Vista и запись в HKLM и Program Files.

← →
Anatoly Podgoretsky © (2006-12-06 11:46) [120]

> DVM (06.12.2006 11:12:45) [105]

Если сказала, что нет полномочий, то так и есть.
Администратор это обычный пользователь с расширенными полномочиями, в отличии от супервизора с безграничными полномочиями и бессметностью.

Но раз тебя не устраивают правила Виндоус, то кто же тебя заставляет писать под нее? Пиши под Мас, правда я посмотрю тогда на твои вопли.

← →
Anatoly Podgoretsky © (2006-12-06 11:46) [121]

> DVM (06.12.2006 11:17:48) [108]

Не верю.
Копирайт не буду приводить и так понятно кто.

← →
Anatoly Podgoretsky © (2006-12-06 11:47) [122]

> DVM (06.12.2006 11:20:51) [111]

Никто им не мешает попасть в этот список или работать по правилам.

← →
Anatoly Podgoretsky © (2006-12-06 11:49) [123]

> DVM (06.12.2006 11:25:54) [114]

Ну и пусть тогда они попробуют записать что либо в Program Files
Учетная инсталяционная запись не позволяет запускать программы от своего имени, инсталировать пожалуйста, а запуск или от имени текущего пользователя или от имени администратора.

← →
Anatoly Podgoretsky © (2006-12-06 11:55) [124]

> IMHO (06.12.2006 11:30:56) [116]

> Почему ему можно, а другим нельзя?

Потому что он инсталятор и для данной работы выделена другая учетная запись со своими ограничениями.

← →
DVM © (2006-12-06 12:01) [125]

> Потому что он инсталятор и для данной работы выделена другая
> учетная запись со своими ограничениями.

Нет, InnoSetup по крайней мере работает от имени учетной записи администратора.

> Но раз тебя не устраивают правила Виндоус, то кто же тебя
> заставляет писать под нее? Пиши под Мас, правда я посмотрю
> тогда на твои вопли.

Меня все устраивает, и будут не вопли, а вопросы.

← →
DVM © (2006-12-06 12:05) [126]

> и для данной работы выделена другая учетная запись со своими
> ограничениями.

Имя "учетной записи инсталляторов" в студию! Чтоб все знали.

← →
Anatoly Podgoretsky © (2006-12-06 12:07) [127]

> DVM (06.12.2006 12:01:05) [125]

Если ты не видишь суслика, то не значит, что его нет.

← →
IMHO © (2006-12-06 12:08) [128]

> Anatoly Podgoretsky © (06.12.06 11:18) [109]
>
> > IMHO (06.12.2006 10:42:34) [94]
>
> > Значит есть все-таки список РАЗРЕШЕННЫХ программ
>
> Такой список есть.

А какие инсталляторы туда входят? Wise InstallMaster входит? Хотя бы родной MSI?

← →
Anatoly Podgoretsky © (2006-12-06 12:09) [129]

> DVM (06.12.2006 12:05:06) [126]

Я точное имя не помню, но в название участвует слово Инсталятор
Не рыться же мне снова по Интернет, что бы найти эту информацию, я ее и так уже прочитал, кроме того информация могла поступить в почтовой рассылке для сисадминов или SWRUS (там сейчас это горячий вопрос).

← →
Anatoly Podgoretsky © (2006-12-06 12:11) [130]

> IMHO (06.12.2006 12:08:08) [128]

Я не знаю какие именно туда входят, кроме того говорить об инсталяторе в отрыве от инсталируемой программы не совсем правильно.

← →
clickmaker © (2006-12-06 12:16) [131]

> Сама MS что-то не спешит свои продукты под .NET переделывать
> и, ИМХО, не станет. Взять тот же Office 2007 - не под Net
> он

у них даже многие страницы на сайте просто asp. Не aspx, а обычный asp, представляете?!
В то время как русские конторы в срочном порядке осваивают 3-й фреймворк..
Разве ж это порядок?

