Daugeliui programų paleidžiant reikalingas aukštis (šalia piktogramos yra skydo piktograma), tačiau iš tikrųjų joms nereikia administratoriaus teisių, kad jos veiktų normaliai (pavyzdžiui, jūs rankiniu būdu suteikėte reikiamas teises programos kataloge ProgramFiles ir registro filialai, kuriuos naudoja programa). Atitinkamai, kai paleidžiate tokią programą iš paprasto vartotojo, jei kompiuteryje įjungtas vartotojo abonemento valdymas, pasirodys UAC raginimas ir vartotojas turės įvesti administratoriaus slaptažodį. Norėdami apeiti šį mechanizmą, daugelis tiesiog išjungia UAC arba suteikia vartotojui kompiuterio administravimo teises, įtraukdami jį į vietinę administratorių grupę. Natūralu, kad abu šie metodai yra nesaugūs.

Kodėl normaliai programai reikia administratoriaus teisių

Gali prireikti administratoriaus teisių, kad programa galėtų modifikuoti kai kuriuos failus (žurnalus, konfigūracijas ir kt.) savo aplanke, esančiame C:\Program Files (x86)\SomeApp). Pagal numatytuosius nustatymus vartotojai neturi teisių redaguoti šio katalogo, todėl normaliam tokios programos veikimui reikalingos administratoriaus teisės. Norėdami išspręsti šią problemą, naudodami NTFS lygio administratorių, turite rankiniu būdu priskirti keitimo / rašymo teisę vartotojui (arba vartotojų grupei) aplankui su programa.

Pastaba. Tiesą sakant, praktika saugoti besikeičiančius programos duomenis savo kataloge C:\Program Files nėra teisinga. Tikslingiau programos duomenis saugoti vartotojo profilyje. Bet tai yra klausimas apie kūrėjų tingumą ir nekompetenciją.

Paleisti programą, kuriai reikalingos administratoriaus teisės iš standartinio vartotojo

Anksčiau aprašėme, kaip galite naudoti parametrą RunAsInvoker. Tačiau šis metodas nėra pakankamai lankstus. Taip pat galite naudoti /SAVECRED išsaugodami administratoriaus slaptažodį (taip pat nesaugu). Apsvarstykime paprastesnį būdą priversti paleisti bet kurią programą be administratoriaus teisių (ir neįvedus administratoriaus slaptažodžio), kai įjungtas UAC (4, 3 arba 2 lygis).

Pavyzdžiui, paimkime registro redagavimo priemonę - regedit.exe(jis yra kataloge C:\windows\system32). Kai paleidžiate regedit.exe, pasirodo UAC langas ir, jei nepatvirtinate privilegijų padidinimo, registro rengyklė nepasileidžia.

Sukurkite failą darbalaukyje Run-as-non-admin.bat su tokiu tekstu:

cmd /min /C "nustatyti __COMPAT_LAYER=RUNASINVOKER && paleisti "" % 1"

Dabar norėdami priversti programą paleisti be administratoriaus teisių ir užblokuoti UAC raginimą, tiesiog vilkite norimą exe failą į šį bat failą darbalaukyje.

Po to registro rengyklė turėtų prasidėti be UAC raginimo. Atidarykite proceso tvarkyklę ir pridėkite stulpelį Paaukštintas(Turėdami aukštesnius leidimus), pamatysite, kad sistemoje yra nepadidintas regedit.exe procesas (veikiantis su vartotojo teisėmis).

Pabandykite redaguoti bet kurį HKLM filialo nustatymą. Kaip matote, prieiga redaguoti registrą šioje šakoje uždrausta (už šis vartotojas nėra rašymo teisių į sistemos registro filialus). Tačiau raktus galite pridėti ir redaguoti paties vartotojo registro šakoje – HKCU.

