Mnoho programov vyžaduje pri spustení zvýšenú úroveň (ikona štítu vedľa ikony), ale v skutočnosti na svoju normálnu činnosť nevyžadujú práva správcu (napríklad ste manuálne pridelili potrebné práva používateľom v adresári programu v ProgramFiles a vetvy registra, ktoré program používa). Ak teda spustíte takýto program pod jednoduchým používateľom, ak je na počítači povolená kontrola používateľských kont, zobrazí sa výzva UAC a používateľ bude vyzvaný na zadanie hesla správcu. Aby sa tento mechanizmus obišiel, mnohí jednoducho zakážu UAC alebo udelia používateľovi administrátorské práva na počítači pridaním do lokálnej skupiny Administrators. Prirodzene, obe tieto metódy nie sú bezpečné.

Prečo by normálna aplikácia potrebovala práva správcu

Na to, aby program mohol upraviť niektoré súbory (protokoly, konfigurácie atď.) vo svojom vlastnom priečinku v C:\Program Files (x86)\SomeApp, môžu byť potrebné práva správcu. Používatelia štandardne nemajú práva na úpravu tohto adresára, respektíve pre normálnu prevádzku takéhoto programu sú potrebné administrátorské práva. Ak chcete tento problém vyriešiť, musíte pod správcom na úrovni NTFS manuálne priradiť právo zmeny / zápisu pre používateľa (alebo skupinu Users) do priečinka s programom.

Poznámka. Prax ukladania meniacich sa údajov aplikácie do vlastného adresára v C:\Program Files v skutočnosti nie je správna. Správnejšie je ukladať údaje aplikácie do užívateľského profilu. To je ale otázka lenivosti a neschopnosti vývojárov.

Spustenie programu, ktorý vyžaduje práva správcu od bežného používateľa

Predtým sme opísali, ako môžete použiť parameter RunAsInvoker. Táto metóda však nie je dostatočne flexibilná. Môžete tiež použiť /SAVECRED s uložením hesla správcu (tiež nezabezpečené). Pozrime sa na jednoduchší spôsob, ako vynútiť spustenie akéhokoľvek programu bez práv správcu (a bez zadania hesla správcu) s povoleným UAC (úroveň 4, 3 alebo 2).

Zoberme si napríklad nástroj na úpravu registra - regedit.exe(nachádza sa v adresári C:\windows\system32). Keď spustíte regedit.exe, zobrazí sa okno UAC a ak nepotvrdíte zvýšenie oprávnenia, editor registra sa nespustí.

Vytvorte súbor na pracovnej ploche run-as-non-admin.bat s nasledujúcim textom:

cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && začať "" %1"

Teraz, aby ste vynútili spustenie aplikácie bez práv správcu a potlačili výzvu UAC, jednoducho doň presuňte požadovaný exe súbor bat súbor na pracovnej ploche.

Potom by sa mal editor databázy Registry spustiť bez výzvy UAC. Otvorte správcu procesov a pridajte stĺpec Vyvýšený(S vyššími oprávneniami) uvidíte, že systém má nezvýšený proces regedit.exe (spustený s používateľskými právami).

Skúste upraviť ľubovoľné nastavenie vo vetve HKLM. Ako vidíte, prístup na úpravu registra v tejto vetve je odmietnutý (napr tohto používateľažiadne oprávnenia na zápis do pobočiek systémového registra). Kľúče však môžete pridávať a upravovať vo vlastnej vetve registra používateľa – HKCU.

Podobne môžete spustiť konkrétnu aplikáciu prostredníctvom súboru bat, stačí zadať cestu k spustiteľnému súboru.

run-app-as-non-admin.bat

Nastaviť ApplicationPath="C:\Program Files\MyApp\testapp.exe"
cmd /min /C "set __COMPAT_LAYER=RUNASINVOKER && spustiť "" %ApplicationPath%"

Môžete tiež pridať obsahové menu, ktorá pridáva možnosť pre všetky aplikácie bežať bez nadmorskej výšky. Ak to chcete urobiť, vytvorte nasledujúce súbor .reg a importovať ho do registra.

