Vista и запись в HKLM и Program Files.

← →
DVM © (2006-12-05 13:22) [0]

Насколько я понимаю в этой ОС продвигается принцип принцип наименьшего уровня привилегий. И все программы, что запускает администратор выполняются с ограниченным набором привелегий. Нельзя писать в HKLM, нельзя писать в Program Files и т.д.
В то же время Проводник Windows без проблем создает файлы и папки в Program Files. Он выполняется от имени администратора видимо.
Нельзя ли программе автомтически при старте выполняться от имени администратора, если администратор ее запускает?

← →
Игорь Шевченко © (2006-12-05 13:34) [1]

а там гайка какая-то по слухам есть, которая это поведение снимает.

← →
DVM © (2006-12-05 13:36) [2]

> а там гайка какая-то по слухам есть, которая это поведение
> снимает.

Эту "гайку" программно подкрутить можно программой, которая запущена администратором, но до подкручивания оной гайки.

← →
DVM © (2006-12-05 13:38) [3]

По статистике до 90% программ нуждаются в доступе в HKLM или Program Files. MS сначала расслабила всех, а теперь гайки начала закручивать.

← →
Anatoly Podgoretsky © (2006-12-05 13:46) [4]

> DVM (05.12.2006 13:38:03) [3]

> По статистике до 90% программ нуждаются в доступе в HKLM или Program Files.

Только добавь 90% моих программ.

← →
DVM © (2006-12-05 13:53) [5]

> Только добавь 90% моих программ.

Не я это придумал.
http://www.winsecurity.ru/articles/Windows-Vista-and-Principle-of-Least-Privilege.html
Моих тоже некоторый процент. И не по моей вине в частности. Использую библиотеку IJL 1.5 в приложениях (ну самая быстрая она) - она проверяет ключ в HKLM. Я его туда записать не могу просто так.
Да есть куча других примеров.

> Anatoly Podgoretsky © (05.12.06 13:46) [4]

Вы свои программы под Vista запускали?

← →
Игорь Шевченко © (2006-12-05 14:04) [6]

Хорошо в юниксе...

← →
Slider007 © (2006-12-05 14:05) [7]

Гайка заключается в следующем (я на самом деле ещё не до конца осознал, но вроде что-то получается):

1.Вначале надо добавить себя в группу administrators компьютера (и на всякий случай удалить себя из группы users, т.к. с этим глюки тоже появлялись некоторые, вроде).
2.Надо сделать себя или группу administrators Qwner"ом всех дисков на винчестере (ну или нужных папок, я сделал себе всё, чтоб не мучаться). И Owner"ом всех веток реестра. Естественно при этом надо ставить галку чтоб он так же менял Owner"а поддиректорий и файлов. (В реестре - Подветки и ключи).
3.Дать себе или группе administrators (см. пункт 2) права на запись или Full Control на диски и ветки реестра.
4.Если что-то всётаки не работает, из меню файла/ярлыка выбирать Run As Administrator.

Не очень уверен в необходимости 3 и 4 пункта после выполнения первых двух пунктов, т.к. сейчас у меня всё работает белее-менее нормально, с правами проблем нет, но выполнял я все перечисленные действия в беспорядке методом тыка.

Ещё - после установки новой программы, возможно потребуется конкретно на неё заново давать права, чтоб можно было её настраивать, но опять же после выполнения пунктов 1 и 2 это может не понадобиться.

← →
Gero © (2006-12-05 14:05) [8]

> [5] DVM © (05.12.06 13:53)
> Вы свои программы под Vista запускали?

Я свои запускал, практически все работают хорошо.

← →
Anatoly Podgoretsky © (2006-12-05 14:06) [9]

> DVM (05.12.2006 13:53:05) [5]

> Вы свои программы под Vista запускали?

Я знаю что ни в HKLM ни в Program Files писать нельзя и я и не пишу.

Притом не только под Виста, но и под Вин9х

← →
Gero © (2006-12-05 14:07) [10]

> [7] Slider007 © (05.12.06 14:05)
> 1.Вначале надо добавить себя в группу administrators компьютера
> (и на всякий случай удалить себя из группы users, т.к. с
> этим глюки тоже появлялись некоторые, вроде).
> 2.Надо сделать себя или группу administrators Qwner"ом всех
> дисков на винчестере (ну или нужных папок, я сделал себе
> всё, чтоб не мучаться). И Owner"ом всех веток реестра. Естественно
> при этом надо ставить галку чтоб он так же менял Owner"а
> поддиректорий и файлов. (В реестре - Подветки и ключи).
> 3.Дать себе или группе administrators (см. пункт 2) права
> на запись или Full Control на диски и ветки реестра.
> 4.Если что-то всётаки не работает, из меню файла/ярлыка
> выбирать Run As Administrator.

Мда, как бы не старался Microsoft, мы все равно сделаем наоборот.

← →
DVM © (2006-12-05 14:11) [11]

> Slider007 © (05.12.06 14:05) [7]

Как сделать вручную я догадался сразу же. Но не в этом дело. Не будет же пользователь шаманить с настройками сам.

> Gero © (05.12.06 14:05) [8]

> Я свои запускал, практически все работают хорошо.

Рад за тебя. Работать то и у меня работают, но есть мелкие проблемы, которые вот хочу устранить.

> Anatoly Podgoretsky © (05.12.06 14:06) [9]

> Я знаю что ни в HKLM ни в Program Files писать нельзя и
> я и не пишу.

Не зарекайтесь. Если Ваша программа пишет что-либо в свой собственный каталог и вашу программу юзер проинсталлирует в Program Files то она работать перестанет.
Я уж не знаю, насколько грамотные люди писали Delphi 7, но сама среда разработки из-за этого отказа в доступе в Program Files не может нормально работать в Vista без некоторого шаманства.

← →
Anatoly Podgoretsky © (2006-12-05 14:16) [12]

> Игорь Шевченко (05.12.2006 14:04:06) [6]

Program Files нет?

