Mnoho programů vyžaduje při startu elevaci (ikona štítu vedle ikony), ale ve skutečnosti pro svůj běžný provoz nevyžadují administrátorská práva (například jste manuálně udělili potřebná práva uživatelům v adresáři programu v ProgramFiles a větve registru, které program používá). Pokud tedy spustíte takový program pod jednoduchým uživatelem, pokud je v počítači povoleno Řízení uživatelských účtů, zobrazí se výzva UAC a uživatel bude požádán o zadání hesla správce. Aby se tento mechanismus obešel, mnozí jednoduše zakážou UAC nebo udělí uživateli administrátorská práva v počítači přidáním do místní skupiny Administrators. Obě tyto metody jsou přirozeně nebezpečné.

Proč by normální aplikace potřebovala administrátorská práva

Aby mohl program upravit některé soubory (protokoly, konfigurace atd.) ve své vlastní složce v C:\Program Files (x86)\SomeApp, mohou být vyžadována práva správce. Ve výchozím nastavení nemají uživatelé práva na úpravu tohoto adresáře, respektive pro normální provoz takového programu jsou vyžadována administrátorská práva. Chcete-li tento problém vyřešit, musíte pod administrátorem na úrovni NTFS ručně přiřadit právo změny / zápisu pro uživatele (nebo skupinu Users) do složky s programem.

Poznámka. Praxe ukládání měnících se dat aplikace do vlastního adresáře v C:\Program Files ve skutečnosti není správná. Správnější je ukládat data aplikace do uživatelského profilu. To je ale otázka na lenost a neschopnost vývojářů.

Spuštění programu, který vyžaduje administrátorská práva od standardního uživatele

Dříve jsme popsali, jak můžete použít parametr RunAsInvoker. Tato metoda však není dostatečně flexibilní. Můžete také použít /SAVECRED s uložením hesla správce (také nezabezpečené). Zvažme jednodušší způsob, jak vynutit spuštění libovolného programu bez administrátorských práv (a bez zadání hesla administrátora) s povoleným UAC (úroveň 4, 3 nebo 2).

Vezměme například nástroj pro úpravu registru - regedit.exe(je umístěn v adresáři C:\windows\system32). Když spustíte regedit.exe, zobrazí se okno UAC a pokud nepotvrdíte zvýšení oprávnění, editor registru se nespustí.

Vytvořte soubor na ploše run-as-non-admin.bat s následujícím textem:

cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && začít "" %1"

Chcete-li nyní aplikaci vynutit spuštění bez práv správce a potlačit výzvu UAC, jednoduše do něj přetáhněte požadovaný exe soubor bat soubor na ploše.

Poté by se měl editor registru spustit bez výzvy UAC. Otevřete správce procesů a přidejte sloupec Zvýšená(S vyššími oprávněními) uvidíte, že systém má nezvýšený proces regedit.exe (běžící s uživatelskými právy).

Zkuste upravit libovolné nastavení ve větvi HKLM. Jak vidíte, přístup k úpravám registru v této větvi je odepřen (např tohoto uživateležádná oprávnění k zápisu do větví systémového registru). Klíče ale můžete přidávat a upravovat ve vlastní větvi registru uživatele – HKCU.

Podobně můžete spustit konkrétní aplikaci prostřednictvím souboru bat, stačí zadat cestu ke spustitelnému souboru.

run-app-as-non-admin.bat

Set ApplicationPath="C:\Program Files\MyApp\testapp.exe"
cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && spustit "" %ApplicationPath%"

Můžete také přidat kontextová nabídka, který přidává možnost pro všechny aplikace běžet bez nadmořské výšky. Chcete-li to provést, vytvořte následující soubor .reg a importujte jej do registru.

Okna Editor registru Verze 5.00


@="cmd /min /C \"nastavit __COMPAT_LAYER=RUNASINVOKER && spustit \"\" \"%1\"\""

Poté, chcete-li spustit jakoukoli aplikaci bez práv správce, stačí vybrat položku "" v kontextové nabídce.

