Автозапуск на Vista и цифровая подпись

← →
Медвежонок Пятачок © (2009-06-22 12:45) [40]

а что, для них более подходящей платформы нет кроме висты?

← →
test © (2009-06-22 12:59) [41]

Медвежонок Пятачок © (22.06.09 12:45) [40]

Вот тут утверждают что нет.
Медвежонок Пятачок © (22.06.09 12:08) [31]
Знакомая сказка. Ищут пожарные, ищут милиция .....

← →
Плохиш © (2009-06-22 13:01) [42]

> brother © (22.06.09 12:30) [34]
> а как быть с прогами "для себя"?

Тут, вроде, уже два варианта было.

> test © (22.06.09 12:33) [35]
>
> Плохиш © (22.06.09 12:26) [33]
> Например по работе надо сервис в автогруз и 24/7, в МелкийСофт
> с 455 амер рублями идти сразу после написания?

Чё там в [20] написано?
И вроде здесь упоминалось про 399 доларов, откуда ещё 56 взялось?
Если сервис такой нужный и экономит много монетов, то почему бы и не зарегистрировать его?

← →
Anatoly Podgoretsky © (2009-06-22 13:05) [43]

> test (22.06.2009 12:43:39) [39]

Какие еще сервисы из автозагрузки.

> Вобщем, есть программа

← →
test © (2009-06-22 13:09) [44]

Плохиш © (22.06.09 13:01) [42]
>>И вроде здесь упоминалось про 399 доларов, откуда ещё 56 взялось?
На проезд))

>>Если сервис такой нужный и экономит много монетов, то почему бы и не зарегистрировать его?
Потому что внутренний сервис, платить программеру и МС пошитают накладным владельцы, крайним останеться программмер с ТЗ "Чтобы было".

Anatoly Podgoretsky © (22.06.09 13:05) [43]
Я разници не вижу, вместо того чтобы прозрачно показать что она делают ставят отлуп целому классу программ.

← →
boa_kaa © (2009-06-22 13:24) [45]

- Пороть, - ласково и убежденно пояснил немец. - Пороть ежедневно. За провинность и в качестве назидания. Только так!

(с) Андрей Белянин. Тайный сыск царя Гороха

← →
Empleado © (2009-06-22 13:33) [46]

А еще можно поставить свой CA (желательно начиная с W2003Srv, лучше Ent, но можно и Std) и раздавать свои сертификаты бесплатно не только в собственном домэне, но и сторонним потребителям.

Вот, кстати, только не знаю, не будет ли считаться "изменой" лицензионному соглашению, если мои сертификаты с подписями и т.д. я буду распространять параллельно с моими программами за пределы моего домэна, чтобы быть импортированными при первом же использовании программы, например ... Это надо уточнить.

← →
Styx_ (2009-06-22 13:47) [47]

> Потому что внутренний сервис

Внутренний вполне можно подписать доменным CA

> Вот, кстати, только не знаю, не будет ли считаться "изменой"
> лицензионному соглашению, если мои сертификаты с подписями
> и т.д. я буду распространять параллельно с моими программами
> за пределы моего домэна, чтобы быть импортированными при
> первом же использовании программы, например ... Это надо
> уточнить.

Если будет - что мешает выписать сертификат в том же OpenSSL или других приведённых в этой ветки продуктах...

← →
Кто б сомневался © (2009-06-22 14:07) [48]

> Недавно видел на одном из сайтов Microsoft: $399, кажется
> ничего сто раз платить не надо, специально для тех кто собрался
> подписывтаь прог-у для висты в верисигне

я вчера весь день провозился с этой лабудой, - не прав ты, везде идет подписка на какой то срок. Год -два три.
Т.е. каждый год нужно отваливать VeriSign 500 баксов (та же цена и за обновление подписи). Есть конечно другие "проверяющие", китайские - чуть дешевле.

> Дмитрий С © (22.06.09 02:21) [20]
>
> OpenSSL + pvk.exe + SignTool.exe = ЦП.

Только эту подпись можно засунуть себе в .. Она игнорируется вистой также как и без подписи. вчера пробовал подписывать свою прогу.

мой вопрос:

> 1, А если программа бесплатная, и нет смысла за деньги брать
> цифровую подпись - предусмотрены ли эти условия у Microsoft?
> Можно ли такую программу запустить из автозагрузки, под
> админом?

Нет. Microsoft легким жестом перекрыла кислород таким программам. Явная дискриминация.
Хотя нет, - заплати - и год можешь свободно запускаться из автозагрузки.
Вчера много инфы мне попалось по этому поводу. Открытые бесплатные драйвера вообще невозможно поставить на висту x64 без ЦП, а большинство разработчиков, которые пишут подобное категорически отказываются платить 500$ за подпись каждый год, они и так дают свой продукт бесплатно и openSource.
Короче ниша OpenSource и бесплатных программ начинает жестко ущемляться.