← →
DVM © (2006-12-06 12:17) [132]

> Если ты не видишь суслика, то не значит, что его нет.

Я вижу, от имени какого пользователя исполняется процесс. Этого достаточно. Если бы он исполнялся от имени учетной записи со словом инсталлятор в названии я бы увидел. Все сказанное относится только к InnoSetup, другие инсталляторы не пробовал пока.

← →
Anatoly Podgoretsky © (2006-12-06 12:17) [133]

> clickmaker (06.12.2006 12:16:11) [131]

Это не порядок, это маркетинг.

← →
Anatoly Podgoretsky © (2006-12-06 12:19) [134]

> DVM (06.12.2006 12:17:12) [132]

Не ты ли задавал вопрос про виртуализацию?

← →
DVM © (2006-12-06 12:20) [135]

> Не ты ли задавал вопрос про виртуализацию?

Я и как раз у инсталлятора, галочка "виртуализация" не отмечена.

← →
clickmaker © (2006-12-06 12:22) [136]

> [135] DVM © (06.12.06 12:20)

вот, кстати, про инстоллер нашел

If elevated privileges are required to install a Windows Installer package, the author of the package should include the ElevationShield attribute for the PushButton control used to start the installation. This will alert the user that clicking on the button will display the UAC dialog box requesting administrator authorization to continue the installation.

(с) http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/guidelines_for_packages.asp

← →
DVM © (2006-12-06 12:25) [137]

> clickmaker © (06.12.06 12:22) [136]

Значит диалоговое окно UAC можно вызвать. Это хорошо. Спасибо за ссылку.

← →
umbra © (2006-12-06 14:30) [138]

в блоге Марка Руссиновича (http://blogs.technet.com/MarkRussinovich/) в разделе "The Case of the Notepad that Wouldn"t Run" описаны обстоятельства, которые позволяют программе запрашивать увеличение прав, в ответ на что должно появиться то самое окошко:

UAC allows for users, even administrators, to run as standard users most of the time, while giving them the ability to run executables with administrator rights when necessary. There are several mechanisms by which executables can trigger a request for administrator rights: 1. If the executable image includes a Vista manifest file that specifies a desire or need for administrator rights (this would be added by the developer who creates the image). 2. If the executable is in Vista’s application compatibility database as a legacy application that Microsoft has identified as requiring administrator rights to run correctly. 3. If the user explicitly requests an elevation using Explorer’s “Run as administrator” menu item in the context menu for executables (also can be set as an advanced shortcut property). Note that this does not run the executable under the Administrator account, but rather under the account of the logged in user, but with the Administrator group enabled in the process security token. 4. If the executable is determined to be a setup or installer program (for example, if the word “setup” or “update” is in the image’s name).

← →
Anatoly Podgoretsky © (2006-12-06 14:50) [139]

> umbra (06.12.2006 14:30:18) [138]

Вот оно указание на внутреннею базу Микрософта, о которой говорилос выше

> in Vista’s application compatibility database as a legacy application that Microsoft has identified as

← →
Eraser © (2006-12-06 14:57) [140]

> [101] Anatoly Podgoretsky © (06.12.06 10:59)

об этом поню писал я пару месяцев назад, все стали кричать, что ничего подобного нету ))

> [138] umbra © (06.12.06 14:30)

кое что пряснил, спасибо.

> [91] DVM © (06.12.06 10:30)

ProcessExplorer для доступа к закрытой информации использует свой драйвер ядра, который подписан MS.

> [89] Игорь Шевченко © (06.12.06 10:27)

> а это у каждой программы, желающей писать в системный каталог,
> например в \Windows, создается своя виртуальная папка.
> В какой-то из ссылок, приведенных выше, оно описано

+ то же самое и реестром.

← →
Eraser © (2006-12-06 15:00) [141]

PS очень надеюсь, что MS выпустит статью с подробным практическим (с примерами) описанием новых фитч...
ну или Руссанович с Рихтером книги переиздадут.

