1 (изменено: kamelotto, 2016-06-30 03:03:49)

Тема: AHK: Ввод пароля Админа домашнего компьютера

У меня есть несколько программ, которые на каждом шагу требуют прав администратора системы. Я пытался подкопаться к этому окну, которое выскакивает и затемняет весь остальной экран. Однако Window Spy не может работать во время отображения этого окна, в которое вводится текст пароля. Да и клавиши Ctrl и Alt наверняка заблокированы в этот момент (предположительно). Как быть? Как определить окно, в которое вводится пароль?

2

Re: AHK: Ввод пароля Админа домашнего компьютера

Пробовали runas /savecred?

3 (изменено: kamelotto, 2016-06-30 16:39:33)

Re: AHK: Ввод пароля Админа домашнего компьютера

ypppu пишет:

Пробовали runas /savecred?

Не устраивает. Нужно не только запустить приложение. Например замена файла в системной директории тоже требует таких прав. Да много чего ещё вызывает это окно. Не только запуск.
В общем нужно не обходить эту задачу, а решить её. То есть найти способ идентифицировать окно ввода пароля администратора.

4

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto
Люди в такой ситуации пользуются файлменеджером, запущенным с повышенными правами, и проводят там любые дочерние операции.

5 (изменено: Malcev, 2016-06-30 19:01:24)

Re: AHK: Ввод пароля Админа домашнего компьютера

Не легче ли вообще убрать UAC и сидеть под админом?

6

Re: AHK: Ввод пароля Админа домашнего компьютера

Конечно, легче, как и обходиться без файрвола и без антивируса. Но не у всех так получается.

7

Re: AHK: Ввод пароля Админа домашнего компьютера

Уверен, после решения поставленной задачи автор захочет чтобы UAC вообще не вылезал.

8

Re: AHK: Ввод пароля Админа домашнего компьютера

Flasher пишет:

kamelotto
Люди в такой ситуации пользуются файлменеджером, запущенным с повышенными правами, и проводят там любые дочерние операции.

Это обход задачи. А ведь она не так сложна.

9 (изменено: kamelotto, 2016-07-01 01:59:21)

Re: AHK: Ввод пароля Админа домашнего компьютера

Malcev пишет:

Не легче ли вообще убрать UAC и сидеть под админом?

Ровно час назад узнал, что мой акк в одной соцсети подвергся взлому. Сейчас сканирую комп специализированным антивирем. Без UAS наверное и комп бы уже не включился.
Всё таки хотелось бы как-то решить задачу с этим окном. Всего-то надо. Как то его определить.

10

Re: AHK: Ввод пароля Админа домашнего компьютера

Flasher пишет:

Конечно, легче, как и обходиться без файрвола и без антивируса. Но не у всех так получается.

Интересно, как тогда обеспечивать безопасность?

11

Re: AHK: Ввод пароля Админа домашнего компьютера

ypppu пишет:

Уверен, после решения поставленной задачи автор захочет чтобы UAC вообще не вылезал.

Напрасно вы полагаете, что я так предсказуем. Вы не знаете на что способна моя фантазия
Ну так что? Задача не выполнима?

12

Re: AHK: Ввод пароля Админа домашнего компьютера

Например, так. Запускаете скрипт:

F11::
	WinGetClass, Class, A
	MsgBox, % Class

Когда окно появляется, жмёте F11. Остальная информация аналогично.

Разработка AHK-скриптов:
e-mail dfiveg@mail.ru
Telegram jollycoder

13 (изменено: Flasher, 2016-07-01 02:15:58)

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto пишет:

Это обход задачи. А ведь она не так сложна.

Нет, это её нормальное решение. А задача больше тянет на костыль и танцы с бубном.

kamelotto пишет:

Интересно, как тогда обеспечивать безопасность?

Правильным составлением и шифрованием паролей, правильной организацией браузерной безопастности, непосещением сомнительных сайтов, нескачиванием или онлайн-проверкой подозрительных файлов запуска, отключением дырявых служб (в частности удалённого управления) и процессов, запретом выходить определённым процессам в сеть, закрытием списка определённых опасных портов, авторезервированием и сохранением хэшей системных файлов для автоподсчёта и т.д. и т.п., всего не упомню.

14

Re: AHK: Ввод пароля Админа домашнего компьютера

От шаловливых ручек, запуска "плохих" скриптов и слабых паролей ни один антивирус с UAC не помогут.
Автохотки, чтобы взаимодействовал с UAC, нужно запускать от администратора иначе он не сможет контактировать с окном UAC которое запущена от SYSTEM.

15 (изменено: kamelotto, 2016-07-01 03:34:06)

Re: AHK: Ввод пароля Админа домашнего компьютера

Flasher пишет:
kamelotto пишет:

Интересно, как тогда обеспечивать безопасность?

Правильным составлением и шифрованием паролей, правильной организацией браузерной безопастности, непосещением сомнительных сайтов, нескачиванием или онлайн-проверкой подозрительных файлов запуска, отключением дырявых служб (в частности удалённого управления) и процессов, запретом выходить определённым процессам в сеть, закрытием списка определённых опасных портов, авторезервированием и сохранением хэшей системных файлов для автоподсчёта и т.д. и т.п., всего не упомню.

Вау!!!
Чрезвычайно интересно!
Не подскажете, как за пару вечеров все эти институты прочно освоить?
А если серьёзно, вы предложили поменять образ жизни. Эта задача несравнима с определением окна администратора.
Хотя мне действительно интересно всё то, что вы написали, про безопасность. Я понимаю, что это не тема данного вопроса и данного раздела форума, но ссылки на толковые статьи о вышеперечисленных возможностях принесли бы реальную пользу.

16

Re: AHK: Ввод пароля Админа домашнего компьютера

Malcev пишет:

От шаловливых ручек, запуска "плохих" скриптов и слабых паролей ни один антивирус с UAC не помогут.
Автохотки, чтобы взаимодействовал с UAC, нужно запускать от администратора иначе он не сможет контактировать с окном UAC которое запущена от SYSTEM.

Мдя.....
Хоть с правами. Хоть без прав. Не взаимодействует это мягко сказано. Это окно вообще ни с чем не взаимодействует.
Видимо нужно какой то драйвер писать. Специально для обслуживания этого окна. Оно как новое оборудование для Хоткея. Он не видит команд, во время активного состояния окна.

17

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto
Мастеру скоростного чтения и обладателю фотографической памяти, вероятно, это удастся за пару вечеров. И то вряд ли.
К сожалению, заниматься собираением ссылок (а тем более в рамках данного топика) нет особого желания, ибо то дела давно минувших дней, но одну полезную, так уж и быть, предоставлю.

P.S.: И будьте любезны избегать оверквотинга.

18

Re: AHK: Ввод пароля Админа домашнего компьютера

teadrinker пишет:

Например, так. Запускаете скрипт:

F11::
	WinGetClass, Class, A
	MsgBox, % Class

Когда окно появляется, жмёте F11. Остальная информация аналогично.

Любое другое окно, да. Но любое другое можно Виндовспаем определить. А когда активируется окно Администратора, Хоткей не видит клавиатуры. Вероятно клава просто переключатся на взаимодействие только с этим окном. Мышку он тоже не видит.

19

Re: AHK: Ввод пароля Админа домашнего компьютера

Flasher
Спасибо. Хоть и устарело, но сама схема действий вроде видна.

