Birçok program başlangıçta yükseltme gerektirir (simgenin yanındaki kalkan simgesi), ancak aslında normal çalışmaları için yönetici hakları gerektirmezler (örneğin, ProgramFiles'daki program dizinindeki kullanıcılara gerekli hakları ve program tarafından kullanılan kayıt şubeleri). Buna göre basit bir kullanıcı altından böyle bir programı çalıştırdığınızda, bilgisayarda Kullanıcı Hesabı Denetimi etkinleştirilmişse bir UAC istemi gelecek ve kullanıcıdan yönetici şifresini girmesi istenecektir. Bu mekanizmayı aşmak için, çoğu basitçe UAC'yi devre dışı bırakır veya kullanıcıyı yerel Yöneticiler grubuna ekleyerek bilgisayarda yönetici hakları verir. Doğal olarak, bu yöntemlerin her ikisi de güvenli değildir.

Normal bir uygulama neden yönetici haklarına ihtiyaç duyar?

Programın, C:\Program Files (x86)\SomeApp içindeki kendi klasöründeki bazı dosyaları (günlükler, yapılandırmalar vb.) değiştirmesi için yönetici hakları gerekebilir. Varsayılan olarak, kullanıcıların bu dizini düzenleme hakları yoktur, böyle bir programın normal çalışması için yönetici haklarına ihtiyaç vardır. Bu sorunu çözmek için, NTFS düzeyinde yönetici altında, kullanıcı (veya Kullanıcılar grubu) için değişiklik / yazma hakkını programın bulunduğu klasöre manuel olarak atamanız gerekir.

Not. Aslında, değişen uygulama verilerini C:\Program Files içindeki kendi dizininde saklama uygulaması doğru değildir. Uygulama verilerini kullanıcı profilinde saklamak daha doğrudur. Ancak bu, geliştiricilerin tembelliği ve yetersizliği ile ilgili bir sorudur.

Standart bir kullanıcıdan yönetici hakları gerektiren bir programı çalıştırma

RunAsInvoker parametresini nasıl kullanabileceğinizi daha önce anlatmıştık. Ancak bu yöntem yeterince esnek değildir. /SAVECRED'i yönetici şifresini kaydederek de kullanabilirsiniz (ayrıca güvensizdir). UAC etkinken (seviye 4,3 veya 2) yönetici hakları olmadan (ve yönetici şifresini girmeden) herhangi bir programı başlatmaya zorlamanın daha basit bir yolunu düşünelim.

Örneğin, kayıt defteri düzenleme yardımcı programını ele alalım - regedit.exe(C:\windows\system32 dizininde bulunur). Regedit.exe'yi çalıştırdığınızda, bir UAC penceresi görünür ve ayrıcalık yükselmesini onaylamazsanız, kayıt defteri düzenleyicisi başlamaz.

Masaüstünde bir dosya oluşturun run-as-non-admin.bat aşağıdaki metinle:

cmd /dk /C "__COMPAT_LAYER=RUNASINVOKER && başlat "" %1"

Şimdi uygulamayı yönetici hakları olmadan çalışmaya zorlamak ve UAC istemini bastırmak için istediğiniz exe dosyasını buna sürüklemeniz yeterlidir. yarasa dosyası masaüstünde.

Bundan sonra, kayıt defteri düzenleyicisi bir UAC istemi olmadan başlamalıdır. İşlem yöneticisini açma ve bir sütun ekleme yükseltilmiş(Daha yüksek izinlerle), sistemin yükseltilmemiş bir regedit.exe işlemine sahip olduğunu (kullanıcı haklarıyla çalışan) göreceksiniz.

HKLM dalında herhangi bir ayarı düzenlemeyi deneyin. Gördüğünüz gibi, bu daldaki kayıt defterini düzenleme erişimi reddedildi (çünkü bu kullanıcı sistem kayıt dallarına yazma izni yok). Ancak, kullanıcının kendi kayıt şubesi olan HKCU'da anahtarları ekleyebilir ve düzenleyebilirsiniz.