Windows Editor databázy Registry Verzia 5.00


@="cmd /min /C \"nastaviť __COMPAT_LAYER=RUNASINVOKER && začať \"\" \"%1\"\""

Potom, ak chcete spustiť akúkoľvek aplikáciu bez práv správcu, stačí vybrať položku "" v kontextovej ponuke.

Premenná prostredia __COMPAT_LAYER a parameter RunAsInvoker

Premenná prostredia __COMPAT_LAYER vám umožňuje nastaviť rôzne úrovne kompatibility pre aplikácie (tab Kompatibilita vo vlastnostiach exe súbor). Pomocou tejto premennej môžete zadať nastavenia kompatibility, s ktorými chcete program spustiť. Ak chcete napríklad spustiť aplikáciu v režime kompatibility so systémom Windows 7 s rozlíšením 640 x 480, nastavte:

nastaviť __COMPAT_LAYER=Win7RTM 640x480

Z možností premennej __COMPAT_LAYER, ktoré sú pre nás zaujímavé, vyberáme tieto parametre:

  • RunAsInvoker- spustiť aplikáciu s oprávneniami nadradeného procesu bez výzvy UAC.
  • RunAsHighest- spustite aplikáciu s maximálnymi právami, ktoré má používateľ k dispozícii (výzva UAC sa zobrazí, ak má používateľ práva správcu).
  • RunAsAdmin- spustiť aplikáciu s administrátorskými právami (vždy sa zobrazí požiadavka AUC).

Tie. parameter RunAsInvoker neudeľuje administrátorské práva, ale iba blokuje vzhľad okna UAC.

Zachvátila ma táto myšlienka bezpečnosti a rozhodol som sa, že sa pokúsim urobiť to isté pre seba.

Keďže mám Windows 7 Professional, prvou myšlienkou bolo použiť AppLocker "a, ale rýchlo sa ukázalo, že nechce pracovať v mojom vydaní Windows a vyžaduje Ultimate alebo Enterprise. Kvôli licencovaniu môjho Windows a prázdnota mojej peňaženky, možnosť s AppLockerom“ om preč.

Ďalším pokusom bolo nastavenie skupinové politiky obmedzené používanie programov. Keďže AppLocker je „napumpovaná“ verzia tohto mechanizmu, je logické vyskúšať zásady, najmä preto, že sú pre používateľov Windowsu bezplatné :)

Poďme na nastavenia:
gpedit.msc -> Konfigurácia počítača -> Nastavenia systému Windows -> Nastavenia zabezpečenia -> Zásady obmedzenia softvéru

Ak neexistujú žiadne pravidlá, systém ponúkne vygenerovanie automatických pravidiel, ktoré umožňujú spúšťanie programov Priečinky Windows a Program Files. Pridáme aj pravidlo odmietnutia pre cestu * (akákoľvek cesta). V dôsledku toho chceme mať možnosť spúšťať programy iba z chránených systémových priečinkov. A čo?
Áno, toto dostaneme, ale je tu len malá smola – štítky a http odkazy nefungujú. Stále môžete skórovať na odkazoch, ale nie je dobré žiť bez štítkov.
Ak povolíme spúšťanie súborov pomocou masky *.lnk, budeme môcť vytvoriť skratku pre akýkoľvek spustiteľný súbor a spustiť ho pomocou skratky, aj keď nie je v systémový priečinok. Mizerný.
Žiadosť adresovaná spoločnosti Google vedie k takýmto rozhodnutiam: buď povoľte spúšťanie skratiek z priečinka používateľa, alebo použite lišty tretích strán so skratkami. Žiadna iná cesta. Mne osobne sa táto možnosť nepáči.

V dôsledku toho sa stretávame so situáciou, že *.lnk nie je z pohľadu Windows odkaz na spustiteľný súbor, ale spustiteľný súbor. Je to šialené, ale čo sa dá robiť... Chcel by som, aby Windows nekontroloval umiestnenie odkazu, ale umiestnenie súboru, na ktorý odkazuje.