20

Re: AHK: Ввод пароля Админа домашнего компьютера

Хоть с правами. Хоть без прав. Не взаимодействует это мягко сказано. Это окно вообще ни с чем не взаимодействует.

Попробуйте запускать через:
https://technet.microsoft.com/en-us/sys … s/bb897553

PsExec -i -d -s "PathToExe"

21

Re: AHK: Ввод пароля Админа домашнего компьютера

DD пишет:

"О чём" было до del, а теперь о том, о чём и клавиша del — то есть, забудьте))

Какая глубина мысли! Жаль дна не видно.
Изъясняйтесь прозрачней пожалуйста. Не все здесь телепаты. И подтяните фразеологию. А то понять вас несколько затруднительно.

22

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto пишет:

И подтяните фразеологию. А то понять вас несколько затруднительно.

Подтягиваю: выберайтесь из трёх сосен)) Угодить тому, кто пытается постигнуть удаленное, доглядеться до дна там, где его по замыслу уже не должно быть — не менее затруднительно. А так дождётесь, что отсутствие смысла начнёт вглядываться в Вас))

23 (изменено: kamelotto, 2016-07-02 07:15:32)

Re: AHK: Ввод пароля Админа домашнего компьютера

DD
Насчёт удалённого. Если вы об удалённом доступе, то я всё это пытаюсь сделать сугубо на своей машине, дома. Мне не надо через интернет это делать. Может меня не так поняли. Почему то рекомендуют программы удалённого доступа.

24

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto пишет:
Flasher пишет:

Конечно, легче, как и обходиться без файрвола и без антивируса. Но не у всех так получается.

Интересно, как тогда обеспечивать безопасность?

Головой. Не запускать приложения неизвестного происхождения.

kamelotto пишет:

Ну так что? Задача не выполнима?

Можно сделать скрипт, который будет периодически записывать в файл информацию об активном окне. Поставить скрипт в планировщик с максимальными правами.

25

Re: AHK: Ввод пароля Админа домашнего компьютера

Думаю, не поможет это. Так как UAC запускается в режиме Secure Desktop при котором всё блокируется.
И никакие права не позволят с этим окном контактировать.
https://en.wikipedia.org/wiki/User_Account_Control

26

Re: AHK: Ввод пароля Админа домашнего компьютера

Malcev пишет:

при котором всё блокируется

Совсем-то всё не может блокироваться - компьютер зависнет.
К сожалению у себя не могу проверить.

27

Re: AHK: Ввод пароля Админа домашнего компьютера

Я имею в виду блокируется любые способы взаимодействия с окном.

28

Re: AHK: Ввод пароля Админа домашнего компьютера

Malcev
У меня была мышка с утилитой, которая тоже позволяла писать скрипты с нажатием клавиш. Так вот она прекрасно справлялась с этой задачей. Судя по всему у неё своя память. И скрипт, при нажатии её кнопки выполнялся без проблем. Может такая подсказка как то расширит варианты поиска решения задачи? Может можно как то изолировать кусок памяти и исполнять скрипт из него?
(модель мыши х7)

29 (изменено: kamelotto, 2016-07-02 15:21:17)

Re: AHK: Ввод пароля Админа домашнего компьютера

ypppu пишет:

Совсем-то всё не может блокироваться - компьютер зависнет.
К сожалению у себя не могу проверить.

Да. Не всё блокируется. Например девайс со своей памятью и утилитой работает с этим окном. Памяти там было 8 мб.
Следовательно, если отделить память и поместить туда скрипт, можно как то его запускать.

30

Re: AHK: Ввод пароля Админа домашнего компьютера

Там, думаю, не только память, но и процессор свой, он и выполнял скрипт. А в комп посылались сигналы о якобы движении и кликах мыши. Отличить их от сигналов, посылаемых при реальных движениях и кликах, у ОС компа никакой возможности не было.

А скрипт АНК выполняется на компе и ОС вполне может не допустить к нему эти сигналы.

31 (изменено: kamelotto, 2016-07-02 16:24:02)

Re: AHK: Ввод пароля Админа домашнего компьютера

YMP
Вряд ли там процессор свой. Не та цена у мышки. А что память своя и скрипт выполняется с неё, это точно. Потому, что если ей поставить на другой комп, она выполнит скрипт и там.
Я подозреваю, что блокировка в режиме окна УАС происходит именно в памяти. И поэтому своя память даёт обойти эту блокировку.

32

Re: AHK: Ввод пароля Админа домашнего компьютера

Так и процессор там не тот. Микроконтроллер.

Микроконтро́ллер (англ. Micro Controller Unit, MCU) — микросхема, предназначенная для управления электронными устройствами.

Типичный микроконтроллер сочетает на одном кристалле функции процессора и периферийных устройств, содержит ОЗУ и (или) ПЗУ. По сути, это однокристальный компьютер, способный выполнять относительно простые задачи.

33

Re: AHK: Ввод пароля Админа домашнего компьютера

YMP
А за счёт ресурсов ПК это можно как то виртуализировать?
Хотя наверное сложно. Это что-то низкоуровневое надо писать.

34

Re: AHK: Ввод пароля Админа домашнего компьютера

Да, наверно, драйвер нужен.

35

Re: AHK: Ввод пароля Админа домашнего компьютера

Вот так можно записать информацию о текущем окне. Но надежд записать UAC мало.

#Persistent
SetTimer, WatchActiveWindow, 2000
return

WatchActiveWindow:
WinGet, active_id, ID, A
WinGet, active_processname, ProcessName, A
WinGet, ControlList, ControlList, A
FileAppend,
(
%A_Now%
%active_processname%
%active_id%
-------------
%ControlList%



), C:\Test.txt
ToolTip, %ControlList%
return

36 (изменено: stealzy, 2016-07-03 09:59:18)

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto, UAC не призван защищать ваши пароли и файлы от вирусов.
Он всего лишь защищает системные файлы (в том числе некоторые ветки реестра) и Progam Files.
Чтобы вирус не мог перехватить ввод пароля в окно UAC, оно запускается системным процессом в особом рабочем столе (затемненная изображение вашего рабочего стола - всего лишь обои для особого раб стола).
Получить доступ к системному процессу (окну в том числе) может только другой системный процесс. Точно также процессы, запущенные от пользователя не имеют доступа к процессам, запущенным от админа.
Внезапно, невозможность перехвата - это и есть смысл UAC!
Т.Е. для работы с окном UAC скрипт должен быть запущен системным процессом.

Увы, авторы уака не предусмотрели создание "белого списка" для программ, постоянно требующих админские права. Но есть хороший подобие: запуск программы через планировщик задач. Для этого создается задание запуска программы от администратора в планировщике и ярлык, запускающий это задание. Такой ярлык можно создать и для файл-менеджера, если вам постоянно нужно копаться в системных файлах.

Сам я не смог смириться с таким костылем, поэтому отключил UAC (и поставил HIPS comodo, ввиду сложности рекомендовать не осмелюсь).
А вот групповые политики включить несложно - Software Restriction Policy

37 (изменено: kamelotto, 2016-07-03 05:17:30)

Re: AHK: Ввод пароля Админа домашнего компьютера

stealzy
Если я правильно Вас понял, вы отказались от решения подобной задачи в своём опыте. Вы просто отключили УАК и постоянно сидите под админкой, обеспечивая безопасность иными методами?

