UAC, давай дружить!

Технология UAC — не лишний компонент безопасности ОС Windows последних версий и пользователи приходят к этой мысли, борясь с malware и вирусами. Программистам, в свою очередь, стоит грамотно подходить к написанию приложений и принимать во внимание наличие такого «обстоятельства».

image

На хабре и вообще в сети много статей на тему «Как отключить UAC», «Как обойти UAC» и др. Но зачем отключать, функция ведь полезная? Зачем обходить, мы ведь не злоумышленники?

Нужно дружить!

Ниже я расскажу как это делать в Вашем приложении.

Манифест


Для начала рассмотрим самый простой и некрасивый, по моему мнению, вариант — редактирование манифеста. Чем он плох? Тем, что подходит только для тех приложений, которым всегда нужно иметь привелегии администратора. Как это будет выглядеть? Пользователь при запуске вашего приложения получить знакомое окошко, в котором ему нужно будет подтвердить разрешение на выполнение программой действий с привилегиями администратора. И так каждый раз при запуске программы. В принципе, вариант приемлим для программ, которые запускаются нечасто и в одном экземпляре.

Сразу нужно сказать, что в автозапуск (не уверен, что всеми способами, но по крайней мере, через реестр) такие приложения помещать нельзя. Windows их просто прихлопнет на старте, не показав никакого окна UAC. Может быть, в этом случае есть смысл использовать технологии служб Windows.

Итак, реализация (взято отсюда)

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
    <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
    <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
        <security>
            <requestedPrivileges>
                <requestedExecutionLevel level="asInvoker" uiAccess="false"/>
            </requestedPrivileges>
        </security>
    </trustInfo>
</assembly>    

Возможные уровни привилегий:
  • asInvoker — уровень прав текущего пользователя (процесса-родителя). Этот вариант устанавливается по-умолчанию.
  • highestAvailable — наивысший уровень прав для текущего пользователя. Т.е. администратор получит полные права после подтверждения юзером кнопкой в окошке, обычный же пользователь ничего не получит.
  • requireAdministrator — самый интересный вариант. Всегда запрашивает разрешение или ввод авторизационных данных администратора.

Но такое решение подходит далеко не для всех приложений. Лично меня раздражала бы программа, которая все время запрашивает права администратора, хотя они ей нужны, к примеру, только для записи в реестр на этапе настройки, которая проводится один раз.

Другие решения


Проверка на наличе прав

В первую очередь после запуска приложения или в тех местах, где это требуется, нужно проверить не запущены ли мы уже с правами администратора (вдруг юзер уже отключил UAC). Если это так, то большинства последующих манипуляций можно будет избежать. Проверка делается просто (да, кстати, код здесь и дальше на C#):

public static bool IsAdmin()
{
	System.Security.Principal.WindowsIdentity id = System.Security.Principal.WindowsIdentity.GetCurrent();
	System.Security.Principal.WindowsPrincipal p = new System.Security.Principal.WindowsPrincipal(id);
	
	return p.IsInRole(System.Security.Principal.WindowsBuiltInRole.Administrator);            
}

Запуск процесса с запросом прав

Допустим, нет у нас прав. Что же дальше? Приложение, запущенное с какими-либо правами, не может их изменить в процессе своей работы. Для выполнения действий с повышенными привилегиями необходимо запускать новый процесс с запросом прав. Как вообще это сделать:

public static void RunAsAdmin(string aFileName, string anArguments)
{
	System.Diagnostics.ProcessStartInfo processInfo = new System.Diagnostics.ProcessStartInfo();
  
	processInfo.FileName = aFileName;
	processInfo.Arguments = anArguments;
	processInfo.UseShellExecute = true;
	processInfo.Verb = "runas"; // здесь вся соль
            
	System.Diagnostics.Process.Start(processInfo);
}

Но какое же приложение запускать? Здесь могут быть варианты:
1. Запуск системного приложения с параметрами. Например, вам нужно стартануть службу или изменить значение в реестре. Можно воспользоватся WinAPI или его оберткой в классах .NET, но если ваше приложение не имеет привилегий, то ничего не получится. Для запуска службы DHCP Client, к примеру, можно воспользоватся командной строкой
sc.exe start dhcp
Это самый простой и приятный вариант для выполнения служебных действий с системой, но не всегда все так просто.

2. Запуск собственного дополнительного приложения с параметрами. Допустим, вам ну очень нравится использовать WinAPI и не хочется разбиратся с системными утилитами или ваша задача не столь банальна, как приведенная выше. В таком случае вы можете написать маленькую консольную утилиту, которая будет выполнять нужные вам действия. Но это и лишние затраты времени, и необходимость поддержки дополнительной утилиты, интерфейсов взаимодействия и т.д.

2а. Дополнительное приложение может запускатся только один раз и продолжать висеть в памяти. Организовав общение с ним из основного приложения, вы можете выполнять нужные вам административные задачи без последующих запросов прав. Но это еще более сложный вариант. Опять же таки, в этом случае есть смысл посмотреть в сторону служб Windows в качетсве дополнительного приложения, которые по-умолчанию запускаются с привилегиями администратора.

3. Запуск еще одного экземпляра основного приложения с параметрами. Допустим, у вас есть пять простых действий, которые нужно выполнять с правами администратора. Забейте для них параметры командной строки вашего же приложения и на запуске проверяйте их наличие. Получив какой-либо из этих параметров, выполните соответствующее действие и завершите работу. Данный вариант, судя по StackOverflow является самым распространенным, по скольку код остается в рамках одного приложения, да и реализуется все просто.

4. Введение двух режимов работы приложения. Если приложению права администратора необходимы редко, то стоит ввести два режима работы: обычный и привилегированый. В обычном режиме (а мы это определяем с помощью указанной выше функции IsAdmin()) операции, требующие права администратора, остаются заблокированными, но у пользователя появляется возможность перезапустить приложение с правами админа и получить доступ к забокированному функционалу. В привилегированном режиме (IsAdmin() возвращает true) мы не блокируем функционал.

Таким образом, запрос появляется перед пользователем только один раз и в процессе подальшей работы с приложением больше не будет отвлекать. Если же пользователь отключил UAC, то об «обычном» режиме он даже не узнает.

Данный подход требует немного усилий на начальном этапе, но дальше позволяет писать приложение без каких-либо ограничений и вынесений кода в другие программы и блоки. Небольшой пример будет рассмотрен ниже.

Оформление приложений


Всем нам хочется писать стильные и красивые оконные приложения и в вопросах использования UAC без фирменного щитка на контролах ну никак не обойтись.



Такой щит размещается на кнопках, link-label'ах или других элементах управления, после нажатия на которые пользователь увидит запрос от UAC. К счастью, нам не придется таскать повсюду картинку, поскольку в системе, как ни странно, она уже есть и ее можно получить.

Для WinForms-приложений можно указать системе разместить иконку щита на кнопке.

[DllImport("user32.dll", CharSet = CharSet.Unicode)]
public static extern IntPtr SendMessage(HandleRef hWnd, UInt32 Msg, IntPtr wParam, IntPtr lParam);

public static void SetButtonShield(Button btn, bool showShield)
{
    // BCM_SETSHIELD = 0x0000160C
	btn.FlatStyle = FlatStyle.System;
    SendMessage(new HandleRef(btn, btn.Handle), 0x160C, IntPtr.Zero, showShield ? new IntPtr(1) : IntPtr.Zero);
}

Для тех, кто уже отказался от WinForms и перешел к разработке приложений с помощью WPF, также есть решение. Для того, чтобы получить ImageSource иконки и указать ее в каком-либо контроле, можно использовать следующий код.

System.Drawing.Icon img = System.Drawing.SystemIcons.Shield;

System.Drawing.Bitmap bitmap = img.ToBitmap();
IntPtr hBitmap = bitmap.GetHbitmap();

ImageSource wpfBitmap =
	 System.Windows.Interop.Imaging.CreateBitmapSourceFromHBitmap(
		  hBitmap, IntPtr.Zero, Int32Rect.Empty,
		  BitmapSizeOptions.FromEmptyOptions());

Пример


Рассмотрим теперь маленький пример, реализующий изложенные выше принципы.
В приложении имеется кнопка, которая должна выполнять действия с правами администратора (у меня она просто отображает MessageBox). Если приложение уже запущено с правами, то мы оставляем ее доступной. Если же нет, кнопку блокируем и отображаем панельку с предупреждением и другой кнопкой, позволяющей перезапустить приложение в привилегированном режиме. На кнопке отображаем православную иконку щита.



Кроме того, окно приложения после перезапуска отображается в том же месте и с теми же размерами благодаря передаче контекста через командную строку.



Конечно, пример простейший, но он в общих чертах демонстрирует самый близкий мне подход к решению проблемы взаимодействия с UAC. Код примера на github.

Буду рад услышать ваши замечания, коментарии и пожелания.
Поделиться публикацией

Похожие публикации

Комментарии 235

    –67
    Очень неприятно, что Майкрософт держит людей за идиотов. Ладно, допустим, UAC нужен в некоторых условиях. Но опытный пользователь должен иметь возможность делать со своим компьютером что угодно — в частности, эту защиту отключить. Когда перешёл с WIn7 на Win8, заметил, что UAC работает на полную, будучи даже выключенным в настройках.
    Половина программ работает криво, не может даже обновиться без запуска от имени администратора (хотя мой аккаунт один и я сам себе админ), в Program Files писать не даёт. Пришлось лезть в Computer Management и отключать кучу служб. Без UAC приложения из стора не работают, впрочем и не больно нужно :)
      +39
      Я вообще не понимаю чем мешает UAC обычному пользователю. Меня больше раздражает, когда пишут софт, который почему-то без элевэйшна работать не может. Какая-нибудь мелкая софтина не делающая ничего особенного и на тебе, требует админа.

      UAC мешает только в случае кривого или очень старого софта, но это как бы естественно. Простому пользователю ни кривым, ни слишком старым софтом пользоваться не стоит. А в остальных случаях разбирающийся человек проблему решит.

      Самая частая проблема с правами в Program Files для старого софта решается элементарно — установкой специфических прав на нужную подпапку.
        –27
        На самом деле программе не обязательно быть старой. Например, торрент-клиент Vuze обновляется постоянно и страдает.
        Выставлять права под каждую ситуацию — зачем? Проще выключить всё разом. Есть антивирус, который блокирует любые вредоносные поползновения на корню.

        Можете назвать это устаревшим подходом, но мне нравится, когда я могу делать с любым файлом любые действия, а не продираться через миллиард ограничений. Взять тот же Internet Explorer — там чтобы инсталлер хрома скачать, раз пять надо подтвердить очевидное. Для кого это всё? Это же противоестественно
          +24
          «Например, торрент-клиент Vuze обновляется постоянно и страдает»
          Я упоминал не только старый, но и кривой софт. Хром тоже часто обновляется, но я не вижу от него ни одного UAC сообщения.
            –12
            Спасибо, не надо мне на каждую софтину по сервису в системе. Очень плохой пример.
              +8
              Вам эти сервисы глаза мозолят, или предрасудки и пережитки прошлой эпохи о себе знать дают?
              Если для вас хром — плохой пример, зачем вы обновили свою ХР до виндовс7? Там лужайка зеленее.
                +2
                Ну кстати сервисы придумывались совсем не для того, чтобы каждый в виде сервиса вывешивал свою уникальную автоапдейтилку. Очень жаль, что Microsoft такое даже через сертификацию пропускает. В винде есть прекрасный шедулер джобов, куча софта им уже пользуется. Но ещё больше остается всяких умных Нвидий, Гуглов, Фаерфоксов и проч. которые продолжают лепить сервисы.
                  0
                  Это уже другой вопрос, как реализовано. Вопрос к производителю софта. Главный вопрос — в винде есть валидный способ обновлять продукты, и не один. А по поводу хрома, сервис там ему нужен вовсе не для апдейтов. Там есть возможность оставлять в бэкграунде запущенные плагины, там есть свой диспетчер задач, и так далее.
                +2
                А зачем торрентокачалке такие частые апдейты в принципе? У нее каждый день по критическому багу находят который до выхода, скажем, ежемесячного апдейта не подождет? Если так, то см. пункт про кривой софт. А если это дев/найтли ветка, то это выбор пользователя.

                Возможно пример не идеальный, но я скорее к тому, что можно было и ровнее написать. Часто права администратора не нужны.

                Претензия по поводу сервиса не очень понятна. Софт которой тоже находится в системе и засоряет реестр это нормально, а сервис уже плохо. Хотя в памяти он не сидит и кушать не просит.
                screenshots.ryotsuke.ru/scr_84156bc0b6dc.png
                Сервис — абсолютное нормальное решение для софта, критичного к актуальности собственной версии
                  0
                  Причем здесь сервисы?
                  0
                  >>Хром тоже часто обновляется, но я не вижу от него ни одного UAC сообщения.
                  Если речь идет про Windows 8 то там UAC основан в большей степени на механизме репутации.
                  Например неизвестное приложение не запустится вовсе, и чтобы запустить его необходимо открыть доп меню.
                  В частности Google Chrome подписан действительным сертификатом выданным сертификационным центром VeriSign,(возможно я в чем то ошибаюсь и более опытные хабрапользователи меня поправят) корневые сертификаты которого имеются в windows и отмечены как доверенные. Таким образом Google Chrome запускается как доверенное приложение и соответственно в случае необходимости может элевировать привилегии до необходимого уровня. Примером такой необходимости в Windows 8 является установка браузером по умолчанию.
                  В защиту можно сказать лишь то что лишенный сертификата SrWare Iron основанный на Chromium и имеющий практически аналогичный Google Chromeу код (кроме некоторых проприетарных особенностей вроде слежения за пользователем), ведет себя так же как и Chrome и не требует привилегий кроме вышеописанного случая.
                  0
                  У меня почему-то скайп без прав админа не запускается.
                  UAC настроен по дефолту.
                    0
                    Обновите его.
                      0
                      установлена последняя версия 6.5.66.158 и обновления настроены автоматически.
                        –1
                        Значит скайп запускается в режиме совместимости с XP/более старыми виндами. Отключите этот режим.
                          –1
                          Точняк! Ток теперь он в трей не сворачивается)
                            0
                            У меня пятый скайп, он сворачивается (:
                              0
                              у меня 6-й — полёт нормальный.
                              винда 7-ка 64-bit.

                              В настройках скайпа выруби «Не убирать Skype из панели задач, когда я в сети». Это на странице «Дополнительно > Расширенные настройки»
                                0
                                класс, спасибо)
                    +47
                    Вот из-за таких выключающих UAC и получается «Винда — решето». Еще и другим советуете, наверное?
                      –30
                      «Винда — решето» совершенно по другим причинам.

                      В первую очередь потому, что базовый набор чрезвычайно беден. Сравните с набором софта от фруктовой компании. Или с репозиториями линукса. Или с гугель-плеем. В типичном случае у вас на компе не появится софта из невирифицируемых источников, потреблять контент можно из коробки.

                      А у микрософт — ну вы поняли, перво-наперво надо поставить браузер ;-) Да, да — IE11 в самой популярной версии отсутствует. И поставить его нельзя. Хром или огнелис — вот выбор домохозяйки. И нет, не надо предлагать версию 2009 года в 2013 году, это уже даже не смешно.

                      Посмотреть кино? Кодек пак не забудьте.

                      Показать фотографии? Нет, в «просмотрщике факсов» это делать неудобно.

                      Снять почту? Вышеупомянутый «мысыгысы» запарит предупреждениями.

                      В вин8 хоть какая-то попытка обозначилась (крайне неудачная) в нужном направлении.

