Jak uruchomić program w trybie zwykłego użytkownika?
Andrzej Popowski
nie znalazłem sposobu, żeby wymusić na programie uruchomienie w trybie
użytkownika. W przypadku XP uruchomienie niektórych programów ze
zwykłego konta powoduje ich normalną pracę. W Viscie mam tylko wybór
albo zezwolić na podniesienie uprawnień albo zamknąć program.
Mogę wyłączyć UAC i wtedy taki program będzie działać. Ale w tym
wypadku, o ile dobrze pamiętam, znika opcja uruchom jako inny
użytkownik, np. administrator. Co także jest uciążliwe.
Czy jest w ogóle jakaś prosta metoda pozwalająca na bezpieczne
uruchomienie programu, który bez powodu prosi o uprawnienia
administratora? Mam Vistę x64.
--
Pozdrawiam,
Andrzej Popowski
Michal Kawecki
Jeśli prosi o uprawnienia administratora, to uruchamianie takiej
aplikacji już samo w sobie nie jest bezpieczne. No chyba że ufasz jej
autorowi lub dokładnie wiesz, co ona zmienia w systemie.
Ściągnij sobie Process Monitor i przejrzyj logi. Może wystarczy zdjąć
ograniczenia dostępu do otwieranych przez nią kluczy rejestru/plików.
--
M. [Windows - Shell/User MVP]
/odpowiadając na priv zmień px na pl/
https://mvp.support.microsoft.com/profile/Michal.Kawecki
Andrzej Popowski
>Jeśli prosi o uprawnienia administratora, to uruchamianie takiej
>aplikacji już samo w sobie nie jest bezpieczne. No chyba że ufasz jej
>autorowi lub dokładnie wiesz, co ona zmienia w systemie.
No właśnie, nie ufam na tyle, żeby dać uprawnienia administratora. I
co dalej, tylko rekonfiguracja UAC?
>Ściągnij sobie Process Monitor i przejrzyj logi. Może wystarczy zdjąć
>ograniczenia dostępu do otwieranych przez nią kluczy rejestru/plików.
Szukam prostego sposobu ;-)
--
Pozdrawiam,
Andrzej Popowski
Michal Biek
Witam!
Szukaj dalej...!;-)
A poważnie to IMHO nie ma prostego sposobu. A nawet jak jest to w przypadku
dostępu niskopoziomowego do dysku albo do kernela podjęcie ryzyka może Ci
się nie opłacić.
Jako "prosty sposób" użyłem KIS2009 i takie m.in. programy są specjalnie
przez niego nadzorowane... no i mam to co potrzeba :-)
--
Człowiek uczy się całe życie
...
Piotr B. (pb2004)
> Witam,
>
> nie znalazłem sposobu, żeby wymusić na programie uruchomienie w trybie
> użytkownika. W przypadku XP uruchomienie niektórych programów ze
> zwykłego konta powoduje ich normalną pracę. W Viscie mam tylko wybór
> albo zezwolić na podniesienie uprawnień albo zamknąć program.
>
Jeśli jesteś pewien że program będzie działał na standardowych
uprawnieniach możesz utworzyć w Microsoft Application Compatibility Toolkit
(a konkretnie w Compatibility Administratorze z tego pakietu) bazę sdb z
poprawką RunAsInvoker dla tego programu i zainstalować ją w żądanym
systemie.
--
Piotr Borkowski
Andrzej Popowski
pisze:
>Jako "prosty sposób" użyłem KIS2009 i takie m.in. programy są specjalnie
>przez niego nadzorowane... no i mam to co potrzeba :-)
To rozwiązanie idzie w trochę innym kierunku, niż mnie interesuje. W
sumie nie chodzi mi o wirusy i złośliwe oprogramowanie, ale o normalne
korzystanie z systemu. O programy, które mogą poprawnie działać w
trybie użytkownika, tylko Vista nie daje takiej możliwości.
--
Pozdrawiam,
Andrzej Popowski
Andrzej Popowski
<p_bor...@nospamgazeta.pl> pisze:
>Jeśli jesteś pewien że program będzie działał na standardowych
>uprawnieniach możesz utworzyć w Microsoft Application Compatibility Toolkit
>(a konkretnie w Compatibility Administratorze z tego pakietu) bazę sdb z
>poprawką RunAsInvoker dla tego programu i zainstalować ją w żądanym
>systemie.
