде не пиратская будет.
ну то что на ноутах лицуха это стопудово, да
а на стационарниках никогда лицуха не стоит, если только стационарник не от hp? dell или еще кого-нить брендированного
а на стационарниках никогда лицуха не стоит, если только стационарник не от hp? dell или еще кого-нить брендированного
А в чем проблем купить самому? Или когда комп покупаешь, сказать чтобы лицуху поставили?
проблема в отсутствии лишних денег на необязательные товары
Если ты юзаешь винду, то она не может быть не обязательным товаром. А если нет денег, то юзай бесплатную/свободную альтернативу. Юзать пиратский софт — тоже самое, что воровать.
// на правах имхо
// на правах имхо
вы так говорите, как будто и правда так считаете
я думаю вы просто на публику так говорите
неужели вы станете винду покупать для дома?
я думаю вы просто на публику так говорите
неужели вы станете винду покупать для дома?
Да, я именно так считаю.
Для дома я ее не стану покупать, ровным счетом, как и использовать!
Для дома я ее не стану покупать, ровным счетом, как и использовать!
вы и начинали с линукса сразу что ле?
Нет. Лет 10 я пользовался виндой. На первом компе была пиратка. Тогда просто не где было купить лицензионную, а про покупки через инет я еще не знал. Потом комп сломался. Полгода просидел без компа, а потом купил свой первый ноут, на котором была домашняя хрюшка лицензионная. 2.5 года назад перешел на линукс, в чем ничуть не жалею.
Почему вас удивляют люди, которые используют только лицензионный софт? Это хе тоже самое, что покупать, например, продукты питания в магазине. Вы ведь их не воруете, а именно покупаете. ПО, музыка, фильмы да и любой другой цифровой товар это же точно такой-же продукт, хоть и не имеет объема, массы, веса (носители информации не в счет, их можно сравнить с упаковкой). Если бы продукты питания можно было закачать себе в холодильник через интернет, вы бы использовали пиратские продукты?
Почему вас удивляют люди, которые используют только лицензионный софт? Это хе тоже самое, что покупать, например, продукты питания в магазине. Вы ведь их не воруете, а именно покупаете. ПО, музыка, фильмы да и любой другой цифровой товар это же точно такой-же продукт, хоть и не имеет объема, массы, веса (носители информации не в счет, их можно сравнить с упаковкой). Если бы продукты питания можно было закачать себе в холодильник через интернет, вы бы использовали пиратские продукты?
конечно использовал бы
да и если бы на улице куча продуктов лежала бы то брал бы оттуда
и другие люди я уверен то же брали
деньги и так найдется куда тратить
да и если бы на улице куча продуктов лежала бы то брал бы оттуда
и другие люди я уверен то же брали
деньги и так найдется куда тратить
Ну вот… Как всегда… О последствиях думают в последнюю очередь. На примере продуктов: «пиратские» продукты могут быть вредны для здоровья (и, наверняка, будут)! А софт… За него можно за решетку попасть.
Ключевое слово «лежала-бы»! Софт то не лежит, он продается, как и продукты питания. Ваш пример можно ассоциировать только(!) с бесплатным и свободным софтом, но ни как не с платным (та же винда).
Другой пример — вы сядете в машину, которая будет стоять на улице с открытыми дверями и, в которой будут висеть ключи в замке зажигания?
А на счет большинства людей… Большинство людей никогда не думают о последствиях заранее и не умеют правильно распоряжаться своим временем и деньгами. А так же большинство мучает «жажда» денег. Так же большинство не могут четко и сразу ответить на простой вопрос — зачем им куча денег. Им их хочется и все, как ребенку хочется новую игрушку.
Ключевое слово «лежала-бы»! Софт то не лежит, он продается, как и продукты питания. Ваш пример можно ассоциировать только(!) с бесплатным и свободным софтом, но ни как не с платным (та же винда).
Другой пример — вы сядете в машину, которая будет стоять на улице с открытыми дверями и, в которой будут висеть ключи в замке зажигания?
А на счет большинства людей… Большинство людей никогда не думают о последствиях заранее и не умеют правильно распоряжаться своим временем и деньгами. А так же большинство мучает «жажда» денег. Так же большинство не могут четко и сразу ответить на простой вопрос — зачем им куча денег. Им их хочется и все, как ребенку хочется новую игрушку.
