Как разрешить доступ от администратора

Содержание

Как шестью способами получить права администратора в Windows 10

Как разрешить доступ от администратора

Выпущенная недавно новая операционная система Windows 10 обладает повышенной защитой, которая обеспечивает безопасность ОС и устраняет множество угроз. Чтобы максимально защитить систему, разработчики отключили расширенные права, благодаря которым стороннее программное обеспечение имеет больше доступа к ресурсам системы.

Например, самостоятельно скомпилированная программа для чтения какой-нибудь базы данных, не подписанная никаким сертификатом, будет запускаться с ограниченными правами доступа.

Чтобы включить полный доступ в учетной записи администратора системы мы опишем различные способы, при которых админ получает расширенные права для управления системой.

Первый способ получения расширенного доступа админа

Первый способ получения прав администратора довольно прост. Первым делом вам необходимо зайти Windows 10 с учетной записью, которая обладает правами администратора.

Попробуем запустить программу WordPad, встроенную в операционную систему с расширенными правами. Для этого с помощью клавиатурной комбинации Win + Q перейдем к поиску Windows 10 и наберем в нем фразу «WordPad».

Теперь кликнем на полученном результате правой кнопкой мыши. В открывшемся контекстном меню найдем пункт «Запустить от имени администратора». Выполнив этот пункт, мы запустим программу WordPad в расширенном режиме админа.

Похожим образом приложение можно запустить через меню «Пуск» во вкладке «Все приложения» и выполнить запуск через контекстное меню, как это показано на изображении ниже.

Если вы хотите запустить программу с расширенными полномочиями, которая находится на Рабочем столе, то смело переходите в контекстное меню ярлыка и выбирайте пункт, отвечающий за запуск от имени админа.

Также если перейти в Свойства ярлыка и нажать кнопку «Дополнительно», вы сможете выставить автоматический запуск утилит с правами админа. Например, на изображении ниже показан пример настройки текстового редактора для программистов Notepad++.

Еще одним способом запуска утилиты WordPad с повышенными привилегиями является его запуск в командной строке с правами админа.

Для этого запустим консоль таким образом — нажмем на значке «Пуск» правой кнопкой мыши и выберем пункт, который отвечает за запуск с правами админа.

Теперь выполним в консоли команду write После этого наш текстовый редактор запустится с повышенными правами.

Второй способ получения расширенного режима админа

Для второго способа нам также понадобится командная строка, которая запущена с правами администратора. Также заходим в учетную запись, которая обладает правами админа. Потом переходим к поиску Windows 10 и набираем в нем фразу «CMD», которая отвечает за поиск консоли.

Кликнем кнопкой по найденному результату и выберем пункт, который запустит нашу консоль с расширенными правами. В запущенной консоли выполните команду, изображенную ниже.

Выполнив эту команду, вы наделите свою учетную запись расширенными правами и сможете запускать утилиты без каких-либо ограничений. Выполнить обратную операцию в консоли и вернуть все изменения можно, изменив слово «Yes» на «No».

Третий способ получения расширенного доступа админа

В этом способе также запустим консоль с правами админа и выполним в ней команду, изображенную ниже.

После выполнения этой команды запустится надстройка системы «Локальная политика безопасности». Еще эту надстройку можно включить в Панели управления, если вам не нравится использовать консоль.

В открытой надстройке переходим по таким ссылкам: «Локальные политики / Параметры безопасности / Учётные записи: Состояние учетной записи ‘Администратор’» и ставим в открывшемся параметре переключатель в положение «Включить».

Выполнив эти действия, вы сможете стать пользователем с полными правами доступа в системе.

Четвертый способ получения расширенного доступа админа

Запустим таким же способом, как в первом примере консоль и выполним в ней команду lusrmgr.msc

Эта команда запустит надстройку, которая позволяет управлять пользователями операционной системы Windows 10. Надстройку также можно найти и включить в Панели управления.

В открытой надстройке найдите раздел «Пользователи» и найдите в нем пользователя «Администратор». Открыв этого пользователя, отметьте пункт «Отключить учетную запись» как показано на изображении ниже.

Теперь перезагрузите ПК и войдите в систему под пользователем, для которого мы выполняли эти действия.