Dzięki, nie jest to proste, ale działa :-)
--
Pozdrawiam,
Andrzej Popowski
Michal Kawecki
A co rozumiesz przez "poprawnie działać"? Czy program z funkcjonalnością
notatnika, zapisujący swoje pliki do katalogu systemowego, to jeszcze
poprawne działanie czy już nie?
Michal Kawecki
To może Virtual PC? Albo jakaś aplikacja typu "sandbox". Ewentualnie coś
do kontroli procesów w stylu KIS 2009, zasugerowany przez Michała Bieka.
Ale to i tak nie rozwiąże problemu z UAC.
Jacek Kalinski
napisał(a):
>>Jeśli prosi o uprawnienia administratora, to uruchamianie takiej
>>aplikacji już samo w sobie nie jest bezpieczne. No chyba że ufasz jej
>>autorowi lub dokładnie wiesz, co ona zmienia w systemie.
>
> No właśnie, nie ufam na tyle, żeby dać uprawnienia administratora. I
> co dalej, tylko rekonfiguracja UAC?
>
>>Ściągnij sobie Process Monitor i przejrzyj logi. Może wystarczy zdjąć
>>ograniczenia dostępu do otwieranych przez nią kluczy rejestru/plików.
>
> Szukam prostego sposobu ;-)
Sprawdź klucz
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
oraz flagę RUNASINVOKER. Nie wiem czy to zadziała, bo nie sprawdzałem
w tą stronę (nie mam takiego programu). Natomiast z flagą RUNASADMIN działa
poprawnie.
Więcej znajdziesz w google (szukaj po: "RUNASINVOKER" w wersji ang.)
Jacek
Andrzej Popowski
>A co rozumiesz przez "poprawnie działać"? Czy program z funkcjonalnością
>notatnika, zapisujący swoje pliki do katalogu systemowego, to jeszcze
>poprawne działanie czy już nie?
Dla jednych tak dla innych nie ;-)
A mnie chodzi o to, żeby takie działanie móc jakoś kontrolować lub
ograniczyć.
--
Pozdrawiam,
Andrzej Popowski
Andrzej Popowski
>> Szukam prostego sposobu ;-)
>
>To może Virtual PC?
Korzystam z VMware.
>Albo jakaś aplikacja typu "sandbox".
To byłoby idealne, ale IMHO nie ma takiego programu dla Visty x64.
Namiastką byłaby opcja "run as non-admin" i czegoś takiego szukam.
--
Pozdrawiam,
Andrzej Popowski
Andrzej Popowski
<jacek_kal@go2._NOSPAMPLEASE_.pl> pisze:
>Sprawdź klucz
>HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
>oraz flagę RUNASINVOKER. Nie wiem czy to zadziała, bo nie sprawdzałem
>w tą stronę (nie mam takiego programu). Natomiast z flagą RUNASADMIN działa
>poprawnie.
>
Dziala, dzięki :-)
Szkoda, że MS wprost nie wstawił takiej opcji w zakładce "Zgodność"
własciwości pliku.
--
Pozdrawiam,
Andrzej Popowski
Michal Kawecki
Ale co rozumiesz przez pojęcie "run as non-admin"? Uruchamianie
aplikacji w kontekście zwykłego użytkownika? To się bez problemu da
zrobić przy pomocy runas, wystarczy utworzyć nowe konto użytkownika ze
specyficznie dobranym zestawem uprawnień, przeznaczone wyłącznie dla tej
jednej aplikacji. A może ma to być administrator bez praw
administratorskich? Nie łapię co chcesz osiągnąć.
BTW mechanizm UAC tworzy w profilu użytkownika wirtualny rejestr i
wirtualny system plików odwzorowujący realnie istniejące wpisy
systemowe, i tam dana aplikacja może pisać do woli. Czyli jest to 'by
design' właśnie coś w rodzaju sandboxu. I w większości wypadków to
wystarcza do poprawnego działania programów niezgodnych z Vistą.
Niestety, wirtualizacja nie obejmuje obsługi sterowników i aplikacje
korzystające z niskopoziomowego dostępu do urządzeń i tak będą wywoływać
okienko UAC.
Tak czy tak, bez użycia Process Explorera nie dowiesz się o co chodzi.
Michal Kawecki
No ba - ale jak to zrobić, skoro dajesz aplikacji prawa administratora?
Nie rób tego. Lepiej pozostaw ją na prawach zwykłego usera, co najwyżej
luzując lekko prawa dostępu do miejsc, do których ona sięga.
Andrzej Popowski
>To się bez problemu da
>zrobić przy pomocy runas, wystarczy utworzyć nowe konto użytkownika ze
>specyficznie dobranym zestawem uprawnień, przeznaczone wyłącznie dla tej
>jednej aplikacji. A może ma to być administrator bez praw
>administratorskich? Nie łapię co chcesz osiągnąć.