38 (изменено: stealzy, 2016-07-03 14:47:30)

Re: AHK: Ввод пароля Админа домашнего компьютера

А что вы называете безопасностью? ;-)
Я получаю предупреждения от HIPS, если программа пытается:
1) = UAC: залезть в системные файлы и ветки реестра, добавиться в автозапуск, установить драйвер
Это дает гарантию (если не нажимать "ок" :-), что система не повредится, но не более.
На остальные пункты UAC не реагирует.
2) изменить папки с моими личными файлами (вирус-шифровальщик)
3) получить доступ к монитору, клавиатуре, хукам (кейлоггер)
4) запустить другую программу (уязвимости браузера/флешплеера, макросы MS Word)
5) поставить в браузер свое вредоносное дополнение (похищать пароли)
6) получить доступ к процессу другой программы
7) получить доступ в интернет (99% вредоносов)
Причем можно разрешить единожды в стиле UAC или насовсем. Насовсем можно разрешить как конкретное действие (запуск программы Y, доступ к папке Z) так и весь класс таких действий для данной программы. Или отнести программу к какой-либо группе с предустановленными правилами (файл-менеджер, браузер, медиа-плеер, etc).

HIPS(UAC) это методы ограничения уже запущенного процесса и они сложны в использовании (куча вопросов - диалоговых окон).
Если же вы включите Software Restriction Policy, то никакой левый процесс просто не сможет запуститься.
Это конечно тоже не 100% безопасность, ведь SRP придеться выключать перед установкой новых программ,
но если внимательно относиться к тому, что вы устанавливаете, то почти 100%.

З.Ы. По вашему вопросу: да, запароленная админская учетка для себя, для остальных - ограниченная учетка.
Мышка, в отличие от AutoHotkey, является устройством ввода (драйвер), а не программой. Поэтому она может слать нажатия клавиш/мыши даже в процессы, запущенные от SYSTEM.

39 (изменено: kamelotto, 2016-07-03 14:56:20)

Re: AHK: Ввод пароля Админа домашнего компьютера

stealzy пишет:

Если же вы включите Software Restriction Policy,...
...ведь SRP придется выключать перед установкой новых программ,
но если внимательно относиться к тому, что вы устанавливаете,....(?!).

Мышка, в отличие от AutoHotkey, является устройством ввода (драйвер), а не программой. Поэтому она может слать нажатия клавиш/мыши даже в процессы, запущенные от SYSTEM.

Мне часто приходится ставить и пробовать новые программы. Больше 1000 в год. Из соображений удобства пользования я применял мышку. Не думаю, что включение и выключение "Software Restriction Policy" быстрее и удобнее УАК-а. В результате получится обмен шила, на мыло. Удобнее не станет. Я согласен с тем, что ваш вариант надёжнее. И если я буду продумывать систему безопасности без антивирусов, то я скорее всего последую именно вашим рекомендациям. Мне кажется этот вариант не будет тормозить работу системы, как это делает антивирус.
Однако этот топик создавался с целью решить (пока нерешаемую) задачу удобства пользования с помощью AHK.
Уже предложено несколько вариантов обхода и альтернативных решений. Но Удобней не становится.
Все эти варианты усложняют задачу, в то время, как нужно упростить. Единственное упрощающее решение было, использовать мышь с её утилитой и драйвером.
-------------------------------------------------------------------------
Итак, есть ли возможность использовать ту утилиту и драйвер в связке с АХК? Или на крайний случай просто использовать любую другую мышь но с этим драйвером?

40 (изменено: kamelotto, 2016-07-03 15:08:38)

Re: AHK: Ввод пароля Админа домашнего компьютера

ypppu
Попробовал. Получилось вот это:

SHELLDLL_DefView1
SysListView321
SysHeader321


20160703140424
Explorer.EXE
0x101d6
-------------
SHELLDLL_DefView1
SysListView321
SysHeader321


20160703140426


-------------



20160703140428


-------------



20160703140430



Боюсь, АНК не удалось добраться до окна.

41 (изменено: Alectric, 2016-07-03 16:00:20)

Re: AHK: Ввод пароля Админа домашнего компьютера

Это окно для того и было создано, чтобы до него нельзя было добраться ничем, кроме физических манипуляций мышью и клавиатурой ("защита от роботов").
Если и получится сделать такую программу или способ, то это будет считаться вредоносным ПО, и т.д. и т.п. вытекающие последствия, уголовное дело и иже с ними.

Win 10 x64
AHK v1.1.33.02
                       Справка тебе в помощь.

42 (изменено: kamelotto, 2016-07-04 03:59:25)

Re: AHK: Ввод пароля Админа домашнего компьютера

Alectric пишет:

"уголовное дело и иже с ними."

Какой ужас! Я сам отнесу свой комп в следственный комитет и сдамся властям! Вот только решение найду.
А то идти не с чем.

43

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto пишет:

Все эти варианты усложняют задачу, в то время, как нужно упростить.

Мой вариант "перейти на файлменеджер" нигде задачу не усложняет, а просто пересаживает с примитива на мультифункционал.
Ещё альтернатива - это настройки DEP (команда: systempropertiesdataexecutionprevention).

44

Re: AHK: Ввод пароля Админа домашнего компьютера

Flasher
Не понял Вас. Я не пользовался файлменеджерами. Не понимаю что это и зачем они нужны.
На счёт: "настройки DEP (команда: systempropertiesdataexecutionprevention)". Я не настолько продвинут. Это тоже мне не знакомо. Что за команда? Что за настройки DEP?

45 (изменено: stealzy, 2016-07-03 17:31:17)

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto, субъективно: большинство вирусов люди устанавливают себе сами, нажимая ок в окошке UAC/HIPS и отключая антивирус/SRP. Вот вы ставите 1000 программ за год, как вы убеждаетесь в их безопасности? Я качаю из надежных источников + проверяю на VirusTotal (дает данные проверки по всем антивирусам, проверка по хешу происходит мгновенно).
Если вы хотите автоматическое заполнение пароля + нажатие ОК, то в чем включать смысл UAC?
Если только автоматическое заполнение пароля, то вам придется хранить его в открытом виде в скрипте. Хотя получше, чем учетка администратора без пароля.
P.S. Выключение SRP - нажатие на ярлык, включается обратно автоматически ч/з 15 минут.
Проводник - это встроенный файл-менеджер. Как запустить проводник с правами администатора

46

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto
Список файлменеджеров тут. Из более популярных и дружественных: Total Commander, Directory Opus, Unreal Commander, SpeedCommander, Double Commander, FreeCommander, XYplorer, ViewFD.
Т.е. создаётся ярлык на exe-шник программы с доп. опцией запуска от имени администратора и там уже все манипуляции (запуск, копирование/перемещение и т.д.) проходят на ура.

Указанная команда запускается из любой комстроки, например, Выполнить (Win+R). Почитать про неё можно в справке Windows (Win+F1), забив DEP в поиск.

47

Re: AHK: Ввод пароля Админа домашнего компьютера

stealzyЯ не против хранить его в открытом виде в скрипте. всё равно ни один "не званный гость" не найдёт этот файл. Во всяком случае этого уровня препятствий на его пути вполне достаточно. Если я ещё зашифрую скрипт и сделаю его ексешником, то вообще можно не опасаться любопытных глаз.
А смысл в УАК именно в выборе. Я всегда могу выбрать быстро, нажать кнопку и вернуться к делам. Как правило я занимаюсь сразу несколькими делами на компе. Уделять много внимания SRP, и другим, более сложным вариантам, это означает отрывать это внимание от других задач. Поэтому вариант с УАК и автонабором меня долгое время выручал.
Просто я хочу вариант без использования дополнительного девайса (мышки). Или возможность использования любого грызуна, если невозможно рассчитывать на клавиатуру.