← →
DVM © (2006-12-06 15:04) [142]

А для инсталляторов все проще, чем казалось - если имя setup.exe - это инсталлятор.

Вот тут люди манифесты обсуждают

http://forums.microsoft.com/MSDN/ShowPost.aspx?PostID=463884&SiteID=1

← →
Eraser © (2006-12-06 15:09) [143]

вот еще кое-что по теме накопал
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnlong/html/AccProtVista.asp

← →
Anatoly Podgoretsky © (2006-12-06 15:09) [144]

> Eraser (06.12.2006 14:57:20) [140]

Так и сегодня кое кто сомневается, есть внутренние БАЗЫ, не база, а именно базы.

> Eraser (06.12.2006 15:00:21) [141]

Я думаю в MSDN есть, но и врагу не посоветую, что либо там искать :-)
Тяжелое это дело, бывает найдешь, а второй раз уже не удается.

> [142] DVM © (06.12.06 15:04)
> А для инсталляторов все проще, чем казалось - если имя setup.exe
> - это инсталлятор.

А если install.exe, то уже нет? Страшно.

> DVM (06.12.2006 15:04:22) [142]

Это слишком просто, инсталяторые имеют и другие названия, в том числе и от Микрософт. Интерес представляет и содержимое. Вот оно тоже в базе, кроме списка инсталяторов.

> MS выпустит статью с подробным практическим (с примерами)
> описанием новых фитч...

в том же блоге есть ссылка на статью "Understanding and Configuring User Account Control in Windows Vista" (http://www.microsoft.com/technet/WindowsVista/library/00d04415-2b2f-422c-b70e-b18ff918c281.mspx)

> [148] umbra © (06.12.06 15:15)

спасибо за ссылку, тоже полезно!

но я имел ввиду не конкретно какую-то одну тему, а все нововведения в плане безопасности Висты.
к примеру, подробное описание с примерами того, чем они заменили GINA.

> [147] Anatoly Podgoretsky © (06.12.06 15:11)

Installer Detection only applies to: 1. 32 bit executables 2. Applications without a requestedExecutionLevel 3. Interactive processes running as a Standard User with LUA enabled Before a 32 bit process is created, the following attributes are checked to determine whether it is an installer:• Filename includes keywords like "install," "setup," "update," etc. • Keywords in the following Versioning Resource fields: Vendor, Company Name, Product Name, File Description, Original Filename, Internal Name, and Export Name. • Keywords in the side-by-side manifest embedded in the executable. • Keywords in specific StringTable entries linked in the executable. • Key attributes in the RC data linked in the executable. • Targeted sequences of bytes within the executable.

> Gero (06.12.2006 15:11:26) [146]

PTKSETUP.EXE это микрософтовский.
А если это не инсталятор, а программа с таким названием?

> Eraser (06.12.2006 15:23:29) [149]

Before a 32 bit process is created, the following attributes are checked to determine whether it is an installer:•
Filename includes keywords like "install," "setup," "update," etc.
•
Keywords in the following Versioning Resource fields: Vendor, Company Name, Product Name, File Description, Original Filename, Internal Name, and Export Name.

Видишь они не такие простачки, как их тут пытаются представить.
Это свой монастырь со своими правилами и правила Win32+NT не применимы.

> [151] Anatoly Podgoretsky © (06.12.06 16:03)

хм.. я обратил на это внимание, только из документа не понял, между всеми этими условиями при проверке стоит OR или AND.. :)

> Eraser (06.12.2006 16:05:32) [152]

Стоит IF, а не else if
То есть выполнение первой проверки по имени недостаточно, надо проверить еще и далее, есть ли этот setup.exe в базе, дальше по контексту и прочие проверки.
Они серьезно озаботились об безопасности и целевой аудиторией являемся не мы, а крупные корпорации и госструктуры. Уже 2003 в части .NET давал отличные результаты.

Vista и запись в HKLM и Program Files. Найти похожие ветки