Proměnná prostředí __COMPAT_LAYER a parametr RunAsInvoker

Proměnná prostředí __COMPAT_LAYER umožňuje nastavit různé úrovně kompatibility pro aplikace (tab Kompatibilita ve vlastnostech exe soubor). Pomocí této proměnné můžete určit nastavení kompatibility, se kterou chcete program spouštět. Chcete-li například spustit aplikaci v režimu kompatibility se systémem Windows 7 v rozlišení 640 x 480, nastavte:

sada __COMPAT_LAYER=Win7RTM 640x480

Z možností proměnné __COMPAT_LAYER, které jsou pro nás zajímavé, vybíráme následující parametry:

  • RunAsInvoker- spusťte aplikaci s právy nadřazeného procesu bez výzvy UAC.
  • Spustit jako nejvyšší- spusťte aplikaci s maximálními právy dostupnými uživateli (výzva UAC se objeví, pokud má uživatel práva správce).
  • RunAsAdmin- spusťte aplikaci s administrátorskými právy (vždy se objeví požadavek AUC).

Tito. parametr RunAsInvoker neuděluje administrátorská práva, ale pouze blokuje vzhled okna UAC.

Vzplanul jsem touto myšlenkou bezpečnosti a rozhodl jsem se zkusit udělat totéž pro sebe.

Protože mám Windows 7 Professional, první nápad byl použít AppLocker "a, ale rychle se ukázalo, že nechce pracovat v mé edici Windows a vyžaduje Ultimate nebo Enterprise. Kvůli licencování mého Windows a prázdnota mé peněženky, možnost s AppLockerem“ om pryč.

Dalším pokusem bylo nastavení skupinové zásady omezené používání programů. Vzhledem k tomu, že AppLocker je „pumpovanou“ verzí tohoto mechanismu, je logické vyzkoušet zásady, zvláště když jsou pro uživatele Windows zdarma :)

Pojďme do nastavení:
gpedit.msc -> Konfigurace počítače -> Nastavení systému Windows -> Nastavení zabezpečení -> Zásady omezení softwaru

Pokud žádná pravidla neexistují, systém nabídne vygenerování automatických pravidel, ze kterých lze programy spouštět složky Windows a Program Files. Přidáme také pravidlo odmítnutí pro cestu * (libovolnou cestu). V důsledku toho chceme mít možnost spouštět programy pouze z chráněných systémových složek. a co?
Ano, to je to, co dostaneme, ale tady je jen malá smůla - štítky a http odkazy nefungují. Stále můžete bodovat na odkazech, ale není dobré žít bez štítků.
Pokud povolíme spouštění souborů pomocí masky *.lnk, budeme moci vytvořit zástupce pro jakýkoli spustitelný soubor a spustit jej pomocí zástupce, i když není v systémové složky. Mizerný.
Požadavek na Google vede k takovým rozhodnutím: buď povolit spouštění zástupců z uživatelské složky, nebo použít lišty třetích stran se zástupci. Není jiná cesta. Osobně se mi tato možnost nelíbí.

V důsledku toho jsme postaveni před situaci, že *.lnk není z pohledu Windows odkaz na spustitelný soubor, ale spustitelný soubor. Je to šílené, ale co se dá dělat... Chtěl bych, aby Windows nekontroloval umístění zástupce, ale umístění souboru, na který odkazuje.

A pak jsem náhodou narazil na nastavení seznamu přípon, které jsou spustitelné z pohledu Windows (gpedit.msc -> Konfigurace počítače -> Konfigurace Windows -> Možnosti zabezpečení -> Přiřazené typy souborů). Smažeme odtud LNK a zároveň HTTP a znovu se přihlásíme. Získáme plně funkční zástupce a zkontrolujeme umístění spustitelného souboru.
Byla pochybnost, zda by bylo možné předat parametry přes zkratky - je to možné, takže vše ok.

V důsledku toho jsme získali implementaci myšlenky popsané v článku "Počítač se systémem Windows bez antivirů" bez jakýchkoli nepříjemností pro uživatele.

Pro ty, kteří se rádi střílejí do nohy, si také můžete vytvořit složku v Program Files a hodit pro ni zástupce na plochu, nazvat ji například „Sandbox“. To vám umožní spouštět programy odtamtud bez deaktivace politik pomocí chráněného úložiště (ochrana pomocí UAC).

Doufám, že popsaná metoda bude pro někoho užitečná a nová. Alespoň jsem o něčem takovém od nikoho nikdy neslyšel a nikde neviděl.

Některé akce pravidelné programy lze klasifikovat Kaspersky Total bezpečnostní jako nebezpečné. Pokud Kaspersky Naprostá bezpečnost blokování činnosti programu a jste si jisti, že je bezpečný, přidejte program do seznamu důvěryhodných nebo pro něj vytvořte pravidlo výjimky.

Po přidání programu do seznamu důvěryhodných Kaspersky Total Security přestane sledovat soubor a síťovou aktivitu tohoto programu a také jeho přístup do registru. Současně probíhá kontrola spustitelného souboru programu na přítomnost virů. Pokud chcete aplikaci zcela vyloučit z kontroly, vytvořte pro ni pravidlo výjimky.