48

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto пишет:

Я всегда могу выбрать быстро, нажать кнопку и вернуться к делам.

Теперь совсем непонятно. До сих пор я думал, что требуется автоматизировать ввод пароля при запуске определённых программ или действиях с реестром.

49 (изменено: kamelotto, 2016-07-04 04:15:29)

Re: AHK: Ввод пароля Админа домашнего компьютера

ypppu
И во всех остальных случаях тоже. Я же сформулировал и уточнил неоднократно: Задача, "Упростить пользование окном ввода пароля Администратора." А вы предлагаете только решение части задач, связанных с этим окном. Записи в реестр и запуск программ, это не всё. Как например я буду через файловый менеджер устанавливать новую программу, скачанную только что из инета? Или прямо из инета, предлагающую её попробовать? Да много ещё случаем, когда требуется ввести пароль. Не всё можно менеджером решить.

50

Re: AHK: Ввод пароля Админа домашнего компьютера

Да, наверно, драйвер нужен.

C драйвером работает:
https://autohotkey.com/boards/viewtopic.php?t=9009

51 (изменено: kamelotto, 2016-07-04 04:08:14)

Re: AHK: Ввод пароля Админа домашнего компьютера

Заинтересовало:

stealzy пишет:

Если же вы включите Software Restriction Policy, то ...

Однако я столкнулся с банальным языковым барьером. В статье по Вашей ссылке написано по английски на что нажимать, а у меня русская версия. Если идти интуитивным путём, то там много вариантов. А настроек всего 3000. Тёмный лес однако.

52

Re: AHK: Ввод пароля Админа домашнего компьютера

Malcev пишет:

C драйвером работает:
https://autohotkey.com/boards/viewtopic.php?t=9009

И снова языковой барьер. Ну не знаю я английского. Автоперевод непонятен. В случае описания нюансов программирования он бесполезен.

53

Re: AHK: Ввод пароля Админа домашнего компьютера

А что именно непнятно?
Скачиваете архив и класс, пишете что вам надо послать, компилируете скрипт и запускаете от админа.

54 (изменено: kamelotto, 2016-07-04 06:22:40)

Re: AHK: Ввод пароля Админа домашнего компьютера

Malcev
Во первых, что это?
Во вторых, что нужно скачать?
Ну и как этим пользоваться?
Там всё не по русски.

55

Re: AHK: Ввод пароля Админа домашнего компьютера

Как например я буду через файловый менеджер устанавливать новую программу, скачанную только что из инета?

Так, чтобы не вводить пароль вручную? Очень просто. Этот файловый менеджер должен быть запущен с правами администратора. Так окно UAC просто не появится.

56

Re: AHK: Ввод пароля Админа домашнего компьютера

Malcev пишет:

C драйвером работает:
https://autohotkey.com/boards/viewtopic.php?t=9009

Что именно работает? Я так понимаю, что перво-наперво скрипт как-то должен понять, когда ему посылать пароль. А как его послать — это уже вторая часть проблемы.

57

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto пишет:

Как например я буду через файловый менеджер устанавливать новую программу, скачанную только что из инета? Или прямо из инета, предлагающую её попробовать? Да много ещё случаем, когда требуется ввести пароль.

Я же написал про любые дочерние действия, в т.ч. про запуск. Тот же браузер, даунлоадер и любую другую программу можно запускать с его кнопки или хоткея. Так что про ввод пароля в этом случае можно будет забыть.

58

Re: AHK: Ввод пароля Админа домашнего компьютера

Flasher пишет:

Я же написал про любые дочерние действия, в т.ч. про запуск. Тот же браузер, даунлоадер и любую другую программу можно запускать с его кнопки или хоткея. Так что про ввод пароля в этом случае можно будет забыть.

Это в том случае, когда запуск осуществляется с жёсткого диска. Если программа ставится из интернета, разве файловый менеджер дотянется до неё?

59

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto
С помощью какого средства ставится?

60 (изменено: Malcev, 2016-07-04 16:24:39)

Re: AHK: Ввод пароля Админа домашнего компьютера

Я так понимаю, что перво-наперво скрипт как-то должен понять, когда ему посылать пароль. А как его послать — это уже вторая часть проблемы.

А в этом я как-раз проблемы не вижу.
Можно проверять хэндл активного окна и если он равен ничему, то значит возможно появился UAC.
Если необходимо вписывать пароль по горячей клавише, то можно нажать энтер - появится надпись, что пароль неверен, а эту надпись отлавливать с помощью снятия снимка с экрана.

Malcev
Во первых, что это?

Send keys in Hardware-Level
Посыл клавиш на железном уровне.

Во вторых, что нужно скачать?

Downloads:
WinRing0_v1.3.1.19.zip
Class_WinRing0.ahk
Ну и как этим пользоваться?
Скачиваете, разархивируете, пишете скрипт:

#Include Class_WinRing0.ahk
f11::
WinRing0.SendStr("autohotkey")
WinRing0.KeyPress("RETURN")
return

Компилируете и запускаете от имени администратора.
Проверяете в блокноте - если всё работает, то можно пробовать отлавливать картинку UAC.
Если пропускаются буквы, то мне помогла вставка sleep в эти 2 функции:

KeyDown(chr, delay := 5) {
		If this.NeedShift(chr)
			this.KeyDown("shift", 20)

		k := this.GetScancode(chr)
		this.KBCWait4IBE()
		this.WriteIoPortByte(0x64, 0xd2)
		this.KBCWait4IBE()
		sleep, 1            ; вставка sleep
		this.WriteIoPortByte(0x60, k)
		Sleep, %delay%
	}

	KeyUp(chr, delay := 1) {
		k := this.GetScancode(chr)
		this.KBCWait4IBE()
		this.WriteIoPortByte(0x64, 0xd2)
		this.KBCWait4IBE()
		sleep, 1            ; вставка sleep
		this.WriteIoPortByte(0x60, k|0x80)
		Sleep, %delay%

		If this.NeedShift(chr)
			this.KeyUp("shift", 5)
	}

Там всё не по русски.

Да, технический английский конечно нужен.

61

Re: AHK: Ввод пароля Админа домашнего компьютера

Flasher
Я так понимаю стандартным установщиком Виндовс

62

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto
Стандартный установщик ничего не скачивает, если не считать службы обновления хотфиксов, в отношении которой, разумеется, UAC ничего не блокирует. Если же это делает некий установщик, запущенный из файлменеджера, то никаких проблем с блокировкой также быть не должно.

63 (изменено: kamelotto, 2016-07-04 17:10:31)

Re: AHK: Ввод пароля Админа домашнего компьютера

Flasher
Ну хорошо. Разберём такой пример. При скачивании торрентфайла, на сайте не находим вариант чистого файла, а только кнопку через медиагет. Нажимаем её. Выскакивает окно с выбором вариантов установки. Нажимаем и появляется наш УАК. То есть изначально команда запуска пришла не из менеджера , а из инета. Браузер запустил.
---------------------------------------------------------------------------------------------------------
Второй вариант. Я скачал установщик и запускаю его прямо из браузера, потому что это удобно. Один клик по его иконке в углу панели. Тоже не идёт через менеджер.

64

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto
Так браузер должен быть запущен с повышением прав. Либо из файлмененджера либо с нижней опцией на вкладке "Совместимость" окна свойств exe-шника.