                      И вы удивляетесь, что решето? А что должно было получиться, если юзер неспособен отличить незабудку от дерьма, а мейл-ру дроппер включает в поставку и подписывает своим сертификатом, суперзащищенный комп что-ли ;-)
                        +9
                        Вот пишу с МакБука:
                        тут нет кодеков, более того, нет даже простого метода их установки (типа к-лайт в винде), есть периан + поиск недостающих вручную
                        посмотреть фотки? стандартный маковский Превью не умеет даже листать картинки, если открыть одну, что виндовый может делать
                        что такое «снять почту» я не совсем понял, но уже много лет ни в одной системе не пользуюсь (как и большое количество других людей) почтовыми клиентами: вэбинтерфейс часто удобнее
                        так что я бы не стал говорить, что базовый набор мака чем-то лучше, в линуксах лучше да, но тоже не идеален
                        ну и просто о своей позиции: мне тоже не нравится УАК (гораздо более удобной и «правильной» кажется система распределения прав в никсах), но высказался я по поводу несогласия с вашими аргументыми
                          +3
                          Умеет, перетащите папку на превью и листайте сколько влезет. Либо смотрите картинки пробелом в файндере, тогда можно опять же листать сколько влезет.

                          Периан вообще вроде неплох, но есть абсолютно всеядные VLC и MplayerX (которые впрочем тоже не встроенные).
                          0
                          Фу, какой глупый и пошлый наброс. Скажите, а мак-фанов обязательно заставляют подписываться при первом включении системы на демонстрацию ненависти к продуктам Microsoft в форумах и блогах? Хоть скидку-то на обновления MacOS X дают за это? ;)
                            –1
                            Я на вас погляжу когда вы перейдете в метрошный плеер, вот тут будет наброс так наброс. Вы в курсе, что к метрошной версии кодеки добавить нельзя? Он их просто не поддерживает ;-)
                              0
                              Мне пофиг, я не пользуюсь metro, я пользуюсь десктопом, у меня нет задач под metro.

                              PS. Так что, скидочку-то дают? ;)
                                –1
                                Не в курсе, я старый виндузятник еще со времен вин3.1 ;-)
                                  +1
                                  Похоже вы где-то в тех временах и остались, судя по свежести ваших заний темы ;)
                                +4
                                Иксперта видно сразу. Вы в курсе, что «метрошный» плеер использует Media Foundation (точно так же как и «десктопный», точно так же как и «video» тег в браузере/WWA, точно так же как Movie Maker, точно так же как большая часть других программ, которым нужно кодирование/декодирование видео)? Угадайте (Вам может понадобиться до трех попыток), поддерживает ли Media Foundation кодеки.
                                  –1
                                  Ага, ага. Вы про какой из двух плееров из коробки? ;-)

                                  Один (на десктопе) — работает, второй нет.
                                    +2
                                    Ага, ага. Я про оба плеера из коробки.
                                    Тот, который «второй» — это обычный WWA, который использует video элемент для проигрывания видео. Самый простой тест:
                                    1. Идем в modern IE на html5test.com (довольно идиотский тест, но он позволяет быстро посмотреть на статус поддержки WebM) и убеждаемся, что WebM не поддерживается
                                    2. Устанавливаем гугловый WebM MF кодек
                                    3. Идем в modern IE на html5test.com и убеждаемся, что video element теперь поддерживает WebM

                                    Но эти тесты не особо и нужны, если хотя бы примерно понимать что такое MF, как работают «modern» приложения (в частности какие ограничения накладываются на загрузку динамических библиотек и используемое API).
                                    Вот смотрите. Есть MediaExtensionManager, который позволяет регистрировать произвольные кодеки прямо изнутри «modern» приложения (со вполне естественным ограничением, что данное расширение будет доступно только в пределах данного расширения).

                                    Вот список raw COM («desktop» style) интерфейсов, которые можно использовать из modern приложений без всякого WinRT (правда только из C++ или из .net через CCW/RCW обертки). В частности можно использовать IMFTransform, который, как Вы, конечно же, знаете, является «базовым» интерфейсом для всех MF кодеков и эффектов (Media Foundation Transforms).

                                    Что конкретно Вы имеете в виду под «не работает»? DirectShow фильтры в modern процессах не будут работать (если, конечно, их не обернуть в MFT), но DirectShow уже почти 10 лет как не рекомендуется к использованию и сам API в принципе недоступен в AppContainer-ах. Все вменяемые кодеки уже давно реализовывают MFT интерфейсы (в частности из-за интеграции с DXVA/DXVA2), а у тех кто еще не поддерживает появился хороший стимул «догнать» прогресс.
                                      0
                                      Спасибо за развернутый ответ.

                                      Меня вполне бы устроил ответ предыдущего оратора «Shark007», даже без ссылок. А вместо этого — переход на личности и «мне пофиг». Простите великодушно, решил проверить знание матчасти, не обратил внимание что вы не track.
                              +2
                              ШТО?! Неделю как переехал с вин на мак и могу сказать только одно — в вин дефолтного софта значительно больше…
                              А по UAC — ни разу не отключал и не замечаю его в повседневном использовании. Да, бывает появляется окно, когда приложение требует админских прав или доступа к системным директориям. В первом случае ввожу пароль, во втором сношу программу.

                              Кино? VLC был под вин, так и остался под маком. Фото? Мак нервно курит в сторонке. Почта? Ни с батом, ни с аутлуком проблем не было под виндой (при включенном UAC), в маке не пользуюсь софтом, пока еще в браузере…

                              А вот работать под админом (и не надо ссылаться на антивири — это очень пассивная и не надежная защита) — верх безолаберности. Именно в таком режиме и получается «вин = решето».
                                –2
                                Это бат-то — дефолтный софт? Ну-ну.

                                А в маке как раз такого софта хватает. Из trusted источника, заметьте.
                                  0
                                  Где это я сказал, что бат — дефолтный софт? о_О Я вроде как говорил, что проблема с бат+UAC нет.
                                  Вы реально не хотите понимать, что Вам говорят? Или прикидыветесь, переключая внимания с одного на другое?
                                    –3
                                    > могу сказать только одно — в вин дефолтного софта значительно больше

                                    ваше?

                                    И тут внезапно выскакивают какие-то баты, VLC и так далее. За всем этим надо лезть в интернет. Пользуясь браузером. Не спецпрограммой «макетплейс» как на маке. Не на строго модерируемый ресурс, где каждая программа подписана своим сертификатом. А просто в интернете.

                                    Это вы так мастерски рассказали про «значительно больше», прошу заметить.

                                    А вот соскакиваю с темы почему-то я ;-)
                                      +1
                                      >ваше?

                                      Мое. В ответ на «В первую очередь потому, что базовый набор чрезвычайно беден.». Не более того. Не надо весь остальной текст комментария подводить под эту строку ;)

                                      Напомню, разговор шел о UAC в первую очередь ;) Но раз для Вас критичен именно встроенный софт, то вот Вам ответ на Ваши заявления:

                                      >А у микрософт — ну вы поняли, перво-наперво надо поставить браузер ;-)

                                      Да ладно?! Что-то не припомню за полтора десятка лет, чтобы какая-то версия винды поставлялась без браузера ))). Обновления — это понятно, оно везде требуется. Но вот скачивать браузер не надо — он есть в системе. Это Ваша ложь номер 1.

                                      >Посмотреть кино? Кодек пак не забудьте.

                                      Ну как и везде, практически )). Хотя, именно кодек-паки я не ставил уже лет 5, т.к. ставлю удобный проигрыватель из проверенного(!!!) источника, который проигрывает все известные мне форматы.

                                      >Показать фотографии? Нет, в «просмотрщике факсов» это делать неудобно.

                                      А это ложь номер 2. Я даже изначально засомневался: неужели я пару лет смотрю фото в «просмотрщике факсов»?! Запустил, нет: «Средство просмотра фотографий Windows». Ай-ай-ай… При этом, ЗНАЧИТЕЛЬНО УДОБНЕЕ, чем в том же маке, например.

                                      >Снять почту? Вышеупомянутый «мысыгысы» запарит предупреждениями.

                                      Честно, даже не помню, есть ли дефолтный софт для почты в винде (ну, кроме браузера), но взятый из проверенного(!!!) источника аутлук не запаривает предупреждениями. Как и другие программы (ой, Вы сча снова будете говорить что я привожу какой-то сторонний софт в пример)…

                                      >И вы удивляетесь, что решето?

                                      Еще раз: решето получается только в случае неумелых действий пользователя: постоянная работа под аккаунтом админа, отключение UAC, полная вера в антивирусы. Никого не узнаете?)

                                      У меня дети сидят на отдельном ноуте дома, за 2 года ни одной гадости не проникло (специально вчера проверил). Так что я могу утверждать на своем опыте — основная дыра системы = дурной пользователь.
                                        –1
                                        > Мое. В ответ на «В первую очередь потому, что базовый набор чрезвычайно беден.». Не более того. Не надо весь остальной текст комментария подводить под эту строку ;)

                                        То есть дискуссия у нас получается такая.

                                        Я. Из коробки (на диске) крайне мало полезных программ.
                                        Вы. Да ни фига! Их там завались. Поэтому я все что надо скачиваю из альтернативных источников! Причем выбираю такие которые фактически работают в portable виде, чтобы у-а-це не мешал.

                                        ;-)

                                        Единственный пример, который вы привели — это просмотрщик фотографий. Который примитивнее даже встроенной галерейки андроида, к слову. И уж явно не линуксовый digicam.

                                        >>А у микрософт — ну вы поняли, перво-наперво надо поставить браузер ;-)
                                        > Да ладно?! Что-то не припомню за полтора десятка лет, чтобы какая-то версия винды поставлялась без браузера

                                        (открывает about у встроенного IE в своей 7ке). Опа! 2009 год. Сюрприз. Вас устраивает этот раритет? Я за вас рад. Скажите, а тот огрызок который в андроиде 2.2 (примерно тот же год выпуска) вас тоже устраивает? Какой вы везучий человек. А у меня и половины нужных мне сайтов не открывается ни там ни там.

                                        Так что наличествует скачивалка хрома, факт. А называть это браузером… ;-)

                                        > ставлю удобный проигрыватель из проверенного(!!!) источника

                                        Это videolan.org проверенный источник? А мне тут в треде рассказывают что ни фига не проверенный, т. к. авторы плеера не имеют доступа ко всему оборудованию между моим компом и их сервером. ;-)

                                        Кстати вы в курсе, что у опенсорсных плееров есть еще и набор бинарных dshow кодеков в комплекте? Потому что других нет? И их приходится на тот же линух ставить. Вот вам и проверенный источник — который притягивает с собой гору непонятной бинари 10летней давности.

                                        Про удобство — вещь это субъективная, я вот файндеру фар предпочитаю ;-)

                                        > есть ли дефолтный софт для почты в винде

                                        Outlook Express. Который именно почтовый клиент, а не клиент exchange как аутглюк. Гоораздо удобнее чем кубы и хорды в браузере.

                                        > могу утверждать на своем опыте — основная дыра системы = дурной пользователь

                                        Потрясающе звучит. Зловеще. ;-)

                                        А у меня дети на планшетки перешли, удобнее, проще, и безопаснее. И у-а-це не нужен ;-)
                                          +1
                                          > (открывает about у встроенного IE в своей 7ке). Опа! 2009 год. Сюрприз. Вас устраивает этот раритет? Я за вас рад. Скажите, а тот огрызок который в андроиде 2.2 (примерно тот же год выпуска) вас тоже устраивает? Какой вы везучий человек. А у меня и половины нужных мне сайтов не открывается ни там ни там.

                                          Странно, а у меня после установки винды и всех обновлений стоит свежий IE. Что я делаю не так?
                                          Хотя вообще-то на своем десктопе я хром юзаю, но все-же.
                                            0
                                            >То есть дискуссия у нас получается такая.

                                            Да ни разу, но переубеждать не буду. По опыту, если человек уперся — бесполезно )

                                            >Единственный пример, который вы привели — это просмотрщик фотографий. Который примитивнее даже встроенной галерейки андроида, к слову. И уж явно не линуксовый digicam.

                                            Ну так сравните с маковским))). Андроид покажется верхом совершенства ;)

                                            >(открывает about у встроенного IE в своей 7ке). Опа! 2009 год. Сюрприз. Вас устраивает этот раритет? Я за вас рад. Скажите, а тот огрызок который в андроиде 2.2 (примерно тот же год выпуска) вас тоже устраивает? Какой вы везучий человек. А у меня и половины нужных мне сайтов не открывается ни там ни там.

                                            Т.е., остальные системы вы обновляете, а винда обойдется?))) После обновления у меня вроде как 10-ка стояла, если правильно помню. Скажу больше — при покупке ноутбука с виндой уже был 10-й IE. Толсто, очень толсто…

                                            >Так что наличествует скачивалка хрома, факт. А называть это браузером… ;-)

                                            Ну вот, началось… Вы хоть пытались пользоваться последними версиями IE? Я уже знаю как минимум одного человека, который пересел с хрома на ослика. У последнего увеличилась скорость работы, качество работы, поддержка стандартов. У первого увеличивается только одно — количество потребляемых ресурсов. Наброс не засчитан ;)

                                            >Это videolan.org проверенный источник? А мне тут в треде рассказывают что ни фига не проверенный, т. к. авторы плеера не имеют доступа ко всему оборудованию между моим компом и их сервером. ;-)

                                            Ну, с такой логикой проверенных вообще не существует ))). А videolan.org, для меня, достаточно проверенный источник. Как и пара десятков других разработчиков. Вот google play никак не могу считать «проверенным» и «надежным».

                                            >Кстати вы в курсе, что у опенсорсных плееров есть еще и набор бинарных dshow кодеков в комплекте? Потому что других нет? И их приходится на тот же линух ставить. Вот вам и проверенный источник — который притягивает с собой гору непонятной бинари 10летней давности.

                                            Честно — понятия не имею что именно ставит vlc в мак, с виндой таких проблем нет, а *nix мне абсолютно не интересен. Хотели открытые коды: используйте что дают или пишите свое ;)

                                            >Outlook Express.

                                            Эммм… Сначала так-же подумал, но не нашел его ни на одном из 4-х вин-машин дома. Все под вин 7.
                                            Но предположим, что он есть: UAC с ним ругается на каждое новое письмо?)

                                            >А у меня дети на планшетки перешли, удобнее, проще, и безопаснее. И у-а-це не нужен ;-)

                                            Мои планшеты тоже юзают, но обычно когда комп уже под запретом). Старшей интересны многопользовательские игры с сестренками и братишками за 1000 км друг от друга, а младшей нравится мульты смотреть на большом ТВ или, когда ТВ занят, на компе.

                                            По поводу «безопаснее» — зря такое утверждение появилось ;). За пару лет на ноуте (+ раньше десктоп) детки ничего не поймали, а вот планшет на андроиде пару раз подставил сильно, в том числе финансово.
                                              0
                                              > Ну так сравните с маковским))). Андроид покажется верхом совершенства ;)

                                              Это вы про совет просматривать в файндере? Да, тогда андроидный просто недосягаемая вершина ;-)

                                              > Т.е., остальные системы вы обновляете, а винда обойдется?)

                                              На одной 8ка, на второй 9ка, обе с автоапдейтами. 8ка — 2009 года, 9ка — 2011го. И тот и другой имеют проблемы с работой с кучей нужных мне сайтов.

                                              > Ну, с такой логикой проверенных вообще не существует )))

                                              Тссс! А то местные «специалисты» услышат ;-)

                                              > Но предположим, что он есть: UAC с ним ругается на каждое новое письмо?)

                                              Самый сюр был в висте. Нажимаешь кнопку «послать письмо» — выскакивает грозное окошко «подтвердите что это вы запустили процесс msmsgs.exe».