← →
Anatoly Podgoretsky © (2006-12-05 14:17) [13]

> Gero (05.12.2006 14:05:08) [8]

Я тоже про старые не говорю.

← →
Anatoly Podgoretsky © (2006-12-05 14:19) [14]

> DVM (05.12.2006 14:11:11) [11]

Еще раз повторяю, моя программа не пишет в Program Files раз, мои программы инсталируются в Program Files два.

← →
Slider007 © (2006-12-05 14:24) [15]

DVM © (05.12.06 14:11) [11]
Как сделать вручную я догадался сразу же. Но не в этом дело. Не будет же пользователь шаманить с настройками сам.

Да этот вопрос меня тоже интересует, потому что не представляю, как человек, знакомый с компьютером на уровне пользователя будет устанавливать программы, большинство из которых ставится в Program Files и что-то пишет в реестр ?

← →
Eraser © (2006-12-05 14:37) [16]

> [0] DVM © (05.12.06 13:22)

да свинью они подкинули, будет очень не хорошо, если это нельзя будет обойти.

← →
Eraser © (2006-12-05 14:38) [17]

> [14] Anatoly Podgoretsky © (05.12.06 14:19)

и каким образом она будет инсталлированная в Program Files, если якобы "администратору" запрещено туда писать? только через msi что ли..

← →
Slider007 © (2006-12-05 14:51) [18]

Eraser © (05.12.06 14:38) [17]
и каким образом она будет инсталлированная в Program Files, если якобы "администратору" запрещено туда писать?

А вот инсталируется как раз на ура, только потом хрен настроишь, если настройки в папке программы лежат, и файлики руками не потрешь :)

← →
DVM © (2006-12-05 14:54) [19]

> Eraser © (05.12.06 14:38) [17]

Странно как то это все выглядит. Инсталляция туда проходит. Но потом, программа запущенная из Program Files туда писать уже не может.
При деинсталляции программы деинсталлятор удаляет файлы с легкостью.
Тестировал на InnoSetup.

← →
Slider007 © (2006-12-05 14:54) [20]

И ещё некоторые программы ваще не хотят запускаться если ты не самый что ни на есть администратистый администратор. The Bat! например, долго с ним бился, потом обнаружил в контекстном меню строчку "Run As Administrator" ...

← →
DVM © (2006-12-05 14:56) [21]

> Anatoly Podgoretsky © (05.12.06 14:19) [14]

Куда вы будете сохранять настройки, если их потребуется хранить не в реестре?

← →
Игорь Шевченко © (2006-12-05 14:56) [22]

Anatoly Podgoretsky © (05.12.06 14:16) [12]

Я не знаю, говорили, что гайка в локальной политике

← →
Anatoly Podgoretsky © (2006-12-05 15:14) [23]

> Eraser (05.12.2006 14:38:17) [17]

> и каким образом она будет инсталлированная в Program Files, если якобы "администратору" запрещено туда писать? только через msi что ли..

С помощью специальной учетной записи, что то с названием штатный/доверенный Инсталятор

← →
Anatoly Podgoretsky © (2006-12-05 15:14) [24]

> Slider007 (05.12.2006 14:54:20) [20]

The Bat! фтопку

← →
Anatoly Podgoretsky © (2006-12-05 15:15) [25]

> DVM (05.12.2006 14:56:21) [21]

Есть специальные папки для данных целей.

Учитесь программировать под платформу НТ

← →
Anatoly Podgoretsky © (2006-12-05 15:16) [26]

> Игорь Шевченко (05.12.2006 14:56:22) [22]

Я не слышал про гайку, но это не наш метод. Жить надо по правилам монастыря.

← →
Gero © (2006-12-05 15:17) [27]

> [21] DVM © (05.12.06 14:56)

В %APPDATA%, ессно.

← →
DVM © (2006-12-05 15:29) [28]

> The Bat! фтопку

Туда же отправьте большинство программ. С чем останетесь?

> Есть специальные папки для данных целей.
>
> Учитесь программировать под платформу НТ

Я и учусь. И не только под NT. Про папки я, разумеется, знаю, мне этот способ, честно говоря, нравится не очень. Люблю все свое носить с собой. Не дело это, когда программа мусорит везде своими файлами, кроме своего каталога.

> Жить надо по правилам монастыря.

Вам видно еще не приходилось сталкиваться с Вистой. Это не монастырь - это зона. Причем строгого режима.

← →
Eraser © (2006-12-05 15:30) [29]

> [22] Игорь Шевченко © (05.12.06 14:56)

подозреваю, что это гайка - restricted token. А вот как её снять - хз.

> [25] Anatoly Podgoretsky © (05.12.06 15:15)

однако ж есть, приложения сервисы, им тоже надо как то работать. да и еще ряд утилит, которым без админских прав никак.

← →
Gero © (2006-12-05 15:31) [30]

> [28] DVM © (05.12.06 15:29)
> Это не монастырь - это зона. Причем строгого режима.

Так это и хорошо, не нужно беспокоиться о том, что какое-то суперизделие Васи Пупкина чего-то натворит.

> Не дело это, когда программа мусорит везде своими файлами,
> кроме своего каталога.

Везде не нужно, есть специально предназначенные места.

← →
Vga © (2006-12-05 15:31) [31]

> Я и учусь. И не только под NT. Про папки я, разумеется,
> знаю, мне этот способ, честно говоря, нравится не очень.
> Люблю все свое носить с собой. Не дело это, когда программа
> мусорит везде своими файлами, кроме своего каталога.

Гы... В линуксе в этом плане еще хуже... Без штудирования makefile все потрошки не соберешь от программы...

← →
DVM © (2006-12-05 15:32) [32]

> Жить надо по правилам монастыря.

И почему программы от MS в VISTA пишут таки в Program Files. Им можно?