65 (изменено: ypppu, 2016-07-04 17:50:58)

Re: AHK: Ввод пароля Админа домашнего компьютера

Flasher
Ну представьте теперь, какая брешь в безопасности открывается. Нет уж. Лучше пусть выскакивает окно УАК. оно хотя бы даёт выбор. Просто нужен способ, не набирать пароль каждый раз, нажимая многобукв, а заполнить с помощью горячих клавиш. Или нажатием кнопки мыши.

66

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto
А скачивать и запускать adware-exe-шник - это так, мелочь, не несущая угрозу безопасности? Выбор человек сам делает перед запуском. Сам по себе скачанный стандартным загрузчиком exe-шник не запустится без желания скачавшего.

P.S.: Не цитируйте предыдущие посты, не в правилах.

67

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto пишет:

Я скачал установщик и запускаю его прямо из браузера, потому что это удобно

kamelotto пишет:

пусть выскакивает окно УАК

Просто нужен способ, не набирать пароль каждый раз, нажимая многобукв

Только вариант от Malcev подходит. Пробуйте.

68 (изменено: kamelotto, 2016-07-04 19:56:18)

Re: AHK: Ввод пароля Админа домашнего компьютера

Flasher
Это окно выскакивает и в других случаях. И мне нужно всегда делать выбор. Но вводить пароль не удобно. Проблема не в том, как обойти окно и поменять для этого образ жизни. Проблема в том, что нужно просто вводить пароль удобным способом.

69 (изменено: kamelotto, 2016-07-04 20:05:32)

Re: AHK: Ввод пароля Админа домашнего компьютера

ypppu
"вариант от Malcev..." Сижу вот, и пробую как то понять. Я всего лишь новичёк, а тут что-то навороченное.
Боюсь без пошаговой инструкции, не пойму что надо делать. А Мальцев даёт только общие шаги. У меня остаются промежуточные вопросы. А тут ещё это английский.... и пояснений в коментах нет.

70

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto
Обойти окно предложенным образом всяко лучше, чем видеть его мелькание. Ибо в смене шила на мыло нет никакого толку.
А другие случаи было бы полезно огласить.

71 (изменено: kamelotto, 2016-07-04 20:09:51)

Re: AHK: Ввод пароля Админа домашнего компьютера

Flasher
Как раз я и не хочу менять шило (УАК) на мыло (работу без УАКа, но с кучей новых действий, программ и необходимостью полностью менять привычки), а оттачивание имеющегося шила (просто упростить ввод пароля).
Я не могу предсказать все другие случаи, когда может появиться это окно.

72

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto
Вы путаете. Шило - это работа без окна UAC там, где требуется, а мелькание окна ввода - это те же яйца, но вид сбоку, требующее дополнительного нажатия хоткея.
Я не предлагаю предсказывать, я предлагаю назвать.

73

Re: AHK: Ввод пароля Админа домашнего компьютера

Flasher
Я всё рано не буду пользоваться файловым менеджером. Мне почему то кажется это не удобным. Я пробовал разные варианты, и в результате удалял их.

74

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto
Можете не пользоваться. Но неудобство-то в чём?

75

Re: AHK: Ввод пароля Админа домашнего компьютера

Flasher
Не анализировал как то. Просто неоднократно пробовал и не понравилось. Всегда возвращался к проводнику

76

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto
Не понравилось - не аргумент, так же как и нежелание расширять горизонты. У Проводника нет почти ни малейшего преимущества перед оными ни в какой ипостаси.

77 (изменено: stealzy, 2016-07-05 18:56:21)

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto пишет:

Ну хорошо. Разберём такой пример. При скачивании торрентфайла, на сайте не находим вариант чистого файла, а только кнопку через медиагет. Нажимаем её.

Ну и зачем вам UAC? Вы ведь все равно нажмете ок, даже если вам подсунут там адский троян.
Приличные трекеры пока еще не все заблокированы.
Внезапно, Проводник - это тоже файл-менеджер, и его тоже можно запустить от админа. Да поможет вам Гугл.
Flasher - "Психбольница в руках пациентов"

78

Re: AHK: Ввод пароля Админа домашнего компьютера

В общем решение такое:
Компилируем скрипт:

f11::
Send, blah-blah-blah

1) Скачиваем https://technet.microsoft.com/en-us/sys … s/bb897553
2) Из архива нам нужен:  PsExec.exe
3) Запускаем CMD из под админа.
4) Там пишем:

С:\Test\PsExec /h /x /d /s "С:\Test\PsExec\script.exe"

5) Если всё сделали правильно CMD выдаст: process started with id...
6) Теперь этот скрипт будет работать при появлении UAC.
Таким же образом можно внедрить и AU3_Spy.exe.

79

Re: AHK: Ввод пароля Админа домашнего компьютера

stealzy пишет:

Внезапно, Проводник - это тоже файл-менеджер, и его тоже можно запустить от админа.

В общем-то человеку очень хочется, чтобы UAC был (чтобы выбирать действие вручную), но пароль вводить лень (наверное очень длинный).

Есть всё-таки понадобится что-то делать в системных папках, чтобы UAC не вылезал - можно запускать привычный Проводник с повышенными правами. Можно прикрутить к его окну красную рамку, чтобы он отличался от "безопасного" Проводника.

80

Re: AHK: Ввод пароля Админа домашнего компьютера

stealzy пишет:

Внезапно, Проводник - это тоже файл-менеджер, и его тоже можно запустить от админа. Да поможет вам Гугл.
Flasher - "Психбольница в руках пациентов"

Проводник то можно запустить, но что толку, если так придётся запускать каждое новое окно (Win+E) для межпапочных манипуляций с копирование/перемещением? Не говоря уже о запуске программ, для которых в исходном виде тулбар там не предусмотрен.
К чему эта книга?

81

Re: AHK: Ввод пароля Админа домашнего компьютера

stealzy
Вот как раз не всегда я нажимаю ОК. Особенно, если я уже пропустил какой то автоустановщик и он пытается запустить ещё пару десятков левых установок, и изменить начальные страницы. Это окно даёт мне хотя бы вовремя остановиться и начать чистить всё то, что я уже нахватался. В общем оно всё равно нужно и задача остаётся прежней. Я конечно рассмотрю все предложенные варианты, но я вожу свой велосипед, совсем не так, как вы свой мерседес. И думаю, что для моего велосипеда, я делаю совершенно правильно. Хотя не спорю, на Мерсе конечно гораздо круче ездить.

82

Re: AHK: Ввод пароля Админа домашнего компьютера

ypppu
цитата: "(чтобы выбирать действие вручную), но пароль вводить лень (наверное очень длинный)...."
Именно так. Часто приходится вводить. А из за того, что мечусь всегда между многими задачами, процесс набора пароля часто сбивает с мыслей. Теряется нить.
--------------------------------------------------------
Насчёт красного окна проводника. Заинтересовало. Можно подробнее?

83

Re: AHK: Ввод пароля Админа домашнего компьютера

Malcev
Цитата: "1) Скачиваем https://technet.microsoft.com/en-us/sys … s/bb897553"
-------------------------
Я окончательно запутался. При чём тут программа для удалённого доступа?
Может объясните ход своей мысли?

84

Re: AHK: Ввод пароля Админа домашнего компьютера

Чтобы запустить программу  от system.