Benzer şekilde, bir yarasa dosyası aracılığıyla belirli bir uygulamayı çalıştırabilirsiniz, yalnızca yürütülebilir dosyanın yolunu belirtin.

run-app-as-non-admin.bat

ApplicationPath="C:\Program Files\MyApp\testapp.exe" olarak ayarlayın
cmd /dk /C "__COMPAT_LAYER=RUNASINVOKER && başlat "" %ApplicationPath%"

Ayrıca ekleyebilirsiniz bağlam menüsü, tüm uygulamaların yükseltme olmadan çalışması için yetenek ekler. Bunu yapmak için aşağıdakileri oluşturun .reg dosyası ve kayıt defterine aktarın.

pencereler Kayıt düzenleyici Sürüm 5.00


@="cmd /min /C \"set __COMPAT_LAYER=RUNASINVOKER && start \"\" \"%1\"\""

Bundan sonra, herhangi bir uygulamayı yönetici hakları olmadan başlatmak için içerik menüsünde "" öğesini seçmeniz yeterlidir.

__COMPAT_LAYER ortam değişkeni ve RunAsInvoker parametresi

__COMPAT_LAYER ortam değişkeni, uygulamalar için farklı uyumluluk seviyeleri ayarlamanıza olanak tanır (sekme uyumluluközelliklerde exe dosyası). Bu değişken ile programı çalıştırmak istediğiniz uyumluluk ayarlarını belirleyebilirsiniz. Örneğin, bir uygulamayı Windows 7 uyumluluk modunda 640x480 çözünürlükte çalıştırmak için şunları ayarlayın:

__COMPAT_LAYER=Win7RTM 640x480 ayarla

__COMPAT_LAYER değişkeninin ilgimizi çeken seçeneklerinden aşağıdaki parametreleri seçiyoruz:

  • RunAsInvoker- UAC istemi olmadan ana işlem ayrıcalıklarıyla uygulamayı başlatın.
  • RunAsEn Yüksek- uygulamayı, kullanıcının kullanabileceği maksimum haklarla başlatın (kullanıcının yönetici hakları varsa, UAC istemi görünür).
  • RunAsAdmin- uygulamayı yönetici haklarıyla çalıştırın (AUC isteği her zaman görünür).

Şunlar. RunAsInvoker parametresi yönetici hakları vermez, yalnızca UAC penceresinin görünümünü engeller.

Bu güvenlik fikriyle alevlendim ve aynısını kendim için yapmaya karar verdim.

Windows 7 Professional'a sahip olduğum için, ilk fikir AppLocker "a kullanmaktı, ancak Windows sürümümde çalışmak istemediği ve Ultimate veya Enterprise gerektirdiği kısa sürede anlaşıldı. cüzdanımın boş olması, AppLocker seçeneği "yok oldu.

Bir sonraki girişim ayarlamaktı grup politikaları programların sınırlı kullanımı. AppLocker bu mekanizmanın "pompalanmış" bir versiyonu olduğundan, özellikle Windows kullanıcıları için ücretsiz olduğu için politikaları denemek mantıklıdır :)

Gelelim ayarlara:
gpedit.msc -> Bilgisayar Yapılandırması -> Windows Ayarları -> Güvenlik Ayarları -> Yazılım Kısıtlama İlkeleri

Kural yoksa, sistem programların şuradan başlatılmasına izin veren otomatik kurallar oluşturmayı önerecektir. Windows klasörleri ve Program Dosyaları. Ayrıca * yolu (herhangi bir yol) için bir reddetme kuralı ekleriz. Sonuç olarak, programları yalnızca korumalı sistem klasörlerinden çalıştırabilmek istiyoruz. Ve ne?
Evet, alacağımız şey bu, ama işte biraz şanssızlık - etiketler ve http bağlantıları çalışmıyor. Yine de bağlantılardan puan alabilirsiniz, ancak etiketler olmadan yaşamak iyi değil.
Dosyaların *.lnk maskesi kullanılarak başlatılmasına izin verirsek, yürütülebilir herhangi bir dosya için bir kısayol oluşturabilir ve içinde olmasa bile kısayolu kullanarak başlatabiliriz. sistem klasörü. Berbat.
Google'a yapılan bir istek şu tür kararlara yol açar: ya bir kullanıcı klasöründen kısayolların başlatılmasına izin verin ya da kısayolları olan üçüncü taraf çubukları kullanın. Başka yol yok. Şahsen ben bu seçeneği sevmiyorum.

