Vista и запись в HKLM и Program Files.

← →
Игорь Шевченко © (2006-12-05 17:01) [80]

"постоянные запросы на повышение привилегий могут сильно надоедать" - в MS, как обычно, сделали систему для домохозяек.

← →
Gero © (2006-12-05 17:29) [81]

> [80] Игорь Шевченко © (05.12.06 17:01)
> в MS, как обычно, сделали систему для домохозяек

Вот и хорошо, для хакеров линуксы есть.

← →
Vga © (2006-12-05 17:31) [82]

> [81] Gero © (05.12.06 17:29)

Линукс конечно монастырь тот еще, но админ там имеет все права :) И рядом с собой никто не пишет, или почти никто :)

← →
Игорь Шевченко © (2006-12-05 17:36) [83]

Gero © (05.12.06 17:29) [81]

кроме хакеров и домохозяек существуют еще различные виды пользователей компьютеров.

"Их тоже следует убивать" (с) "Страж-птица"

← →
clickmaker © (2006-12-06 09:43) [84]

Хм... надо же... только что от заказчика-буржуина пришло письмо. На Висту пытался прикрутить нашу систему, сетап в виде msi. Так оно выдало ему: "Failed to install ISkernel files. Make sure you have appropriate privileges on this machine". И это под локальным админом. Причем, ISKernel - это же собственные файлы инстоллера. Получается, что и штатные инсталляторы иногда отлуп получают?..

← →
Anatoly Podgoretsky © (2006-12-06 09:48) [85]

> clickmaker (06.12.2006 09:43:24) [84]

IS жто Install Shield, отличается некоторой глюкавостью на разных версиях, но они оперативно устраняют проблемы.

← →
DVM © (2006-12-06 10:21) [86]

Поглядел еще повнимательнее на Vista. Вот что выяснилось.

Всё запускаемое от имени пользователя - якобы администратора, работает по данным Process Explorer от имени этого же пользователя. Не от другого, как я думал. Но, у большинства запущенных посредством эксплорера процессов отмечен пунктик "виртуализация". Что это такое?

Причем пунктик "виртуализация" появляется не всегда. У самого эксплорера его нет. Если через эксплорер запускают программу, которая требует администраторских полномочий и появляется окно с подтверждением (кстати, как это определяется - нужны программе полномочия или нет) - то после подтверждения этого пунктика нет.
Все что запускают явно от имени администратора тоже не имеет пунктика "виртуализация".

Блокнот от Vista (и некоторые др программы) запускается без этой "виртуализации". Блокнот от XP, но запущенный в Vista имеет пункт "виртуализация".

Что за виртуализация такая?

Если сам Process Explorer запущен через проводник, то он имеет пунктик "виртуализация". Если потом через проводник запустить что-то с правами админа явно, то Process Explorer вообще не имеет доступа к данным этого процесса.

← →
Vga © (2006-12-06 10:23) [87]

> [86] DVM © (06.12.06 10:21)

Быть может, что-то типа песочницы?

← →
DVM © (2006-12-06 10:26) [88]

> Быть может, что-то типа песочницы?

Тоже первая мысль была о защищенном окружении. Только вот интересно - для .NET приложений оно вроде как не создается (тот же блокнот из Vista он под .net вроде как, в xp он не запускается)

← →
Игорь Шевченко © (2006-12-06 10:27) [89]

> Что за виртуализация такая?

а это у каждой программы, желающей писать в системный каталог, например в \Windows, создается своя виртуальная папка. В какой-то из ссылок, приведенных выше, оно описано

← →
Vga © (2006-12-06 10:29) [90]

> [88] DVM © (06.12.06 10:26)

.NET сам по себе - песочница.

← →
DVM © (2006-12-06 10:30) [91]

> Игорь Шевченко © (06.12.06 10:27) [89]

Скорее всего не только это. Почему если Process Explorer запущен через проводник, то он потом не имеет доступа к данным процесса, запущенного явно от имени админа. Они же от одного и того же пользователя запущены.

← →
DVM © (2006-12-06 10:31) [92]

> .NET сам по себе - песочница.