85

Re: AHK: Ввод пароля Админа домашнего компьютера

stealzy
Кстати. Ваш вариант с "Software Restriction Policies" я хотел бы освоить. Но по данной вами ссылке, в статье я нашёл только английские названия. На что нажимать и где искать в русском варианте системы? Где это найти?

86

Re: AHK: Ввод пароля Админа домашнего компьютера

Malcev
У меня на компе перекрыта возможность доступа с удалённого рабочего стола. PsExec будет работать при таких настройках? И если да, то не откроет ли он доступ?

87

Re: AHK: Ввод пароля Админа домашнего компьютера

1) Будет.
2) Если не будет использован вирусами, то не откроет.
https://technet.microsoft.com/ru-ru/sys … sexec.aspx

88 (изменено: stealzy, 2016-07-08 00:54:15)

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto, попытался пересказать:

+ Что такое Software Restrition Policy

«Белый список» программ, которые заведомо разрешены для запуска; все остальные программы будут заблокированы.
Например, разрешим запуск из путей C:\Windows, C:\Program Files; а также программы, подписанные Microsoft, Mozilla и Google; и еще одну программу без подписи разрешим по ее хешу (уникальному для каждого файла отпечатку - если что-то изменит файл, хеш тоже изменится и разрешение перестанет действовать). Все остальное будет автоматически запрещено.
SRP доступен для всех редакций Windows, кроме Home. Узнать свою редакцию можно зайдя в "Мой копьютер" → "Свойства системы".
Если же у вас Enterprise или Ultimate вы может попробовать современный аналог — AppLocker.

+ От чего вас может спасти SRP

1) От вирусов, использующих эксплоиты.

+ Примеры эксплоитов

1) Автозапуск с флешек
2) 2010г: Explorer сам запускал сторонний код, при показе иконки (например при открытии зараженных флешки, сайта, документа word) специально сформированного ярлыка.
Заражение происходит, когда пользователь открывает диск автоматически с помощью функционала автозапуска, либо при открытии каталога непосредственно в Windows Explorer или аналогичном менеджере файлов. Специально сформированный ярлык заставляет Windows Shell подгрузить внешнюю динамическую библиотеку, которая выполняет произвольный код с привилегиями пользователя, запустившего Windows Explorer.
3) Уязвимости плагинов барузера Java и Flash: при посещении вредоносного сайта на диск скачивается вирус и запускается.
4) Макросы Word, создающие свой exe/bat файл на диске.
Некоторые из эксплоитов давно прикрыты, но поскольку будущие мне неизвестны, приходится ограничиться прошлыми. Суть дела при этом не меняется. Во всех этих случаях вредоносный код просто не сможет запуститься при включенной SRP.

Если же вы качаете и запускаете что-попало, откуда-попало, беспокоиться вам стоит не об эксплойтах. Читаем раздел "Скачивание программ из надежных источников и проверка перед установкой".

2) От детей/родственников/друзей, качающих и  запускающих что-попало, откуда-попало на вашем компьютере. К их печали, они просто не смогут запустить ничего из скаченного без вашего разрешения. Ну а вам придется проверять что они хотят вам установить.

3) Оказывается очень удобным, для людей, которые сами не устанавливают себе новых программ.
Я включил SRP на компьютере своей матери, уже 2 года работает без сбоев (антивируса нет).

+ Включение и настройка SRP на русской Windows 7:

Нажать [Win]+R → ввести "secpol.msc" и нажать [Enter] →
ПКМ по "Политики ограниченного использования программ" — выбрать "Создать" →
Двойной клик по "Уровни безопасности" → ПКМ по "Запрещено" — выбрать "По умолчанию"
Запрещено по умолчанию — значит запрещено все, что не разрешено.
Посмотрим теперь что у нас разрешено — щелкнем по "Дополнительные правила". По умолчанию там 2 правила для пути:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% - ветка реестра, где записано расположение папки Windows. Обычно это C:\Windows.
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% - ветка реестра, где записано расположение папки Program Files. Обычно это C:\Program Files.
То есть, у нас разрешен запуск только из этих двух папок и больше из ниоткуда.
Если вы замените эти правила на C:\Windows и C:\Program Files обычно ничего не изменится.

Если у вас х64 система, надо добавить папку "Program Files (x86)":
Дополнительные правила → ПКМ по пустому месту — Создать правило для пути → Вписываем C:\Program Files (x86) → Ок.

Удалим ярлыки из-под контроля политики, чтобы запускать их где угодно. Безопасность при этом не пострадает, т.к. сами ярлыки и их целевые файлы обрабатываются политикой независимо. Таким образом, удаляя LNK из списка обрабатываемых расширений, вы не понижаете уровень безопасности системы — создать ярлык на неразрешённый файл и таким образом запустить его в обход политики всё равно будет невозможным.
"Политики ограниченного использования программ" → Назначенные типы файлов → выбираем LNK и жмем удалить

Поскольку dll внедрение не редкость, надо включить контроль и над dll:

"Политики ограниченного использования программ" → Применение → "ко всем файлам программы".

Итак, политика настроена. Для того, чтобы она вступила в силу, перезагрузите систему. Дальнейшие настройки и переключения режимов работы SRP перезагрузку требовать не будут.

+ Прикрытие лазеек

Как мы помним, главный принцип безопасности - запретить запуск оттуда, куда разрешена запись. В C:\Windows оказывается содержатся папки, куда разрешена запись простым пользователям:

C:\Windows\Temp
C:\Windows\system32\spool\PRINTERS
C:\Windows\System32\spool\drivers\color
C:\Windows\Tasks
C:\Windows\System32\Tasks
C:\Windows\SysWOW64\Tasks
C:\Windows\tracing
C:\Windows\debug\WIA
C:\Windows\Registration\CRMLog
C:\Windows\System32\catroot2\

Для запуска программ они не предназначаются (кроме, возможно, C:\Windows\Temp), значит запрещаем:
Дополнительные правила → ПКМ по пустому месту — Создать правило для пути → вписываем путь и выбираем Запретить → Ок. И так для каждой.

+ Добавляем удобства: обход, отключение и автоматическое включение SRP

  Иногда вам придётся устанавливать новые программы, а также обновлять их.
Вам придется или выключать или обходить SRP (кроме случая подписанных программ, для которых вы добавили правило сертификата).
1) ПКМ - запуск от администратора. По-умолчанию политики не применяются к администраторам (Настраивается в пункте "Применение").
2) У .msi файлов нет пункта в меню "запуск от администратора". Но можно скопировать файл в Program Files и запустить оттуда.
3) Политику SRP можно временно отключить в один клик.
Создайте два файла, которые помогут вам облегчить отключение/включение SRP, и сохраните их в папке Program Files:

SRP_Disable.reg

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00040000

SRP_Enable.reg

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"DefaultLevel"=dword:00000000

Создайте ярлыки на reg-файлы на рабочем столе Администратора.

  На самом деле, значение DefaultLevel не отключает политику, а переводит её из режима «белого списка» "По-умолчанию: Запрещено" в режим «чёрного списка» "По-умолчанию: Разрешено", разрешая запуск любых программ, кроме тех, что описаны в контейнере "Дополнительные правила" в режиме Запрещено. По возможности, не создавайте записи с типом доступа Запрещено, так как это осложняет работу с политикой.
Т.е. запрещающие правила не выключаются этим методом!
Процедура установки новых программ усложняется лишь ненамного по сравнению с тем, как вы привыкли это делать:
  отключаем защиту SRP ярлыком SRP Disable;
  инсталлируем программу или выполняем обновление системы;
  снова включаем SRP ярлыком SRP Enable.