Sonuç olarak, Windows açısından *.lnk dosyasının yürütülebilir bir dosyaya bağlantı değil, yürütülebilir bir dosya olduğu durumuyla karşı karşıyayız. Çılgınca, ama ne yapabilirsin ... Windows'un kısayolun yerini değil, atıfta bulunduğu dosyanın konumunu kontrol etmesini istiyorum.

Sonra yanlışlıkla Windows açısından yürütülebilir uzantıların listesinin ayarlarıyla karşılaştım (gpedit.msc -> Bilgisayar Yapılandırması -> Windows Yapılandırması -> Güvenlik Seçenekleri -> Atanan Dosya Türleri). LNK'yi oradan siliyoruz ve aynı zamanda HTTP ve relogin. Tamamen çalışan kısayollar alıyoruz ve yürütülebilir dosyanın konumunu kontrol ediyoruz.
Parametreleri kısayollardan geçirmenin mümkün olup olmayacağı konusunda bir şüphe vardı - bu mümkün, yani her şey yolunda.

Sonuç olarak, "Antivirüs içermeyen Windows bilgisayar" makalesinde açıklanan fikri, kullanıcıya herhangi bir rahatsızlık vermeden hayata geçirdik.

Ayrıca, kendilerini ayağından vurmayı sevenler için, Program Files'da bir klasör oluşturabilir ve masaüstüne bunun için bir kısayol atabilir, örneğin “Sandbox” olarak adlandırabilirsiniz. Bu, korumalı depolama (UAC aracılığıyla koruma) kullanarak politikaları devre dışı bırakmadan programları oradan çalıştırmanıza olanak tanır.

Umarım açıklanan yöntem birileri için faydalı ve yeni olacaktır. En azından ben böyle bir şeyi kimseden duymadım ve hiçbir yerde görmedim.

Bazı eylemler düzenli programlar sınıflandırılabilir Kaspersky Toplam güvenlik tehlikeli olarak. Eğer bir Kaspersky Toplam Güvenlik programın çalışmasını engellemek ve güvenli olduğundan eminseniz, programı güvenilirler listesine ekleyin veya bunun için bir hariç tutma kuralı oluşturun.

Programı güvenilirler listesine ekledikten sonra Kaspersky Total Security bu programın dosya ve ağ etkinliğinin yanı sıra kayıt defterine erişimini izlemeyi durdurur. Aynı zamanda, programın yürütülebilir dosyası virüslere karşı taranmaya devam eder. Bir uygulamayı tarama dışında bırakmak istiyorsanız, bunun için bir hariç tutma kuralı oluşturun.

Güvenilir listeye bir uygulama eklemek için aşağıdakileri yapın:

  1. Pencerede Ayar bölüme git Koruma ve Seç Tehditler ve istisnalar.
  1. Pencerede Tehdit ve hariç tutma ayarları linki tıkla Güvenilir programları belirtin.

  1. Pencerede Güvenilir programlar düğmeye tıklayın Ekle.

  1. Bağlantıya tıklayarak güvenilir uygulamanın yürütülebilir dosyasını belirtin Gözden geçirmek veya listeden bir program seçerek (göstergeler şu an programlar).

  1. Pencerede Program İstisnaları gerekli onay kutularını işaretleyerek kuralı uygulamak için parametreleri tanımlayın:
    • Açık dosyaları kontrol etmeyin- güvenilir bir uygulamanın işlemi tarafından açılan tüm dosyaları taramaktan hariç tutun.
    • Program etkinliğini izlemeyin Aktivite izleme güvenilir bir uygulama tarafından gerçekleştirilen herhangi bir etkinlik (şüpheli dahil).
    • Ana sürecin (programın) kısıtlamalarını devralmayın - Programın etkinliği, kullanıcı tarafından belirlenen kurallara göre kontrol edilir. Onay kutusu temizlenirse program, onu başlatan programın kurallarına uyar.
    • Alt programların etkinliğini izlemeyin- bileşen işlemi çerçevesinde kontrolden hariç tut Aktivite izleme güvenilir bir uygulamanın alt süreçleri tarafından gerçekleştirilen herhangi bir etkinlik (şüpheli dahil).
    • Arayüz etkileşimlerine izin ver Kaspersky Total Security.
    • Tüm trafiği tarama- güvenilir bir uygulama tarafından başlatılan virüs ve spam ağ trafiğini taramanın dışında tutun. Onay kutusu işaretliyken Tüm trafiği tarama Belirtilen uygulamanın trafiği yalnızca virüsler ve istenmeyen e-posta. Ancak bu, bileşen tarafından yapılan trafik denetimini etkilemez. güvenlik duvarı , hangi parametrelere göre ağ etkinliği bu program.
    • Yalnızca şifrelenmiş ağ trafiğini taramanın dışında bırakmak için şu bağlantıya tıklayın: Tüm trafiği tarama ve Seç Kontrol etme şifreli trafik, bu nedenle yalnızca şifreli trafik seçilecektir (protokol kullanılarak SSL/TSL)
    • Ek olarak, hariç tutmayı belirli bir uzak IP adresi/bağlantı noktasıyla sınırlayabilirsiniz:
      • Belirli bir IP adresini kontrol etmemek için onay kutusunu seçin. Yalnızca belirtilen IP adresleri için, ve ardından alana IP adresini girin.
      • Belirli bağlantı noktalarını kontrol etmemek için onay kutusunu seçin. Yalnızca belirtilen bağlantı noktaları için Bağlantı noktalarını virgülle ayırarak alana girin.
  2. Pencerede Program İstisnaları düğmeye tıklayın Ekle.