← →
Vga © (2006-12-05 15:32) [33]

> [31] Vga © (05.12.06 15:31)

Правда зато если надо найти конфиг, то вполне известно, где его искать...

← →
Anatoly Podgoretsky © (2006-12-05 15:33) [34]

> Eraser (05.12.2006 15:30:29) [29]

> да и еще ряд утилит, которым без админских прав никак.

Зачем утилите писать в Program Files?
Вот хоть убей не пойму.

← →
Vga © (2006-12-05 15:35) [35]

> [34] Anatoly Podgoretsky © (05.12.06 15:33)

Кстати, большинство игр пишет в свою папку (сэйвы, конфиги...) и ставится по дефолту в program Files...

← →
Игорь Шевченко © (2006-12-05 15:35) [36]

Anatoly Podgoretsky © (05.12.06 15:16) [26]

> Я не слышал про гайку, но это не наш метод. Жить надо по
> правилам монастыря.

Монастырь становится все более и более строгим. Сделано, конечно, во благо, чтобы там народ вирусы всякие не запускал, якобы. Уж сколько боролись с ними, с этими вирусами, и strsafe придумали, и dep придумали, а все мало, надо еще пользователя ограничить. Тогда уж просто - разрешить запускать только разработанные в MS программы, а все остальные запрещать. С другой стороны, я за время сидения под Win2k не обнаружил вирусов, хотя там куда как более слабая защита.

← →
Gero © (2006-12-05 15:36) [37]

> [35] Vga © (05.12.06 15:35)

И чего теперь, на них равняться? А если большинсво в корень диска Ц писать будет, нам тоже так делать?

← →
Gero © (2006-12-05 15:37) [38]

> [32] DVM © (05.12.06 15:32)

> И почему программы от MS в VISTA пишут таки в Program Files.

Это какие?

← →
DVM © (2006-12-05 15:37) [39]

> Anatoly Podgoretsky © (05.12.06 15:33) [34]

Дело даже не Program Files, а в том, что программа, запущенная администратором в Vista, полномочиями администратора не обладает.
Explorer обладает. Без полномочий администратора некоторые вещи просто невозможны.

← →
Vga © (2006-12-05 15:38) [40]

> [37] Gero © (05.12.06 15:36)

При разработке игр - да. А вообще, это только пример распространенного софта, пишущего рядом с собой, причем свойственно это большинству виденных мной больших игр, редко какие пишут в MyDocs

← →
Vga © (2006-12-05 15:39) [41]

> [40] Vga © (05.12.06 15:38)

Написал второе предложение и сильно усомнился в первом...

← →
Eraser © (2006-12-05 15:40) [42]

> [34] Anatoly Podgoretsky © (05.12.06 15:33)

в Program Files писАть не надо, это еще с WinNT правило такое, но админские права нужны далеко не только для этого. А виста существенно урезала возможности в этом плане. хотя надо штудировать теорию, раз инсталляторы работают, значит лазейка есть :)

← →
DVM © (2006-12-05 15:40) [43]

> Gero © (05.12.06 15:37) [38]
> > [32] DVM © (05.12.06 15:32)
>
>
> > И почему программы от MS в VISTA пишут таки в Program
> Files.
>
> Это какие?

Explorer

← →
Gero © (2006-12-05 15:40) [44]

> [40] Vga © (05.12.06 15:38)
> А вообще, это только пример распространенного софта, пишущего
> рядом с собой

Можно привести пример людей, писающих рядом с собой, кто хочет на них равняться — флаг в руки.
И вобще, нечего ныть, Microsoft решила так, значит будет так.

← →
Eraser © (2006-12-05 15:41) [45]

> [32] DVM © (05.12.06 15:32)

разве что какие-нибудь сервисы.. и то сомневаюсь.

← →
Gero © (2006-12-05 15:41) [46]

> [42] Eraser © (05.12.06 15:40)
> значит лазейка есть

Лазейка всегда есть :)

← →
k2 © (2006-12-05 15:43) [47]

есть ещё два выхода
1) внедриться в микрософт и подорвать изнутри
2) внедриться в микрософт, стать там большим человеком и заставить смягчить

← →
k2 © (2006-12-05 15:44) [48]

3) написать свою ось и позвать всех туда

← →
DVM © (2006-12-05 15:44) [49]

> Eraser © (05.12.06 15:41) [45]
> > [32] DVM © (05.12.06 15:32)
>
> разве что какие-нибудь сервисы.. и то сомневаюсь.

Эксплорер делать может все что угодно и в Program Files и где угодно.

← →
Eraser © (2006-12-05 15:45) [50]

> [5] DVM © (05.12.06 13:53)

вот еще интересная статья с того же сайта
http://www.winsecurity.ru/articles/Understanding-User-Account-Control-Vista.html

← →
SpellCaster (2006-12-05 15:46) [51]

← →
Eraser © (2006-12-05 15:47) [52]

> [49] DVM © (05.12.06 15:44)

ошибаешься, у эксплорера ровно столько прав, сколько у текущего юзера, в XP по крайней мере точно.
+ там урезано много лишних привелегий.

← →
Anatoly Podgoretsky © (2006-12-05 15:50) [53]

> DVM (05.12.2006 15:29:28) [28]

> Это не монастырь - это зона.

А ты злостный нарушитель режима.
Тебя надо держать подальше от компьютера, хакеры не нужны.

← →
DVM © (2006-12-05 15:51) [54]

> ошибаешься, у эксплорера ровно столько прав, сколько у текущего
> юзера, в XP по крайней мере точно.

Речь о Vista. И только о ней. Эксплорер может переименовать файл в Program Files, любая другая программа, запущенная не через Run As Admin... не может. Админ в Vista - это псевдо админ. Похоже, на члена группы Wheel во FreeBSD, который может подняться до админа, когда хочет.

← →
DVM © (2006-12-05 15:52) [55]

> Тебя надо держать подальше от компьютера, хакеры не нужны.

А где мне находится я решу сам.