  Сделаем, чтобы вручную отключенная защита включалась снова через регулярные интервалы времени. Запустив программу gpedit.msc, в секции "Конфигурация копьютера" откройте папку "Административные шаблоны" -> Система -> "Групповая политика" и в параметре "Обработка политики реестра" выберите Включено и поставьте галочку "Обрабатывать даже если объекты групповой политики не изменились". В любом случае, после перезагрузки компьютера SRP включится автоматически.

+ Подводные камни: если что-то перестало работать

      Если программа установлена вне Program Files, то ее запуск оказывается под запретом.
  Быстрое решение: добавить правило пути для папки, где программа установленна. Конечно будет некий риск, что оттуда будет запущено что-то еще.
  Правильное решение 1: помимо правила пути, запретить пользователям запись в эту папку.
Для этого открываем свойства папки → вкладку "Безопасность" → Дополнительно → Изменить разрешения → cнять галку с "Добавить разрешения, наследуемые от родительских объектов", на вопрос жмем "Добавить",
теперь кликаем по элементу "Прошедшие проверку" → жмем "Удалить" → Ок.
Это решение не подходит для portable-программ и программ, записывающих что-либо в свой каталог.
  Общий принцип для правил пути - в те папки, откуда разрешено запускать, должна быть запрещена запись; и наоборот, там где разрешена запись, нельзя разрешать запуск программ. Если политика разрешает запуск программ из папки Х, то доступ в эту папку должен быть ограничен, иначе эксплойт теоретически может попытаться записать вирус туда.
  Если вы сидите под администратором, то хотя бы включите UAC, так чтобы попытка записи в Windows и Program Files вызывала окно подтверждения.
Для посторонних людей за вашим компьютером лучше завести ограниченную учетную запись, где запись туда будет изначально заблокирована.

  Правильное решение 2: создать правило сертификата (если есть подпись) или хеша для исполняемых файлов программы. Если файлы подписаны, то для них можно будет создать одно правило сертификата, оно не изменится даже после обновления программы. Если же нет, правила хеша придется создавать на каждый exe и dll файл программы. К тому же после обновления, хеш будет изменяться.

      Ломается автоматическое обновление.
Решение 1) Создать правила сертификата для Microsoft, Adobe (Flash), браузера.
"Создать правило для сертификата.." → "Обзор" → откроется окно выбора файла, в правом нижмем углу жмем по "Файлы сертификатов (*.crt)" и меняем на "Подписанные файлы (*.exe)" → выбираем наш файл  → не забываем заменить "Уровень безопасности" на "Разрешено".
При включении правил сертификатов, windows пугает уменьшением производительности. Но насколько именно? Перед запуском подписанного файла рассчитывается его хеш SHA2. На моем ноутбуке 5-летней давности расчет идет со скоростью 70 Мб/секунду. Учитывая, 99% .ехе и 97% .dll (статистика личная) не превышают 7 Мб, в худшем случае задержка составит десятую долю секунды. И это только для отдельных файлов, подпадающих под правило.
Решение 2) Отключать SRP и обновлять вручную.
     При установке, программа распаковывает свои файлы в C:\Windows\Temp и пытается запустить оттуда. Поскольку мы в пункте "Прикрытие лазеек" создали запрещающее правило для этого пути, оно не выключится нашим методом-в-один-клик. Придется либо лезть в политику и изменить правило, либо можно вынести Temp из папки Windows, тем самым решив проблему.

+ Как вынести Temp из папки Windows

Для начала необходимо создать новую папку в том месте, где нам это удобно. У меня она будет в корне диска C, назову её так же просто Temp. В итоге получаю путь «C:\Temp», запоминаем его, он нам понадобится.
Открываем «Панель управления» — «Система и безопасность» — «Система» (также можно на рабочем столе, нажать правой клавишей по ярлыку «Компьютер» и выбрать «Свойства»). В открывшемся окне в левой колонке выбираем «Дополнительные параметры системы».
Открываем вкладку «Дополнительно» и открываем «Переменные среды…».
В верхней части открывшегося окна мы можем видеть текущее расположение папки. Нам нужно изменить обе переменные (TEMP, TMP), поэтому выбираем поочередно оба параметра, жмем кнопку «Изменить» и меняем путь на наш.

Убедиться, что некая программа не работает из-за ограничений SRP, можно в системном журнале, с содержимым которого можно ознакомиться, нажав сочетание [Win]+R и выполнив eventvwr.msc.
Если действительно SRP является причиной неработоспособности программы, вы увидите в журнале одно или несколько предупреждений от источника SoftwareRestrictionPolicies с кодом 865. Внутри сообщения указывается имя и путь заблокированного модуля. Добавьте этот путь или цифровой отпечаток (hash) программы в Additional Rules и запустите программу ещё раз.

+ Скачивание программ из надежных источников и проверка перед установкой

Если вы не знаете какая конкретно программа вам нужна, но знаете, что она должна делать, то поисковикам доверять нужно с осторожностью. Хорошо, если вы выйдите на независимый сайт, где сравниваются несколько программ такого рода. Узнать лучшие в своей области программы и прочитать о них подробнее можно также на forum.ru-board.com.
Если вы уже знаете название нужной вам программы, то скачивать ее лучше с официального сайта, а не из чужих ссылок или рекламы. Выйти на оф.сайт программы проще всего вбив ее название в поиск Google/Yandex. Скачивание из других мест опасно тем, что вместе с нужной вам приложением вам подсунут еще два, в лучшем случае "не нужных". Это касается даже антивирусов: если вбить в поиск comodo, то на первых двух местах будет оф.сайт comodo.com, а на третьем comodorus.ru - неофициальный сайт, впаривающий adware.
Если вы скачиваете ломаные версии программ, для этого лучше пользоваться закрытыми торрент-трекерами с регистрацией (Во-первых там следят за раздачами, во-вторых там есть форум, где можно отписаться проблемах) - например самый известный русский трекер или трекер-"бабочка", прямых ссылок не привожу, но поиск рулит.
***********************
Итак, вы скачали установочник. Если у вас есть антивирус, он конечно проверит ее перед запуском, и выдаст/не выдаст предупреждение. Минус в том, что он может ошибаться: выдать ложное предупреждение на "хорошую" программу, либо не выдать никакого на свежий вирус. К тому же проверка может быть долгой/замедлять работу программы.

А почему бы не проверить файл сразу всеми антивирусами? Невозможно? Долго и неудобно?
Как-бы не так! На самом деле 99% исполняемых файлов уже были когда-то проверены антивирусами, причем хеш файла и результат проверки был сохранен в базе данных. Эта база данных находится на virustotal.com.
Не дописано...

Использовано: http://blog.windowsnt.lv/2011/05/30/pre … p-russian/
https://www.sysadmins.lv/blog-ru/catego … tysrp.aspx
http://mechbgon.com/srp/

P.S. Наверно можно сделать скрипт, выполняющий настройку в один клик, но тогда у пользователя потеряется понимание, как это все работает, а значит он не сможет подправить SRP под себя. Спорный вопрос.

89

Re: AHK: Ввод пароля Админа домашнего компьютера

stealzy пишет:

Flasher, книга к вашей жесткой позиции в 63 сообщении.

Вы заблудились. 63 сообщение - не моё. И в любом случае название книги мне ни о чём не говорит. Хотите что-то высказать конкретное - валяйте.