A potom som náhodou narazil na nastavenia zoznamu rozšírení, ktoré sú spustiteľné z pohľadu Windowsu (gpedit.msc -> Konfigurácia počítača -> Konfigurácia Windowsu -> Možnosti zabezpečenia -> Priradené typy súborov). Odtiaľ vymažeme LNK a zároveň HTTP a znova sa prihlásime. Získame plne funkčné skratky a skontrolujeme umiestnenie spustiteľného súboru.
Bola pochybnosť, či by bolo možné preniesť parametre cez skratky - je to možné, takže je všetko ok.

V dôsledku toho sme dostali implementáciu myšlienky opísanej v článku "Počítač so systémom Windows bez antivírusov" bez akýchkoľvek nepríjemností pre používateľa.

Pre tých, ktorí si radi strieľajú do nohy, si tiež môžete vytvoriť priečinok v Program Files a hodiť jeho skratku na plochu, napríklad „Sandbox“. To vám umožní spúšťať programy odtiaľ bez zakázania politík pomocou chráneného úložiska (ochrana cez UAC).

Dúfam, že opísaná metóda bude pre niekoho užitočná a nová. Aspoň som o niečom takom od nikoho nepočul a nikde som to nevidel.

Niektoré akcie pravidelné programy možno klasifikovať Kaspersky Total bezpečnosť ako nebezpečné. Ak Kaspersky Úplná bezpečnosť blokovanie činnosti programu a ste si istí, že je bezpečný, pridajte program do zoznamu dôveryhodných alebo vytvorte preň pravidlo vylúčenia.

Po pridaní programu do zoznamu dôveryhodných Kaspersky Total Security prestane monitorovať súbor a sieťovú aktivitu tohto programu, ako aj jeho prístup do registra. Súčasne sa spustiteľný súbor programu naďalej kontroluje na prítomnosť vírusov. Ak chcete aplikáciu úplne vylúčiť z kontroly, vytvorte pre ňu pravidlo vylúčenia.

Ak chcete pridať aplikáciu do zoznamu dôveryhodných, postupujte takto:

  1. V okne Nastavenie prejdite do sekcie Ochrana a vyberte Hrozby a vylúčenia.
  1. V okne Nastavenia ohrozenia a vylúčenia kliknite na odkaz Zadajte dôveryhodné programy.

  1. V okne Dôveryhodné programy kliknite na tlačidlo Pridať.

  1. Špecifikujte spustiteľný súbor dôveryhodnej aplikácie kliknutím na odkaz Preskúmanie alebo výberom programu zo zoznamu (zobrazuje spustený tento moment programy).

  1. V okne Výnimky programu definujte parametre pre použitie pravidla zaškrtnutím potrebných políčok:
    • Nekontrolujte otvorené súbory- vylúčiť z kontroly všetky súbory, ktoré sú otvorené procesom dôveryhodnej aplikácie.
    • Nesledujte aktivitu programu Monitorovanie činnosti akúkoľvek aktivitu (vrátane podozrivej) vykonanú dôveryhodnou aplikáciou.
    • Nedediť obmedzenia nadradeného procesu (programu) -Činnosť programu je riadená podľa pravidiel stanovených používateľom. Ak je začiarkavacie políčko zrušené, program sa riadi pravidlami programu, ktorý ho spustil.
    • Nesledujte aktivitu detských programov- vylúčiť z kontroly v rámci prevádzky komponentu Monitorovanie činnosti akúkoľvek aktivitu (vrátane podozrivej) vykonávanú podriadenými procesmi dôveryhodnej aplikácie.
    • Povoliť interakcie rozhrania Kaspersky Total Security.
    • Nekontrolujte všetku premávku- vylúčiť z kontroly vírusov a spamu sieťovú prevádzku iniciovanú dôveryhodnou aplikáciou. So začiarknutým políčkom Nekontrolujte všetku premávku Prevádzka špecifikovanej aplikácie NIE JE kontrolovaná iba na vírusy a nevyžiadaná pošta. To však nemá vplyv na dopravnú kontrolu zo strany komponentu. POŽARNE DVERE , podľa parametrov ktorých sieťová aktivita tento program.
    • Ak chcete z kontroly vylúčiť iba šifrovanú sieťovú prevádzku, kliknite na odkaz Nekontrolujte všetku premávku a vyberte Nekontrolovať šifrovaný prenos, preto sa vyberie iba šifrovaná komunikácia (pomocou protokolu SSL/TSL)
    • Okrem toho môžete obmedziť vylúčenie na konkrétnu vzdialenú IP adresu/port:
      • Ak nechcete kontrolovať konkrétnu IP adresu, začiarknite políčko Len pre špecifikované IP adresy, a potom do poľa zadajte adresu IP.
      • Ak nechcete kontrolovať určité porty, začiarknite políčko Len pre špecifikované porty Do poľa zadajte porty oddelené čiarkami.
  2. V okne Výnimky programu kliknite na tlačidlo Pridať.