  1. Program pencerelerini kapatın.

AT Kaspersky Total Security parametre ile varsayılan olarak güvenilir programlara Şifreli ağ trafiğini tarama dosya eklendi %SystemRoot%\system32\svchost.exe- sistem hizmeti yürütülebilir dosyası Microsoft Windows Güncelleme. Bu hizmetin korumalı trafiği, herhangi bir virüsten koruma yazılımı tarafından denetlenemez. Bu hizmet için bir izin kuralı oluşturulmazsa, bu hizmetin çalışması bir hata ile sonlandırılacaktır.

Sıradan kullanıcıların, normal işlevleri için yönetici hakları gerektiren belirli yazılımları veya uygulamaları çalıştırması gereken durumlar vardır. Aynı zamanda bu gibi durumlarda admin şifresinin bildirilmesi ve admin hesabı verilmesi çok istenmeyen bir durumdur. Ama yine de bir çıkış yolu var. Çok basit, küçük ve en önemlisi kullanabilirsiniz. ücretsiz yardımcı program RunAs Aracı. Bu program, belirli bir program listesi için herhangi bir düzeyde hak vermenizi sağlar.

Nasıl çalıştığını görelim.

Programı başlattıktan hemen sonra aşağıdaki mesajı alabilirsiniz.

Bu mesaj, sistemin parola korumalı bir yönetici hesabına sahip olmadığı anlamına gelir. Bu nedenle, bu mesajı alırsanız, kontrol panelinde hesaplardan sorumlu olan bölümü bulun: “Kullanıcı Hesapları” ve yönetici hesabı için bir şifre belirleyin. Ayrıca bu işlev, sistemden gerekli ayarlar penceresini çağıracak olan "Evet" düğmesine tıklanarak programdan doğrudan kullanılabilir.

Parola ayarlandıktan sonra, program penceresindeki ok düğmesine tıklayarak Yöneticiler listesini güncelleyebilir veya yardımcı programı yeniden başlatabilirsiniz. Birden fazla yönetici hesabınız varsa, açılır listeden adına tüm programların / uygulamaların başlatılacağı hesabı seçebilirsiniz. Şimdi, yardımcı programı düzenleme modunda yapılandırmak için, seçilen yöneticinin şifresini girmeniz gerekecek. hesap.

Gelecekte, bu kimlik bilgileri yardımcı program tarafından programları yönetici olarak çalıştırmak için kullanılacaktır.

Düzenleme modunda, "Dosya" -> "Ekle" menüsünü kullanarak veya uygulama kısayolunu fare ile yardımcı programın sol penceresine sürükleyerek listeye programlar eklemek mümkündür. Bundan sonra, seçilen uygulamanın başlatılmasıyla ilgili tüm gerekli bilgiler program penceresinin sağ tarafında görünecektir.

Ana şey, orada farklı bir ayar yapılması durumunda Yönetici adına çalışacağından emin olmaktır.