                                              Потом стало почитабельнее, но осадочек-то остался ;-)

                                              Я злой родитель, у меня на планшетках платный софт под запретом и фремиумный контент — тоже. Пока от финансового попадалова спасает. А мультики под линуксом крутятся, для этого винда не нужна.
                                                0
                                                >Это вы про совет просматривать в файндере? Да, тогда андроидный просто недосягаемая вершина ;-)

                                                Не, это я про программу «Просмотр» ;)

                                                >На одной 8ка, на второй 9ка, обе с автоапдейтами. 8ка — 2009 года, 9ка — 2011го. И тот и другой имеют проблемы с работой с кучей нужных мне сайтов.

                                                Вы на ХР сидите что-ли?! Мне на своем предыдущем ноуте приходилось ручками сносить 10-го ослика, который установился с автообновлением. Потом снова устанавливал через автообновление. На 3-х других ноутах тоже 10-ка стоит (кстати, извиняюсь, немного обманул: из 4х ноутов на 3х стоит семерка, на одном 8-я версия окошек). Ну не может быть такого, чтобы ОС штатными средствами не обновила ослика аж с 8-й версии! Темните, сударь…

                                                >Тссс! А то местные «специалисты» услышат ;-)

                                                Ну частично они правы. Я вот не могу занести в проверенные google.com, т.к. есть гугл.плей. В остальном, для меня лично, доверенные = те, которым доверяю я, а не сторонние системы и люди.

                                                >Самый сюр был в висте. Нажимаешь кнопку «послать письмо» — выскакивает грозное окошко «подтвердите что это вы запустили процесс msmsgs.exe».

                                                Ну явный глюк же… Какой смысл списывать это на UAC? И кстати, Вы не путаете ничего? msmsgs.exe — это MSN Instant Messenger ;)

                                                >Потом стало почитабельнее, но осадочек-то остался ;-)

                                                Ууууххххх… Знали бы Вы, сколько таких «осадочков» у меня осталось от Red Hat и других *nix-систем… А уж сколько зла есть сейчас от os x… Не далее как вчера вычишал остатки transmit из нескольких директорий только потому, что установился как-то криво: нет ни в applications, ни в dashbord, нигде…

                                                >Я злой родитель, у меня на планшетках платный софт под запретом и фремиумный контент — тоже.

                                                Под запретом — это как? На словах?) Мелкой 4 года, вряд ли она сама понимает, почему и как какое-то приложение подписало планшет на постоянные платежи. Почти такая-же проблема была у старшей, но тут Билайн спас: оперативно отреагировали на мой твит, а после письма им вернули дочери деньги на счет.
                                                  0
                                                  > Вы на ХР сидите что-ли?!

                                                  Win7 32 битная (да, раритет) с 8кой и 64бит она же с 9кой. Ослика нумер 10 нет ни там ни там.

                                                  > В остальном, для меня лично, доверенные = те, которым доверяю я, а не сторонние системы и люди.

                                                  Здравый подход. Разделяю.

                                                  > msmsgs.exe — это MSN Instant Messenger

                                                  Как-то близко называлось, сейчас ни одной висты даже в виртуалке уже нет, чтобы не ошибиться в паре букв.

                                                  > Под запретом — это как?

                                                  На все платежи код вводить надо. А я его детям не сообщаю ;-)

                                                  И на всех планшетках нет 3G. Просто беру такие модели, где нету конструктивно, во избежание.
                                                    0
                                                    >Win7 32 битная (да, раритет) с 8кой и 64бит она же с 9кой. Ослика нумер 10 нет ни там ни там.

                                                    Очень странно. Завтра на работе у ребят посмотрю что стоит.

                                                    >Как-то близко называлось, сейчас ни одной висты даже в виртуалке уже нет, чтобы не ошибиться в паре букв.

                                                    msimn.exe, насколько подсказывает поиск в гугле )

                                                    >На все платежи код вводить надо. А я его детям не сообщаю ;-)

                                                    Вы же не думаете, что я дал код детям?) Ну и судя по реакции Билайна — я не первый попал так. А в чем смысл отсутствия 3G?
                                                      0
                                                      > msimn.exe

                                                      Точно, оно родимое. Спасибо.

                                                      > А в чем смысл отсутствия 3G?

                                                      Аж на три тарифных плана меньше. И так число мобильников превысило все разумные пределы ;-)

                                                      Да и зачем в планшетке еще и телефон? Дома с вайфаем проблем нет, а дети пока что маловаты — самостоятельно в старбакс ходить и там яблочком понтоваться ;-) Если уж реально нужен интернет в дороге, то его раздаст папин лопатофон.
                                      0
                                      Ну да, из trusted источника
                                      Причем половина этих программ была в поставке винды до висты включительно, а потом была вынесена в отдельную загрузку (не в последнюю очередь в связи с «антимонопольными» претензиями). Я долгое время пользовался Live Mail в качестве почтового клиента и на тот же The Bat! без слез смотреть не могу. Photo Gallery — очень мощный каталогизатор фотографий (Adobe Bridge не заменяет и не пытается — ориентирован на консьюмеров, а не профессионалов) с возможностью клеить панорами, фьюзить несколько неудачных фоток в одну удачную, не говоря уже о просмотре, тегировании как ключевыми словами так и присутствующими людьми (которые, кстати, весьма неплохо распознаются автоматически) и пр., Live Messenger мне очень нравился по простоте и удобству интерфейса — очень жаль, что его убили в пользу скайпа (какие же Delphi приложения все таки уродские).

                                      Ну а начиная с Win8 — все те же приложения уже идут «в коробке» (подозреваю, что не в последнюю очередь в связи с окончанием «испытательного срока»).

                                      Что же до Ваших оценок по поводу «удачности» попыток — я позволю себе проигнорировать Ваше, без сомнения, профессиональное и взвешенное мнение и остаться при своем — жалком и недостойном.
                                        0
                                        На всякий случай (у меня есть странное предчуствие, что Вы, как настоящий эксперт, не будете утруждать себя попытками разобраться в вопросе): перечисленное — далеко не полный список first party приложений, входящих в Live Essentials.
                                          –1
                                          (переходит по ссылке)

                                          Content is being blocked by Internet Explorer Enhanced Security

                                          (дважды нажимает на кнопку close, в открывшемся нажимает зеленую кнопку download now)

                                          Your current security settings do not allow this file to be downloaded

                                          Так что вы там рассказывали про доверенный источник, можно подробнее? ;-)
                                            0
                                            Я давно последний раз занимался этим, так что не в курсе… Там что, на изменении настроек безопасности появился тест IQ с проходным баллом не менее 50-и, если у вас такие проблемы поменять это?

                                            Вы, как я понимаю, нигде и никогда никакие настройки не меняете и ожидаете, что сервер начнет полноценно работать по вашим требованиям сразу после инсталляции?
                                              0
                                              Вас тут не поймешь — одни утверждают что наличие присутствия на сайте микрософта ничего не означает, другие — что это доверенный источник. Микрософт склоняется к первым — черт ногу сломит. ;-)

                                                +1
                                                Скажите, а если чтобы войти в сверхзащищенное здание, требуется пройти через темный лес с кучей нехороших зверюг, то это здание считается безопасным?

                                                И вы так и не ответили — с какой стати MS объявлять исключения из правила «всё, что в интернете и не HTTPS, фу-фу»? Ради одного человека, которому не хватает мозгов изменить одну настройку?
                                                  –1
                                                  Покажите уже ваш темный лес и зверюг заодно. Жутко любопытно.

                                                  Может быть это не мне «не хватает мозгов изменить настройку», мало ли. Может это кому-то другому мерещатся враги под кроватью.

                                                    0
                                                    Может быть это не мне «не хватает мозгов изменить настройку», мало ли

                                                    Вы в этом сомневаетесь? Я — нет. Я вообще называю безумцем того, кто ругается на включенную по умолчанию настройку, которая убирается за секунды. Раз она вас так нервирует, то вы не способны ее поменять. Вопрос — почему вы работаете в сфере IT, если всё так плохо?
                                                      –1
                                                      Ну то есть злых врагов зверюг вы показать не можете, я правильно понял?
                                                        0
                                                        Ну то есть злых врагов зверюг вы показать не можете, я правильно понял?

                                                        А что вы ожидаете увидеть? И почему хронически игнорируете мои вопросы?
                                                          –1
                                                          Это же вы про зверей рассказываете, вам виднее.

                                                          А вопросы — не вижу ни одного, на который бы нужен был ответ.
                                                            0
                                                            То есть вы не заметили вопрос «что мешает сменить настройку по умолчанию, если она вам мешает»?
                                                              0
                                                              Не-не-не, там было про нехватку мозгов. Это другой вопрос. ;-)
                                                                0
                                                                Это не вопрос, а скорее утверждение, тут согласен :)
                                                      +2
                                                      Майкрософт доверенный источник, да. Но это не повод добавлять http://*.microsoft.com/ в список доверенных по умолчанию после установки Windows Server на машину. Вы не согласны? Вы с понятием фишинг знакомы? Вам прочитать лекцию о подставных DNS-серверах, перехвату траффика и прочих прелестях? Речь же идет не о десктопе домохозяйки, а о каком-то корпоративном сервере. Не путайте теплое с мягким, не уходите в абсолют. Вы же не ситх. Наверное.
                                                        –1
                                                        То есть вы вот сейчас нам рассказываете, что ваши злые враги — они на площадке провайдера? DNS то вы у них берете. И при этом — не доверяете. А вдруг — подставной!

                                                        А поставить любой другой сервер (хотя бы гуглевый) — полиси не разрешает.

                                                        Интересные у вас там условия работы.
                                                          +1
                                                          Пример из «идеального мира» у вас. Кроме DNS у провайдера и сервера майкрософта судя по всему у вас ничего не сущесвтует на пути %)
                                                            –1
                                                            Как описываете — такая и модель угроз.
                                          +3
                                          А вот работать под админом — верх безолаберности.
                                          Это не совсем так. Если включен UAC, то админ всегда работает с правами обычного пользователя. И лишь когда надо — появляется окно UAC.
                                            0
                                            Ну работать под ограниченными правами будет все-равно не лишним. Про права админа — привычка, не должно быть такого в работе.
                                              +4
                                              UAC специально предназначен, чтобы совместить комфорт работы под админом с безопасностью работы под ограниченным пользователем. Все-таки нажимать кнопку удобнее, чем вбивать пароль, или тем более запускать runas как это было на XP.
                                                0
                                                Согласен. Но с паролем мне намного спокойнее )
                                                +1
                                                Если UAC включен, то между работой под админом и работой под обычным пользователем — нет никакой разницы. (админ будет работать с ограниченными правами обычного пользователя).
                                            –3
                                            А за установку Live Essentials у нас уже расстреливают? Вот за ПРЕДустановку медиа-плеера (или браузера) в ОС — таки могут оштрафовать на пару миллиардов долларов.

                                            А отключают UAC только самоуверенные идиоты, да.
                                            • НЛО прилетело и опубликовало эту надпись здесь
                                            +3
                                            Все кто хотят тихо обновляться э переходят на обновлятор в виде сервиса. Все проблемы решает, как прав, так и наличия всегда последней версии. При этом, опытный пользователь может выключить в случае чего.
                                              0
                                              Где это вы видели, что при использовании сервиса не надо УАК теребить? Java, продукты Adobe, Mozilla — у всех сервис и все просят УАК. Не просит только хром, ибо ставится в папку пользователя.
                                                0
                                                Например 2Гис, весит сервис, с которым общается центр обновлений. Когда наступает момент установки его, то задача передается сервису, который уже все и ставит.
                                                Mozilla давно не просила у меня повышения прав.
                                                  0
                                                  Я российским софтом не пользуюсь, такое поведение ни разу не встречал.
                                              +7
                                              Есть антивирус, который блокирует любые вредоносные поползновения на корню.

                                              Впервые вижу такую наивность. Хотя нет, не впервые…

                                              Вы наверняка живете в доме без замка на входной двери, но с сигнализацией.
                                              но мне нравится, когда я могу делать с любым файлом любые действия, а не продираться через миллиард ограничений. Взять тот же Internet Explorer — там чтобы инсталлер хрома скачать, раз пять надо подтвердить очевидное

                                              Ну да, очень частая задача — установка Хрома. Каждый день по несколько раз выполняется. (хотя вроде как раз там повышение не запрашивается, ибо установка идет в домашнюю директорию)
                                              А вот когда вы зайдете на зараженную страницу, она задействует один из миллиона баг в браузере класса «code execution», и этот код сразу получит права администратора… Скажем так, обычно антивирус тут не поможет.
                                                0
                                                (хотя вроде как раз там повышение не запрашивается, ибо установка идет в домашнюю директорию)
                                                Очень правильная политика, да?
                                                А вот когда вы зайдете на зараженную страницу, она задействует один из миллиона баг в браузере класса «code execution», и этот код сразу получит права администратора…
                                                А может и не попросить и локнуть винду/пошифровать файлы + потырить пароли. Много от чего защитились?

                                                Я не говорю, что толка вообще никакого нет, но он мизерный, если честно.
                                                  +1
                                                  Очень правильная политика, да?

                                                  Отвратительная. Зато излишне нервным людям не приходится лишний раз нервничать, нажимая одну кнопку.
                                                  А может и не попросить и локнуть винду/пошифровать файлы + потырить пароли.

                                                  Без серьезных привилегий локнуть винду, тем более для всех пользователей, не удастся. Шифровать файлы? А бекапы на что? Потырить пароли? Не надо их хранить на компьютере — а перехватить ввод пароля на странице зловреду не удастся.
                                                  А с правами администратора в систему можно посадить руткита, который легко сделает описанное вами. И выковырять его оттуда будет очень сложно. Установленным на самой системе антивирусом — скорее даже невозможно.
                                                    0
                                                    Вот вас бросает от простых юзеров до «бэкапы». Простые юзеры про бэкапы ничего не знают и настроить их с трудом могут. При этом адвенсед юзеру уак не особо помогает, скорее поможет какой-нибудь хипс, т.к. информации показывает больше, а вопросов задаст меньше после создания правил для типичных действий.
                                                    Ввод пароля на странице перехватывается спокойно. Или у вас браузер от другой учетки запускается?
                                                    Без серьёзных привилегий на запись кому угодно доступна c:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ и аналоги в реестре. Чайник такое победить уже не осилит.
                                                      0
                                                      Прошу развидеть моё высказывания про стартап в програмдата, доступа туда нет. С чем-то спутал, был не прав.
                                                        +3
                                                        При этом адвенсед юзеру уак не особо помогает

                                                        Чушь. Использование механизма разграничения прав доступа — главный инструпент адвансед юзера. Не помогут ему как раз антивирусы и хипс (который уже практически забыт и в корпоративных системах, а на домашних подобными вещами единицы пользовались).
                                                        Без серьёзных привилегий на запись кому угодно доступна c:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ и аналоги в реестре.

                                                        Запускаться оно будет от имени пользователя.
                                                          0
                                                          Простой юзер не знает про бэкапы до момента потери информации.
                                                      +1
                                                      Даже если это так, то всё-равно попытки свежеустановленного IE блокировать сайты *.microsoft.com — выглядят, ну как минимум, странно.
                                                        0
                                                        И это вы еще не дошли до «скачать офис», вот где сюр. Просто — нельзя, и все. Подумаешь — вы только что его купили? Звоните в суппорт, вам прочитают по бумажке решение (с индусским акцентом).

                                                        ;-)
                                                          +3
                                                          Вы про серверную винду? Она блокирует не потому что microsoft.com, а потому что не https, и в недоверенную зону.
                                                            –3
                                                            Сам процесс восхищает. Я купил на офис-ком офис и хочу себе его поставить. Недоверенная зона? Что это, я только что перечислил 400 баксов? Почему микрософт выкладывает свои продукты в те места, которым не доверяет?