← →
Anatoly Podgoretsky © (2006-12-05 15:54) [56]

> Gero (05.12.2006 15:36:37) [37]

> А если большинсво в корень диска Ц писать будет

Видел и такое, на 9х с его ограничением на количество файлов в голове, красиво так выглядело.

← →
clickmaker © (2006-12-05 15:56) [57]

> Речь о Vista. И только о ней. Эксплорер может переименовать
> файл в Program Files

хм... а может они спецдыру для себя оставили? Попробуй ради эксперимента, свою прогу назвать explorer.exe... ))

← →
Anatoly Podgoretsky © (2006-12-05 15:56) [58]

> DVM (05.12.2006 15:40:43) [43]

Explorer это не программа, а шелл.
Проводник под названием Explorer имеет права пользователя.

← →
Anatoly Podgoretsky © (2006-12-05 15:57) [59]

> Eraser (05.12.2006 15:41:45) [45]

Сервисы пишут от своей учетной записи, как правило System

← →
Anatoly Podgoretsky © (2006-12-05 15:58) [60]

> k2 (05.12.2006 15:43:47) [47]

2. Знаешь сколько визгу поднимется по поводу безопасности? Воплей маст дай?

← →
Anatoly Podgoretsky © (2006-12-05 15:59) [61]

> DVM (05.12.2006 15:52:55) [55]

> А где мне находится я решу сам.

Обломись

← →
DVM © (2006-12-05 16:00) [62]

> Explorer это не программа, а шелл.

В первую очередь это программа. Обычная программа. Я его могу закрыть/убить/не пользоваться. Так что же дальше.

← →
DVM © (2006-12-05 16:01) [63]

> Anatoly Podgoretsky © (05.12.06 15:59) [61]
> > DVM (05.12.2006 15:52:55) [55]
>
> > А где мне находится я решу сам.
>
> Обломись

Правила форума читаем

← →
DVM © (2006-12-05 16:09) [64]

Вот, нашел кое что (может кому то будет интересно):

Переприменение акаунта администратора

Если вы используете Vista довольно давно, вы могли заметить, что будто бы нет никакой возможности заставить систему постоянно работать в аккаунте Administrator. Однако, вот как это сделать:

Загрузитесь в безопасный режим, нажав F8 при загрузке.
Войдите как Administrator (этот пункт будет доступен в безопасном режиме).
Перейдите в Пуске > Run и наберите control userpasswords2.
Перейдите во вкладку Advanced.
Под пунктом Advanced User Management нажмите кнопку Advanced.
Нажмите на Users.
Правый щелчок по Administrator и выберите Properties.
Уберите галочку "Account is disabled".
Закройте все, перезагрузитесь и наслаждайтесь!

Отключение UAC (UAP)

UAC, также известный как UAP (User Account Control/User Account Protection), в предыдущих билдах казалась одной из тех функций, которая мешала работать. Эта функция предоставляет высокий уровень безопасности, но ее надоедливость убивает. Но если вы читаете это, возможно, вы знаете, как управлять своей ОС самому. Вот как отключить UAC:

1. Нажмите Windows Key + R (winkey + R).
2. В открывшемся окне введите msconfig.
3. Перейдите во вкладку Tools, прокрутите вниз и выберите Disable UAP и нажмите на кнопку.
4. Вы увидите окно командной строке, где будет говориться Command completed successfully.
5, Перезагрузитесь и наслаждайтесь работой системы, контролируемой только вами.

Отключение DEP / защиты NoExecute

DEP, также известный как NoExecute, это часть технологии безопасности Windows. Она понижает рис атак, но она может нести и негативные стороны - некоторые вещи могут не работать.
После создания в Windows Vista собственного редактора загрузки отключение DEP / No Execute Protection стало сложнее. После поиска, я нашел как это сделать. Действуем:

1. Нажмите Start, All Programs, Accessories, правый клик по Command Prompt и выберите Run as administrator.
2. Если будет задан вопрос на подтверждение запуска Windows Command Processor - подтвердите.
3. В командной строке введите: bcdedit.exe /set {current} nx AlwaysOff
4. Вы получите сообщение: Operation Completed Successfully.
5. Перезагрузите компьютер, DEP отключен.

← →
Eraser © (2006-12-05 16:09) [65]

> [54] DVM © (05.12.06 15:51)

эх.. жаль под рукой нету висты.

← →
Anatoly Podgoretsky © (2006-12-05 16:11) [66]

> DVM (05.12.2006 16:00:02) [62]

Как убьешь, так и восстановится, единственно что ты реально можешь сделать, так это изменить шелл, вот тогда можешь и не пользоваться.
Это всего лишь морда к шеллу, ну а шелл на любой ОС обладает высокой властью.

← →
Anatoly Podgoretsky © (2006-12-05 16:12) [67]

> DVM (05.12.2006 16:01:03) [63]

Ну не обломишься, так системный администратор обломит, а будешь продолжать упорствовать, так на улице много свободного места.
Таких которые плевали было много и где они, правильно или на улице или на нарах.

← →
DVM © (2006-12-05 16:12) [68]

> Eraser © (05.12.06 16:09) [65]
> > [54] DVM © (05.12.06 15:51)
>
> эх.. жаль под рукой нету висты.

Да так и есть, как я написал. Если бы эксплорер не обладал полномочиями админа, то он не мог бы запустить другую программу с этими полномочиями.

← →
Anatoly Podgoretsky © (2006-12-05 16:15) [69]

> DVM (05.12.2006 16:12:08) [68]

Ты просто про имперсонацию не слышал.

← →
Eraser © (2006-12-05 16:15) [70]

> [68] DVM © (05.12.06 16:12)

> Если бы эксплорер не обладал полномочиями админа, то он
> не мог бы запустить другую программу с этими полномочиями.

мог бы.