Песочница или нет, а доступ блокноту в Program Files - пожалуйста. Без проблем.

← →
Vga © (2006-12-06 10:33) [93]

> [92] DVM © (06.12.06 10:31)

Он же микрософтовский, подписанный.

← →
IMHO © (2006-12-06 10:42) [94]

Вопрос на самом деле ОЧЕНЬ серьезный.

В операционной системе Виста нельзя писать файлы в Program Files - это понятно.
Но ведь инсталляторы это ДЕЛАЮТ (создают папки, подпапки пишут туда файлы и т.д.)

Значит есть все-таки список РАЗРЕШЕННЫХ программ (видимо, это в основном инсталляторы), которым Виста ПОЗВОЛЯЕТ делать то, что другим нельзя.

Засим такой вопрос: что это за список программ? Какие инсталляторы туда входят? Входит ли туда Wise InstallMaster?

← →
clickmaker © (2006-12-06 10:43) [95]

> [94] IMHO © (06.12.06 10:42)
> Но ведь инсталляторы это ДЕЛАЮТ

см. [84]

← →
DVM © (2006-12-06 10:44) [96]

> IMHO © (06.12.06 10:42) [94]

В Vista есть некий механизм детекции инсталляции - только по какому принципу он работает неясно.

← →
DVM © (2006-12-06 10:45) [97]

Глупо делать список разрешенных программ, кто мешает назвать троян разрешенным образом.

← →
BiN © (2006-12-06 10:53) [98]

> DVM © (06.12.06 10:45) [97]
>
> Глупо делать список разрешенных программ, кто мешает назвать
> троян разрешенным образом.

Кто сказал, что список по именам составляется? По контрольным суммам.

← →
Vga © (2006-12-06 10:55) [99]

> [98] BiN © (06.12.06 10:53)

Контрольная сумма от инсталлятора??? Который кроме собственно инсталлятора имеет оверлей с данными?

← →
Anatoly Podgoretsky © (2006-12-06 10:57) [100]

> DVM (06.12.2006 10:21:26) [86]

Тебе же давали ссылку на UAC

← →
Anatoly Podgoretsky © (2006-12-06 10:59) [101]

> DVM (06.12.2006 10:26:28) [88]

Вот тебе и объяснение, все виндоус приложения не доверительные, поскольку Виста - это Windows.NET
Пиши как требует система .NET приложение, иначе доверия тебе нет.

← →
Anatoly Podgoretsky © (2006-12-06 10:59) [102]

> Vga (06.12.2006 10:29:30) [90]

Неправда, это свои, а вот Win32 это в песочницу.

← →
BiN © (2006-12-06 11:00) [103]

> Vga © (06.12.06 10:55) [99]
>
> Контрольная сумма от инсталлятора??? Который кроме собственно
> инсталлятора имеет оверлей с данными?

Контрольная сумма от образа файла, входящего в список разрешенных программ.
Инсталлятор же распознается, очевидно, не по спискам.

← →
DVM © (2006-12-06 11:08) [104]

> Пиши как требует система .NET приложение, иначе доверия
> тебе нет.

.NET, конечно штука во многом хорошая, но писать и тем более переписывать под нее все подряд - это уж черезчур. Сама MS что-то не спешит свои продукты под .NET переделывать и, ИМХО, не станет. Взять тот же Office 2007 - не под Net он.

> Тебе же давали ссылку на UAC

Та статья на самом деле мало, что проясняет. Непонятно, как сделать хотя бы так, чтобы появился запрос при запуске своей программы, что мол так мол и так нужны административные полномочия - и соответственно предложение их дать, а не сразу отлуп.

← →
DVM © (2006-12-06 11:12) [105]

Вообще эти сообщения от висты страшно раздражают. Вчера пытался удалить папку из корня диска в котором стоит виста. Папка была создана из другой ОС - xp. Так я вынужден был ответить в 5(!) диалоговых окнах. А папку она так и не удалила - сказала, что нет полномочий. Хотя папку эту я взял во владение.