На счет машины подразумевал «сесть и уехать», т.е. забрать себе.
лицензия стоит дороже пираток вот и проигрывает чисто экономически
будет наоборот — все будут покупать лицуху
just bussiness
будет наоборот — все будут покупать лицуху
just bussiness
Знаете, «лицензионная» жена/девушка тоже довольно часто обходится дороже «пиратской» (проститутки). Ведь жену/девушку надо кормить, одевать, выхаживать, дарить подарки и т.д. и т.п. Но вы же не пользуетесь проституткой.
Так же и с софтом. Покупая лицензионный софт вы получаете (в большинстве случаев) бесплатную поддержку, обновления и т.п. А так же экономите свои нервы (до моего знакомого как-то в аэропорту менты докопались на счет ноута и лицензионности софта на нем, благо он юрист и у него все лицензионное). С пираткой одни нервотрепки. Никаких обновлений нормальных (та же винда), с антивирями постоянно приходится искать ключи, и т.д. и т.п.
Вы не правы, имхо. Например, в Германии 90-95% всех людей используют лицензионное ПО, а цены там на софт почти такие же как у нас (ну немного ниже). Почему? Потому что они воспитаны по другому, они с детства приучены, что воровать не хорошо. А в России, к сожалению, нет.
На этом предлагаю свернуть нашу дискуссию ибо не вижу смысла ее продолжать…
Так же и с софтом. Покупая лицензионный софт вы получаете (в большинстве случаев) бесплатную поддержку, обновления и т.п. А так же экономите свои нервы (до моего знакомого как-то в аэропорту менты докопались на счет ноута и лицензионности софта на нем, благо он юрист и у него все лицензионное). С пираткой одни нервотрепки. Никаких обновлений нормальных (та же винда), с антивирями постоянно приходится искать ключи, и т.д. и т.п.
Вы не правы, имхо. Например, в Германии 90-95% всех людей используют лицензионное ПО, а цены там на софт почти такие же как у нас (ну немного ниже). Почему? Потому что они воспитаны по другому, они с детства приучены, что воровать не хорошо. А в России, к сожалению, нет.
На этом предлагаю свернуть нашу дискуссию ибо не вижу смысла ее продолжать…
да только хомяка в конторе нельзя использовать!!! объяснять почему не надо я надеюсь?
так что на счет всего лицового вы простите не правы
так что на счет всего лицового вы простите не правы
а статья для общего развития интересна!
Ниже есть развернутый ответ!
Так чтож именно вы не правы ;)
Так чтож именно вы не правы ;)
Да я так и сделал :-)
Еще можно контролировать процессы можно с помощью *.vbs сценариев. Проверять эти файлы на размер и много много другой байды-самопальный антивирус можно слепить
Простите, а есть корпоративные версии Home Edition до сих пор?
А не проще было бы обновить версии до Pro? )
А не проще было бы обновить версии до Pro? )
>На антивирусы начальство денег давать не хотело
На Pro думаю тем более
На Pro думаю тем более
А чем лучше Про?
> А чем лучше Про?
— не кастрированная (по набору утилит, групповым политикам и ряду других возможностей);
— может без шаманств и нелегальных хаков присоединяться к Windows-домену (AD).
— не кастрированная (по набору утилит, групповым политикам и ряду других возможностей);
— может без шаманств и нелегальных хаков присоединяться к Windows-домену (AD).
а кому ваш этот домен надо? как не зайду в тему про винду -так везде домен и суют…
Ну если речь про корпоративную среду, где инфраструктура построена на AD, то там это нужно. В таких средах обычно вся аутентификация и доступ к ресурсам, задачам и информационным системам построены на AD-аутентификации.
AD без домена не работает. Для винды AD оооочень удобная штука для ценрализованного управления.
Эммм, так подождите, а разве Home по лиц.соглашению можно использовать на предприятиях? Вроде как только Pro
Можно.
habrahabr.ru/blogs/it-infrastructure/101786/#comment_3157389
«Согласно лицензионному соглашению с конечным пользователем (End User License Agreement) настольной операционной системы Windows XP Home Edition, нет ограничений на использование данного программного продукта в организациях. Однако нужно иметь в виду, что данный продукт предназначен в первую очередь для домашних пользователей и не имеет необходимых для бизнес-пользователей функциональных и технических возможностей, например, возможности работы в домене. » C уважением, Леонтьева Марина Центр Информационной и Технической поддержки Microsoft
Корпоративной Windows XP Home Edition отродясь не было. Этот вариант лицензии доступен только для версии Windows XP Professional.