Panašiai galite paleisti konkrečią programą naudodami bat failą, tiesiog nurodykite kelią į vykdomąjį failą.

run-app-as-non-admin.bat

Nustatyti ApplicationPath="C:\Program Files\MyApp\testapp.exe"
cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && paleisti "" %ApplicationPath%"

Taip pat galite pridėti kontekstinis meniu, kuris suteikia galimybę visoms programoms veikti be pakilimo. Norėdami tai padaryti, sukurkite toliau pateiktą informaciją .reg failą ir importuoti jį į registrą.

Windows Registro redaktorius 5.00 versija


@="cmd /min /C \"nustatyti __COMPAT_LAYER=RUNASINVOKER && pradėti \"\" \"%1\"\""

Po to, norėdami paleisti bet kurią programą be administratoriaus teisių, tiesiog kontekstiniame meniu pasirinkite elementą "".

__COMPAT_LAYER aplinkos kintamasis ir RunAsInvoker parametras

Aplinkos kintamasis __COMPAT_LAYER leidžia nustatyti skirtingus programų suderinamumo lygius (skirtukas Suderinamumas savybėse exe failą). Naudodami šį kintamąjį galite nurodyti suderinamumo parametrus, su kuriais norite paleisti programą. Pavyzdžiui, norėdami paleisti programą „Windows 7“ suderinamumo režimu, kai skiriamoji geba yra 640 x 480, nustatykite:

set __COMPAT_LAYER=Win7RTM 640x480

Iš mums įdomių kintamojo __COMPAT_LAYER parinkčių pasirenkame šiuos parametrus:

  • RunAsInvoker- paleiskite programą su pirminio proceso teisėmis be UAC raginimo.
  • RunAs Highest- paleiskite programą su didžiausiomis vartotojui prieinamomis teisėmis (jei vartotojas turi administratoriaus teises, pasirodo UAC raginimas).
  • RunAsAdmin- paleiskite programą administratoriaus teisėmis (užklausa AUC visada rodoma).

Tie. parametras RunAsInvoker nesuteikia administratoriaus teisių, o tik blokuoja UAC lango išvaizdą.

Aš užsidegiau nuo šios saugumo idėjos ir nusprendžiau pabandyti padaryti tą patį.

Kadangi turiu „Windows 7 Professional“, pirma mintis buvo naudoti „AppLocker“, tačiau greitai tapo aišku, kad jis nenori dirbti mano „Windows“ leidime ir jam reikia „Ultimate“ arba „Enterprise“. Dėl mano Windows licencijavimo ir mano piniginės tuštuma, galimybė su AppLocker“ nebėra.

Kitas bandymas buvo nustatyti grupės politika ribotas programų naudojimas. Kadangi „AppLocker“ yra „siurbiama“ šio mechanizmo versija, logiška išbandyti politiką, ypač todėl, kad „Windows“ vartotojams jos yra nemokamos :)

Eikime į nustatymus:
gpedit.msc -> Kompiuterio konfigūracija -> "Windows" nustatymai -> Saugos nustatymai -> Programinės įrangos apribojimų politika

Jei taisyklių nėra, sistema pasiūlys sugeneruoti automatines taisykles, leidžiančias paleisti programas iš Windows aplankai ir programos failai. Taip pat pridedame kelio * (bet koks kelias) atsisakymo taisyklę. Dėl to norime, kad programas būtų galima paleisti tik iš apsaugotų sistemos aplankų. Ir ką?
Taip, tai mes sulauksime, bet čia tik šiek tiek nepasisekė – etiketės ir http nuorodos neveikia. Vis tiek galite pelnyti balus ant nuorodų, bet gyventi be etikečių nėra gerai.
Jei leisime paleisti failus naudojant *.lnk kaukę, galėsime sukurti bet kurio vykdomojo failo nuorodą ir paleisti jį naudodami nuorodą, net jei jos nėra sistemos aplankas. Bjaurus.
Gavus užklausą „Google“, priimami tokie sprendimai: arba leisti paleisti nuorodas iš vartotojo aplanko, arba naudoti trečiųjų šalių juostas su nuorodomis. Jokiu kitu būdu. Man asmeniškai šis variantas nepatinka.