Ayrıca, bu yardımcı programın diğer ayrıcalıklı olmayan hesaplardan çalıştırılabileceğinden emin olmanız gerekir. Ancak bu amaçla, arayüzde masaüstü için kısayol oluşturma gibi bir ayar hizmet edebilir. Bu kurulumu seçtikten sonra, tüm sıradan kullanıcıların yardımcı programı başlatmak için masaüstlerinde bir kısayolu olmalıdır. hızlı erişim ayrıcalıklı programlar listesine

Ne zaman sıradan kullanıcılar RunAsTool kullanacaklar, düzenleme modunu görmeyecekler. Bu kullanıcılar için yalnızca, yönetici haklarıyla çalıştırabilecekleri program simgelerinin bulunduğu basit bir pencere mevcut olacaktır. Ancak, düzenleme moduna geri dönmeniz ve program listesini veya diğer ayarları değiştirmeniz gerekirse, bu, yardımcı programın sizden isteyeceği “Dosya” -> “Düzenleme modunu etkinleştir” menüsünden kolayca yapılabilir. Şifreyi yeniden girmek için

Görev yöneticisini kullanarak bu yöntemin performansını kolayca doğrulayabilirsiniz, çünkü bu veya bu işlemi / uygulamayı başlatan kullanıcı hakkında bilgi görüntüler. Bir hesaptaki uygulamaların başka bir kullanıcı adına nasıl başlatıldığının açıkça ortaya çıktığı yer.

Bazen bir güvenlik duvarı, güvenilir uygulamaların internete erişmesini engeller, ancak Windows 10'da, bir uygulamaya güvenlik duvarı üzerinden manuel olarak izin vermek için ayarları değiştirmek çok kolaydır. İşte nasıl yapılacağı.

Windows 10, yerleşik bir güvenlik duvarı ile cihazınızı ve verilerinizi yetkisiz erişime, kötü amaçlı yazılımlara ve diğer saldırılara karşı korumaya yardımcı olacak bir dizi güvenlik özelliği sunar. Yerleşik güvenlik duvarı, ağ üzerinden hangi uygulamaların ve özelliklerin iletişim kurabileceğini denetleme konusunda iyi bir iş çıkarsa da, bazen uygulamalara manuel olarak izin vermeniz veya reddetmeniz gerekebilir.

Bu kılavuzda, Windows 10'da güvenlik duvarını yapılandırarak uygulamaların ağa erişmesine nasıl izin verileceğini veya engelleneceğini öğreneceksiniz.

Windows Defender Güvenlik Duvarı'ndaki uygulamalarla iletişime izin verin.

Windows 10'da yerleşik güvenlik duvarı aracılığıyla güvenilir bir uygulamayı veya özelliği etkinleştirmek için şu adımları izleyin:

Aşama 1: Açık " Güvenlik Merkezi Windows Defender» .

Adım 2: Basmak "Güvenlik Duvarı ve Ağ Güvenliği".

4. Adım: Pencerede, düğmesine basın "Ayarları değiştir".

Adım 5: Listede, güvenlik duvarı üzerinden izin vermek istediğiniz uygulamayı veya özelliği bulun.

Hızlı ipucu: Uygulama listede yoksa, düğmesine tıklayın. "Başka bir uygulamaya izin ver"İnternet erişimine izin vermek istediğiniz uygulamayı bulmak için

6. Adım: Uygulamanın erişebileceği ağ türünü seçin:

  • Özel: Bir kullanıcının, kullanıcıların ve cihazların güvenildiği ve sizin tarafınızdan bilindiği evdeki veya işyerindeki bir ağa erişmesine izin verir.
  • Halk: Kullanıcının kafe veya otel gibi halka açık bir yerde ağa erişmesine izin verir.

7. Adım: Düğmeye bas "TAMAM".

Yukarıdaki adımları tamamladıktan sonra uygulama artık ağa serbestçe erişecektir.

Uygulamayı güvenlik duvarı üzerinden engellemek istiyorsanız, şunları seçebilirsiniz: istenen uygulama ve düğmeye basın "Silmek" veya aynı talimatları izleyin, ancak 6. adım Bir uygulamanın veya özelliğin internete erişmesini engellemek istiyorsanız ilgili onay kutusunun işaretini kaldırdığınızdan emin olun.

Bu kılavuz, kuruluma odaklanır Windows Güvenlik Duvarı 10, ancak farklı bir güvenlik çözümünüz varsa, satıcının destek sitesindeki talimatları kontrol ettiğinizden emin olun.