← →
DVM © (2006-12-05 16:18) [71]

> Anatoly Podgoretsky © (05.12.06 16:11) [66]

Я не пробовал заменить стандартный шелл в Vista другой программой. Надо попробовать какие полномочия она получит. Сейчас Vista нет под рукой. Скорее всего админсткие, если пользователь админ.

> Ну не обломишься, так системный администратор обломит, а
> будешь продолжать упорствовать, так на улице много свободного
> места.
> Таких которые плевали было много и где они, правильно или
> на улице или на нарах.

Это вообще к чему?

← →
DVM © (2006-12-05 16:20) [72]

> мог бы.

Тогда ввод пароля бы потребовался

← →
Eraser © (2006-12-05 16:20) [73]

> [71] DVM © (05.12.06 16:18)

по какому критерию определяешь, что эксплорер запущен с админскими правами?

← →
Eraser © (2006-12-05 16:21) [74]

> [72] DVM © (05.12.06 16:20)

см. http://www.winsecurity.ru/articles/Understanding-User-Account-Control-Vista.html
1 скриншот.

← →
Eraser © (2006-12-05 16:21) [75]

> [74] Eraser © (05.12.06 16:21)

точнее и второй.

← →
DVM © (2006-12-05 16:24) [76]

> по какому критерию определяешь, что эксплорер запущен с
> админскими правами?

Хочу уточнить - если только пользователь админ.
Да ни по каким. Детально не изучал. Просто он может больше, чем, скажем Windows Commander, запущенный из эксплорера.

Чего то мы уклонились от темы.

← →
Eraser © (2006-12-05 16:27) [77]

> [76] DVM © (05.12.06 16:24)

> Да ни по каким.

скачай вот эту http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx софтину - с пом. неё можно все увидить конкретно, а не строить предположения.

> Просто он может больше, чем, скажем Windows Commander, запущенный
> из эксплорера.

см. UAC.

> Чего то мы уклонились от темы.

где уклонение от темы?

← →
DVM © (2006-12-05 16:29) [78]

> где уклонение от темы?

Запись в Program Files / HKLM программно отключить, располагая правами Администратора.

← →
DVM © (2006-12-05 16:30) [79]

> скачай вот эту http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.
> mspx софтину

Да, я ее вчера запускал в Vist-e, только не обратил внимания на эксплорер. Погляжу сегодня.

← →
Игорь Шевченко © (2006-12-05 17:01) [80]

"постоянные запросы на повышение привилегий могут сильно надоедать" - в MS, как обычно, сделали систему для домохозяек.

← →
Gero © (2006-12-05 17:29) [81]

> [80] Игорь Шевченко © (05.12.06 17:01)
> в MS, как обычно, сделали систему для домохозяек

Вот и хорошо, для хакеров линуксы есть.

← →
Vga © (2006-12-05 17:31) [82]

> [81] Gero © (05.12.06 17:29)

Линукс конечно монастырь тот еще, но админ там имеет все права :) И рядом с собой никто не пишет, или почти никто :)

← →
Игорь Шевченко © (2006-12-05 17:36) [83]

Gero © (05.12.06 17:29) [81]

кроме хакеров и домохозяек существуют еще различные виды пользователей компьютеров.

"Их тоже следует убивать" (с) "Страж-птица"

← →
clickmaker © (2006-12-06 09:43) [84]

Хм... надо же... только что от заказчика-буржуина пришло письмо. На Висту пытался прикрутить нашу систему, сетап в виде msi. Так оно выдало ему: "Failed to install ISkernel files. Make sure you have appropriate privileges on this machine". И это под локальным админом. Причем, ISKernel - это же собственные файлы инстоллера. Получается, что и штатные инсталляторы иногда отлуп получают?..

← →
Anatoly Podgoretsky © (2006-12-06 09:48) [85]

> clickmaker (06.12.2006 09:43:24) [84]

IS жто Install Shield, отличается некоторой глюкавостью на разных версиях, но они оперативно устраняют проблемы.

← →
DVM © (2006-12-06 10:21) [86]

Поглядел еще повнимательнее на Vista. Вот что выяснилось.

Всё запускаемое от имени пользователя - якобы администратора, работает по данным Process Explorer от имени этого же пользователя. Не от другого, как я думал. Но, у большинства запущенных посредством эксплорера процессов отмечен пунктик "виртуализация". Что это такое?

Причем пунктик "виртуализация" появляется не всегда. У самого эксплорера его нет. Если через эксплорер запускают программу, которая требует администраторских полномочий и появляется окно с подтверждением (кстати, как это определяется - нужны программе полномочия или нет) - то после подтверждения этого пунктика нет.
Все что запускают явно от имени администратора тоже не имеет пунктика "виртуализация".

Блокнот от Vista (и некоторые др программы) запускается без этой "виртуализации". Блокнот от XP, но запущенный в Vista имеет пункт "виртуализация".

Что за виртуализация такая?

Если сам Process Explorer запущен через проводник, то он имеет пунктик "виртуализация". Если потом через проводник запустить что-то с правами админа явно, то Process Explorer вообще не имеет доступа к данным этого процесса.

← →
Vga © (2006-12-06 10:23) [87]

> [86] DVM © (06.12.06 10:21)

Быть может, что-то типа песочницы?

← →
DVM © (2006-12-06 10:26) [88]

> Быть может, что-то типа песочницы?

Тоже первая мысль была о защищенном окружении. Только вот интересно - для .NET приложений оно вроде как не создается (тот же блокнот из Vista он под .net вроде как, в xp он не запускается)

← →
Игорь Шевченко © (2006-12-06 10:27) [89]

> Что за виртуализация такая?

а это у каждой программы, желающей писать в системный каталог, например в \Windows, создается своя виртуальная папка. В какой-то из ссылок, приведенных выше, оно описано

← →
Vga © (2006-12-06 10:29) [90]

> [88] DVM © (06.12.06 10:26)

.NET сам по себе - песочница.