а злобный код, переименованный в firefox.exe такая схема пропустит
Все верно. Об этом было сказано в пункте 4 раздела «Недостатки».
к счастью, такая защита отлично подойдет для бухгалтерии. и вероятность совпадения названия злобного файла с одним из вышеперечисленных стремится к нулю.
к тому же, бухгалтера никогда не будут экспериментировать. для них — «не работают другие файлы», значит что они не работают совсем ни при каких обстоятельствах :)
к тому же, бухгалтера никогда не будут экспериментировать. для них — «не работают другие файлы», значит что они не работают совсем ни при каких обстоятельствах :)
Да, верно. Вероятность стремится к нулю. А те, которые называют себя, например, svchost.exe не запустятся, т.к. их нет в белом списке, а родные свои винда знает и запускает без проблем :)
Когда запускаешь файл, которого нет в белом списке, выскакивает диалоговое окно «Запуск запрещен администратором» (дословно не помню).
Когда запускаешь файл, которого нет в белом списке, выскакивает диалоговое окно «Запуск запрещен администратором» (дословно не помню).
я б залез в библиотечку и поменял надпись «Запуск запрещен администратором» на чтонибудь вроде «сегодня отличный денёк остаться без работы». действует безотказно :)
мне всегда нравился вариант с автоматическим распечатыванием в кабинете директора заявлением на увольнение при попытке запуска того, чего нельзя. делается элементарно несколькими строчками кода в script host.
здесь, понимаете, эффективнее играть на страхах пользователей, нежели пытаться построить вавилонскую башню.
здесь, понимаете, эффективнее играть на страхах пользователей, нежели пытаться построить вавилонскую башню.
Никто не мешает, делайте =)
Если не ошибаюсь, то это в ресах user32.dll или shell32.dll
Если не ошибаюсь, то это в ресах user32.dll или shell32.dll
Хорошая статья для не больших офисов. Если род деятельности компании обширный и количество ПК велико, то к сожалению такой вариант не поможет. За статью спасибо попробую такое на моей второй работе)
Хороший фак, а можно огласить список, без которых Windows вообще не запустится и не даст юзеру войти под своим логином?
Я правильно понял, что юзер может в любой момент модернизировать данный файл или стоят ограничение на его правку?
Я правильно понял, что юзер может в любой момент модернизировать данный файл или стоят ограничение на его правку?
статья интересная, однако, далеко не всегда вирус или троян — исполняемый файл, гораздо чаще они лезут через уязвимости того софта, который вы добавили в белый список.
кроме того, перспектива использования home edition на предприятии очень сомнительна, поскольку машину нельзя ввести в домен, применять политики безопасности и оперативно орудовать учетками пользователей.
кроме того, перспектива использования home edition на предприятии очень сомнительна, поскольку машину нельзя ввести в домен, применять политики безопасности и оперативно орудовать учетками пользователей.
Надо спросить хабранарода нет ли софта который реализует чёрные/белые списки,
ещё бы централизованное управление реализовать, и проверку по md5.
ещё бы централизованное управление реализовать, и проверку по md5.
Я лично не видел из бесплатных (платные не смотрел и названий уже не вспомню, но что-то такое было). Написать подобную прогу не сложно. Об этом я черкнул пару строк в комментах выше — habrahabr.ru/blogs/sysadm/102298/#comment_3176688
Jetico Personal Firewall можно использовать для этого (он использует SHA1).
Правда он не бесплатный, и насчёт централизованного управления не уверен.
Правда он не бесплатный, и насчёт централизованного управления не уверен.
Большое спасибо за статью — с сентября на добровольных началах (в основном с целью получения опыта администрирования на практике) иду в свою бывшую школу админить, уверен, что это один из наилучших вариантов для защиты тех компьютеров, ибо ресурсов на антивирь там недостаточно однозначно)
По примечанию 2.
Запускает _любой_ процесс функция CreateProcess.