Właśnie się pytam, jak to zrobić bez wyłączania UAC :-)
Dostałem 2 skuteczne rozwiązania, ale tak jak Ty sugerujesz, to mi się
nie udaje.
Może jakieś bardziej konkretne wskazówki? Opisz np. jak mogę
zainstalować sobie program IrfanView bez podnoszenia uprawnień.
--
Pozdrawiam,
Andrzej Popowski
Michal Kawecki
> Tue, 11 Nov 2008 14:08:09 +0100, Michal Kawecki <kkw...@o2.px> pisze:
>
>>To się bez problemu da
>>zrobić przy pomocy runas, wystarczy utworzyć nowe konto użytkownika ze
>>specyficznie dobranym zestawem uprawnień, przeznaczone wyłącznie dla tej
>>jednej aplikacji. A może ma to być administrator bez praw
>>administratorskich? Nie łapię co chcesz osiągnąć.
>
> Właśnie się pytam, jak to zrobić bez wyłączania UAC :-)
> Dostałem 2 skuteczne rozwiązania, ale tak jak Ty sugerujesz, to mi się
> nie udaje.
Nigdzie nie napisałem, że jest to sposób na instalowanie aplikacji. Co
najwyżej na bezpieczne uruchamianie aplikacji, tak żeby sobie krzywdy
nie zrobić.
> Może jakieś bardziej konkretne wskazówki? Opisz np. jak mogę
> zainstalować sobie program IrfanView bez podnoszenia uprawnień.
Po to jest UAC, żeby się nie dało.
Andrzej Popowski
>Nigdzie nie napisałem, że jest to sposób na instalowanie aplikacji.
Sposób, który zaproponowałeś, nie jest dla mnie oczywisty, nie
potrafię go odtworzyć. Myślałem, że podasz szczegóły, może być na
przykładzie innego programu.
>> Może jakieś bardziej konkretne wskazówki? Opisz np. jak mogę
>> zainstalować sobie program IrfanView bez podnoszenia uprawnień.
>
>Po to jest UAC, żeby się nie dało.
Akurat można to zrobić innymi metodami.
--
Pozdrawiam,
Andrzej Popowski
Michal Kawecki
> Tue, 11 Nov 2008 14:52:33 +0100, Michal Kawecki <kkw...@o2.px> pisze:
>
>>Nigdzie nie napisałem, że jest to sposób na instalowanie aplikacji.
>
> Sposób, który zaproponowałeś, nie jest dla mnie oczywisty, nie
> potrafię go odtworzyć. Myślałem, że podasz szczegóły, może być na
> przykładzie innego programu.
Ale szczegóły *czego*? Przecież rzuciłem tylko parę ogólników i
spytałem, co właściwie chcesz osiągnąć, bo od tego zależy sposób
konkretnego postępowania. Zamiast otrzymania odpowiedzi, przeskoczyłeś z
tematu bezpiecznego uruchamiania jakichś bliżej nieznanych aplikacji w
tematy dotyczące uruchamiania instalatorów aplikacji. Co diametralnie
zmienia skalę problemu, bo proces instalatora jest traktowany przez UAC
w sposób szczególny i raczej trudno jest pozbyć się nadzoru nad jego
uruchamianiem.
>>> Może jakieś bardziej konkretne wskazówki? Opisz np. jak mogę
>>> zainstalować sobie program IrfanView bez podnoszenia uprawnień.
>>
>>Po to jest UAC, żeby się nie dało.
>
> Akurat można to zrobić innymi metodami.
Zainstalowałeś tymi metodami IrfanView nie wywołując okienka UAC i nie
nadając uprawnień administracyjnych procesowi instalatora?
Andrzej Popowski
>> Sposób, który zaproponowałeś, nie jest dla mnie oczywisty, nie
>> potrafię go odtworzyć. Myślałem, że podasz szczegóły, może być na
>> przykładzie innego programu.
>
>Ale szczegóły *czego*? Przecież rzuciłem tylko parę ogólników i
>spytałem, co właściwie chcesz osiągnąć, bo od tego zależy sposób
>konkretnego postępowania.
Szczegóły konfiguracji wg Twojej koncepcji, tak żeby dzialał program,
który normalnie woła o podwyższenie uprawnień. Jakikolwiek inny
program, jeżeli pomyśł nie pasuje dla instalatorów.