Dėl to susiduriame su situacija, kad *.lnk Windows požiūriu yra ne nuoroda į vykdomąjį failą, o vykdomasis failas. Tai beprotiška, bet ką tu padarysi... Norėčiau, kad „Windows“ patikrintų ne nuorodos vietą, o failo, į kurį jis nurodo, vietą.

Ir tada netyčia aptikau plėtinių, kurie yra vykdomi Windows požiūriu, sąrašo parametrus (gpedit.msc -> Kompiuterio konfigūracija -> Windows konfigūracija -> Saugos parinktys -> Priskirti failų tipai). Iš ten ištriname LNK ir tuo pačiu HTTP bei prisijungiame iš naujo. Gauname visiškai veikiančius sparčiuosius klavišus ir patikriname vykdomojo failo vietą.
Kilo abejonių, ar pavyks per nuorodas parametrus perduoti - galima, tad viskas ok.

Dėl to straipsnyje „Windows kompiuteris be antivirusų“ aprašytos idėjos įgyvendinimą gavome be jokių nepatogumų vartotojui.

Be to, tiems, kurie mėgsta šaudyti sau į koją, Programų failuose galite sukurti aplanką ir darbalaukyje įdėti jo nuorodą, pavadindami, pavyzdžiui, „Smėlio dėžė“. Tai leis jums paleisti programas iš ten neišjungus politikos, naudojant apsaugotą saugyklą (apsauga per UAC).

Tikiuosi, aprašytas metodas kažkam bus naudingas ir naujas. Bent jau aš apie tokį dalyką negirdėjau ir niekur nemačiau.

Kai kurie veiksmai reguliarios programos galima klasifikuoti „Kaspersky Total“. saugumo kaip pavojingas. Jeigu Kaspersky Visiškas saugumas blokuodami programos veikimą ir esate tikri, kad tai saugu, įtraukite programą į patikimų sąrašą arba sukurkite jai pašalinimo taisyklę.

Įtraukus programą į patikimų sąrašą Kaspersky Total Security nustoja stebėti šios programos failų ir tinklo veiklą, taip pat jos prieigą prie registro. Tuo pačiu metu programos vykdomasis failas ir toliau tikrinamas, ar nėra virusų. Jei norite visiškai neįtraukti programos nuskaitymo, sukurkite jai išskyrimo taisyklę.

Norėdami įtraukti programą į patikimų sąrašą, atlikite šiuos veiksmus:

  1. Lange Nustatymas eiti į skyrių Apsauga ir pasirinkite Grėsmės ir išskyrimai.
  1. Lange Grėsmės ir išskyrimo nustatymai spustelėkite nuorodą Nurodykite patikimas programas.

  1. Lange Patikimos programos spustelėkite mygtuką Papildyti.

  1. Spustelėdami nuorodą nurodykite patikimos programos vykdomąjį failą Apžvalga arba pasirinkę programą iš sąrašo (rodomi veikia Šis momentas programos).

  1. Lange Programos išimtys apibrėžkite taisyklės taikymo parametrus pažymėdami reikiamus žymimuosius langelius:
    • Netikrinkite atidarytų failų– neįtraukti visų failų, kuriuos atidaro patikimos programos procesas, nuskaitymo.
    • Nestebėkite programos veiklos Veiklos stebėjimas bet kokia veikla (įskaitant įtartiną), kurią atlieka patikima programa.
    • Nepaveldėti pirminio proceso (programos) apribojimų - Programos veikla kontroliuojama pagal vartotojo nustatytas taisykles. Jei žymimasis laukelis išvalytas, programa laikosi ją paleidusios programos taisyklių.
    • Nestebėkite vaikų programų veiklos- neįtraukti į patikrinimą, kai atliekama sudedamoji dalis Veiklos stebėjimas bet kokia veikla (įskaitant įtartiną), kurią atlieka antriniai patikimos programos procesai.
    • Leisti sąsajos sąveiką Kaspersky Total Security.
    • Nenuskaitykite viso srauto– neįtraukti į virusų ir šlamšto tinklo srauto nuskaitymą, kurį inicijavo patikima programa. Pažymėjus žymimąjį laukelį Nenuskaitykite viso srauto Nurodytos programos srautas NĖRA tikrinamas tik įjungus virusai ir šlamštas. Tačiau tai neturi įtakos komponento eismo patikrai. Ugniasienė , pagal kurio parametrus tinklo veikla šią programą.
    • Norėdami neįtraukti tik šifruoto tinklo srauto nuskaitymo, spustelėkite nuorodą Nenuskaitykite viso srauto ir pasirinkite Netikrinti užšifruotas srautas, todėl bus pasirinktas tik šifruotas srautas (naudojant protokolą SSL/TSL)
    • Be to, galite apriboti išskyrimą iki konkretaus nuotolinio IP adreso / prievado:
      • Norėdami netikrinti konkretaus IP adreso, pažymėkite žymimąjį laukelį Tik nurodytiems IP adresams, ir lauke įveskite IP adresą.
      • Jei nenorite pažymėti tam tikrų prievadų, pažymėkite žymimąjį laukelį Tik nurodytiems prievadamsĮveskite prievadus į lauką, atskirtą kableliais.
  2. Lange Programos išimtys spustelėkite mygtuką Papildyti.