← →
Медвежонок Пятачок © (2009-06-22 14:08) [49]

Вот тут утверждают что нет.

Как насчет старого проверенного win2003?
Там этой надобности нет

← →
Кто б сомневался © (2009-06-22 14:11) [50]

Нет меня просто бесит тот факт ,что операционка решает за меня, какие программы можно запустить, а какие нет.
Причем я не могу ей указать - что вот эту программу я разрешаю запускать с автозапуска. нет там такого.

← →
Кто б сомневался © (2009-06-22 14:21) [51]

Как вы думаете, если бы 15 лет назад сказали бы людям, что в ближайшем будущем, чтобы программа корректно работала на ОС windows, нужно будет дядям отдавать пол тысячи долларов каждый год.

Поверили бы люди?

← →
Styx_ (2009-06-22 14:41) [52]

> Только эту подпись можно засунуть себе в .. Она игнорируется
> вистой также как и без подписи. вчера пробовал подписывать
> свою прогу.

Так а Вы сертификат, которым подписывали, добавляли в "Корневые доверенные центры сертификации"?

← →
Eraser © (2009-06-22 14:45) [53]

> [4] Кто б сомневался © (21.06.09 17:55)
>
> > Рамиль © (21.06.09 17:19) [2]
> >
> > Сделать службой.
>
>
> Кажись неподписанные службы тоже блокируются.

не блокируются.

← →
Кто б сомневался © (2009-06-22 14:57) [54]

> Так а Вы сертификат, которым подписывали, добавляли в "Корневые
> доверенные центры сертификации"?

Добавлял куда то, открылось стандартное окно итп.
Дело не в этом, ну что я юзеров буду просить добавить сертификат что-ли?

>
> Eraser © (22.06.09 14:45) [53]
>
> > [4] Кто б сомневался © (21.06.09 17:55)
> >
> > > Рамиль © (21.06.09 17:19) [2]
> > >
> > > Сделать службой.
> >
> >
> > Кажись неподписанные службы тоже блокируются.
>
> не блокируются.

Если бы служба могла запускать повышать права при запуске программы, но это не так. Вчера проверял на prio.

← →
Кто б сомневался © (2009-06-22 15:04) [55]

> Styx_ (22.06.09 14:41) [52]
>
>
> > Только эту подпись можно засунуть себе в .. Она игнорируется
>
> > вистой также как и без подписи. вчера пробовал подписывать
>
> > свою прогу.
>
> Так а Вы сертификат, которым подписывали, добавляли в "Корневые
> доверенные центры сертификации"?

Только что попробовал добавить. В Корневые доверенные центры сертификации.
Перезагрузился, - программа заблокирована все равно. Не работает вариант.

← →
Кто б сомневался © (2009-06-22 15:06) [56]

> Styx_ (22.06.09 14:41) [52]

Windows Defender - пишет "нет класификации".
У тех программ которые запустились из авторана, - пишет в этом поле - Разрешено. может что-то подкрутить надо?

← →
Кто б сомневался © (2009-06-22 15:08) [57]

что самое интересное, в свойствах файла, в закладке цифровая подпись - он пишет "Эта ЦП действительна" (раньше не писал). но блокирует при автозапуске.

Чувствую что где то рядом ответ..

← →
Eraser © (2009-06-22 15:33) [58]

> [54] Кто б сомневался © (22.06.09 14:57)

> Если бы служба могла запускать повышать права при запуске
> программы, но это не так. Вчера проверял на prio.

вы о чем, у службы системные права по-умолчанию, зачем ей что-то поднимать? )

← →
Кто б сомневался © (2009-06-22 16:11) [59]

Вы не поняли. Служба у которой системные права, запускает программу, которой требуются админские права. Но сейчас этот вариант не прокатывает (я догадываюсь что он был до SP1?).

← →
test © (2009-06-22 16:58) [60]

Кто б сомневался © (22.06.09 16:11) [59]
Запускай ее внутри программы?
CreateProcess

← →
test © (2009-06-22 16:58) [61]

test © (22.06.09 16:58) [60]
В смысле, как процесс от имени и под управлением сервиса.

← →
Кто б сомневался © (2009-06-22 17:52) [62]

Расшифруй. что значит процесс от имени сервиса?

← →
test © (2009-06-22 20:54) [63]

Ты поднимаешь свой сервис, твой сервис создает процесс под своими правами, дальше ты его сервисом отслеживаешь. CreateProcess на win32. Он у тебя запускается с правами твоего сервиса, помойму так.

← →
Eraser © (2009-06-22 22:14) [64]

> [59] Кто б сомневался © (22.06.09 16:11)

имея системные права можно запустить хоть черта лысого с любыми правами. вопрос только в том, откуда получить токен нужного пользователя. запустить от имени текущего инетрактивного пользователя вообще не проблема. но я бы смотрел в сторону более простого решения.