90

Re: AHK: Ввод пароля Админа домашнего компьютера

Flasher
Я не читал самой книги, однако пробежавшись по отзывам, понял, какие проблемы она затрагивает и думаю, что "stealzy" не зря о ней упомянул. Присоединяюсь к нему. Полистайте её. Или хотя бы просмотрите отзывы, как я.
P/S:
В книге нет ничего оскорбительного. Название мало связано с содержанием. Речь там об очень ВАЖНЫХ (!) аспектах программирования.

91

Re: AHK: Ввод пароля Админа домашнего компьютера

stealzy
Цитата: "Вечером допишу..."
------------------------------------
Очень буду ждать!

92

Re: AHK: Ввод пароля Админа домашнего компьютера

kamelotto
Если не зря, то и требуются пояснения. Программирование имеет отношение к какому-то моему сообщению? Нет. Если есть желание до меня донести сколь-либо значимую мысль, то адресовать ответ к прочтению неинтересного мне материала не имеет никакого смысла.

93 (изменено: kamelotto, 2016-07-05 17:39:58)

Re: AHK: Ввод пароля Админа домашнего компьютера

Flasher
Выбор всегда за вами.
Я лично не вижу препятствий к ознакомлению с этой книгой.

94 (изменено: kamelotto, 2016-07-06 07:27:42)

Re: AHK: Ввод пароля Админа домашнего компьютера

stealzy
Согласен. Скриптик я напишу сам.
Цитата:
"  Правильное решение 1: помимо правила пути, запретить пользователям запись в эту папку.
Для этого открываем свойства папки → вкладку "Безопасность" → Дополнительно → Изменить разрешения → cнять галку с "Добавить разрешения, наследуемые от родительских объектов", на вопрос жмем "Добавить",
теперь кликаем по элементу "Прошедшие проверку" → жмем "Удалить" → Ок."
--------------------------------------------------------------------------------------------
Видимо в Win 10 x64 не так. Там нет ни галочек ни таких кнопок. Или я не там искал.
В общем браузер запускается из другой папки. Путь я прописал, а вот проделать манипуляции с наследованием не получилось. Посмотрите сами (скриншот внизу). Я нажал на кнопку и появилось окно. Но никаких галочек нет. Там даже по русски понять невозможно.
И кнопка "Отключить наследование" тоже меняет надпись в зависимости от состояния. Как поступить в таком случае?
*****************************************
Ещё цитата:
"Ломается автоматическое обновление.
Решение 1) Создать правила сертификата для Microsoft, Adobe(Flash), браузера."
---------------------------------------------------------------------------------------------
Не понятно как это делать.

Post's attachments

Snap1.png 39.64 kb, 1 downloads since 2016-07-06 

You don't have the permssions to download the attachments of this post.

95 (изменено: kamelotto, 2016-07-06 19:16:36)

Re: AHK: Ввод пароля Админа домашнего компьютера

stealzy пишет:

Для этого открываем свойства папки → вкладку "Безопасность" → Дополнительно → Изменить разрешения → cнять галку с "Добавить разрешения, наследуемые от родительских объектов", на вопрос жмем "Добавить",
теперь кликаем по элементу "Прошедшие проверку" → жмем "Удалить" → Ок.
Это решение не подходит для portable-программ и программ, записывающих что-либо в свой каталог.

1. Для чего мы вообще это делаем? Какая связь между разрешением писать в данную папку и всеми этими манипуляциями?
2. Ещё прикольная проблема. В журнале событий запись: "Доступ к C:\Program Files\AVAST Software\Avast\AvastUI.exe ограничен администратором с помощью уровня по умолчанию для политики ограниченного использования программ."
Как это вообще могло произойти?
3. Не запускается редактор SciTE. Это связано с правилами для DLL. Что делать? Создавать правило для каждого DLL по хеш-сумме? Таких библиотек много на компе.

96 (изменено: stealzy, 2016-07-06 21:45:04)

Re: AHK: Ввод пароля Админа домашнего компьютера

1)В Windows 10 будет "Преобразовать унаследованные разрешения в явные". Наследование надо отключить.
2)"Создать правило для сертификата.." → "Обзор" → откроется окно выбора файла, в правом нижмем углу жмем по "Файлы сертификатов (*.crt)" и меняем на "Подписанные файлы (*.exe)" → выбираем наш файл  → не забываем заменить "Уровень безопасности" на "Разрешено". Попробуйте на браузере (яндекс?).
*****************************************
1) Мне тоже это кажется перемудренным, все эти действия производятся лишь для того, чтобы отнять у простых пользователей разрешение на запись. MS умеют делать простые вещи отвратительно сложными (из-за чего и появилась эта тема).
Фишка в том, что нельзя просто изменить те разрешения, которые наследуются от родительской папки. Сначала надо снять галку наследования, после чего наша папка становится "сама по себе". Чтобы она не ни потеряла все разрешения, что имела до этого, вам предлагают сохранить их. После того, как мы отвязали папку от родительской, можно удалить разрешения простых пользователей - т.е. удалить "Прошедшие проверку" (а это любой пользователей, кроме "Гостя") или отнять у этой группы разрешение на запись.
2) Странно. Создайте 2 разрешающих правила пути для:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%
и попробуйте запустить.
3) Можно перенести папку SciTE в Program Files. Можно добавить разрешающие правило пути.
Для домашнего пользования я не заморачивался — скинул все портативные программы в одну папку, и создал разрешающие правило пути для нее :-).

Добавил в инструкцию обход SRP без выключения методом запуска от админа или переносом установочника в Program Files.

97 (изменено: kamelotto, 2016-07-07 03:00:15)

Re: AHK: Ввод пароля Админа домашнего компьютера

stealzy пишет:

3) Можно перенести папку SciTE в Program Files. Можно добавить разрешающие правило пути.

SciTE у меня находится в папке с Автохоткеем.
Нет дело не в путях. Просто мы закрыли dll, как рекомендовано и теперь проблема в dll библиотеках. Они видимо не работают. Аваст так же спотыкается при переустановке. Скриншот прилагаю.
Их ещё и не так легко найти. Не всегда ошибка показывает путь.
Вопрос остался открытым. Что делать с dll-ками?
Цитата: "Поскольку dll внедрение не редкость, надо включить контроль и над dll:
"Политики ограниченного использования программ" → Применение → "ко всем файлам программы"."
-------------------------------------------------------------------------------------------------------------------------
Кажется решено. Во время создания правила для сертификата, к программе-качалке выскочило окно и выяснилось, что ранее настроенные правила для всех файлов программ не были включены. Наверное они включаются с созданием первого правила для сертификата. В общем после этого вроде заработали и dll-ки.
Поюзаю разные программы ещё. Может не все работают.

98 (изменено: DD, 2016-07-07 02:27:23)

Re: AHK: Ввод пароля Админа домашнего компьютера

По раскладам уважаемого stealzy задействовал политику на компе и не возьму в толк, отчего блокируются CHM, хотя C:\Windows — c hh.exe в ней — разрешена?

99

Re: AHK: Ввод пароля Админа домашнего компьютера

stealzy пишет:

Это конечно тоже не 100% безопасность, ведь SRP придеться выключать перед установкой новых программ,

Если я в теме — новые программы можно укладывать и устанавливать из разрешенных политикой папок, не выключая SRP.

100

Re: AHK: Ввод пароля Админа домашнего компьютера

DD
Не всегда. Я вот попробовал не выключая поставить аваст из програмфайлз. А он распаковался в ТЕМП и не смог дальше оттуда запускаться