» »

Poganjanje Windows brez administratorskih pravic varneje

1
2
»

BlueRunner ::

V Windows 7 je zadeva urejena s t.i. "virtualizacijo" (ne mešati z pravo virtualizacijo) dostopov do zaščitenih lokacij. To programom, ki niso pisani v skladu z smernicami proizvajalca operacijskega sistema, omogoča, da delujejo tudi v restriktivnem okolju.

Nastavitev je privzeto vključena.

imagodei ::

BlueRunner,

a imaš kakšen link na to temo? TNX
- Hoc est qui sumus -

noraguta ::

No, lepo, da so v novejših verzijah približno popravili to. Mi imamo eno starejšo verzijo; poleg tega pa je omenjen link še vedno polrešitev, ne pa celostna rešitev. Kot piše linku, Inventor še vedno "petlja" po HKEY_LOCALE_MACHINE in HKEY_CLASSES_ROOT, zaradi česar običajni uporabnik ne more nastavljati nekaterih startup nastavitev, ipd... Navodila še vedno predvidevajo, da v takem primeru zaženemo Inventor z RunAs opcijo.

Ravno to pa je tudi tisti problem: navadni uporabnik nima kaj poznati Admin passworda na računalniku. In v kolikor gre za eno User aplikacijo, katere namen je izključno prinašat podjetju denar, potem ne vidim nobene pameti v tem, da neke začetne konfiguracije navadnemu userju onemogočiš.


vsaj jaz imam nekaj skriptov kateri se poganjajo za divnjenim pravicami(pa še vedno ni admin) in shranjenimi creditalsi(obstaja v run ass). preprosto za nekaj reg command ni potrebno dajat administrativnih privilegijev userju. skripte pa ne admin ne more popravljati. dokaj save rešitev. Sem se pa tega naučil pri eni access applikaciji kjer so se verzije teple.
Pust' ot pobyedy k pobyedye vyedyot!

imagodei ::

noraguta> "vsaj jaz imam nekaj skriptov kateri se poganjajo za divnjenim pravicami(pa še vedno ni admin) in shranjenimi creditalsi(obstaja v run ass)."

As in "Elevate"?
- Hoc est qui sumus -

MrStein ::

Če kdo rabi, sem pred časom (ko sem samega sebe mučil z delom v ne-admin account-u) spisal par vrstic kode, ki ti da SetUID funkcijo v Windows.

Torej ko user klikne (požene) program, se ta brez spraševanja požene z admin (ali po želji z drugim, vnaprej določenim) userjem.

(ja, vem da je setUID security risk)

Mogoče gre isto s saved credentials, tega pa nisem probal.

Link: SUID bit für Windows, lösung
Glej zadnjo verzijo (zadnji post), ker se je program razvijal v toku teme.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

noraguta ::

kar je seveda izumljanje tople vode. v nobenem primeru ne daješ run-asa za admina temveč , kvečjem appPoweruserja. passwor lepo shrani windows in to je to. SUID je nevaren nevaren na obeh platformah. je pa za lenuhe (katiri se niti ne pozanimajo po čem šari program) hitra možnost. ampak tak sistemc niti ne zna sodelovati z programerjem(ki povečini ne spremlja vidikov varnega computinga, razen pri večjih applikacijah kjer to rešuje deploymen team).
Pust' ot pobyedy k pobyedye vyedyot!

BlueRunner ::

imagodei je izjavil:

BlueRunner,

a imaš kakšen link na to temo? TNX


Zadeva je bila menda na voljo že v Visti... česar pa ne morem preveriti. Nekaj naključnih povezav je tukaj:
http://msdn.microsoft.com/en-us/library...
http://windowsconnected.com/blogs/jerry...

in seveda večni Google: http://www.google.si/search?q=common+fi...

Seveda stvar ni popolna, ampak marsikater problem sem pa že videl, da je rešila. Na eleganten način, saj se na ta način ločijo nastavitve različnih uporabnikov sistema, tudi če aplikacija ignorira navodila in želi pisati po skupnih področjih.

Na pamet mi pade WinAmp s svojo notorično idejo, da sme imeti kater koli imenik v "Program Files" pravico pisanja za vse uporabnike... IMHO kriminalno.

Zgodovina sprememb…

MrStein ::

noraguta je izjavil:

kar je seveda izumljanje tople vode. v nobenem primeru ne daješ run-asa za admina temveč , kvečjem appPoweruserja. passwor lepo shrani windows in to je to. SUID je nevaren nevaren na obeh platformah. je pa za lenuhe (katiri se niti ne pozanimajo po čem šari program) hitra možnost. ampak tak sistemc niti ne zna sodelovati z programerjem(ki povečini ne spremlja vidikov varnega computinga, razen pri večjih applikacijah kjer to rešuje deploymen team).

Ja ja, sodeluj ti z avtorjem RTCW:ET.

Možnosti so bile:
- 10 minut dela z "emulacijo" SUID
- več kot 10 minut in razbijanje userjev po glavi admina (moji) in potem GOTO možnost 3
- full admin user skoz


Saj, v idealnem svetu bi delal brez admin pravic. V realnem pa delam z.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

noraguta ::

MrStein je izjavil:

noraguta je izjavil:

kar je seveda izumljanje tople vode. v nobenem primeru ne daješ run-asa za admina temveč , kvečjem appPoweruserja. passwor lepo shrani windows in to je to. SUID je nevaren nevaren na obeh platformah. je pa za lenuhe (katiri se niti ne pozanimajo po čem šari program) hitra možnost. ampak tak sistemc niti ne zna sodelovati z programerjem(ki povečini ne spremlja vidikov varnega computinga, razen pri večjih applikacijah kjer to rešuje deploymen team).

Ja ja, sodeluj ti z avtorjem RTCW:ET.

Možnosti so bile:
- 10 minut dela z "emulacijo" SUID
- več kot 10 minut in razbijanje userjev po glavi admina (moji) in potem GOTO možnost 3
- full admin user skoz


Saj, v idealnem svetu bi delal brez admin pravic. V realnem pa delam z.

je pa res , da nismo klijenti te aplikacije. glede sodelovanja za (kdove keateroa firma dela to reč)? ako me zaprosijo in ustrezno stimulirajo , zakaj pa ne
Pust' ot pobyedy k pobyedye vyedyot!
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kako ukaniti Teslinega avtopilota in se zaleteti

Oddelek: Novice / Znanost in tehnologija
135775 (3608) Markoff
»

PortSmash: nova ranljivost v Intelovih procesorjih (strani: 1 2 )

Oddelek: Novice / Varnost
6610894 (7773) Mr.B
»

Microsoft v zadnjem letu odkril sto ranljivosti v tretjih programih

Oddelek: Novice / Varnost
114319 (3277) BigWhale
»

Najbolj luknjičav Apple

Oddelek: Novice / Apple iPhone/iPad/iPod
3511039 (8753) MrStein
»

Poganjanje Windows brez administratorskih pravic varneje (strani: 1 2 )

Oddelek: Novice / Operacijski sistemi
5816338 (14202) noraguta

Več podobnih tem