Poganjanje Windows brez administratorskih pravic varneje

V Windows 7 je zadeva urejena s t.i. "virtualizacijo" (ne mešati z pravo virtualizacijo) dostopov do zaščitenih lokacij. To programom, ki niso pisani v skladu z smernicami proizvajalca operacijskega sistema, omogoča, da delujejo tudi v restriktivnem okolju.

Nastavitev je privzeto vključena.

No, lepo, da so v novejših verzijah približno popravili to. Mi imamo eno starejšo verzijo; poleg tega pa je omenjen link še vedno polrešitev, ne pa celostna rešitev. Kot piše linku, Inventor še vedno "petlja" po HKEY_LOCALE_MACHINE in HKEY_CLASSES_ROOT, zaradi česar običajni uporabnik ne more nastavljati nekaterih startup nastavitev, ipd... Navodila še vedno predvidevajo, da v takem primeru zaženemo Inventor z RunAs opcijo.

Ravno to pa je tudi tisti problem: navadni uporabnik nima kaj poznati Admin passworda na računalniku. In v kolikor gre za eno User aplikacijo, katere namen je izključno prinašat podjetju denar, potem ne vidim nobene pameti v tem, da neke začetne konfiguracije navadnemu userju onemogočiš.

vsaj jaz imam nekaj skriptov kateri se poganjajo za divnjenim pravicami(pa še vedno ni admin) in shranjenimi creditalsi(obstaja v run ass). preprosto za nekaj reg command ni potrebno dajat administrativnih privilegijev userju. skripte pa ne admin ne more popravljati. dokaj save rešitev. Sem se pa tega naučil pri eni access applikaciji kjer so se verzije teple.

Če kdo rabi, sem pred časom (ko sem samega sebe mučil z delom v ne-admin account-u) spisal par vrstic kode, ki ti da SetUID funkcijo v Windows.

Torej ko user klikne (požene) program, se ta brez spraševanja požene z admin (ali po želji z drugim, vnaprej določenim) userjem.

(ja, vem da je setUID security risk)

Mogoče gre isto s saved credentials, tega pa nisem probal.

Link: SUID bit für Windows, lösung
Glej zadnjo verzijo (zadnji post), ker se je program razvijal v toku teme.

imagodei je 8. apr 2010 ob 11:52 izjavil:

BlueRunner,

a imaš kakšen link na to temo? TNX

Zadeva je bila menda na voljo že v Visti... česar pa ne morem preveriti. Nekaj naključnih povezav je tukaj:
http://msdn.microsoft.com/en-us/library...
http://windowsconnected.com/blogs/jerry...

in seveda večni Google: http://www.google.si/search?q=common+fi...

Seveda stvar ni popolna, ampak marsikater problem sem pa že videl, da je rešila. Na eleganten način, saj se na ta način ločijo nastavitve različnih uporabnikov sistema, tudi če aplikacija ignorira navodila in želi pisati po skupnih področjih.

Na pamet mi pade WinAmp s svojo notorično idejo, da sme imeti kater koli imenik v "Program Files" pravico pisanja za vse uporabnike... IMHO kriminalno.

MrStein je 8. apr 2010 ob 17:13 izjavil:

noraguta je 8. apr 2010 ob 13:30 izjavil:

kar je seveda izumljanje tople vode. v nobenem primeru ne daješ run-asa za admina temveč , kvečjem appPoweruserja. passwor lepo shrani windows in to je to. SUID je nevaren nevaren na obeh platformah. je pa za lenuhe (katiri se niti ne pozanimajo po čem šari program) hitra možnost. ampak tak sistemc niti ne zna sodelovati z programerjem(ki povečini ne spremlja vidikov varnega computinga, razen pri večjih applikacijah kjer to rešuje deploymen team).

Ja ja, sodeluj ti z avtorjem RTCW:ET.

Možnosti so bile:
- 10 minut dela z "emulacijo" SUID
- več kot 10 minut in razbijanje userjev po glavi admina (moji) in potem GOTO možnost 3
- full admin user skoz


Saj, v idealnem svetu bi delal brez admin pravic. V realnem pa delam z.

je pa res , da nismo klijenti te aplikacije. glede sodelovanja za (kdove keateroa firma dela to reč)? ako me zaprosijo in ustrezno stimulirajo , zakaj pa ne