                                                            ;-)
                                                              +4
                                                              А с какой стати добавлять http://*.microsoft.com/* в доверенную зону? Мало ли что может перехватить трафик по дороге?

                                                              И вообще, зачем пользоваться браузером на серверной ОС?
                                                                0
                                                                С какой стати выкладывать продукт в то место которому нельзя доверять, чтобы «при скачивании виндофс 95 получилась осьдва, так как у вас модем с коррекцией ошибок»?

                                                                ;-)
                                                                  +6
                                                                  А каким образом люди, обращаясь на совершенно доверенный vkontakte.ru, умудряются получать «акаунт заблакираван, атправь платный СМС»?
                                                                    –6
                                                                    Не-не-не, давайте про микрософт. Так что им помешало положить собственные продукты в то место, которое контролирует микрософт?

                                                                    Ну, чтобы при скачивании продукта микрософт с сайта микрософт браузером микрософт на систему микрософт (и софт подписан сертификатом микрософт, который часть системы микрософт) — пользователь мог просто поставить?

                                                                    Что в этой цепочке не так, почему браузер микрософт не может доверять сайтам микрософт? В облаке микрософт не нашлось десятка инстансов для https? Лень было сунуть офис в свой даунлоадер микрософт?

                                                                    А ведь ответ прост до ужаса — некому перечислить аж все десять доменов микрософт прямо в начальной конфигурации защищенного режима браузера микрософт, который часть системы микрософт. Только и всего. Два мидл-менагера не договорились, вот и все.

                                                                    И не надо на фконтакте кивать, вконтакте еще не поставляет свою мега-защищенную операционку, и не спрашивает «а это точно вы», и не объявляет на весь мир trustworthy computing. Все это — у одной компании из Редмонда.
                                                                      +1
                                                                      Смотрите мой коммент ниже. Логика в Редмонде как раз правильная. Если ваш компьютер под управлением ОС Виндовс, это еще вовсе не значит, что вы как владелец компьютера и информации на нем хотите доверять майкросовтовским сайтам.
                                                                        +1
                                                                        Так что им помешало положить собственные продукты в то место, которое контролирует микрософт?

                                                                        Встречный вопрос: что мешает микрософту контролировать всю трассу от порта подключения компьютера пользователя до собственного веб-сервера?
                                                                        чтобы при скачивании продукта микрософт с сайта микрософт

                                                                        Легко может оказаться, что пользователь попадет вовсе не туда, и ему насуют зловредов.
                                                                        В облаке микрософт не нашлось десятка инстансов для https?

                                                                        Это, кстати, тоже не гарантия от похаканного компьютера пользователя.
                                                                        некому перечислить аж все десять доменов микрософт прямо в начальной конфигурации защищенного режима браузера микрософт

                                                                        Вот тут вы начинаете всерьез бредить.
                                                                          0
                                                                          > Встречный вопрос: что мешает микрософту контролировать всю трассу от порта подключения компьютера пользователя до собственного веб-сервера?

                                                                          Я вообще-то всего лишь хочу получить оплаченный мной офис с сайта микрософт. На свежезапущенный чистенький инстанс амазона. Всего лишь. Используя хром я могу это сделать, а используя интернет експлойтер — нет. Вот и все.

                                                                          Все остальное — это попытки навести тень на плетень, уж простите. При чем тут зловреды? Какая разница микрософту, зловред оплатил покупку или я сам? Непонятно.
                                                                            +3
                                                                            Я вообще-то всего лишь хочу получить оплаченный мной офис с сайта микрософт.

                                                                            Так вперед. На десктопной винде никаких проблем. На серверной — одну маленькую настройку поправить в свойствах IE, и станет как на десктопной.
                                                                            Какая разница микрософту

                                                                            Проблема именно в том, что серверная винда вообще не должна ходить браузером в интернет. Мне казалось, это логично.
                                                                              –2
                                                                              >> Я вообще-то всего лишь хочу получить оплаченный мной офис с сайта микрософт.
                                                                              > Так вперед.

                                                                              Микрософт експлойтер против ;-)

                                                                              > Проблема именно в том, что серверная винда вообще не должна ходить браузером в интернет

                                                                              С какого перепугу? Вот у меня к примеру сервис, которому даешь урлу, а он ее скачивает, отрисовывает (браузером) страничку, накладывает эффекты там, виньетки — ватермарки, еще что-нибудь нехорошее делает. И к примеру для айпада оптимизирует.

                                                                              А вы — «логично, чтобы не».

                                                                              Как раз очень логично чтобы да! ;-)
                                                                                +3
                                                                                С какого перепугу?

                                                                                С того, что серверу нечего делать в интернете.
                                                                                «Веб-сервер» — лишь маленькая подкатегория понятия «сервер». Типичный виндовый сервер никогда не запросит ничего за пределами корпоративной сети.

                                                                                Еще раз спрашиваю — что мешает изменить одну маленькую настройку, чтобы в вашем случае IE пускал куда надо? Вы не знаете, где она? Это — некомпетентность, в этом случае держитесь от подобных вещей подальше, чтобы не напортачить.
                                                                                  0
                                                                                  > С того, что серверу нечего делать в интернете.

                                                                                  А давайте вы за меня не будете решать, что моим серверам надо в интернете. А то смешно звучит, уж простите.

                                                                                  Если у вас сервер заканчивается контроллером домена, то это не значит что у всех так.
                                                                                    +1
                                                                                    Вопрос как я погляжу, стоит ребром. Доверять ли по умолчанию не https адресам майкрософта сразу после установки и включения сервера. Давайте упростим вопрос. Почему после установки и первого включения мой сервер должен доверять вообще любому не https ресурсу в глобальном интернете? Что бы таким как вы было проще хромик на него поставить? Вы не находите это брешью в безопасности, не?
                                                                                      0
                                                                                      Нет, не нахожу это брешью в безопасности.

                                                                                      И дело тут вот в чем. Не бывает просто безопасности.

                                                                                      Прежде чем вообще что-либо защищать, необходимо предоставить анализ угроз, определить защищаекмый периметр, и по каждому вероятному вектору атаки предоставить стоимость защиты и ожидаемую сумму ущерба.

                                                                                      И вот что предлагается ревнителями «почему доверять». На площадке вашего провайдера сидит злоумышленник, который лично для вас будет проводить фишинг или хотя бы днс спуфинг, в ожидании когда вы пойдете на сервер микрософт. Под видом офиса вам подсунут жуткого трояна, который сделает что-то нехорошее. Оцениваемая сумма ущерба оценке не поддается, но близка к бесконечности.

                                                                                      Так? ;-)

                                                                                      Вот именно, анекдот выходит. Зато — давайте запретим по умолчанию, это же так просто, одна галочка в настройках… и неважно, что для вашей организации это смысла не имеет, зато комплекс вахтера удовлетворен, иллюзия безопасности достигнута.
                                                                                        +1
                                                                                        Прежде чем вообще что-либо защищать, необходимо предоставить анализ угроз, определить защищаекмый периметр

                                                                                        Ага. Периметром традиционно является граница между корпоративной сетью и интернетом. С какой стати городить исключения?
                                                                                        и неважно, что для вашей организации это смысла не имеет

                                                                                        Все остальные настройки по умолчанию любой ОС и любой программы под нее вас полностью устраивают?
                                                                                        иллюзия безопасности достигнута.

                                                                                        Снова бредите. Хотя нет, не «снова» — вы не прекращали бредить ни на минуту.
                                                                                      +2
                                                                                      У нас много серверов. При этом вебсервера можно по пальцам пересчитать. Контроллеры домена — тоже.

                                                                                      Ну и действительно глупо объяснять что-то человеку, ставящему стучащий обо всем и вся в гугл хром на продуктивные сервера. Вы ни разу не находили в кеше гугла внутренние страницы, недоступные внешнему миру?

                                                                                      А давайте вы за меня не будете решать, что моим серверам надо в интернете.

                                                                                      А почему вы за всех решаете?
                                                                                      Дефолтная настройка «запретить к любые обращения по небезопасным протоколам к недоверенным зонам» — наиболее секьюрная. Исключения требуются лишь в единичных случаях. Так с какого перепуга следует ориентироваться на исключения при выборе дефолтных настроек — ради криворукого человека, неспособного поправить одну настройку, скрытую за парой кликов мыши?
                                                                                        0
                                                                                        > Периметром традиционно является граница между корпоративной сетью и интернетом.

                                                                                        (смеется)

                                                                                        Как вы организовали доступ сотрудников к корпоративной почте? А, можно из дома зайти? Домен вообще на гымейле? Ага, ага. Не буду мешать.
                                                                                          0
                                                                                          Как вы организовали доступ сотрудников к корпоративной почте? А, можно из дома зайти?

                                                                                          1) Через соответствующие специальные механизмы публикации, по SSL. Заметьте — не «сервер заходит», а «на сервер заходят».
                                                                                          2) Да. Избранные могут. Не все, разумеется.
                                                                                  0
                                                                                  а куда она должна ходить браузером? и если не должна, зачем браузер там вообще нужен?
                                                                                    +5
                                                                                    В интранет. И в защищенную зону, определенную политиками отдела безопасности компании. И уж по крайней мере это должно быть через протокол https.

                                                                                    В конце всех концов, чтобы это отключить достаточно щелкнуть по одной ссылке в Server Manager и в открывшемся окошке щелкнуть один радиобаттон и OK, если уж никак нельзя. Но что по умолчанию защита — включена, это, вообще говоря, очень правильное решение.
                                                                                      0
                                                                                      Действительно — робот на сервере сам будет ходить интернет експлойтером на сервера компании, определенные политикой безопасности. Отличное предложение, что еще сказать.

                                                                                      Не забудьте админу, который будет что-то на сервере настраивать, выдать бронетрусы и список разрешенных локаций. Вот пусть именно с них он софт и берет. И там же отдел закупок покупает. В интранете. ;-)

                                                                                        0
                                                                                        О, про деплоймент тулзы вы видимо тоже ничего не слышали %)
                                                                                          0
                                                                                          Расскажите чего еще я по вашему не знаю ;-)
                                                                                            0
                                                                                            Отдел закупок покупает софт, получает его из доверенного источника, отдает админу, админ ставин на деплоймент сервере и создает экшн на деплоймент на группу серверов. Да в крайнем случае просто кладет инсталляцию на внутренней шаре. Сервера получают этот софт с доверенного для себя источника, с деплоймент сервера или шары. Видимо, этого вы не знали, судя по вашему предыдушему коментарию.
                                                                                            Или у вас в компании админы — вершина пищевой цепочки, и сами решают, какие локации доверенные а какие нет?
                                                                                              0
                                                                                              Ага, плавали, знаем.

                                                                                              Поэтому установка простейшего апдейта занимает в такой позиции пару месяцев. Ведь на каждый шаг надо натыкать мышкой в сайбеле (или в чем там у вас учет), пройти кучу согласований между отделами и так далее.

                                                                                              Когда я шел таким путем — заняло это полгода, и закончилось тем что на «внутреннюю шару» я сам апдейт и ложил. Из интернета. Сам заходил через три ремот контрола на сервер. Сам ставил. А потом час тыкал мышой по состояниям тикета — сам проверил, сам согласовал, сам подтвердил, сам положил, сам перепроверил, сам поставил, сам проверил что поставилось и так далее.

                                                                                              Но это был очень вменяемый в этом отношении клиент, такая халява не каждый раз обламывалась.
                                                                                                0
                                                                                                Вменяемый? А по моему очень даже невменяемый. Вы обошли секьюрити полиси компании с подачи руководства и радуетесь этому. Как будто так и должно быть.
                                                                                                  0
                                                                                                  Невменяемый — это когда полиси как таковой нет, и поэтому в каждом филиале выдумывают свою. Вот это — действительно плохо. Именно в этом случае приходилось ездить с отмычками и отверткой. К слову, уже лет 10 назад такого не встречалось, это преданья старины глубокой.

                                                                                                  А в этом случае не обошел, а строго следовал всем установленным процедурам. Просто за все отвечал вендор, то есть я.
                                                                          +13
                                                                          Зачем ставить офис на серверную винду? Серверная винда предназначается для, простите за тафтологию, серверов. И термин «доверенная зона» означает не зону, которой майкрософт доверяет, а зону вашей подсети\сети, которой должен доверять ваш сервер. И было бы совсем странно обнаружить, что по дефолту внутренний сервер компании Пупкин почему то доверяет зоне майкрософта, которая вообще в интернете.
                                                                            +2
                                                                            Офис это не набор менюшек, а вполне себе система для работы с данными. Доступная через OLE automations и прочие чудеса. Как результат, тот же эксель вполне себе востребован на сервере разными ентерпрайзиками, потому и.

                                                                            Насчет внутренних сетей пупкиных — когда я ставлю сервер микрософта, не доверять микрософту уже поздно, не находите? ;-)
                                                                              +1
                                                                              Вы ошибаетесь. Есть целая куча примеров компаний (энтерпрайзиков, кстати), где секьюрити полиси говорит не добавлять в доверенную зону конкретного сервера любые внешние ресурсы.
                                                                              В любом случае, если вы добавляете в доверенные не https ресурс, вы сами себе злобный буратино, и сами должны быть уверены, что по этому адресу вы действительно попадете на сервер майкрософта. Да и https не панацея, что там. А вы предлагаете заранее по дефолту в системе оставлять такие адреса в доверенных, что бы злоумышленники заранее знали какие домены подделывать и какой траффик перехватывать?
                                                                                –5
                                                                                Есть много странных мест, факт. Но вообще гораздо проще завернуть весь трафик через DLP-шный прокси. И не нужны подписи и согласования на добавление.

                                                                                Кстати, снова напомню — устанавливаем хром и все эти настройки идут лесом ;-)

                                                                                Фактически, под видом защиты микрософт стимулирует распространение альтернативных браузеров. Я в общем только за.
                                                                                  +3
                                                                                  Именно потому в этих самых секьюрити полиси часто запрещены и хромы в том числе, посколько они не подчиняются групповым политикам контроллера домена. Не распространяйте свой опыт на всех, если вам UAC мешает жить, это не значит что он гавно. Просто конкретно вам он не нужен.
                                                                                  Про стимуляцию распространения браузеров откровенный бред.
                                                                                    0
                                                                                    Я (видимо в отличие от вас) заезжал в такие странные места. Со свежими експлойтами в кармане. Потому что «наша полиси вам не может дать админа», но новую версию надо поставить и желательно до утра.

                                                                                    Вендор приехал устанавливать новую версию своего решения, уже согласованную на самом верху и даже оплаченную — но «вот наша полиси» в каком-нибудь филиале в подзаборинске… ;-)

                                                                                    Натурально, приходилось ломать сервер клиента чтобы выполнить свою работу. Зато хрома нельзя.

                                                                                    ;-)

                                                                                    Что смешно, в головном офисе полное понимание и помощь в установке. Особенно когда рядом стоит местный СЕО. И полиси сразу не мешает, потому что вредительство.
                                                                                      +1
                                                                                      Это бредово звучит. Не даете прав, мы не можем поставить продукт. Какие проблемы. ;-)
                                                                                        0
                                                                                        Это не только звучит, это реально бред. Но!

                                                                                        Если филиалов много — то заколебешься туда-сюда летать, это раз. Кто будет оплачивать командировку вхолостую? Это ж чистейший убыток, все равно придется лететь еще раз и уже другой бригаде.

                                                                                        Кроме того, не забывайте простой факт — в контракте если написано «запустить к 15му» то значит надо запустить к 15му, а то выданный вендору вагон с баблом бодренько начинает ехать в обратном направлении. Штрафные санкции то се. Это — два.