← →
Кто б сомневался © (2009-06-22 22:57) [65]

Блин, ну я ж об это говорил, - пробовал. существует такая программа - Prio - в этой же теме кто то советовал. Там как раз для этого она и предназначена, и создается спец службу, для того чтобы запускать программы под админом и автоматом с Windows.
Но она их не запускает. Все сделал как там написано (там особо и делать то ничего не надо) - служба работает, а прога не запускается.

← →
Кто б сомневался © (2009-06-22 22:58) [66]

Да, я смотрел - служба под SYSTEM стартует и работает.
Но блин не запускает. Незнаю.

← →
Кто б сомневался © (2009-06-22 23:01) [67]

Вот пост, может кто попробует.

> Styx (21.06.09 18:01) [5]
> http://www.prnwatch.com/rus/prio.html
> В конце - Silent elevation

Только условие - прога должна быть с манифестом, в котором требуются права админа (там где спрашивается - разрешить запуск bla-bla?). Без прав проги и так запускаются с автозапуска.

← →
Холивар (2009-06-23 01:02) [68]

> Styx (21.06.09 18:01) [5]
>
>
> > Возможно есть какие то варианты обхода этой блокировки
>
> http://www.prnwatch.com/rus/prio.html
> В конце - Silent elevation

Сервис и перехват запуска. А если кто-то подредактирует с правами админа %APPDATA%\prio.ini. Тоесть дырка явная.

← →
Холивар (2009-06-23 01:09) [69]

> Кто б сомневался © (22.06.09 14:21) [51]
>
> Как вы думаете, если бы 15 лет назад сказали бы людям, что
> в ближайшем будущем, чтобы программа корректно работала
> на ОС windows, нужно будет дядям отдавать пол тысячи долларов
> каждый год.
>
> Поверили бы люди?

Всегда можно написать стартер который запоминает логин/пароль админа, сохраняет их в своём ini. файле и запускает процесс с токеном безопасности админа.

← →
Холивар (2009-06-23 01:14) [70]

Открытые бесплатные драйвера вообще невозможно поставить на висту x64 без ЦП

А что, сложно скинутся и купить один сертификат для всех писателей открытых драйверов?

> А что, сложно скинутся и купить один сертификат для всех
> писателей открытых драйверов?

Сомневаюсь.
Если бы так можно было бы делать, уже давно бы сделали..

Доверия к такому сертификату 0, а точнее отричательное.

← →
Styx_ (2009-06-23 15:31) [73]

> Только условие - прога должна быть с манифестом, в котором
> требуются права админа (там где спрашивается - разрешить
> запуск bla-bla?). Без прав проги и так запускаются с автозапуска

А если такого манифеста не будет, а в PRIO поставить elevation?

> Сервис и перехват запуска. А если кто-то подредактирует
> с правами админа %APPDATA%\prio.ini. Тоесть дырка явная.
>

Само собой. Но... за всё есть своя цена :)

> А если такого манифеста не будет, а в PRIO поставить elevation?

Если его не будет, значит программе не нужны админские права. Такие программы могут стартовать и без выкрутасов - с Run ветки. Но мне нужны именно админские права. Кол. таких программ, очень и очень большое, от клинеров до антивирусов итд.

> Anatoly Podgoretsky © (23.06.09 14:28) [72]
>
> Доверия к такому сертификату 0, а точнее отричательное.

А вообще так можно сделать?

← →
Styx_ (2009-06-23 17:41) [76]

> А если такого манифеста не будет, а в PRIO поставить elevation?

> Если его не будет, значит программе не нужны админские права.
> Такие программы могут стартовать и без выкрутасов - с Run
> ветки. Но мне нужны именно админские права. Кол. таких программ,
> очень и очень большое, от клинеров до антивирусов итд.

Так Вы проверяли, какие права она в этом случае получит

> Так Вы проверяли, какие права она в этом случае получит

А так попробовать. Это я уже смогу через два дня, когда домой приеду, там виста.

Я вот не пойму, почему я не могу создать свой сертификат, только для своей ОС. чтобы он был полностью доверенный?

Ведь для больших предприятий админы создают свою PKI -infrastructure, для организации VPN, например. Или внутрикорпоративных SSL соединений. Там все на сертификатах. или может я что-то путаю?

Кто б сомневался © (24.06.09 19:42) [78]
У M$ кончались деньги, Билл ушел никто толком как продавать кроме Била не знает. Придумывают сферические веслипеды для вакуума.

Нет ну админы преприятий то могут создавать свои сертификаты? Бесплатные, т.к. свои. Как они их создают или нет? или там как то по другому?
Почему то когда создал свой сертификат, и добавил его в Корневые доверенные центры сертификации - то система стала видеть программу как подписанной, и доверять ей. Но при автозапуске блокирует!

Автозапуск на Vista и цифровая подпись Найти похожие ветки