← →
DVM © (2006-12-06 10:30) [91]

> Игорь Шевченко © (06.12.06 10:27) [89]

Скорее всего не только это. Почему если Process Explorer запущен через проводник, то он потом не имеет доступа к данным процесса, запущенного явно от имени админа. Они же от одного и того же пользователя запущены.

← →
DVM © (2006-12-06 10:31) [92]

> .NET сам по себе - песочница.

Песочница или нет, а доступ блокноту в Program Files - пожалуйста. Без проблем.

← →
Vga © (2006-12-06 10:33) [93]

> [92] DVM © (06.12.06 10:31)

Он же микрософтовский, подписанный.

← →
IMHO © (2006-12-06 10:42) [94]

Вопрос на самом деле ОЧЕНЬ серьезный.

В операционной системе Виста нельзя писать файлы в Program Files - это понятно.
Но ведь инсталляторы это ДЕЛАЮТ (создают папки, подпапки пишут туда файлы и т.д.)

Значит есть все-таки список РАЗРЕШЕННЫХ программ (видимо, это в основном инсталляторы), которым Виста ПОЗВОЛЯЕТ делать то, что другим нельзя.

Засим такой вопрос: что это за список программ? Какие инсталляторы туда входят? Входит ли туда Wise InstallMaster?

← →
clickmaker © (2006-12-06 10:43) [95]

> [94] IMHO © (06.12.06 10:42)
> Но ведь инсталляторы это ДЕЛАЮТ

см. [84]

← →
DVM © (2006-12-06 10:44) [96]

> IMHO © (06.12.06 10:42) [94]

В Vista есть некий механизм детекции инсталляции - только по какому принципу он работает неясно.

← →
DVM © (2006-12-06 10:45) [97]

Глупо делать список разрешенных программ, кто мешает назвать троян разрешенным образом.

← →
BiN © (2006-12-06 10:53) [98]

> DVM © (06.12.06 10:45) [97]
>
> Глупо делать список разрешенных программ, кто мешает назвать
> троян разрешенным образом.

Кто сказал, что список по именам составляется? По контрольным суммам.

← →
Vga © (2006-12-06 10:55) [99]

> [98] BiN © (06.12.06 10:53)

Контрольная сумма от инсталлятора??? Который кроме собственно инсталлятора имеет оверлей с данными?

← →
Anatoly Podgoretsky © (2006-12-06 10:57) [100]

> DVM (06.12.2006 10:21:26) [86]

Тебе же давали ссылку на UAC

← →
Anatoly Podgoretsky © (2006-12-06 10:59) [101]

> DVM (06.12.2006 10:26:28) [88]

Вот тебе и объяснение, все виндоус приложения не доверительные, поскольку Виста - это Windows.NET
Пиши как требует система .NET приложение, иначе доверия тебе нет.

← →
Anatoly Podgoretsky © (2006-12-06 10:59) [102]

> Vga (06.12.2006 10:29:30) [90]

Неправда, это свои, а вот Win32 это в песочницу.

← →
BiN © (2006-12-06 11:00) [103]

> Vga © (06.12.06 10:55) [99]
>
> Контрольная сумма от инсталлятора??? Который кроме собственно
> инсталлятора имеет оверлей с данными?

Контрольная сумма от образа файла, входящего в список разрешенных программ.
Инсталлятор же распознается, очевидно, не по спискам.

← →
DVM © (2006-12-06 11:08) [104]

> Пиши как требует система .NET приложение, иначе доверия
> тебе нет.

.NET, конечно штука во многом хорошая, но писать и тем более переписывать под нее все подряд - это уж черезчур. Сама MS что-то не спешит свои продукты под .NET переделывать и, ИМХО, не станет. Взять тот же Office 2007 - не под Net он.

> Тебе же давали ссылку на UAC

Та статья на самом деле мало, что проясняет. Непонятно, как сделать хотя бы так, чтобы появился запрос при запуске своей программы, что мол так мол и так нужны административные полномочия - и соответственно предложение их дать, а не сразу отлуп.

← →
DVM © (2006-12-06 11:12) [105]

Вообще эти сообщения от висты страшно раздражают. Вчера пытался удалить папку из корня диска в котором стоит виста. Папка была создана из другой ОС - xp. Так я вынужден был ответить в 5(!) диалоговых окнах. А папку она так и не удалила - сказала, что нет полномочий. Хотя папку эту я взял во владение.

← →
BiN © (2006-12-06 11:16) [106]

> DVM © (06.12.06 11:12) [105]
> А папку она так и не удалила
> - сказала, что нет полномочий. Хотя папку эту я взял во
> владение.

Такая ситуация может возникнуть на любой системе с NTFS. После того как стал владельцем, нужно еще настроить права доступа.

← →
Vga © (2006-12-06 11:17) [107]

> [102] Anatoly Podgoretsky © (06.12.06 10:59)

Майкрософт же расхваливал managed код как безопасный, типа можно его контролировать и сказать "стоп" вирусам. Чем не песочница?

← →
DVM © (2006-12-06 11:17) [108]

> нужно еще настроить права доступа.

Права тоже дал.

> IMHO (06.12.2006 10:42:34) [94]

> Значит есть все-таки список РАЗРЕШЕННЫХ программ

Такой список есть. Он приватный.

> DVM (06.12.2006 10:45:37) [97]

> кто мешает назвать троян разрешенным образом.

Глупо ориентироваться на имя.

> Такой список есть. Он приватный.

Вряд ли там есть InnoSetup. Или инсталлятор WinRar-a. Да и куча других мелких, малоизвестных инсталляторов. Практически все работают нормально.

> Глупо ориентироваться на имя.

Я и говорю, что глупо.

> Vga (06.12.2006 10:55:39) [99]

Инсталятора боять в (лес не ходить) виндоус не работать.
Инсталятор не позволяет запускать инсталируемую программу, а только инсталировать. Запуск программы делается уже от другого пользователя. Те кто создает инсталяцию или пишет инсталляционные программы, часто игнорируют это, но современем наладится, жизнь заставит.