ShellExecute — это обертка из shell32.dll, которая при передаче ей имени произвольного файла в зависимости от записей в реестре определяет, как с ним поступить (в общем случае это запуск ассоциированной программы для открытия файла).
Таким образом, предложенный Вами метод защитит только от несанкционированного запуска пользователем, ну и от тех вирусов, которые пытаются что-то запустить через ShellExecute.
Запускает _любой_ процесс функция CreateProcess.
ShellExecute — это обертка из shell32.dll, которая при передаче ей имени произвольного файла в зависимости от записей в реестре определяет, как с ним поступить (в общем случае это запуск ассоциированной программы для открытия файла).
Таким образом, предложенный Вами метод защитит только от несанкционированного запуска пользователем, ну и от тех вирусов, которые пытаются что-то запустить через ShellExecute.
UFO just landed and posted this here
не большой
не довольство
уберите пробелы — глаза режет.
спасибо, очень нужные сведения. добавил в избранное. спасибо, что не пожалели времени и ннаписали эту статью.
лишать пользователей Солитера не ок
есть такая софтина у мелкософта windows steadystate, после установки можно запустить только то что будет находится в папке Program Files и никакой возни с реестром + ещё куча настроек
Если честно, то этот способ защиты просто никакой.
Способ этот существет ещё со времён Win9x и NT4, но в реальности он практически бесполезен.
Т.е. геморроя по поддержке и регулярному изменению белого списка много, а защиты от этого мало. Всё обходится элементарным переименованием, внедрением подключаемых библиотек и т.п.
Способ этот существет ещё со времён Win9x и NT4, но в реальности он практически бесполезен.
Т.е. геморроя по поддержке и регулярному изменению белого списка много, а защиты от этого мало. Всё обходится элементарным переименованием, внедрением подключаемых библиотек и т.п.
> В ветке HKEY_CURRENT_USER…
> Чтобы изменения вступили в силу, нужно перезагрузить компьютер.
Если изменения делаются в HKEY_CURRENT_USER, то перезагружать компьютер обычно нет необходимости, скорее всего достаточно будет просто перелогиниться пользователем в систему.
> Чтобы это исправить, вам нужно будет войти под другим пользователем
> с админскими правами, открыть редактор реестра, найти в ветке HKEY_USERS
> подветку пользователя, под именем которого был сделан этот косяк и удалить параметр
Ну-ну. Вообще-то, если вы перелогинитесь на той же машине под другим юзером (в частности Админом), то в HKEY_USERS вы не найдёте подветки другого пользователя.
Пользовательский хайв реестра хранится в файле ntuser.dat, который лежит в корне папки с профилем соответствующего пользователя. Когда пользователь интерактивно логинится в систему (т.е. сидя локально за этим компьютером или удалённо в терминальную сессию), то его хайв реестра из его файла ntuser.dat монтируется в дерево реестра этой системы в ветку HKEY_USERS, а для именования точки монтирования обычно используется SID пользователя. Плюс тот же пользовательский хайв для удобства отображается в ветке реестра HKEY_CURRENT_USER (отображается персонально, только для данного юзера, т.е. все одновременно залогиненные пользователи видят в HKEY_CURRENT_USER свой персональный пользовательский хайв реестра, каждый свой).
Когда же пользователь выходит из системы (делает log off), то его пользовательский хайв реестра отмонтируется от HKEY_USERS.
Например, если вы посмотрите ветвь реестра HKEY_USERS на терминальном сервере, где одновременно залогинены много пользователей, то там вы увидете примонтированные хайвы реестра всех залогиненных в данный момент пользователей (но только залогиненных!).
Или если в редакторе реестра вы подключитесь по сети удалённо к реестру другого компьютера, где сейчас работает один пользователь, то его пользовательский хайв реестра вы тоже увидите в HKEY_USERS.
Но если вы на локальном компьютере завершите сеанс одного пользователя и залогинитесь другим, то в HKEY_USERS будет виден только хайв текущего залогиненного пользователя, но не завершившего только что сеанс.