                                                                                        И большого босса очень мало беспокоят проблемы паранойи админа в каком-нибудь таежном улусе, это три. Ты ж инженер? Возьми отвертку и наведи порядок ;-)

                                                                                        Кроме шуток, филиал без новой версии с головной конторой работать не сможет. И кто будет оплачивать простой? Местный параноик? Ему лет пять вкалывать надо, чтобы три дня простоя компенсировать.

                                                                                        Отвечать будет вендор и потом долго и нудно доказывать не пойми что не пойми кому. Пробовали бухам доказать мелкую техническую деталь, из-за которой вдруг убыток со многими нулями? Попробуйте, только валерьянки купите сразу с полведра, квест еще тот. А уж если это бухи чужой конторы? Которые ваши штрафы себе в плюс уже вписали? То-то.

                                                                                        Вот поэтому — ездили с эксплойтами и отвертками. И регулярно этот «ремнабор» обновляли, потому как никогда не угадать — где у местных завихрение и шизофрения, где паранойя, а где админ умную книжку прочитал.

                                                                                        А вы говорите — полиси.

                                                                                        А бывало еще веселее — вот у большой конторы стоит уникальная кастомная сборка интернет експлойтера. И вот именно эта версия вместо одного запроса в каком-то случае присылает сразу три. И сервак бодро начинает печатать три копии большущего отчета.

                                                                                        И обновить не могут — у них 40 000 рабочих мест. И что делать? Правильно, вендор на коленке ночью в гостинице рисует к серверу патч (это был лично я). А потом с красными глазами и помятой рожей едет в датацентр — накатить на надцать серверов на пяти разных архитектурах. Фактически — багфиксинг вслепую мысленным лучом.

                                                                                        Ездили-с, знаем-с эти полиси не понаслышке ;-)

                                                                                          +1
                                                                                          Я бы не работал в конторе, которая не умеет объяснять кастомерам, как работает продаваемый софт, какие риски, и что может помешать нам делать свою работу. И не работаю, как видно из моего профиля. 40000 рабочих мест для нашей компании кажутся смешным детским садом. Не для того ли доменный контроллер и корпоративный сервер установки софта с групповыми политиками, что бы такое количество машин обновлять? Ах да, у вас же UAC отключен, вместе со всем этим «ненужным барахлом».
                                                                                            0
                                                                                            Я не работаю в, я работаю с. И с вашей лавкой тоже работал, да. Ничего приятного не вспоминается, уж простите.
                                                                                              0
                                                                                              Не, я не говорю что у нас все идеально. Но речь не о том, о чем вы подумали, речь идет о Software Division, т.е. тоже софтового вендора. Так вот, у нас никогда не ставились такие дебильные задачи, как то «запустить к 15му». Если есть реальные препятствия со стороны кастомера, которые мешают «запустить к 15му» — то такие проблемы решаются на уровне руководства между компаниями, а не инжинером с отверткой на коленке в гостинице ночью. Может у нас просто менеджмент нормальный?
                                                                                                0
                                                                                                У вас такие задачи аутсорсят, в том числе таким как я ;-)
                                                                                            +3
                                                                                            не забывайте простой факт — в контракте если написано «запустить к 15му» то значит надо запустить к 15му

                                                                                            То есть инженер, который провел первоначальное исследование вопроса, идиот, и в вашей конторе все делается через одно место. Иначе никто не подписался бы под такими сроками — без уверенности, что никаких серьезных граблей по дороге не возникнет.

                                                                                            Ну а того, кто без ведома ответственных лиц заказчика бьет по его продуктивным серверам боевыми эксплоитами, следует выгонять ссаными тряпками с волчьим билетом.
                                                                                              +2
                                                                                              Подпишусь.
                                                                                                –1
                                                                                                Именно так пишут в умных книжках? Про инженера который провел начальное исследование?

                                                                                                Я имею сказать вам что в жизни делается не так.

                                                                                                * * *

                                                                                                Сначала, выясняется что некая большая лавка регулярно теряет многабабла (Ц). То ли у нее чрезмерно много экселей, то ли индусы графики рисовать не успевают — не суть. Но местная наколенная поделка не справляется уже пару лет как. А привлечение ребят с Бангалора только еще больше факапит дедлайны.

                                                                                                И вот тут у большой лавки есть два пути. Первый — это через кучу отделов протягивать закупку (или разработку) нового решения под сегоднящние реалии. Занимает это несколько лет, много нервов и много политики. И когда наконец все согласуют — сегодняшние реалии станут позавчерашними, хе-хе.

                                                                                                А есть второй путь. Большой босс соответствующего дивижена, где уже выложили слово «счастье» из 4х букв, сокращает индусов и на эти средства закупает решение под ключ у такого мелкого вендора как я.

                                                                                                И вот мелкая лавка регулярно по требованию клиента отгружает им новые версии своего софта по всей Европе.

                                                                                                Но!

                                                                                                Не забываем, что вендор вообще появился с черного хода, в обход всех и всяческих отделов секуритей, айти, девелопупментов и прочих суппортов. И каждый из этих отделов не поучаствовал в распилах и откатах.

                                                                                                И вот задача вендора раз в три месяца (или полгода, или раз в месяц — зависит от) планово обновлять софт в туче мест, многие из которых труднодоступны. А сервера и вся инфраструктура как раз и управляется местными админами. Которые — сюрприз! совершенно не заинтересованы в успехах соседнего отдела. А вот в очередном факапе — очень даже да.

                                                                                                И вот именно в такую враждебную среду приезжаю я делать то за что мне заплатили — внедряю то что несколько раньше по их же заказу написал.

                                                                                                Оценили момент?

                                                                                                Те кто вредят своими полисями и прочей макулатурой, НЕ относятся к тем кто будет этот софт пользовать и обслуживать. Классические собаки на сене, которым за счастье прикрыться бумажкой и хихикать потом под лестницей. И управы на них нет — это другие отделы и у них свои топ-топы, которые к нам в общем нейтральны, но и только.

                                                                                                Так что уж извините — но тратить полгода на объекте чтобы нерадивого балбеса с бумажкой выгнать я просто физически не могу. (Хотя удавалось и не раз)

                                                                                                Проще взять отвертку.

                                                                                                * * *

                                                                                                Хорошо что есть амазоны да рэкспейсы, с серверами стало намного проще. Ездить стало не надо. А лет 15ть назад — регулярно.
                                                                                                  0
                                                                                                  Я имею сказать вам что в жизни делается не так.

                                                                                                  Вы так говорите, будто я никогда не участвовал в похожих проектах со стороны заказчика…
                                                                                                  вендор вообще появился с черного хода, в обход всех и всяческих отделов секуритей, айти, девелопупментов и прочих суппортов

                                                                                                  Чушь. Подобные вещи вторым делом согластвываются с IT, IT Sec, физбезопасностью и прочими заинтересованными направлениями.
                                                                                                  А сервера и вся инфраструктура как раз и управляется местными админами

                                                                                                  Шарашкины конторы? Сочувствую. Обычно управление инфраструктурой консолидируется. «Местные админы» — слишком дорого и некачественно.
                                                                                                  И управы на них нет

                                                                                                  Как это нет? Сообщить бизнес-заказчику, что проект застопорился в ожидании решения со стороны такого-то подразделения. В договоре, соответственно, предусмотреть передвижение сроков в случае проволочек со стороны заказчика.
                                                                                                  Проще взять отвертку.

                                                                                                  Если бы вы работали с нами, то вы больше никуда устроиться не смогли бы.
                                                                                                    0
                                                                                                    > Если бы вы работали с нами, то вы больше никуда устроиться не смогли бы.

                                                                                                    (смеется) Так ведь работал.

                                                                                                    > Подобные вещи вторым делом согластвываются с IT

                                                                                                    Ага, ага. Поэтому (из свежачка) чтобы на сервер клиента залить апдейт — приходится в старбакс за угол ходить к фришному хотспоту. Ха ха.

                                                                                                    > Шарашкины конторы?

                                                                                                    Да, совсем мелкие такие лавки, с миллиардными оборотами.

                                                                                                    > Сообщить бизнес-заказчику, что проект застопорился в ожидании решения со стороны такого-то подразделения

                                                                                                    … которое будет через полгода. А за полгода к примеру сейлы не смогут продать ни одного нового контракта. Сервак-то лежит. И обновить его «ждем согласований». Отличное решение, браво. Зато бумажка не нарушена.

                                                                                                    Это ж динозавры, если им хвост откусить — дойдет до головы как раз через два квартала.

                                                                                                    Сейчас проще — сервак ставится вне зоны их кривых рук в амазоне, а полтинник в месяц прибавляется к счету на суппорт. И все в порядке. Местный айти играет в бирюльки, а клиент решает свои задачи.

                                                                                                    Правда внезапно (ТМ) ключевые сервисы их бизнеса оказываются не под их контролем — зато полиси не страдает.
                                                                                                      0
                                                                                                      Так ведь работал.

                                                                                                      Вот я и удивляюсь, почему вас с таким подходом не вышибают.
                                                                                                      Поэтому (из свежачка) чтобы на сервер клиента залить апдейт — приходится в старбакс за угол ходить к фришному хотспоту.

                                                                                                      А почему?
                                                                                                      А за полгода к примеру сейлы не смогут продать ни одного нового контракта

                                                                                                      А это — ваша проблема? Это дает вам право ломать продуктивную инфраструктуру, которая вполне себе работает?
                                                                                                      На случай «сервак лежит» всегда оговаривается удаленный доступ, это не проблема.
                                                                                                      Сейчас проще — сервак ставится вне зоны их кривых рук в амазоне

                                                                                                      Опять же — клиент, который готов разместить важный ресурс за пределами своей досягаемости, является шарашкиной конторой.
                                                                                                        0
                                                                                                        > Вот я и удивляюсь, почему вас с таким подходом не вышибают

                                                                                                        Элементарно — у меня работает и задачи клиента решает. А то что я себе изредка позволяю плюнуть на замшелые бумажки — ну так кому до этого есть дело, кроме пенсионеров с вахтерским синдромом?

                                                                                                        >> Поэтому (из свежачка) чтобы на сервер клиента залить апдейт — приходится в старбакс за угол ходить к фришному хотспоту.

                                                                                                        > А почему?

                                                                                                        Потому что в большой конторе дают такой guest account на местный корпоративный вайфай, что в нем есть только хттп. Секурити. А виндовый rdp через хттп-шные туннели ходит плохо. Если везет — то просто подтаскиваю ноут к окошку, если нет — приходится перебираться в старбакс и под кофе. Так быстрее.

                                                                                                        >> А за полгода к примеру сейлы не смогут продать ни одного нового контракта
                                                                                                        > А это — ваша проблема?

                                                                                                        А кому я нужен если я вместо решения проблем их создаю? Для этого есть сейлы межделмаша, нет результата — вагон с баблом едет к ним. Буду в бумажки играть — быстро вылечу.

                                                                                                        > Это дает вам право ломать продуктивную инфраструктуру, которая вполне себе работает?

                                                                                                        Как оно «работает» — известно, куча дыр. За что толпа дармоедов зряплату получает — непонятно ;-)

                                                                                                        И потом, кому нужна «работающая инфраструктура» которая не работает, а местный айти отдел воротит что хочет?

                                                                                                        Представьте себе сантехника, который стояк заклепал «в целях безопасности», выдал ведро и на рулоне даже инструкцию нарисовал, во дела. А среди местных админов — пруд пруди таких героев. Зато полисей и инструкций запасено — слона в них похоронить можно.

                                                                                                        Это ж даже не тупость, это саботаж — приехал вендор, вежливо просит дать доступ. Не хочешь пароль давать — зайди сам, сядь рядом, записывай все что делаю. А вместо этого «а у нас инструкция». И ведь готов месяцами за нее держаться — это ж большая редкость, когда увольняют саботажника за выполнение замшелой инструкции ;-)

                                                                                                        Теперь такие фрукты редкость, а лет 15 назад их был каждый второй.
                                                                                                          0
                                                                                                          Элементарно — у меня работает и задачи клиента решает.

                                                                                                          Очень странно, что работает. С вашей квалификацией работать оно не должно.
                                                                                                          в большой конторе дают такой guest account на местный корпоративный вайфай

                                                                                                          В больших конторах можно вполне гибко управлять доступом для вайфай клиентов…
                                                                                                          А кому я нужен если я вместо решения проблем их создаю?

                                                                                                          Разве? Следуя заведенным процедурам? Странно, обычно бывает наоборот.
                                                                                                          И потом, кому нужна «работающая инфраструктура» которая не работает, а местный айти отдел воротит что хочет?

                                                                                                          Опять же, вопрос к шарашкиным конторам на полсотни человек.
                                                                                                          Это ж даже не тупость, это саботаж — приехал вендор, вежливо просит дать доступ.

                                                                                                          Да, в мелких компаниях вы можете выпрашивать доступ у «админов». В крупных доступ будут выдавать вам, сразу, по инициированному бизнесом (а не вами) запросу. То, что вы ни разу не сталкивались с крупными (только врать не надо, это очень заметно) — ваша проблема.
                                                                                                            0
                                                                                                            > Очень странно, что работает. С вашей квалификацией работать оно не должно.

                                                                                                            Похвастайтесь своим списком побед, чего уж там.

                                                                                                            Заодно расскажите про «инициированному бизнесом», покажите свою компетентность.

                                                                                                            А я расскажу паре своих клиентов, что они некрупные. Фигня, что стоят по ярду баксов каждый, это шарашкины конторы. А, и те решения что я им поставляю — работать не должны ;-)
                                                                                                              0
                                                                                                              Похвастайтесь своим списком побед

                                                                                                              А смысл?
                                                                                                              Заодно расскажите про «инициированному бизнесом»

                                                                                                              Снова: какой смысл? Вы никогда не сталкивались с бизнес-процессами внутри крупных организаций, если для вас норма — выпрашивать пароль у местного «админа». Мне само существование местного «админа» кажется дикостью…
                                                                                                              А я расскажу паре своих клиентов, что они некрупные. Фигня, что стоят по ярду баксов каждый

                                                                                                              Да, конечно, я вам верю как родному :) Вы ведь уже продемонстрировали «знание» того, как они устроены. Этого вполне достаточно.
                                                                                                                0
                                                                                                                Так разбираетесь в бизнес-процессах крупных компаний — наверное работали с десятком, не меньше. Вот вам повод похвастаться. А?

                                                                                                                А то все про меня мне же и рассказываете.
                                                                                                          0
                                                                                                          > Опять же — клиент, который готов разместить важный ресурс за пределами своей досягаемости, является шарашкиной конторой.

                                                                                                          Или не параноик.

                                                                                                          А кроме того — облака сейчас модно, хе-хе.
                                                                                                            0
                                                                                                            Облака — это модно для мелких и средних контор. Крупные предпочитают собственные ресурсы закупать — это дешевле, удобнее и надежнее.
                                                                                                      0
                                                                                                      О, так это вы одна из потенциальных заноз в моей заднице, которая пораждает кучу проблем нашим инжинерам от кастомеров, у которых в свою очередь появляются проблемы, которые у них не должно были появляться.
                                                                                                      Что-ж, будем знакомы.
                                                                                                      И как, вам нравится ваша работа?
                                                                                                        0
                                                                                                        Вы же не в шарашкиной конторе? Значит не я ;-)
                                                                                                          0
                                                                                                          Нет, но кастомеры у нас разные есть. Бывает приходит инцидент, что наш продукт не работает, или работает не так. После недели ковыряния выясняется, что проделки вот таких вот кулхацкеров, которых пустили к инфраструктуре кастомера ставить совершенно другие продукты. Они там наворачивают свои хаки, отключают UAC, и прочее.
                                                                                                            0
                                                                                                            Это точно не ко мне, я к клиентским компам клиентов вообще касательства не имею.
                                                                                                              0
                                                                                                              Да как-же, вы же тут распинаетесь, как ночью на коленке делаете патчи и носите с собой эксплоит-кит в серверную к своим кастомерам, что бы повышать себе привелегие и инсталлировать свой продукт. А после ваших чудо-хаков что-то перестает работать. Вам главное лишь бы свой продукт поставить поскорее, что бы по контракту была галочка, продукт есть, установлен, заработал.
                                                                                                                0
                                                                                                                Распинаюсь? Хех.