  1. Zatvorte okná programu.

AT Kaspersky Total Security predvolene na dôveryhodné programy s parametrom Nekontrolujte šifrovanú sieťovú prevádzku pridaný súbor %SystemRoot%\system32\svchost.exe- spustiteľný súbor systémovej služby Microsoft Windows aktualizovať. Chránený prenos tejto služby nie je k dispozícii na kontrolu žiadnym antivírusovým softvérom. Ak pre túto službu nebude vytvorené povoľovacie pravidlo, prevádzka tejto služby bude ukončená s chybou.

Existujú prípady, keď bežní používatelia potrebujú spustiť určitý softvér alebo aplikácie, ktoré pre svoju bežnú funkčnosť vyžadujú administrátorské práva. Zároveň je veľmi nežiaduce v takýchto situáciách oznamovať administrátorské heslo a poskytovať administrátorský účet. Ale stále existuje cesta von. Môžete použiť veľmi jednoduchý, malý a čo je najdôležitejšie bezplatná pomôcka RunAsTool. Tento program vám umožňuje udeliť akúkoľvek úroveň práv pre konkrétny zoznam programov.

Pozrime sa, ako to funguje.

Ihneď po spustení programu sa môže zobraziť nasledujúca správa.

Táto správa znamená, že systém nemá administrátorský účet chránený heslom. Preto, ak sa vám zobrazí táto správa, nájdite na ovládacom paneli sekciu, ktorá je zodpovedná za účty: „Používateľské účty“ a nastavte heslo pre účet správcu. Túto funkciu je možné použiť aj priamo z programu kliknutím na tlačidlo „Áno“, čím sa zo systému vyvolá okno potrebných nastavení.

Po nastavení hesla môžete aktualizovať zoznam správcov kliknutím na tlačidlo so šípkou v okne programu alebo jednoducho reštartovať pomôcku. Ak máte niekoľko správcovských účtov, potom v rozbaľovacom zozname môžete vybrať ten, v mene ktorého sa budú spúšťať všetky programy / aplikácie. Teraz, aby ste mohli nakonfigurovať pomôcku v režime úprav, budete musieť zadať heslo vybratého správcu účtu.

V budúcnosti bude nástroj používať tieto poverenia na spúšťanie programov ako správca.

V režime úprav je možné pridávať programy do zoznamu buď pomocou ponuky "Súbor" -> "Pridať", alebo jednoduchým potiahnutím zástupcu aplikácie do ľavého okna pomôcky pomocou myši. Potom sa v pravej časti okna programu objavia všetky potrebné informácie o spustení vybranej aplikácie.

Hlavná vec je zabezpečiť, aby to bežalo v mene Admina, ak je tam nastavené iné nastavenie.