Поэтому, если вы перелогинились на той же машине под админом, то прежде, чем открывать в HKEY_USERS хайв реестра другого незалогиненного сейчас пользователя, вам его нужно будет ручками туда примонтировать. Делается это прямо в редакторе реестра regedit.exe. У меня сейчас нет машин с Windows под рукой, но поищите там в меню File пункт, в котором упоминается hive (в русской версии, возможно, «улей» или «куст»). Дальше укажете файл ntuser.dat в папке с профилем соответствующего юзера, укажете в какую ветвь реестра монтировать (рекомендуется в корень HKEY_USERS) и укажете имя точки монтирования (можете указать там имя юзера или вообще произвольный текст, главное чтобы вам понятно было). А у же далее всё, как вы написали, раскрываете эту подключенную ветвь и редактируете.
Потом аналогичным образом (через меню редактора реестра) отключаете этот пользовательский хайв.
Ещё можно не монтировать хайв реестра, а просто редактировать его удалённо. Т.е. в тот момент, когда на этой машине залогинен интерактивно нужный пользователь, с другой машины в сети удалённо подключиться редактором реестра к целевой машине (разумеется, от имени административной учётки целевой машины) и там уже раскрывать в HKEY_USERS ветвь залогиненного интерактивно юзера.
Но для этого нужно, чтобы на целевой машине был запущен сервис Remote Registry, а я вообще сомневаюсь, что на WinXP Home Edition он есть.
> Неудобство внесения изменений. В ключ RestrictRun юзер писать не может,
> не смотря на то, что изменения призводятся в ветке HKEY_CURRENT_USER.
> Поэтому приходится выходить из под учетной записи юзера, входить под админом,
> давать юзеру админские права, входить под юзером, вносить правки в реестр,
> опять выходить, снова входить админом, отбирать админские права у юзера
Экий вы затейник. Зачем столько лишних действий?
Что вам мешает в вашем reg-файле (допустим, RestrictRun.reg) прописать пути не через ветку HKEY_CURRENT_USER, а через ветку HKEY_USERS\{User's-SID}? SID же у одного юзера в рамках машины (или домена) единожды выдаётся и более со временем не меняется, поэтому достаточно один раз его посмотреть и прописать в reg-файле путь к соответствующей монтируемой ветке.
А потом без всяких перелогинов и завершений сеансов текущего пользователя просто запускать на его машинке через runas от имени администратора команду: regedit.exe /s RestrictRun.reg
Кроме того, можно юзеру дать права на изменение его ветки реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Тогда он сможет вносить эти изменения вообще под своим юзером, без запуска через runas от имени админа.
Но разбирающийся юзер тогда сможет сам менять эти разрешения запуска, даже не зная админского пароля. Впрочем, разбирающийся юзер и так в большинстве случаев сможет обойти эти игрушечные ограничения.
> Чтобы изменения вступили в силу, нужно перезагрузить компьютер.
Если изменения делаются в HKEY_CURRENT_USER, то перезагружать компьютер обычно нет необходимости, скорее всего достаточно будет просто перелогиниться пользователем в систему.
> Чтобы это исправить, вам нужно будет войти под другим пользователем
> с админскими правами, открыть редактор реестра, найти в ветке HKEY_USERS
> подветку пользователя, под именем которого был сделан этот косяк и удалить параметр
Ну-ну. Вообще-то, если вы перелогинитесь на той же машине под другим юзером (в частности Админом), то в HKEY_USERS вы не найдёте подветки другого пользователя.
Пользовательский хайв реестра хранится в файле ntuser.dat, который лежит в корне папки с профилем соответствующего пользователя. Когда пользователь интерактивно логинится в систему (т.е. сидя локально за этим компьютером или удалённо в терминальную сессию), то его хайв реестра из его файла ntuser.dat монтируется в дерево реестра этой системы в ветку HKEY_USERS, а для именования точки монтирования обычно используется SID пользователя. Плюс тот же пользовательский хайв для удобства отображается в ветке реестра HKEY_CURRENT_USER (отображается персонально, только для данного юзера, т.е. все одновременно залогиненные пользователи видят в HKEY_CURRENT_USER свой персональный пользовательский хайв реестра, каждый свой).
Когда же пользователь выходит из системы (делает log off), то его пользовательский хайв реестра отмонтируется от HKEY_USERS.
Например, если вы посмотрите ветвь реестра HKEY_USERS на терминальном сервере, где одновременно залогинены много пользователей, то там вы увидете примонтированные хайвы реестра всех залогиненных в данный момент пользователей (но только залогиненных!).