> Инсталятор не позволяет запускать инсталируемую программу,
> а только инсталировать.

Неправда. Большинство инсталляторов позволяют запустить то, что проинсталлировали после инсталляции и запуск программы будет произведен от имени того пользователя, от имени которого происходила инсталляция. Проверено вчера на InnoSetup.

> DVM © (06.12.06 11:25) [114]

Точнее, права программа запущенная из инсталлятора сразу после инсталляции получит те же в Vista что и сам инсталлятор.

> Anatoly Podgoretsky © (06.12.06 11:21) [113]
>
> Инсталятора боять в (лес не ходить) виндоус не работать.
>
> Инсталятор не позволяет запускать инсталируемую программу

Но Инсталлятор ПИШЕТ же в Program Files! Почему ему можно, а другим нельзя? Может, у него под оболочкой - вирусы и трояны? Вот они и появятся в Program Files.

> DVM (06.12.2006 11:08:44) [104]

Так ведь никто и не заставляет, но и жаловаться на плохую жизнь тогда тоже не стоит.
Касательно 2007 стань партнером МС и добейся включения в список доверенных программ.

По поводу статьи, конечно, ведь это популярная статься, если недостаточно, то лезть в профессиональные источники, но суммарное количество страниц, измеряется в десятках тысяц.
Даже книга по безопасности по Server 2000 толщиной свыше 10 сантиметров, а это только по безопасности и даже не 2003/ХР, а тем более Виста.

Америкаские вояки и крупные корпорации очень хорошо оценили 2003 с этой позиции, а Виста их еще больше обрадует. А проблемы безопасности у них более высокого, чем у нас порядка.

> [85] Anatoly Podgoretsky © (06.12.06 09:48)
> > clickmaker (06.12.2006 09:43:24) [84]
>
> IS жто Install Shield, отличается некоторой глюкавостью
> на разных версиях, но они оперативно устраняют проблемы

шерше по майкрософт.ком не выдает никаких ссылок по данной проблеме... Может вы знаете, где почитать про это?

> DVM (06.12.2006 11:12:45) [105]

Если сказала, что нет полномочий, то так и есть.
Администратор это обычный пользователь с расширенными полномочиями, в отличии от супервизора с безграничными полномочиями и бессметностью.

Но раз тебя не устраивают правила Виндоус, то кто же тебя заставляет писать под нее? Пиши под Мас, правда я посмотрю тогда на твои вопли.

> DVM (06.12.2006 11:17:48) [108]

Не верю.
Копирайт не буду приводить и так понятно кто.

> DVM (06.12.2006 11:20:51) [111]

Никто им не мешает попасть в этот список или работать по правилам.

> DVM (06.12.2006 11:25:54) [114]

Ну и пусть тогда они попробуют записать что либо в Program Files
Учетная инсталяционная запись не позволяет запускать программы от своего имени, инсталировать пожалуйста, а запуск или от имени текущего пользователя или от имени администратора.

> IMHO (06.12.2006 11:30:56) [116]

> Почему ему можно, а другим нельзя?

Потому что он инсталятор и для данной работы выделена другая учетная запись со своими ограничениями.

> Потому что он инсталятор и для данной работы выделена другая
> учетная запись со своими ограничениями.

Нет, InnoSetup по крайней мере работает от имени учетной записи администратора.

> Но раз тебя не устраивают правила Виндоус, то кто же тебя
> заставляет писать под нее? Пиши под Мас, правда я посмотрю
> тогда на твои вопли.

Меня все устраивает, и будут не вопли, а вопросы.

> и для данной работы выделена другая учетная запись со своими
> ограничениями.

Имя "учетной записи инсталляторов" в студию! Чтоб все знали.

> DVM (06.12.2006 12:01:05) [125]

Если ты не видишь суслика, то не значит, что его нет.

> Anatoly Podgoretsky © (06.12.06 11:18) [109]
>
> > IMHO (06.12.2006 10:42:34) [94]
>
> > Значит есть все-таки список РАЗРЕШЕННЫХ программ
>
> Такой список есть.

А какие инсталляторы туда входят? Wise InstallMaster входит? Хотя бы родной MSI?

> DVM (06.12.2006 12:05:06) [126]

Я точное имя не помню, но в название участвует слово Инсталятор
Не рыться же мне снова по Интернет, что бы найти эту информацию, я ее и так уже прочитал, кроме того информация могла поступить в почтовой рассылке для сисадминов или SWRUS (там сейчас это горячий вопрос).

> IMHO (06.12.2006 12:08:08) [128]

Я не знаю какие именно туда входят, кроме того говорить об инсталяторе в отрыве от инсталируемой программы не совсем правильно.

> Сама MS что-то не спешит свои продукты под .NET переделывать
> и, ИМХО, не станет. Взять тот же Office 2007 - не под Net
> он

у них даже многие страницы на сайте просто asp. Не aspx, а обычный asp, представляете?!
В то время как русские конторы в срочном порядке осваивают 3-й фреймворк..
Разве ж это порядок?

> Если ты не видишь суслика, то не значит, что его нет.

Я вижу, от имени какого пользователя исполняется процесс. Этого достаточно. Если бы он исполнялся от имени учетной записи со словом инсталлятор в названии я бы увидел. Все сказанное относится только к InnoSetup, другие инсталляторы не пробовал пока.

> clickmaker (06.12.2006 12:16:11) [131]

Это не порядок, это маркетинг.

> DVM (06.12.2006 12:17:12) [132]

Не ты ли задавал вопрос про виртуализацию?

> Не ты ли задавал вопрос про виртуализацию?

Я и как раз у инсталлятора, галочка "виртуализация" не отмечена.

> [135] DVM © (06.12.06 12:20)

вот, кстати, про инстоллер нашел

If elevated privileges are required to install a Windows Installer package, the author of the package should include the ElevationShield attribute for the PushButton control used to start the installation. This will alert the user that clicking on the button will display the UAC dialog box requesting administrator authorization to continue the installation.