                                                                                                                Всего лишь рассказываю байки у костра из своей более чем пятнадцатилетней практики. А вот еще помню случай в 96м году — пошли мы как-то на медведя с заточкой из напильника… ;-)

                                                                                                                А вы якобы верите, что я до сих пор каждый день с пилкой для ногтей на бегемотов хожу, еще один товарищ меня обличать взялся — да ты медведя то не видел даже на картинке! Так не бывает! И заточки у тебя никогда не было! Я конечно дровишек подкидываю — смешно же.

                                                                                                                Натурально, уже за орешками сходил.
                                                                                                                  +1
                                                                                                                  Нет-нет-нет, пардоньте. Если мы оба с вами спорим, не обязательно же об одном и том-же, верно? Я как раз полностью верю в реальность вашего опыта. Уж больно знакомые истории у вас. Не раз приходилось разгребать завалы после таких деятелей. Я категорически я не согласен с вашим подходом. Отключать UAC, ходить с эксплоитами в серверную кастомера, хвастаться что подмяли под себя секьюрити полиси кастомера пусть даже с подачи руководства этого кастомера. Простите, но здесь нечем хвастаться.

                                                                                                                  И причем тут синдром вахтера? Почему дефакто вы ставите себя умнее всех других? Почему вдруг вы решили, что знаете, почему и как было написано такое полиси, и почему оно должно соблюдаться? Вы провели последние пол года в изучении бизнес-юнита кастомера, что бы брать на себя ответственность срывать это полиси?
                                                                                                                    0
                                                                                                                    Да, мой подход многим вахтерам не нравится. Нет чтобы прогнуться, выказать уважение и полторашку пива притащить. Сразу отвертку из кармана ;-)

                                                                                                                    Только видите ли, когда слово «счастье» из четырех букв Ж, О, П, А — уже сложили (без меня), то вопрос ставится так — делай что хошь, но чтобы еще вчера.

                                                                                                                    По сути, ваши претензии — это из области «ай какой нехороший пожарный, вместо того чтобы в трех отделах завизировать и ключ получить, прицепил трос к своему пепелацу и дернул дверь посильнее. Отвалилась вместе с куском стены».

                                                                                                                    Граждане вахтеры! Я к вам подходил? Дверь открыть просил? Важность моих действий была очевидна? Так вы ребята со своими саботажниками сами разбирайтесь. И нет, сами выясняйте, почему у вас не предусмотрены действия в нештатных ситуациях. Ваш босс, который платит вам зряплату, (и мне счет подписывает) стоит рядом и мои действия одобряет, так что на ваши кислые вахтерские рожи мне плевать.

                                                                                                                    А вот когда пожар уже потушен, и критические для бизнеса процессы уже работают, вот тогда можно и поговорить о процедурах. Не до. После. Не хотите по моим расценкам стенку восстанавливать — обратитесь к кому другому, я свою задачу выполнил. ;-) И даже перевыполнил, еще и обговорив уже штатные способы обновлений!

                                                                                                                    Еще раз подчеркну — штатно работаем в штатном режиме. И аврально — в нештатном. Это две большие разницы.

                                                                                                                    А должно быть как? Фигня, что банк сгорит, зато вахтер получит удовольствие ;-) Плевать, что тот аутсорсер, которому давали задачу внедрить мега-секуритя, сьекономил (после того как на нем сьекономили значительно больше), и не прописал нештатных ситуаций в нужном количестве. Зато эти картонные стенки в головах вахтеров непрошибаемы, ведь «в инструкции» нет ;-)

                                                                                                                    Отсюда и разница.
                                                                                                                      0
                                                                                                                      Воу воу воу, палехче. Начнем с того, что я инжинер, и никакого отношения к сисадминам не имею. Я пишу продукт, который потом, как я понимаю, такие как вы у кастомеров разворачивают.
                                                                                                                      Но хорошо, раз вы так настаиваете, давайте поговорим о вахтерах. Кто же вам ставит такие задачи, «делай что хошь, но чтобы еще вчера», вахтеры? Я думал ваше руководство. Это раз.
                                                                                                                      Два, а полиси, вы считаете, тоже эти вахтеры придумали? Если это действительно так, то увольте, вы в шаражкиной конторе. А мы тут идеализируем и размышляем, как должно быть в правильной конторе.
                                                                                                                      Третье, вам может и кажется, что полиси — это слово из четырех букв, но вы в этом уверены? Вы юрист? А что если какие-то пункты полиси существуют, что бы прикрыть задницу компании с юридической стороны, не думали? Для страховиков, например?
                                                                                                                      Про пожарного пример очень хорошо иллюстрирует ваше ЧСВ и абсолютную уверенность в том, что все что вы делаете — априори важнее любой другой работы, любых договоренностей и людей. Вы возомнили себя… кем, кстати? (Я не религиозен, потому «бог» для меня всего-лишь слово.)
                                                                                                                      Ок, босс стоит с вами рядом. А кто этот босс? Я сомневаюсь, что самый главный CEO транснациональной компании прилетит к вам в филиал и будет стоять рядом, пока вы с вахтерами разбираетесь. Вероятно, ваш босс — один из менеджеров высшего звена, который получит нехилый откат за успешное завершение контракта с вашей компанией. И не смотря на то, что он наделен властью разрешить вам выдернуть дверь с половиной стены, ему сейчас чхать на десяток других, равностоящих ему менеджеров, которые завтра проснуться и будут думать как спасти задницы свои и своих инжинеров.
                                                                                                                        0
                                                                                                                        И за что вам уважение и пиво, после всего вышесказанного? Я вот ездил после своего коллеги в головной офис как-то, и был удивлен, когда они там удивлялись, что я пиво не пью. И вообще алкоголь не употребляю. Менталитет? Почему из-за собратьев алкоголиков, алкоголиком и меня весь мир априори считает? Нация алкоголиков?
                                                                                                                          0
                                                                                                                          Ну я тоже этот, как его — абстинент, во. И что? Посмеяться над свежим анекдотом про пиво вполне могу. А рассказ что такое «ерш лайт» вообще на ура идет ;-)

                                                                                                                          А пиво и уважение — не мне, я в них не нуждаюсь, мне дензнаки пожалуйста.

                                                                                                                          Пиво и уважение требуют ровно те, кто сначала профукал все полимеры, потом не сумел справиться с ситуацией самостоятельно, а когда я их же и прилетел спасать — еще и рельсы в колеса совать пытаются.

                                                                                                                          Ты нас не уважаешь! Что ты себе возомнил! Ты плюнул на нашу бумажку! А еще ты позвал нашего босса и он нас вздрючил! ;-)

                                                                                                                          Ну конечно — это я виноват, что не ознакомился заранее «за полгодика» (Ц) снова ваше со всеми нюансами договоренностей в архисурьезной лавке. И вместо пинания бирюлек почему-то сразу потребовал доступ, позвал босса, и приступил к работе. А поговорить? (Ц)
                                                                                                                          0
                                                                                                                          Не, неверно понимаете. Я человек — оркестр, сам пишу и сам разворачиваю ;-) Не один, понятно, но смысл именно такой.

                                                                                                                          Слово из 4х букв - это общая ситуация, после которой требуется мое присутствие. Пока не наступила, мирно работаем по плану. Чтим полися. А вот когда оно навернулось и пошли убытки в шестизначных суммах — вот тогда я хватаю свой чемоданчик с ноутом и зубной щеткой и галопом по пересеченной местности мчусь в еропорт.

                                                                                                                          С этого момента у нас ЧП, режим мирного времени не действует. И предписания мирного времени — тоже. И попытки мешать спасательной операции патамушта бамажки не велят — это саботаж и вредительство.

                                                                                                                          Когда вас приедет спасатель вынимать из горящего офиса, не забудьте поинтересоваться всеми отметками с проходной, ага. А то вдруг он через окно влез, гад такой. И главное, когда ему указывают на недопустимость влезания в окно — посылает к топ-топам, гад такой. Этим он «показывает свое ЧСВ», "считает свою деятельность априори важнее любой другой работы, любых договоренностей" (Ц) ваше, и вообще возомнил себя неизвестно кем.

                                                                                                                          Если местный СЕО (бывает и так) стоит рядом, вахтеров нет, есть их начальники. И когда выяснилось однажды уже в машзале, что апдейт можно только на дискетку записать, то начальники очень бодро организовали флопинет. Несмотря на то, что в полиси прямо указано, что непроверенные апдейты на боевой сервак ставить нельзя. И вообще меня в машзал пускать нельзя. Особенно с ноутом. Но режим ЧП есть режим ЧП. В обычное время стенки тоже ломать нельзя, но бывает что — надо.

                                                                                                                          Про какие-то договоренности порадовало особо. А мне-то что до местных политесов? Я — вендор, о местных терках и попилах могу и не знать. Вот стоит рядом ваш биг босс, с ним и решайте ваши договоренности. А я тут при чем? Предложил стенку сломать, местные топ-топы согласились, я что-ли должен искать — чья это стенка? ;-)

                                                                                                                          Чтобы было понимание, просто так я стенки не ломаю, это ж не мои стенки. Хотят еще неделю профукать — их выбор, не мой. Только вот какое дело — почему-то «можно быстро стенку сломать» местным нравится гораздо больше, чем «давайте я в гостинице еще недельку потусуюсь за ваш счет, пока вы все подписи соберете».

                                                                                                                          И тем более мне нет никакого дела до чьих-то задниц (фу!), особенно когда выясняется, что из них руки торчат и именно эти руки режим из 4х букв и устроили. ;-) Не лезли бы куда не надо — я бы и дальше попивал свой сок в кондиционированном офисе, и думал о том как продукт сделать еще лучше, еще удобнее и еще функциональнее.
                                                                                                                            0
                                                                                                                            Отлично, поздравляю. Вы оправдали в моих глазах частный случай использования вашего чемоданчика. Тем не менее все еще остаются висящими в воздухе ваши жалобы на постоянную необходимость использования чемоданчика. Хотя, меня это особо не интересует, видимо с такими кастомерами вам чаще приходится работать. Меня больше интересует, как этим всем вы объясняете необходимость по дефолту на предустановленной серверной ОС ставить в доверенные любой не HTTPS адрес в глобальной сети (в том числе и сам *.microsoft.com)?
                                                                                                                              0
                                                                                                                              Вы снова приписываете мне охоту на бегемотов с пилкой для ногтей. Бывает всякое — но это не значит что а) это еще актуально и б) регулярно ;-)

                                                                                                                              Было бы актуально — я бы не рассказывал.
                                                                                                                                0
                                                                                                                                > Меня больше интересует, как этим всем вы объясняете необходимость по дефолту на предустановленной серверной ОС ставить в доверенные любой не HTTPS адрес в глобальной сети (в том числе и сам *.microsoft.com)?
                                                                                                                                0
                                                                                                                                насколько я понял viklequick — он «СОБР», потому и «чемоданчик» у него в изголовье постоянно собранный :)
                                                                                                                                  0
                                                                                                                                  Не, я просто тролль со стажем, еще в фидо натренировался. ;-)
                                                                                                                                  0
                                                                                                                                  О, кольцо дискуссии замкнулось! Вы таки вернусь к microsoft.com! :D
                                                                                                                                    0
                                                                                                                                    А насчет «не-хттпс» очень просто. Это обыкновенная имитация безопасности. Безвредная. Но — пустышка. Только и всего. Почему — я тут вкратце пытался намекнуть поборникам вахтерского синдрома.

                                                                                                                                    Проверяется очень просто — от какого типа атак спасает эта настройка? Насколько вероятна такая атака на сервак в облаке? Каковы будут убытки в случае успешной атаки?

                                                                                                                                    Типичные ответы «от фишинга, невероятно, стоимость перезапуска инстанса с чистого образа (т.е. ноль)».

                                                                                                                                    И? Копеешная фигня, защищающая в случае нападения марсиан незнамо что.

                                                                                                                                    Не, понятно — есть случаи когда это актуально и не копеешное. Но вместо просто привести контр-пример я вижу только переливание из пустого в порожнее.

                                                                                                                                    Вообще, был такой анекдот — «здравствуйте, это северокорейский вирус. У нас так плохо с айти, что не могли бы вы сами разослать меня по вашей адресной книге, и стереть файлы с диска согласно следующего списка? Спасибо за сотрудничество!»

                                                                                                                                    Так вот настройки по умолчанию в типичном для меня случае выглядят как защита от этого вируса.
                                                                                                                                      0
                                                                                                                                      Настройки по умолчанию вовсе не призваны ни от чего защищать. Вы снова мыслите узко, глядя только в свою техническую тарелку. Забудьте про разницу HTTP/HTTPS, скажите лучше, с чего вообще любой, абсолютно любой адрес, не принадлежащий компании-владельцу сервера, должен находится в списке доверенных по дефолту после установки серверной ОС на этот сервер?
                                                                                                                                      Скажите, может вы свежеустановленный сервер выводите интернет тоже сразу, без предварительной настройки фаерволла, групповых политик, заведения в домен? Нет? Тогда почему этот список должен быть заполнен майкрософтом по умолчанию? Кто должен регулировать этот список? А если он будет предзаполнен майкрософтом, не набегут всякие гуглы с исками в антимонопольную комиссию, потому что тоже хотят быть в списке по дефолту? Вам пора отложить чемоданчик, вылезти из серверной, и посмотреть на других людей, не только айтишников. И считаться с ихними требованиями.
                                                                                                                                        0
                                                                                                                                        Так если они не предназначены — почему это секурити конфигурейшен? ;-) Да и смысл в них вообще тогда? Что-то вы путаетесь в показаниях.

                                                                                                                                        Для начала, задумайтесь — зачем этот список нужен. Какую задачу он решает?

                                                                                                                                        Кто для меня доверенный? Как минимум сайт вендора, чтобы апдейты приползали без проблем и дополнительный софт к системе можно было поставить. (См. выше про пустышку). Да и странно не доверять а) провайдеру и б) вендору, вы уже обоим занесли денег и еще занесете.

                                                                                                                                        Сервер в интернете я просто беру, см. облака. Фаерволл там встроенный. В домены не завожу — нет смысла.

                                                                                                                                        Не, я подскажу в чем дело, експлойтер как и многое другое у микрософт — это движок, компонент. Который можно встроить в программу Васи Пупкина. И вот уже этой программе действительно нечего делать в интернете, кроме явно разрешенных сайтов. Однако!

                                                                                                                                        Не у всех циска фронт-эндом стоит или хотя бы микротик. И что делать? А вот вам список! Да, теперь гора сайд-эффектов, но бесплатного секурити не бывает. Но ведь это сегмент SOHO — только в этом случае у нас есть смолл бизнес сервер с горой софта на нем. Причем даже в его инкарнации — весьма странно используемый, вот в чем хитрость.

                                                                                                                                        Тогда почему — эта трава по умолчанию? Непонятно.

                                                                                                                                        И совсем непонятно — при чем тут ваши страшные ентерпрайзы.

                                                                                                                                        Так что не надо мне рассказывать, что я живу в серверной, просто потрудитесь хотя бы самому себе нарисовать модель угроз, для которой эта умолчательная конфигурация имеет смысл. Нарисуете — вот тогда и будете рассказывать про ее необходимость.

