Похоже ты совсем читать не умеешь. При чем тут огнелис, который не требует повышения прав? Почти все программы, требующие повышения прав, у меня свободно распространяемые или опенсурсные, и им не с руки подписывать свои программы. Если одна из них заразится то она при запуске заразит весь комп.

Что касаемо лисы, то ничто не мешает вирусу после заражения файла переподписать файл заново, всё равно 90% цифровых подписей - всего лишь никому не известные сертификаты.

Т.е. ты просто сказал, что бы выделиться, не имея соответствующих знаний. Ну и какого ты тут тогда рассуждаешь и выдаёшь себя за специалиста? То то я гляжу тебе легче админские права дать чем кого то убеждать. Я жалею что кончился кризис 2008 года, когда таких криворуких недоучек-даунов пачками на улицу выгоняли.

Ты вообще к чему про это если речь идёт о другом? И не стоит он у меня в "Program Files".

Нету у меня такого пруфлинка, но и у тебя не найдется пруфлинка что такое не возможно.

Нет там такого, да и не требуется. Зачем? Редко кто ставит ПО не находящееся в репозитарии.

Тебя просто спросили, как сделать что бы пользователь мог ставит только МСО, и ничего более не мог поставить. Ты же тут за спеца выступил, мол есть, мол можно и мол знаешь. А теперь юлишь намекая на чью то безграмотность, аргументы, и иной бред.

Ты либо ответь на поставленный вопрос, либо просто признай, что ляпнул для поднятия ЧСВ. Особенно про AppLocker пассаж был совсем дурацким.

Если претендуешь на знание то подверждай их или признай свою тёмность в данном вопросе.

Отредактировано ladserg (02-02-2013 14:37:37)

Диагноз поциента ясен.

Похоже на то. Неудержи́м ни разу.

Ну, мож чего подчепнет для себя нового. Впрочем ты прав. Пойду дальше своего танка качать

Ты пишешь ерунду про уязвимости и получение доступа к системе. Аргумент «я сижу под админом и не подхватил вирусни» очень силён, конечно, но с позиций логики не доказывает ничего. Считать, что «для пользователя с головой нет разницы, с какими правами сидеть» — это чушь и ерунда. Пользователь с головой сам себе обрежет все права. А параноидальный пользователь с головой ещё и что-нибудь вроде Gentoo Hardened натянет, с PIE, RBAC, SELinux и прочими страшными штуками. Но это не твой уровень, извини.

Именно поэтому винда и спрашивает разрешить или нет запуск данного ПО. И поди разбери то ли файл подменен, то ли денег не хватило на подпись от мелкомягких.
И это, кста, не UAC, проверка сертификатов появилась ещё в XP.

Ты вообще откуда такие выдумки берешь? Залезь к себе в каталог с программами и глянь, что у тебя там подписано или нет.
Mass effect 3, Disciples III, Dungeon Siege III, и т.д., официально купленные игры, установлены из официальных дистрибутивов, неподписаны. Да и не нужно им оно.  Про какие ты там торренты выдумал я хз, нынче век не тот, ломанные игры ставить невыгодно.

Это собственно был софт из-за которого и стоит винда. Из остального не подписанного софта: 7-Zip, AIMP3, Far Manager, FBReader, Hi Suite, LibreOffice, VLC, XnView, и т.д. В общем море. Огромная уйма софта, без которого винда и нафег не нужна - не подписаны, и ничего, всё работает, а некоторый софт работает даже с неизвестными подписями, норм работает.

Так давай, покажи алгоритм настройки, докажи, что офичиально руководство от Microsoft ошибается, докажи что они дятлы и при момощи AppLocker обычному пользователю можно повысить привилегии. Или приведи алгоритм действий или признай что просто брякнул невпопад.

Ты другим свои слова не приписывай, и за других не выдумывай.

autorun.in

F

, если уж на то пошло, не ini а inF.

Я-то уж точно, тебе же по делу сказать уже нечего, ты перешёл на надувание щёк (-:Е

Не спеши, в его словах есть доля правды. Я когда пришел полтора года назад на нынешнее предприятие мне пришлось многое приводить в порядок. Одна из текущих проблем был ряд троянов, которые оседали в профиле пользователя и в общем профиле (не спрашивай как они туда попадали, я хз), тот что находится в каталоге "C:\Documents and Settings\All Users" и гланое, они прописывались в корне сетевого диска в виде autorun.inf, благодаря чему они весьма успешно распространялись, разрешение на запись на данный сетевой диск был нужен.