  1. Uždarykite programos langus.

AT Kaspersky Total Security pagal numatytuosius nustatymus patikimoms programoms su parametru Nenuskaitykite šifruoto tinklo srauto pridėtas failas %SystemRoot%\system32\svchost.exe- sistemos paslaugos vykdomasis failas Microsoft Windows atnaujinti. Apsaugoto šios paslaugos srauto jokia antivirusinė programinė įranga negali patikrinti. Jei šiai paslaugai leidimo taisyklė nesukurta, šios paslaugos veikimas bus nutrauktas dėl klaidos.

Pasitaiko atvejų, kai paprastiems vartotojams reikia paleisti tam tikrą programinę įrangą ar programas, kurių įprastoms funkcijoms reikalingos administratoriaus teisės. Tuo pačiu metu labai nepageidautina tokiose situacijose pranešti administracinio slaptažodžio ir pateikti administracinę paskyrą. Bet vis tiek yra išeitis. Galite naudoti labai paprastą, mažą, o svarbiausia nemokamas įrankis RunAsTool. Ši programa leidžia suteikti bet kokio lygio teises konkrečiam programų sąrašui.

Pažiūrėkime, kaip tai veikia.

Iš karto paleidę programą galite gauti tokį pranešimą.

Šis pranešimas reiškia, kad sistema neturi slaptažodžiu apsaugotos administratoriaus paskyros. Todėl, jei gausite šį pranešimą, tiesiog valdymo skydelyje suraskite už paskyras atsakingą skyrių: „Vartotojų abonementai“ ir nustatykite administratoriaus paskyros slaptažodį. Taip pat šią funkciją galima naudoti tiesiogiai iš programos, paspaudus mygtuką „Taip“, kuris iš sistemos iškvies reikiamą nustatymų langą.

Nustačius slaptažodį, galite atnaujinti administratorių sąrašą spustelėdami rodyklės mygtuką programos lange arba tiesiog iš naujo paleiskite programą. Jei turite kelias administracines paskyras, išskleidžiamajame sąraše galite pasirinkti tą, kurios vardu bus paleistos visos programos / programos. Dabar, norėdami sukonfigūruoti įrankį redagavimo režimu, turėsite įvesti pasirinkto administratoriaus slaptažodį sąskaitą.

Ateityje šiuos kredencialus naudos paslaugų programa, kad paleisti programas kaip administratorius.

Redagavimo režimu galima įtraukti programas į sąrašą naudojant meniu „Failas“ -> „Pridėti“, arba tiesiog pele nutempus programos nuorodą į kairįjį programos langą. Po to visa reikalinga informacija apie pasirinktos programos paleidimą pasirodys dešinėje programos lango dalyje.

Svarbiausia yra įsitikinti, kad jis bus paleistas administratoriaus vardu, jei ten bus nustatytas kitas nustatymas.