(с) http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/guidelines_for_packages.asp

в блоге Марка Руссиновича (http://blogs.technet.com/MarkRussinovich/) в разделе "The Case of the Notepad that Wouldn"t Run" описаны обстоятельства, которые позволяют программе запрашивать увеличение прав, в ответ на что должно появиться то самое окошко:

UAC allows for users, even administrators, to run as standard users most of the time, while giving them the ability to run executables with administrator rights when necessary. There are several mechanisms by which executables can trigger a request for administrator rights: 1. If the executable image includes a Vista manifest file that specifies a desire or need for administrator rights (this would be added by the developer who creates the image). 2. If the executable is in Vista’s application compatibility database as a legacy application that Microsoft has identified as requiring administrator rights to run correctly. 3. If the user explicitly requests an elevation using Explorer’s “Run as administrator” menu item in the context menu for executables (also can be set as an advanced shortcut property). Note that this does not run the executable under the Administrator account, but rather under the account of the logged in user, but with the Administrator group enabled in the process security token. 4. If the executable is determined to be a setup or installer program (for example, if the word “setup” or “update” is in the image’s name).

> umbra (06.12.2006 14:30:18) [138]

Вот оно указание на внутреннею базу Микрософта, о которой говорилос выше

> in Vista’s application compatibility database as a legacy application that Microsoft has identified as

> [101] Anatoly Podgoretsky © (06.12.06 10:59)

об этом поню писал я пару месяцев назад, все стали кричать, что ничего подобного нету ))

> [138] umbra © (06.12.06 14:30)

кое что пряснил, спасибо.

> [91] DVM © (06.12.06 10:30)

ProcessExplorer для доступа к закрытой информации использует свой драйвер ядра, который подписан MS.

> [89] Игорь Шевченко © (06.12.06 10:27)

> а это у каждой программы, желающей писать в системный каталог,
> например в \Windows, создается своя виртуальная папка.
> В какой-то из ссылок, приведенных выше, оно описано

+ то же самое и реестром.

PS очень надеюсь, что MS выпустит статью с подробным практическим (с примерами) описанием новых фитч...
ну или Руссанович с Рихтером книги переиздадут.

А для инсталляторов все проще, чем казалось - если имя setup.exe - это инсталлятор.

Вот тут люди манифесты обсуждают

http://forums.microsoft.com/MSDN/ShowPost.aspx?PostID=463884&SiteID=1

вот еще кое-что по теме накопал
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnlong/html/AccProtVista.asp

> Eraser (06.12.2006 14:57:20) [140]

Так и сегодня кое кто сомневается, есть внутренние БАЗЫ, не база, а именно базы.

> Eraser (06.12.2006 15:00:21) [141]

Я думаю в MSDN есть, но и врагу не посоветую, что либо там искать :-)
Тяжелое это дело, бывает найдешь, а второй раз уже не удается.

> [142] DVM © (06.12.06 15:04)
> А для инсталляторов все проще, чем казалось - если имя setup.exe
> - это инсталлятор.

А если install.exe, то уже нет? Страшно.

> DVM (06.12.2006 15:04:22) [142]

Это слишком просто, инсталяторые имеют и другие названия, в том числе и от Микрософт. Интерес представляет и содержимое. Вот оно тоже в базе, кроме списка инсталяторов.

> MS выпустит статью с подробным практическим (с примерами)
> описанием новых фитч...

в том же блоге есть ссылка на статью "Understanding and Configuring User Account Control in Windows Vista" (http://www.microsoft.com/technet/WindowsVista/library/00d04415-2b2f-422c-b70e-b18ff918c281.mspx)

> [148] umbra © (06.12.06 15:15)

спасибо за ссылку, тоже полезно!

но я имел ввиду не конкретно какую-то одну тему, а все нововведения в плане безопасности Висты.
к примеру, подробное описание с примерами того, чем они заменили GINA.

> [147] Anatoly Podgoretsky © (06.12.06 15:11)

Installer Detection only applies to: 1. 32 bit executables 2. Applications without a requestedExecutionLevel 3. Interactive processes running as a Standard User with LUA enabled Before a 32 bit process is created, the following attributes are checked to determine whether it is an installer:• Filename includes keywords like "install," "setup," "update," etc. • Keywords in the following Versioning Resource fields: Vendor, Company Name, Product Name, File Description, Original Filename, Internal Name, and Export Name. • Keywords in the side-by-side manifest embedded in the executable. • Keywords in specific StringTable entries linked in the executable. • Key attributes in the RC data linked in the executable. • Targeted sequences of bytes within the executable.

> Gero (06.12.2006 15:11:26) [146]

PTKSETUP.EXE это микрософтовский.
А если это не инсталятор, а программа с таким названием?

> Eraser (06.12.2006 15:23:29) [149]

Before a 32 bit process is created, the following attributes are checked to determine whether it is an installer:•
Filename includes keywords like "install," "setup," "update," etc.
•
Keywords in the following Versioning Resource fields: Vendor, Company Name, Product Name, File Description, Original Filename, Internal Name, and Export Name.

Видишь они не такие простачки, как их тут пытаются представить.
Это свой монастырь со своими правилами и правила Win32+NT не применимы.

> [151] Anatoly Podgoretsky © (06.12.06 16:03)

хм.. я обратил на это внимание, только из документа не понял, между всеми этими условиями при проверке стоит OR или AND.. :)

> Eraser (06.12.2006 16:05:32) [152]

Стоит IF, а не else if
То есть выполнение первой проверки по имени недостаточно, надо проверить еще и далее, есть ли этот setup.exe в базе, дальше по контексту и прочие проверки.
Они серьезно озаботились об безопасности и целевой аудиторией являемся не мы, а крупные корпорации и госструктуры. Уже 2003 в части .NET давал отличные результаты.

Vista и запись в HKLM и Program Files. Найти похожие ветки