Prosty przykład programu to WebUpdater Garmina:
http://www8.garmin.com/support/agree.jsp?id=931
Nieszkodliwy program, możesz go zainstalować i uruchomić bez sprzętu
Garmina. Może działać bez uprawnień administratora ale pod Vistą o nie
prosi.
>Zamiast otrzymania odpowiedzi, przeskoczyłeś z
>tematu bezpiecznego uruchamiania jakichś bliżej nieznanych aplikacji w
>tematy dotyczące uruchamiania instalatorów aplikacji. Co diametralnie
>zmienia skalę problemu, bo proces instalatora jest traktowany przez UAC
>w sposób szczególny i raczej trudno jest pozbyć się nadzoru nad jego
>uruchamianiem.
Niech nadzoruje. Mi tylko chodzi o sposób, żeby system nie blokował
programu, jeżeli nie podwyższę uprawneń. Instalacja w takim wypadku
może się nie udać, ale to nie zmienia istoty pytania.
>Zainstalowałeś tymi metodami IrfanView nie wywołując okienka UAC i nie
>nadając uprawnień administracyjnych procesowi instalatora?
Tak. Wg metody Jacka.
--
Pozdrawiam,
Andrzej Popowski
Michal Kawecki
> Tue, 11 Nov 2008 16:02:43 +0100, Michal Kawecki <kkw...@o2.px> pisze:
[...]
> Niech nadzoruje. Mi tylko chodzi o sposób, żeby system nie blokował
> programu, jeżeli nie podwyższę uprawneń. Instalacja w takim wypadku
> może się nie udać, ale to nie zmienia istoty pytania.
OK, teraz już rozumiem. W takim wypadku powinno pomóc ustawienie w
rejestrze flagi RUNASINVOKER zgodnie z sugestią Jacka. UAC przyjmie
wówczas, że dany program nigdy nie będzie wymagał podniesienia uprawnień
i zadowoli się tokenem zabezpieczeń posiadanym przez konto
uruchamiającego (invokera).
Przemysław Ryk
>>Jeśli jesteś pewien że program będzie działał na standardowych
>>uprawnieniach możesz utworzyć w Microsoft Application Compatibility Toolkit
>>(a konkretnie w Compatibility Administratorze z tego pakietu) bazę sdb z
>>poprawką RunAsInvoker dla tego programu i zainstalować ją w żądanym
>>systemie.
>
> Dzięki, nie jest to proste, ale działa :-)
Tak jeszcze się podepnę -
http://technet.microsoft.com/en-us/sysinternals/cc300361.aspx to by Ci nie
rozwiązało problemu?
--
[ Przemysław "Maverick" Ryk ICQ: 17634926 GG: 2808132 ]
[ House: Hey, Hey, You Wanted Fair, You Picked The Wrong Job. The Wrong ]
[ Profession. The Wrong Species. ("House M.D. 4x07 Ugly") ]
Andrzej Popowski
<przemys...@gmail.com> pisze:
>Tak jeszcze się podepnę -
>http://technet.microsoft.com/en-us/sysinternals/cc300361.aspx to by Ci nie
>rozwiązało problemu?
Sympatyczny dodatek, ale odrzuca programy, które proszą o podniesienie
Andrzej Popowski
Podsumowując, jak dotychczas najprostsza manipulacja, żeby wymusić
tryb użytkownika jest taka:
- Kliknąć program prawym klawiszem, potem "Właściwości" -> "Zgodność".
- Zaznaczyć kratkę "Uruchom ten program jako administrator".
- Znaleźć regeditem klucz:
HKLU\Software\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\Layers
- Znaleźć zapis dotyczący programu i zamienić wartość RUNASADMIN na
RANASINVOKER
--
Pozdrawiam,
Andrzej Popowski
Michal Kawecki
Albo dodać ten wpis w kluczu HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\AppCompatFlags\Layers i będzie aktywny dla wszystkich
użytkowników.
jo44
Co się takiego stało po ostatniej aktualizacji Visty, że użytkownicy
nagle mają problemy z uruchomieniem aplikacji, których poprzednio
używali dość swobodnie? Myślę tu np a GG, które nagle, w trybie
użytkownika życzy sobie hasła administratora? Gorzej! Nie mogę niczego
wrzucić do kosza jeśli nie podam hasła administratora?
Co u diabła znowu wynaleźli w Microsofcie? A raczej co spieprzyli?
Nie wspomnę o tym, że pasjans pająk (windowsowy), uwielbiany przez
żonę nagle dostał "żałobnych" kolorów i zmienił format obrazu?
Pozdrawiam