                                                                                                                                        А то одни мантры вслух читаете, «это не секурити, поэтому оно защищает! и кому ваще доверять? кроме собственной жены?» ;-)
                                                                                                                                          0
                                                                                                                                          А вот в том то и дело, что сайт вендора может быть и не доверенным, по полиси компании. У многих стоят свои апдейт-сервера, куда пропускаются только верифицированные апдейты, и все остальные сервера и рабочие машинки обновляются с этого сервера. Почему вам странно не доверять? Вдруг очередной апдейт может что-то сломать в крупной ынтырпрайз системе (и полетят шестизначные суммы вместе с головами...)?

                                                                                                                                          Я потрудился самому себе нарисовать, что заходя на тот-же microsoft.com, он подгружает какой-то js каунтер с другого ресурса. А я не хочу, что бы меня где-то там считали хотом или кем-то там еще в своей статистике. Достаточный пример?
                                                                                                                                            0
                                                                                                                                            > сайт вендора может быть и не доверенным, по полиси компании

                                                                                                                                            Ваш тезис — вам и обосновывать (ушел за попкорном). Напомню речь идет про вендора вашей системы, вашей БД и проч.

                                                                                                                                            Чтобы апдейты (которые сломают и т. д.) были верифицируемы, всего-то надо прописать адрес вашего всусь-сервера в настройках, он никак не привязан к експлойтеру. Пример мимо кассы, уж извините.

                                                                                                                                            Про каунтеры на страничке — это вообще детский сад, простите за прямоту. «Он и тебя посчитал!» (Ц) известный мультфильм. Сколько денег вы потеряли от того что ваш вендор вас посчитал?

                                                                                                                                            Я ведь не зря про модель угроз напоминаю. Считайте в деньгах — сразу будет видно где что.
                                                                                                                                              0
                                                                                                                                              Что тут обосновывать? Почему вы априори считаете, что раз юзаем систему майкрософта, значит и сайты майкрософта доверенные должны быть, и вот прям всему майкрософту доверяем? А если у нас Windows CE?
                                                                                                                                              Вот, прописали мы этот наш сервер. Вопрос — зачем после этого сайт апдейтов в доверенных? Мы не доверяем ему с точки зрения конкретного сервера, этот сервер должен доверять только внутреннему серверу обновлений.
                                                                                                                                              Каунтер — просто как пример. Можно представить множество политических или юридических ситуаций.
                                                                                                                                              Давайте посчитаем в деньгах убытки компании, которая утверждает, что не использует M$, и вдруг оказывается, что все-таки использует. А такое бывает. К доверенным-недоверенным зонам пример конечно не относится, но вон презентационные стенды новой консоли оказалось крутились на обычном PC и виндах.
                                                                                                                                                0
                                                                                                                                                Ну вот и мне тоже интересно.

                                                                                                                                                Смешно же. Когда вы идете на сайт вендора? Когда у вас с софтом этого вендора проблемы. И вам что-то от этого вендора надо. Патч там или инструкцию, по ситуации. И что? Именно в этот момент вы этому сайту вендора не доверяете? Это шизофрения — левое полушарие правому не доверяет.

                                                                                                                                                Или вы на сайт производителя вашей операционки, вашего офиса, вашего мобильника, вашей БД, вашей бухгалтерии, вашей игровой консоли — анекдоты там ходите почитать? Полноте.

                                                                                                                                                Уже в треде придумали — что враги под кроватью сидят у вашего провайдера, что в интернете злые звери в темном лесу (показать их правда отказались), что бывают такие приборы, но мы вам их не покажем вот у 0.001% действительно это имеет смысл, но примеров ни у кого нет, и прочая.

                                                                                                                                                Вот все жду хотя бы одной стОящей причины такого недоверия. Пока что — ноль на массу.

                                                                                                                                                Зачем так сделано (с моей точки зрения) я как раз обосновал. Вместо вас, замечу.

                                                                                                                                                И в моем случае все логично, нет ни паранойи (за мной следят!) ни шизофрении (я пользуюсь потому что не доверяю). Всего лишь ориентация на другой сектор.

                                                                                                                                                Большая контора имеет штат специалистов, они настроят и сами. А мелкая — ресурсов не имеет, датацентров у нее нет и даже трафик часто лимитированный (сервер в гараже и т. д). Тут все логично — помогаем именно лавке из пяти лиц сэкономить им деньги. Заодно этот сервер меньше как рабочее место будут использовать.

                                                                                                                                                Всего лишь.

                                                                                                                                                А не придуманная вами попытка микрософта (уже смешно) помочь пиратам(!) скрыть тот факт что они пользуются продукцией микрософт(!!!).

                                                                                                                                                Ближе к жизни ;-)
                                                                                                                                                  0
                                                                                                                                                  Когда вы идете на сайт вендора?

                                                                                                                                                  С сервера? Дайте подумать… А, вспомнил — никогда!
                                                                                                                                                  Уже в треде придумали — что враги сидят у вашего провайдера

                                                                                                                                                  Ну например вы готовы осуществлять свои личные финансовые транзакции (включающие номер банковской карты, CVC код, фамилию-имя) по незашифрованному каналу? Да или нет?
                                                                                                                                                  Зачем так сделано (с моей точки зрения) я как раз обосновал.

                                                                                                                                                  Нет. Вы выставляете себя идиотом, утверждая, что браузить интернет со сферического в вакууме сервера — нормально.
                                                                                                                                                  Заодно этот сервер меньше как рабочее место будут использовать.

                                                                                                                                                  Так что мешает изменить одну настройку? Опять же — вы не можете пройти встроенный IQ тест?
                                                                                                                                                    0
                                                                                                                                                    >> Когда вы идете на сайт вендора?
                                                                                                                                                    > С сервера? Дайте подумать… А, вспомнил — никогда!

                                                                                                                                                    Это при засилии микрософтовских веб-инсталлеров? Ага, ага.

                                                                                                                                                    >> Ну например вы готовы осуществлять свои личные финансовые транзакции

                                                                                                                                                    При покупке офиса я могу его купить прямо с сервера. Нет проблем. А вот скачать — нет. Еще вопросы не по теме будут, или мне просто подождать обещанных вами злых зверей в темном лесу? ;-)

                                                                                                                                                    Или вы таки хотели сказать, что сливать апдейты на сервере прямо с этого сервера ни-ни, надо вынуть клавиатуру и бечь к соседнему серверу, чтобы скачать апдейт для болеющего? Гениально. В серверной-то только сервера, там рабочего места админа нету.

                                                                                                                                                    (Достает сок и пирожные, усаживается поудобнее перед монитором) Ну-сс, щас нас научат опции выбирать. Вопрос был правда — а нафига оно по умолчанию, но про зверей я тоже готов послушать.
                                                                                                                                                      0
                                                                                                                                                      Это при засилии микрософтовских веб-инсталлеров?

                                                                                                                                                      Каких? Вы, надеюсь, не про directx, flash, java и т.д.?
                                                                                                                                                      При покупке офиса я могу его купить прямо с сервера.

                                                                                                                                                      Что мелочиться? Можно поставить на сервер «два ядра, два гига и игровую видеокарту» и запускать игрушки. Можно биткойн майнеры запустить. Это же нормально, все так делают :)
                                                                                                                                                      А вот скачать — нет.

                                                                                                                                                      Почему нет? Что мешает? И вы упорно игнорируете вопрос «вы всегда во всех приложениях и ОС задействуете дефолтные настройки?».
                                                                                                                                                      В серверной-то только сервера, там рабочего места админа нету.

                                                                                                                                                      Внимание, вопрос. Какого черта «админ» вообще забыл в серверной, если задача отличается от «тягать железо»? Вам нравится контраст прохлады и жара? Или в обслуживаемых вами шарашках не приняты IP KVM, не говоря уже о таких магических инструментах, как RDP?

                                                                                                                                                      А вообще, если апдейт понадобился одному серверу, то он наверняка понадобится и другому. На всусе скачать, на препроде обкатать, на больных накатить. Все стандартно. Или вы сходу без теста ставите апдейты сразу на прод? Отличный способ осуществить контрольный в голову больному.
                                                                                                                                                      Вопрос был правда — а нафига оно по умолчанию

                                                                                                                                                      Может, потому что серверу вообще не надо браузить интернет?

                                                                                                                                                      Хотя да, у MS странная логика. Оболочка IE, которой все равно никто (ну ладно — кроме вас) не пользуется (тем более для скачки других браузеров), установлена. Зато клиент telnet, используемый всеми исключительно для траблшутинга, надо отдельно ставить.
                                                                                                                                                        –1
                                                                                                                                                        >> Это при засилии микрософтовских веб-инсталлеров?
                                                                                                                                                        > Каких? Вы, надеюсь, не про directx, flash, java и т.д.?

                                                                                                                                                        Про дотнет, IIS, и прочие эмвэцэ с ентитями. И жава тоже, да. Чай эпоха новелевой нетвари 3.12 закончилась давным — давно, и сервер ныне не файлы раздает, а сервисы. А вы с вашими коллегами про какие-то домены вспоминаете и шары файловые. Ребята, это архаика! Пора вылезать из музея.

                                                                                                                                                        > Внимание, вопрос. Какого черта «админ» вообще забыл в серверной

                                                                                                                                                        Вы бы ему быстро подсказали, как полноценно в гамаке на лыжах.

                                                                                                                                                        > IP KVM

                                                                                                                                                        Кстати, рекомендую воспользоваться, впечатлений будет масса. Заодно перестанете советовать использовать такое для доступа к соседней комнате, применение на практике очень отрезвляет. Мне хватило в свое время, когда у хостера мой сервер стал ребутаться по пять раз на дню.

                                                                                                                                                        > А вообще, если апдейт понадобился одному серверу, то он наверняка понадобится и другому

                                                                                                                                                        Ага, у вас же все сервера закупаются одновременно и одинаковой комплектации. Сгорает один — меняете все, это ж очевидно. Поэтому патчи на всех одинаковые, да?

                                                                                                                                                        > Может, потому что серверу вообще не надо браузить интернет?

                                                                                                                                                        Именно поэтому там в комплекте интернет експлойтер. Да?

                                                                                                                                                        > Почему нет? Что мешает?

                                                                                                                                                        Мешает — ваша самонадеянность, я боюсь что по другому вы не поймете. Неоднократно пытался до вас достучаться, но похоже хамство — ваше второе «я». Видимо недавно сданный вами тест на IQ вам мешает читать то что я пишу.
                                                                                                                                                          +1
                                                                                                                                                          Про дотнет, IIS, и прочие эмвэцэ с ентитями.

                                                                                                                                                          Дотнет подтягивается с апдейтами, IIS — роль.
                                                                                                                                                          И жава тоже, да.

                                                                                                                                                          Как мило. Очень жаль, что «информационная безопасность» для вас примерно как квантовая механика для меня. Название знакомое, какие-то обрывки знаете, но не более того.
                                                                                                                                                          Вы бы ему быстро подсказали, как полноценно в гамаке на лыжах.

                                                                                                                                                          Поясните. Мне казалось, что «в гамаке на лыжах» = «в машзале с ноутбуком под выхлопом реактивных двигателей или в морозильнике».
                                                                                                                                                          Кстати, рекомендую воспользоваться, впечатлений будет масса.

                                                                                                                                                          Спасибо, изредка пользуюсь. Коллеги, администрирующие серверную инфраструктуру, пользуются постоянно, а те сервера они никогда вживую не видят (включая первоначальную установку в стойку или корзину). В конце концов, KVM нужен, чтобы организовать RDP, ssh или что угодно другое родное ОС. Пользоваться им для штатного администрирования не менее глупо, чем осуществлять это штатное администрирование из машзала.
                                                                                                                                                          у вас же все сервера закупаются одновременно и одинаковой комплектации.

                                                                                                                                                          Вы не поверите…
                                                                                                                                                          И как ни странно, это — совершенно обычная практика в любой более-менее крупной конторе. Две-три модели на каждое поколение — и закупка десятков/сотен представителей модели. Поколения меняются редко. Так ведь проще.

                                                                                                                                                          Но вообще говоря, вы часто сталкивались с ситуациями «апдейт ОС или софта требуется из-за особенностей железа»?
                                                                                                                                                          Именно поэтому там в комплекте интернет експлойтер. Да?

                                                                                                                                                          Я и говорю — оболочка IE есть, клиента телнета нет. Да, MS странные. Оставить то, что никому не нужно, но выпилить то, что может внезапно пригодиться.
                                                                                                                                                          Мешает — ваша самонадеянность

                                                                                                                                                          Серьезно? А может, отсутствие у вас малейшего опыта в тех вещах, о которых вы очень убежденно рассказываете? У меня складывается ощущение, что вы просто пересказываете слова более опытного (тоже аникейщика) знакомого.
                                                                                                                                                          Видимо недавно сданный вами тест на IQ

                                                                                                                                                          Странное утверждение. Почему вы так думаете? Я вот честно не вижу ни одной другой причины, по которой у вас не получается дважды кликнуть мышью и отключить раздражающую вас настройку. Видимо, какие-то недокументированные фичи, та самая защита от дурака, который инфраструктуру загадит до предела ради галочки, а потом грамотные люди будут тратить кучу времени на восстановление.
                                                                                                                                                            0
                                                                                                                                                            > Дотнет подтягивается с апдейтами, IIS — роль.

                                                                                                                                                            То есть понятие сервера приложений для вас новость?

                                                                                                                                                            Да, будьте любезны, расскажите — в какой версии винды «с апдейтами» приползает дотнет 4.0 взамен предустановленного раритета. Вот и посмеемся. Заодно расскажите, с какими апдейтами приползает MVC. Да, не забудьте прочесть EULA! Дотнет не redistributable.

                                                                                                                                                            >> И жава тоже, да.

                                                                                                                                                            > Как мило. Очень жаль, что «информационная безопасность» для вас…

                                                                                                                                                            Продемонстрирую ваш стиль, не обессудьте.

                                                                                                                                                            Вы неуч! Из вас такой же специалист по безопасности, как из балерины — трактор. Не можете апплеты от J2EE отличить, а все туда же. Недавно сданный тест череп жмет, вот и чушь тут порете. Начитались журнала «ксакеп», и давай пересказывать с выражением. Хотя бы к месту пересказывали! Ай-Кью видимо маловат, понять что не о том пересказываете. Расскажите межделмашу, какие они дураки!

                                                                                                                                                            Нравится? Именно в таком стиле вы тут общаетесь.

                                                                                                                                                            > Мне казалось, что «в гамаке на лыжах» = «в машзале с ноутбуком»

                                                                                                                                                            Иногда без ноутбука. Сервера разные бывают, у некоторых монитор с клавиатурой в комплекте, выбираешь нужный в стойке и вперед.

                                                                                                                                                            Да и машзал не означает рядов стоек за горизонт. Будет стоять пару шкафчиков таких чудных с 10ком дверок каждый, смешных таких. Унутре шкафчиков есть секретная дверца с монитором и клавиатурой, там на пульте выбираешь нужный. И сдувать нечему, нет потребляемых мегаватт. Ну и стораджей таких гудящих пара шкафов добавьте. А держать банку с резервированием да с филиалами по всей Европе — хватает.