Или если в редакторе реестра вы подключитесь по сети удалённо к реестру другого компьютера, где сейчас работает один пользователь, то его пользовательский хайв реестра вы тоже увидите в HKEY_USERS.
Но если вы на локальном компьютере завершите сеанс одного пользователя и залогинитесь другим, то в HKEY_USERS будет виден только хайв текущего залогиненного пользователя, но не завершившего только что сеанс.
Поэтому, если вы перелогинились на той же машине под админом, то прежде, чем открывать в HKEY_USERS хайв реестра другого незалогиненного сейчас пользователя, вам его нужно будет ручками туда примонтировать. Делается это прямо в редакторе реестра regedit.exe. У меня сейчас нет машин с Windows под рукой, но поищите там в меню File пункт, в котором упоминается hive (в русской версии, возможно, «улей» или «куст»). Дальше укажете файл ntuser.dat в папке с профилем соответствующего юзера, укажете в какую ветвь реестра монтировать (рекомендуется в корень HKEY_USERS) и укажете имя точки монтирования (можете указать там имя юзера или вообще произвольный текст, главное чтобы вам понятно было). А у же далее всё, как вы написали, раскрываете эту подключенную ветвь и редактируете.
Потом аналогичным образом (через меню редактора реестра) отключаете этот пользовательский хайв.
Ещё можно не монтировать хайв реестра, а просто редактировать его удалённо. Т.е. в тот момент, когда на этой машине залогинен интерактивно нужный пользователь, с другой машины в сети удалённо подключиться редактором реестра к целевой машине (разумеется, от имени административной учётки целевой машины) и там уже раскрывать в HKEY_USERS ветвь залогиненного интерактивно юзера.
Но для этого нужно, чтобы на целевой машине был запущен сервис Remote Registry, а я вообще сомневаюсь, что на WinXP Home Edition он есть.
> Неудобство внесения изменений. В ключ RestrictRun юзер писать не может,
> не смотря на то, что изменения призводятся в ветке HKEY_CURRENT_USER.
> Поэтому приходится выходить из под учетной записи юзера, входить под админом,
> давать юзеру админские права, входить под юзером, вносить правки в реестр,
> опять выходить, снова входить админом, отбирать админские права у юзера
Экий вы затейник. Зачем столько лишних действий?
Что вам мешает в вашем reg-файле (допустим, RestrictRun.reg) прописать пути не через ветку HKEY_CURRENT_USER, а через ветку HKEY_USERS\{User's-SID}? SID же у одного юзера в рамках машины (или домена) единожды выдаётся и более со временем не меняется, поэтому достаточно один раз его посмотреть и прописать в reg-файле путь к соответствующей монтируемой ветке.
А потом без всяких перелогинов и завершений сеансов текущего пользователя просто запускать на его машинке через runas от имени администратора команду: regedit.exe /s RestrictRun.reg
Кроме того, можно юзеру дать права на изменение его ветки реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Тогда он сможет вносить эти изменения вообще под своим юзером, без запуска через runas от имени админа.
Но разбирающийся юзер тогда сможет сам менять эти разрешения запуска, даже не зная админского пароля. Впрочем, разбирающийся юзер и так в большинстве случаев сможет обойти эти игрушечные ограничения.
Можно из под админа загрузить пользовательский хайв ещё и так:
REG LOAD HKU\Temp "C:\Documents and Settings\Username\NTUSER.DAT"
rem do something here
REG UNLOAD HKU\Temp
Да, вы правы! Спасибо. Поправил статью :)
По моему, на дворе август 2010 и операционная система 2003 года не должна уже вспоминаться, пора использовать современное ПО, у всего есть свой срок годности.
UFO just landed and posted this here
Как я понял, использование функции CreateProccessA это не ограничивает?
У меня большие сомнения насчёт надёжности встроенных в Windows средств ограничения на выполнение процессов. В конце концов есть куча других способов выполнить вредоносный код, кроме собственно запуска EXE.
Первым и основным шагом должно быть ограничение прав пользователя в системе.
Первым и основным шагом должно быть ограничение прав пользователя в системе.
Sign up to leave a comment.
Windows XP Home без антивирусов