Chcete-li přidat aplikaci do seznamu důvěryhodných, postupujte takto:

  1. V okně Nastavení přejděte do sekce Ochrana a vyberte Ohrožení a vyloučení.
  1. V okně Nastavení hrozeb a vyloučení klikněte na odkaz Zadejte důvěryhodné programy.

  1. V okně Důvěryhodné programy klikněte na tlačítko Přidat.

  1. Určete spustitelný soubor důvěryhodné aplikace kliknutím na odkaz Posouzení nebo výběrem programu ze seznamu (zobrazí běžící tento moment programy).

  1. V okně Výjimky programu definujte parametry pro použití pravidla zaškrtnutím nezbytných políček:
    • Nekontrolujte otevřené soubory- vyloučit z kontroly všechny soubory, které jsou otevřeny procesem důvěryhodné aplikace.
    • Nesledujte aktivitu programu Sledování činnosti jakákoli činnost (včetně podezřelých) prováděná důvěryhodnou aplikací.
    • Nedědit omezení nadřazeného procesu (programu) -Činnost programu je řízena podle pravidel nastavených uživatelem. Pokud je zaškrtávací políčko zrušeno, program se řídí pravidly programu, který jej spustil.
    • Nesledujte aktivitu dětských programů- vyloučit z kontroly v rámci provozu součásti Sledování činnosti jakákoli činnost (včetně podezřelých) prováděná podřízenými procesy důvěryhodné aplikace.
    • Povolit interakce rozhraní Kaspersky Total Security.
    • Nekontrolujte veškerý provoz- vyloučit z kontroly virů a spamu síťový provoz iniciovaný důvěryhodnou aplikací. Se zaškrtnutým políčkem Nekontrolujte veškerý provoz Provoz zadané aplikace NENÍ kontrolován pouze na viry a spam. To však nemá vliv na dopravní kontrolu ze strany komponentu. Firewall , podle jejíchž parametrů síťová aktivita tento program.
    • Chcete-li z kontroly vyloučit pouze šifrovaný síťový provoz, klikněte na odkaz Nekontrolujte veškerý provoz a vyberte Nekontrolovat šifrovaný provoz, bude tedy vybrán pouze šifrovaný provoz (pomocí protokolu SSL/TSL)
    • Kromě toho můžete omezit vyloučení na konkrétní vzdálenou IP adresu/port:
      • Chcete-li nekontrolovat konkrétní IP adresu, zaškrtněte políčko Pouze pro specifikované IP adresy, a poté do pole zadejte IP adresu.
      • Chcete-li některé porty nekontrolovat, zaškrtněte políčko Pouze pro specifikované porty Do pole zadejte porty oddělené čárkami.
  2. V okně Výjimky programu klikněte na tlačítko Přidat.

  1. Zavřete okna programu.

V Kaspersky Total Security ve výchozím nastavení na důvěryhodné programy s parametrem Nekontrolujte šifrovaný síťový provoz přidaný soubor %SystemRoot%\system32\svchost.exe- spustitelný soubor systémové služby Microsoft Windows Aktualizace. Chráněný provoz této služby není dostupný pro kontrolu žádným antivirovým softwarem. Pokud pro tuto službu není vytvořeno povolovací pravidlo, bude provoz této služby ukončen s chybou.

Existují případy, kdy běžní uživatelé potřebují spouštět určitý software nebo aplikace, které pro svou běžnou funkčnost vyžadují administrátorská práva. Zároveň je velmi nežádoucí v takových situacích upozorňovat administrátorské heslo a poskytovat administrátorský účet. Ale stále existuje cesta ven. Můžete použít velmi jednoduchý, malý a hlavně bezplatný nástroj RunAsTool. Tento program vám umožňuje udělit libovolnou úroveň práv pro konkrétní seznam programů.

Pojďme se podívat, jak to funguje.

Ihned po spuštění programu se může zobrazit následující zpráva.

Tato zpráva znamená, že systém nemá administrátorský účet chráněný heslem. Pokud se vám tedy zobrazí tato zpráva, najděte v ovládacím panelu sekci, která je zodpovědná za účty: „Uživatelské účty“ a nastavte heslo pro účet správce. A také tuto funkci lze použít přímo z programu kliknutím na tlačítko "Ano", které vyvolá ze systému potřebné okno nastavení.