Taip pat turite įsitikinti, kad šią priemonę galima paleisti iš kitų neprivilegijuotų paskyrų. Tačiau šiuo tikslu gali pasitarnauti toks sąsajos nustatymas kaip darbalaukio nuorodos sukūrimas. Pasirinkę šį diegimą, visi paprasti vartotojai savo darbalaukyje turėtų turėti nuorodą, kad galėtų paleisti programą, greita prieigaį privilegijuotųjų programų sąrašą.

Kada paprasti vartotojai naudos RunAsTool, jie nematys redagavimo režimo. Šiems vartotojams bus prieinamas tik paprastas langas su programų piktogramomis, kurį jie galės paleisti turėdami administratoriaus teises. Bet jei prireiktų grįžti į redagavimo režimą ir pakeisti programų sąrašą ar kitus nustatymus, tai galima lengvai padaryti per meniu „Failas“ -> „Įjungti redagavimo režimą“, kurio programa paprašys jūsų. norėdami iš naujo įvesti slaptažodį.

Šio metodo veikimą galite lengvai patikrinti naudodami užduočių tvarkyklę, nes joje rodoma informacija apie vartotoją, kuris paleido tą ar kitą procesą / programą. Kai tampa akivaizdu, kaip programos vienoje paskyroje paleidžiamos kito vartotojo vardu.

Kartais užkarda blokuoja patikimoms programoms prieigą prie interneto, tačiau sistemoje „Windows 10“ labai lengva pakeisti nustatymus, kad programa būtų leidžiama per užkardą rankiniu būdu. Štai kaip tai padaryti.

„Windows 10“ siūlo daugybę saugos funkcijų, padedančių apsaugoti įrenginį ir duomenis nuo neteisėtos prieigos, kenkėjiškų programų ir kitų atakų naudojant integruotą užkardą. Nors integruotoji ugniasienė puikiai kontroliuoja, kurios programos ir funkcijos gali bendrauti tinkle, kartais gali tekti leisti arba uždrausti programas rankiniu būdu.

Šiame vadove sužinosite, kaip leisti arba blokuoti programoms prieigą prie tinklo konfigūruojant užkardą sistemoje Windows 10.

Leisti bendrauti su programomis Windows sargybos užkardoje.

Norėdami įjungti patikimą programą arba funkciją naudodami integruotą užkardą sistemoje Windows 10, atlikite šiuos veiksmus:

1 žingsnis: Atviras " Apsaugos centras Windows Defender» .

2 žingsnis: Paspauskite „Ugniasienė ir tinklo sauga“.

4 veiksmas: Lange paspauskite mygtuką "Pakeisti nustatymus".

5 veiksmas: Sąraše raskite programą arba funkciją, kurią norite leisti per užkardą.

Greitas patarimas: Jei programos sąraše nėra, spustelėkite mygtuką „Leisti kitą programą“ norėdami rasti programą, kuriai norite leisti prieigą prie interneto.

6 veiksmas: Pasirinkite, kokio tipo tinklą programa gali pasiekti:

  • Privatus: Leidžia vartotojui pasiekti tinklą namuose arba darbe, kur vartotojai ir įrenginiai yra patikimi ir jums žinomi.
  • Viešas: Leidžia vartotojui pasiekti tinklą viešoje vietoje, pavyzdžiui, kavinėje ar viešbutyje.

7 veiksmas: Spustelėkite mygtuką "GERAI".

Kai atliksite aukščiau nurodytus veiksmus, programa dabar galės laisvai pasiekti tinklą.

Jei norite užblokuoti programą per ugniasienę, galite pasirinkti norimą programą ir paspauskite mygtuką "Ištrinti" arba vadovaukitės tomis pačiomis instrukcijomis, bet toliau 6 veiksmas būtinai atžymėkite atitinkamą programos ar funkcijos žymimąjį laukelį, jei norite neleisti jai prisijungti prie interneto.

Šiame vadove pagrindinis dėmesys skiriamas nustatymui Windows ugniasienė 10, bet jei turite kitokį saugos sprendimą, būtinai peržiūrėkite instrukcijas pardavėjo palaikymo svetainėje.