← →
BiN © (2006-12-06 11:16) [106]

> DVM © (06.12.06 11:12) [105]
> А папку она так и не удалила
> - сказала, что нет полномочий. Хотя папку эту я взял во
> владение.

Такая ситуация может возникнуть на любой системе с NTFS. После того как стал владельцем, нужно еще настроить права доступа.

← →
Vga © (2006-12-06 11:17) [107]

> [102] Anatoly Podgoretsky © (06.12.06 10:59)

Майкрософт же расхваливал managed код как безопасный, типа можно его контролировать и сказать "стоп" вирусам. Чем не песочница?

← →
DVM © (2006-12-06 11:17) [108]

> нужно еще настроить права доступа.

Права тоже дал.

> IMHO (06.12.2006 10:42:34) [94]

> Значит есть все-таки список РАЗРЕШЕННЫХ программ

Такой список есть. Он приватный.

> DVM (06.12.2006 10:45:37) [97]

> кто мешает назвать троян разрешенным образом.

Глупо ориентироваться на имя.

> Такой список есть. Он приватный.

Вряд ли там есть InnoSetup. Или инсталлятор WinRar-a. Да и куча других мелких, малоизвестных инсталляторов. Практически все работают нормально.

> Глупо ориентироваться на имя.

Я и говорю, что глупо.

> Vga (06.12.2006 10:55:39) [99]

Инсталятора боять в (лес не ходить) виндоус не работать.
Инсталятор не позволяет запускать инсталируемую программу, а только инсталировать. Запуск программы делается уже от другого пользователя. Те кто создает инсталяцию или пишет инсталляционные программы, часто игнорируют это, но современем наладится, жизнь заставит.

> Инсталятор не позволяет запускать инсталируемую программу,
> а только инсталировать.

Неправда. Большинство инсталляторов позволяют запустить то, что проинсталлировали после инсталляции и запуск программы будет произведен от имени того пользователя, от имени которого происходила инсталляция. Проверено вчера на InnoSetup.

> DVM © (06.12.06 11:25) [114]

Точнее, права программа запущенная из инсталлятора сразу после инсталляции получит те же в Vista что и сам инсталлятор.

> Anatoly Podgoretsky © (06.12.06 11:21) [113]
>
> Инсталятора боять в (лес не ходить) виндоус не работать.
>
> Инсталятор не позволяет запускать инсталируемую программу

Но Инсталлятор ПИШЕТ же в Program Files! Почему ему можно, а другим нельзя? Может, у него под оболочкой - вирусы и трояны? Вот они и появятся в Program Files.

> DVM (06.12.2006 11:08:44) [104]

Так ведь никто и не заставляет, но и жаловаться на плохую жизнь тогда тоже не стоит.
Касательно 2007 стань партнером МС и добейся включения в список доверенных программ.

По поводу статьи, конечно, ведь это популярная статься, если недостаточно, то лезть в профессиональные источники, но суммарное количество страниц, измеряется в десятках тысяц.
Даже книга по безопасности по Server 2000 толщиной свыше 10 сантиметров, а это только по безопасности и даже не 2003/ХР, а тем более Виста.

Америкаские вояки и крупные корпорации очень хорошо оценили 2003 с этой позиции, а Виста их еще больше обрадует. А проблемы безопасности у них более высокого, чем у нас порядка.

> [85] Anatoly Podgoretsky © (06.12.06 09:48)
> > clickmaker (06.12.2006 09:43:24) [84]
>
> IS жто Install Shield, отличается некоторой глюкавостью
> на разных версиях, но они оперативно устраняют проблемы

шерше по майкрософт.ком не выдает никаких ссылок по данной проблеме... Может вы знаете, где почитать про это?

> DVM (06.12.2006 11:12:45) [105]

Если сказала, что нет полномочий, то так и есть.
Администратор это обычный пользователь с расширенными полномочиями, в отличии от супервизора с безграничными полномочиями и бессметностью.

Но раз тебя не устраивают правила Виндоус, то кто же тебя заставляет писать под нее? Пиши под Мас, правда я посмотрю тогда на твои вопли.

Vista и запись в HKLM и Program Files. Найти похожие ветки