Musíte sa tiež uistiť, že tento nástroj je možné spustiť z iných neprivilegovaných účtov. Na tento účel však môže slúžiť také nastavenie v rozhraní, ako je vytvorenie zástupcu pre pracovnú plochu. Po výbere tejto inštalácie by všetci bežní používatelia mali mať na pracovnej ploche odkaz na spustenie nástroja, ktorý poskytuje rýchly prístup do zoznamu privilegovaných programov.

Kedy bežných používateľov budú používať RunAsTool, neuvidia režim úprav. Pre týchto používateľov bude k dispozícii iba jednoduché okno s ikonami programov, ktoré môžu spustiť s administrátorskými právami. Ale v prípade, že bude potrebné vrátiť sa do režimu úprav a zmeniť zoznam programov alebo iné nastavenia, dá sa to jednoducho urobiť prostredníctvom ponuky „Súbor“ -> „Povoliť režim úprav“, o ktoré vás obslužný program požiada. pre opätovné zadanie hesla.

Výkon tejto metódy môžete ľahko overiť pomocou správcu úloh, pretože zobrazuje informácie o používateľovi, ktorý spustil tento alebo ten proces / aplikáciu. Kde je zrejmé, ako sa aplikácie v jednom účte spúšťajú v mene iného používateľa.

Brána firewall niekedy blokuje dôveryhodné aplikácie v prístupe na internet, ale v systéme Windows 10 je veľmi jednoduché zmeniť nastavenia a ručne povoliť aplikácii cez bránu firewall. Tu je návod, ako na to.

Windows 10 ponúka celý rad funkcií zabezpečenia, ktoré pomáhajú chrániť vaše zariadenie a údaje pred neoprávneným prístupom, malvérom a inými útokmi pomocou vstavanej brány firewall. Zatiaľ čo vstavaná brána firewall robí dobrú prácu pri riadení toho, ktoré aplikácie a funkcie môžu komunikovať cez sieť, niekedy možno budete musieť aplikácie povoliť alebo zakázať manuálne.

V tejto príručke sa dozviete, ako povoliť alebo zablokovať aplikáciám prístup k sieti konfiguráciou brány firewall v systéme Windows 10.

Povoliť komunikáciu s aplikáciami v bráne Windows Defender Firewall.

Ak chcete povoliť dôveryhodnú aplikáciu alebo funkciu prostredníctvom vstavanej brány firewall v systéme Windows 10, postupujte takto:

Krok 1: OTVORENÉ " Centrum zabezpečenia Ochranca systému Windows» .

Krok 2: Stlačte tlačidlo "Brána firewall a bezpečnosť siete".

Krok 4: V okne stlačte tlačidlo "Zmeniť nastavenia".

Krok 5: V zozname nájdite aplikáciu alebo funkciu, ktorú chcete povoliť cez bránu firewall.

Rýchly tip: Ak aplikácia nie je v zozname, kliknite na tlačidlo "Povoliť inú aplikáciu" vyhľadajte aplikáciu, ktorej chcete povoliť prístup na internet.

Krok 6: Vyberte, ku ktorému typu siete má aplikácia prístup:

  • Súkromné: Umožňuje používateľovi prístup k sieti doma alebo v práci, kde sú používatelia a zariadenia dôveryhodné a známe vám.
  • Verejné: Umožňuje používateľovi prístup k sieti na verejnom mieste, ako je kaviareň alebo hotel.

Krok 7: Kliknite na tlačidlo "OK".

Po dokončení vyššie uvedených krokov bude aplikácia teraz voľne pristupovať k sieti.

Ak chcete aplikáciu zablokovať cez firewall, môžete si vybrať požadovanú aplikáciu a stlačte tlačidlo "Odstrániť" alebo postupujte podľa rovnakých pokynov, ale ďalej krok 6 nezabudnite zrušiť začiarknutie príslušného políčka pre aplikáciu alebo funkciu, ak jej chcete zabrániť v prístupe na internet.

Táto príručka sa zameriava na nastavenie Windows firewall 10, ale v prípade, že máte iné bezpečnostné riešenie, určite si prečítajte pokyny na stránke podpory predajcu.