Po nastavení hesla můžete aktualizovat seznam správců kliknutím na tlačítko se šipkou v okně programu nebo jednoduše restartovat nástroj. V případě, že máte několik administrátorských účtů, pak v rozevíracím seznamu můžete vybrat ten, jménem kterého se budou spouštět všechny programy / aplikace. Nyní, abyste mohli nakonfigurovat nástroj v režimu úprav, budete muset zadat heslo vybraného správce účet.

V budoucnu tato pověření bude nástroj používat ke spouštění programů jako správce.

V režimu úprav je možné přidávat programy do seznamu buď pomocí nabídky "Soubor" -> "Přidat", nebo jednoduše přetažením zástupce aplikace do levého okna utility myší. Poté se v pravé části okna programu objeví všechny potřebné informace o spuštění vybrané aplikace.

Jde hlavně o to, aby to běželo jménem Admina, pokud je tam nastaveno jiné nastavení.

Musíte se také ujistit, že tento nástroj lze spustit z jiných neprivilegovaných účtů. Ale pro tento účel může posloužit takové nastavení v rozhraní, jako je vytvoření zástupce pro plochu. Po zvolení této instalace by všichni běžní uživatelé měli mít na ploše zástupce pro spuštění obslužného programu rychlý přístup do seznamu privilegovaných programů.

Když běžní uživatelé budou používat RunAsTool, neuvidí režim úprav. Pro tyto uživatele bude k dispozici pouze jednoduché okno s ikonami programů, které mohou spouštět s administrátorskými právy. Ale v případě, že bude nutné vrátit se do režimu úprav a změnit seznam programů nebo jiná nastavení, lze to snadno provést prostřednictvím nabídky „Soubor“ -> „Povolit režim úprav“, na které se vás obslužný program zeptá pro opětovné zadání hesla.

Výkon této metody můžete snadno ověřit pomocí správce úloh, protože zobrazuje informace o uživateli, který spustil tento nebo ten proces / aplikaci. Kde je zřejmé, jak jsou aplikace v jednom účtu spouštěny jménem jiného uživatele.

Někdy brána firewall blokuje důvěryhodným aplikacím přístup k internetu, ale ve Windows 10 je velmi snadné změnit nastavení a ručně povolit aplikaci přes bránu firewall. Zde je návod, jak na to.

Windows 10 nabízí řadu funkcí zabezpečení, které pomáhají chránit vaše zařízení a data před neoprávněným přístupem, malwarem a dalšími útoky pomocí vestavěné brány firewall. Vestavěný firewall sice dobře řídí, které aplikace a funkce mohou komunikovat po síti, někdy však může být nutné aplikace povolit nebo zakázat ručně.

V této příručce se dozvíte, jak povolit nebo zablokovat aplikacím přístup k síti pomocí konfigurace brány firewall ve Windows 10.

Povolit komunikaci s aplikacemi v bráně Windows Defender Firewall.

Chcete-li povolit důvěryhodnou aplikaci nebo funkci prostřednictvím vestavěné brány firewall v systému Windows 10, postupujte takto:

Krok 1: OTEVŘENO " Bezpečnostní centrum Windows Defender» .

Krok 2: lis "Firewall a zabezpečení sítě".

Krok 4: V okně stiskněte tlačítko "Změnit nastavení".

Krok 5: V seznamu vyhledejte aplikaci nebo funkci, kterou chcete povolit přes bránu firewall.

Rychlý tip: Pokud aplikace není uvedena, klikněte na tlačítko "Povolit jinou aplikaci" vyhledejte aplikaci, které chcete povolit přístup k internetu.

Krok 6: Vyberte, ke kterému typu sítě má aplikace přístup:

  • soukromé: Umožňuje uživateli přístup k síti doma nebo v práci, kde jsou uživatelé a zařízení důvěryhodní a známá.
  • Veřejnost: Umožňuje uživateli přístup k síti na veřejném místě, jako je kavárna nebo hotel.

Krok 7: Klepněte na tlačítko "OK".

Po dokončení výše uvedených kroků bude aplikace nyní volně přistupovat k síti.

Pokud chcete aplikaci zablokovat přes firewall, můžete si vybrat požadovanou aplikaci a stiskněte tlačítko "Vymazat" nebo postupujte podle stejných pokynů, ale dál krok 6 Pokud chcete aplikaci nebo funkci zabránit v přístupu k internetu, zrušte zaškrtnutí příslušného políčka.

Tato příručka se zaměřuje na nastavení Windows firewall 10, ale v případě, že máte jiné řešení zabezpečení, nezapomeňte si přečíst pokyny na stránkách podpory dodavatele.