Для решения сих проблем пришлось принять ряд мер, запретить использование флэшек там где в них не было рабочей нужды, обновить антивирус, поднастроить политики антивируса, на сетевой ресурс запретить запись, создать на нем подкаталог и уже в нем разрешить запись, попутно средствами NTFS запретить запуск программ с этого ресурса программ (есть у NTFS такой флаг). Ну и мониторинг.

К счастью данный троян не затронул каталоги с пользовательскими программам, тут Keepun проходился по поводу программ вне каталога "Programm Files", так вот есть ряд специализированных программ, которые пишут в свой каталог, эти программы еще более спицифичны чем автокад и фотошоп, для них пришлось создать отдельный каталог и политиками домена разрешить пользователям запись в него. Эти каталоги как выяснилось не пострадали.

Потом есть вские салити, кидо и иная хрень, которая пользуется уязвимостями винды... В общем после внедрения WSUS эта проблема нас уже не колышет. Но все равно приходится быть на чеку :-)

Тоже поспешил, сейчас большинство программ для установки не требует админских прав, тупо ставится в каталог пользователя, это и аська, и скайп, и хром, и еще туева куча всякой дряни... Не говоря уже о яндексбаре.

Так что сможет ограниченный пользователь поставить немало всякого ПО, а что не поставить, то тупо скопировать и использовать.

Обычно нет, да и не в автозагрузку там писалось, вражеские dll, пихались в общий профиль. Как я не знаю, подозреваю что использовалась одна из уязвимостей ОС.

Помню первое появление салити у нас на предприятии, о нем еще не было известно в новостях, а у меня уже четыре сотни компьютеров не могли соединиться с виндовыми шарами, хотя все абсолютно работали под бесправными учётками.

Ммм, ты не мог бы перевести на русский?

Да вообще жить страшно, но иногда приходится.

Не знаю, после внедрения WSUS я уже не наблюдал, но я по привычке не верю никому и ничему. По началу всё было как решето, т.к. на компах тупо не стояли патчи, сейчас всё везде пропатчено.

Ну если общесистемная установка - то да, если несчитать назначенное ПО (которое жестко контролируется), то пользователь не сможет поставить ПО изменяющее содержимое системных каталогов и системные ветки реестра.

П.С.:

Отредактировано ladserg (03-02-2013 01:33:52)

ladserg
> Ммм, ты не мог бы перевести на русский?
Я переведу: лицоладонь.мвгz (z от zip и в данном случае не переводится).

Да нет же, это… Блинский компот. В общем, я удивился такому фокусу винды и таким образом выразил своё негативное впечатление. Что-то вроде «Даже от винды не ожидал».

ladserg
На самом деле facepalm означает предельное удивление тупостью оппонента или предельной идиотичности чего либо. Собственно то, что винда молча запускает на выполнение файл прописанный в autorun.inf, как-раз пример второго случая. Это на столько глупо с точки зрения безопасности, что буквально невозможно выразить словами. Остаётся сесть и закрыть лицо рукой, на столько это тупо. Благо они это в последствии выключили по-умолчанию. Спустя лет десять. -_- Придумана данная фича была для того, чтоб при вставлении CD диска в привод автоматически запускалась необходимое приложение. Например, инсталлятор. И, как обычно, MS оказались крепки задним умом и лишь потом догадались, что вообще-то стоит проверять на компакт-диске этот файл находится или ещё где и вообще пользователя стоит спросить, а нужно ли это запускать или он с другой целью диск вставил. Это невыразимо тупо.
Кстати, флэшки можно было не запрещать, а просто в реестре вырубить обработку этого файла — там есть опция для этого.

Отредактировано Lain_13 (03-02-2013 19:08:22)

кабгэ это намекает, что кто-то до сих пор с этой фигнёй маятся, потому что из-под Админа пашет.

То есть ты не можешь скачать этот файл с официального сайта, что бы выяснить точно?

Не в таком виде.

решение я тебе выделил
Так в чем проблема назначить сыну группу Пользователи и Администраторы (или более ограниченную) одновременно? = sudo с паролем юзера.

Гений безопасности, объясни: как один юзер у тебя умудрился залезть в профиль к другому?

а где пример?

Не пашет это на Винь 7, а ХРень давно пора на свалку.