                                                                                                                                                            Так что меньше фантазируйте ;-)

                                                                                                                                                            > KVM нужен, чтобы организовать RDP

                                                                                                                                                            И если я зашел на сервак по RDP — то запустить там иксплойтер не моги! А то шапочка из фольги… ;-)

                                                                                                                                                            А вот если у себя скачаю (вместо 10 мегов все 700, вебинсталл то не сработает, на ноуте явно не серверная ось) и ручками в клиенте скопирую (отличная мысль — 700 мегов сюда, потом по тому же интернету их обратно, блеск! вышел называется из дома) и залью — то все, секурити просто супер и ни один зверь из леса не прибежал, да? Ведь домовая сеть понадежнее корпоративной будет! ;-)

                                                                                                                                                            Да и клиенту счет потом выставить — «4 часа качал апдейт туда-сюда», отличная мысль. И обосновать на трех страницах — как не нарушил местную полися.

                                                                                                                                                            Эх вы, специалист по безопасности. Не забудьте передачу файлов на сервак запретить во всех видах, а то вдруг я не из надежного источника залью по ssh. Или раз не видно — то и проблем нет?

                                                                                                                                                            Напомню, секурити это не инструменты, это дисциплина. Не бумажка. Не инструкция. Не набор битиков. Дис-ци-пли-на! Равняйсь! Смиррна! Заливаем только проверенные файлы! Неважно где я их взял — из локального хранилища пиратских копий или скачал с сайта микрософт. Троянов нет, отвечаю своей треуголкой!

                                                                                                                                                            Безопасность достигается именно так, и не иначе. А использую я для этого хром или иксплойтер — дело десятое.

                                                                                                                                                            Ага, ага. Азов не знаете, а туда же.

                                                                                                                                                            > Но вообще говоря, вы часто сталкивались с ситуациями «апдейт ОС или софта требуется из-за особенностей железа»?

                                                                                                                                                            Встречается. Вот недавно редхат на убунту менял, именно по этой причине ;-) А то виртуалка стала хост ронять да так что в логах про панику ничего. Сменил один музейный экспонат на другой — проблемы исчезли. (Я знаю почему исчезли, а вы?))

                                                                                                                                                            > Да, MS странные. Оставить то, что никому не нужно, но выпилить то, что может внезапно пригодиться.

                                                                                                                                                            В SOHO телнет нужен ровно в одном случае, модем настроить по бумажке. И это очень древний модем, без веб-морды. Потому и. Они не странные, они умные. А вот kb почитать да патч скачать — гораздо чаще бывает.

                                                                                                                                                            А вот пока вы рассказываете нам сказки про мегаваттные машзалы и зубастых всевидящих безопасников, в Редмонде четко знают, что таких машзалов мало и с каждым днем все меньше. А вот серверов в гаражах все больше.

                                                                                                                                                            Но вам из интернета виднее, да.
                                                                                                                                                              0
                                                                                                                                                              > Напомню, секурити это не инструменты, это дисциплина.

                                                                                                                                                              Юристов вы явно повесилили этим предложением ;)
                                                                                                                                                              Мне кажется, вы вообще перестали понимать, или никогда и не понимали, зачем все эти полиси нужны были в больших корпорациях. И почему их нельзя нарушать.
                                                                                                                                                                0
                                                                                                                                                                >> Напомню, секурити это не инструменты, это дисциплина.

                                                                                                                                                                > Юристов вы явно повесилили этим предложением ;)

                                                                                                                                                                Я уже почти отчаялся до оппонента достучаться, пытаюсь максимально упростить, может в такой гиперболизированной форме дойдет ;-)

                                                                                                                                                                А то тут некоторые путают бумажку с ветхим заветом, и мне рассказывают, что лоб недостаточно расшиб когда молился Всемогущей Инструкции…

                                                                                                                                                                Пытаюсь донести что к бумажке надо относиться как к Уставу — когда требует обстановка смело ее нарушать, творчески подходя к. А не использовать ее догматически, профейлив все что можно строго по бумажке.

                                                                                                                                                                А то еще подумаете, что я тут серьезно — особенно про хранилище пиратских копий ;-)
                                                                                                                                                                0
                                                                                                                                                                в какой версии винды «с апдейтами» приползает дотнет 4.0 взамен предустановленного раритета.

                                                                                                                                                                Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2.
                                                                                                                                                                Даже этого не знаете, как и того, что он ставится не «взамен», а «рядом»…
                                                                                                                                                                Заодно расскажите, с какими апдейтами приползает MVC.

                                                                                                                                                                Ни с какими. Но офлайновый инсталлятор можно найти в самом неожиданном месте.
                                                                                                                                                                Нравится?

                                                                                                                                                                Вызывает улыбку :)
                                                                                                                                                                Да и машзал не означает рядов стоек за горизонт.

                                                                                                                                                                У шарашек — да. У более-менее крупных контор будет тот самый ряд стоек. Не обязательно за горизонт. Но с массивами, блейдовыми корзинами и так далее.
                                                                                                                                                                И если я зашел на сервак по RDP — то запустить там иксплойтер не моги!

                                                                                                                                                                Правильно — надо сломать сервер, получить галочку и убежать, пока ничего не упало. С последствиями пусть другие разбираются.
                                                                                                                                                                700 мегов сюда, потом по тому же интернету их обратно

                                                                                                                                                                А 700 мегов — это уже много? Мне казалось, на несколько минут развлечение.
                                                                                                                                                                Напомню, секурити это не инструменты, это дисциплина. Не бумажка. Не инструкция.

                                                                                                                                                                В том-то и проблема. Секьюрити — это в том числе те самые инструменты, бумажки и инструкции. Ваш подход — «контора теряет пару рублей в час, срочно все ломаю, а после меня хоть потоп». Если из-за вашей некомпетентности контора попадет на куда более серьезные деньги — это проблема, причем уже скорее всего не ваша. На этот случай есть определенные инструкции, как свести риски к минимуму.
                                                                                                                                                                отвечаю своей треуголкой!

                                                                                                                                                                Ваша треуголка ничего не стоит. Вы отвечаете не ей, а благополучием клиента.
                                                                                                                                                                В SOHO телнет нужен ровно в одном случае

                                                                                                                                                                Мы не говорим про SOHO.
                                                                                                                                                                Я уже почти отчаялся до оппонента достучаться

                                                                                                                                                                Конечно. Вы с уверенным видом вещаете абсолютную ахинею. Всем понятно, что это — ахинея, но не вам.
                                                                                                                                                                А не использовать ее догматически, профейлив все что можно строго по бумажке.

                                                                                                                                                                Бумажка всегда подразумевает, что можно создать запрос в ответственное за безопасность подразделение, и там решат, согласовывать его или нет. В случае серьезного инцидента это займет не более нескольких минут. В таких случаях вы говорите заказчику «руки связаны», заказчик быстро эскалирует проблему до самого верха, оттуда ее спускают вниз к ответственным, и вам предоставляют нужный доступ. Но это в основном годится для тех самых «многомиллионных» инцидентов, то есть для того, с чем вы никогда не сталкивались :) Зато выламывать стены и насиловать системы из-за инцидентов класса «в течение недели неплохо бы починить» — нормально. Ведь время поджимает, надо срочно получить галку и рвануть на следующее аналогичное мероприятие…
                                                                                                                                                                  0
                                                                                                                                                                  Server Error in '/' Application.
                                                                                                                                                                  Runtime Error
                                                                                                                                                                  Description: An application error occurred on the server. The current custom error settings for this application prevent the details of the application error from being viewed remotely (for security reasons). It could, however, be viewed by browsers running on the local server machine.


                                                                                                                                                                  Отличная ссылка, 5+ ;-)

                                                                                                                                                                  > У шарашек — да.

                                                                                                                                                                  Клиента не выписывать, он все знает лучше всех. А все кроме него несут ахинею. Браво.

                                                                                                                                                                  >> И если я зашел на сервак по RDP — то запустить там иксплойтер не моги!
                                                                                                                                                                  > Правильно — надо сломать сервер, получить галочку и убежать

                                                                                                                                                                  Это ваш стиль работы?

                                                                                                                                                                  Я уже рассказывал, когда что и зачем, желающие могут тред отмотать. Вот когда такие юниоры как вы (согласно инструкции) наломают дров и сломают мой софт (не чей-то еще) — появляюсь я, не раньше. И после меня — все работает. Видимо потому что я в отличие от вас видел не только на картинке стойки за горизонт, хехе. И апплеты от ентерпрайза могу отличить.

                                                                                                                                                                  О ваших трудовых подвигах вы скромно умолчали, видимо похвастать нечем. Так что про «другие потом исправляют» это явно не про вас. Видимо после вас частенько исправляют, поэтому вы пытаетесь перенести на меня ваши фантазии.

                                                                                                                                                                  Да, безопасник со стажем, расскажите уж — чем отличается скачанный файл непосредственно с сервака от такого же, но через посредника. Кроме лишнего геморроя?

                                                                                                                                                                  Потому что разницы нет, да? Набор байтиков идентичен, а разница только в голове?

                                                                                                                                                                  > Ваша треуголка ничего не стоит

                                                                                                                                                                  Это ваша. Рассказывайте про себя. Уже купили себе бугатти на мастерски защищенное? Или пока хватило только на велосипед?

                                                                                                                                                                  > Секьюрити — это в том числе те самые инструменты, бумажки и инструкции.

                                                                                                                                                                  Это средства. Научитесь отличать цель от инструментов которыми вы пытаетесь ее достигнуть.

                                                                                                                                                                  > Ваш подход — «контора теряет пару рублей в час

                                                                                                                                                                  Я не работаю с теми кто рубли. Рассказывайте про себя.

                                                                                                                                                                  Более чем 15 лет назад одно время работал — именно мухозасранские вахтеры и вынуждали возить с собой отмычки, кстати. В отличие от европейцев или там американцев. Знаете почему? Потому что клятым буржуинам важно чтобы работало, их зарплаты и бонусы — в прямой зависимости от прибылей компании и они это знают. Поэтому как правило — всемерная помощь в решении проблем.

                                                                                                                                                                  А вот в России — да, поиграть в бумажки, показать свою значимость за счет собственно той лавки которая зарплату платит таким как вы — в порядке вещей. Зато можно отправить запросы и пособирать визы. Пару месяцев. Неважно, что в результате таких игр ваш ЦБ отзовет у вашей лавки лицензию и вы останетесь без работы, зато ваш айти отдел с вашим отделом безопасности оттопчутся по полной, покажут всем свою значимость.

                                                                                                                                                                  И аргументы вы приводите ровно те же что и тогда — а они поломают а нам чинить! Плевать, что еще не было ни одного инцидента, что на моем сервере не должно быть ничего кроме моего же софта. И делать там вам нечего, сдается шкаф под ключ. В случае дизастера вот телефон, суппорт-прилет уже оплачен.

                                                                                                                                                                  «А вдруг завтра война или другое мероприятие, а сапоги не чищены? Надо пароли сменить на ящике вендора, пусть как прилетит — заколебется! А я тут пока к программе SETI подключусь, чего простаивает». И непрошибаемая уверенность в постижении всех тайн мира.

                                                                                                                                                                  > срочно все ломаю, а после меня хоть потоп

                                                                                                                                                                  Отличные у вас способы работы, что еще сказать.

                                                                                                                                                                  > Если из-за вашей некомпетентности контора попадет на куда более серьезные деньги

                                                                                                                                                                  … то в контракте написано куда они побегут и почему. И куда я побегу и при чем тут агенты по недвижимости (это к вопросу о треуголке, которая явно ценнее вашей). А вот вы о таких вещах только слышали и кроме вашего велосипеда ответить ничем не можете. Поэтому я и читаю тут ваши фрустрации на тему древних побасенок. Ха-ха.

                                                                                                                                                                  Но вы не останавливайтесь, продолжайте меня разоблачать. У меня еще много есть смешных историй прошлого века, в каждой из которых есть над чем посмеяться.

                                                                                                                                                                  > Бумажка всегда подразумевает, что можно создать запрос в ответственное за безопасность подразделение, и там решат, согласовывать его или нет

                                                                                                                                                                  Какая дикость и отсталость.

                                                                                                                                                                  А вот надо поднять сломанный какими-то косорукими дятлами бизнес-критикал сервер. Причем согласно всех бумажек — этих дятлов в радиусе ста метров не должно было быть. Но они там материализовались. Давайте теперь согласуем — будем мы сервиспак ставить или нет ;-)

                                                                                                                                                                  Понятно почему у вас пару рублей в час. С таким-то подходом.

                                                                                                                                                                  А вот вендор или хотя бы аутсорсер с вашими отделами ничего не подписывал (кроме NDA и типового контракта). И им плевать на ваши запросы, если за сервер отвечают ОНИ, то они же и будут чинить. После ваших мастеров, которые по вашим полисям и близко не должны были подходить. «Чукча, покроми собак и ничего не трогай», вот именно.

                                                                                                                                                                  А вот когда уже такие как я подымут обратно — тогда и подтянется отдел безопасности и проведет аудит защищенности сервера на основании их инструкций. Хе хе. Ну вдруг вендор забыл вернуть обратно настройки иксплойтера по умолчанию? ;-)

                                                                                                                                                                  > В случае серьезного инцидента это займет не более нескольких минут. В таких случаях вы говорите заказчику «руки связаны», заказчик быстро эскалирует проблему до самого верха, оттуда ее спускают вниз к ответственным, и вам предоставляют нужный доступ.

                                                                                                                                                                  Ваше представление о больших лавках списано с книжки «Незнайка на Луне», не иначе.

                                                                                                                                                                  Занимает это недели и месяцы, чтобы вы знали. Уже после того как все проэскалировано по самое не балуйся. Потому что деньги и влияние. Нельзя вот просто так отойти в сторонку — завтра подвинут уже не спрашивая, а послезавтра ваши «мастера» начнут только картриджи менять без согласований. Но юниорам об этом не рассказывают, да.

                                                                                                                                                                  Поэтому дальше цирк. А единственный кто знает пароль — в отпуске / в запое! Заходите через недельку, а пока мы вам подготовили обоснование на 20 страниц мелким шрифтом — почему нельзя никогда и ни за что вендору получить доступ к серверу вендора. И нет, не спрашивайте — что мы там в него залезли, у нас инструкция!

                                                                                                                                                                  Это — реалии, я с таким сталкивался неоднократно.

                                                                                                                                                                  > Мы не говорим про SOHO.

                                                                                                                                                                  Вы — пересказываете с выражением «Незнайку на луне», я уже вам об этом говорил. Вам рассказывают почему именно такие умолчания на сервере микрософт, запишите в книжечку, вдруг пригодится. И сдать в сейф не забудьте — книжечка как и другие тетрадки секретная ;-)
                                                                                                  0
                                                                                                  Как результат, тот же эксель вполне себе востребован на сервере разными ентерпрайзиками, потому и.

                                                                                                  Тоже баловался этим.
                                                                                                  Учтите, что это нерекомендованный способ, да и запрещенный соглашением офиса. Существует альтернативные методы генерации екселей на серваке.
                                                                                                    0
                                                                                                    Генерации — да, а вот чтения чтобы формулы и макросы срабатывали, да с линками на соседние эксели — вот это квест еще тот.
                                                                                                0
                                                                                                https://*.microsoft.com/* пользоваться пробовали?
                                                                                                  0
                                                                                                  Посылает при клике на кнопку на странице, страница на live.com ;-)
                                                                                    +1
                                                                                    Всякое бывает. На компьютере подруги нужно было заставить медленнее крутиться вентилятор на видео. В драйверах это сделать не смог, только в RivaTuner, UAC не хотел отключать принципиально. Нажимать разрешение при каждой перезагрузке — не вариант. Пока нашел инструкцию и сделал при помощи майкрософтовской утилиты ( Application Compatibility Toolkit ) разрешения и настройки прошло часа полтора.
                                                                                      +1
                                                                                      Старый и кривой софт, уже же обсуждали.
                                                                                      Последняя версия RivaTuner вышла в 2009 году, и у него есть преемник — MSI Afterburner. Который, в частности, умеет стартовать как сервис.