Проделав эти операции, вы сможете стать пользователем с полными правами доступа в системе как в предыдущем примере.

Пятый способ, позволяющий стать админом с расширенными правами

Запустим в пятый раз командную строку с правами админа и выполним в ней такую команду control userpasswords2

Также эту команду можно выполнить в программе, которая запускается комбинацией клавиш Win + R.

Эта команда позволит нам запустить окно, в котором можно управлять параметрами пользователей. Окно откроется на первой вкладке «Пользователи». Для выполнения поставленной задачи, нам необходимо перейти на вкладку «Дополнительно».

На этой вкладке нажмем кнопку Дополнительно, которая перебросит нас в знакомую нам надстройку из предыдущего примера. Поэтому выполняем все действия как в предыдущем примере.

Шестой способ получения расширенного доступа админа

В шестом способе мы опишем запуск программ с расширенными привилегиями из-под обычного пользователя. Поэтому мы перейдем в учетную запись пользователя, который обладает обычными правами.

Дальнейшим нашим шагом будет запуск программы Notepad++ через контекстное меню ярлыка на Рабочем столе. Такой способ запуска описан в первом примере.

Если мы запустим Notepad++ этим методом, то ОС запросит у нас пароль одного из администраторов системы.

Поэтому введем необходимый пароль и запустим Notepad++ с расширенными привилегиями.

Как видно из примера, мы запустили текстовый редактор Notepad++ из-под обычной учетки. Единственное, что стоит учитывать в этом примере, без пароля админа вы не сможете воспользоваться этим методом.

Подводим итог

Из примеров видно, что запустить приложение с повышенными привилегиями и сделать себя админом с расширенными возможностями совсем нетрудно. Но перед тем как давать своей учетке расширенные привилегии, стоит учитывать фактор безопасности.

Посудите сами, ведь неспроста разработчики Windows 10 ограничили возможности учетной записи администратора. Главным фактором такого ограничения является исполнение вредоносного кода в десятке, который может повредить системные файлы операционной системы. Поэтому будьте предельно осторожны, когда пытаетесь стать админом с повышенными правами.

А мы в свою очередь надеемся, что наш материал поможет дать нашим читателям ответ на мучащий их вопрос — как получить права администратора в Windows 10 и позволит решить множество задач.

по теме

Источник: https://UstanovkaOS.ru/poleznye-sovety/kak-poluchit-prava-administratora-v-windows-10.html

Папка с правами администратора — как удалить?

Как разрешить доступ от администратора

Удаление информации с ПК не вызывает сложностей. Нажимаем клавишу «Delete» и готово. Но в последних версиях Windows возникает проблема. Стереть папку не получается. Что предпринять? Рассмотрим, как удалить папку с правами администратора.

Почему это происходит

Как удалить папку без прав администратора знает каждый. Что предпринять если нет возможности сделать это обычными способами? Вначале рассмотрим причины, почему система требует наличие особых привилегий.

Не могу удалить папку требует права администратора

Причины почему возникают трудности при удалении следующие:

  1. Файлы используются другим открытым процессом системы;
  2. Блокировка вирусом или антивирусной программой;
  3. Из-за системного сбоя;
  4. Работа происходит под записью пользователя с ограниченными возможностями;
  5. Директория заблокирована.

Не удаляйте директории, если неизвестно их предназначение. Убедитесь, что они не повлияют на работоспособности системы. Если сотрете важную информацию, ПК может нестабильно работать.

Рассмотрим, что нужно знать, чтобы стереть не удаляемую директорию.

Учетные записи

При инсталляции Windows автоматически создается пользователь «Администратор». У него есть полные права к редактированию информации. Если вы работаете один за ПК, то и пользуетесь правами администратора.

Но если купили ПК в магазине с установленной системой, или за ним работает не один человек, для удобства создается несколько пользователей.
В режиме администратора файлы создаются, переименуются, удаляются. Если работать в качестве «Гостя» возможности ограничиваются.

Система разрешает работу с файлами только в режиме просмотра.

Действия от имени Администратора

Оказывается, некоторые операции выполняются только под админской записью. В Windows 10 можно:

  1. Устанавливать обновления;
  2. Контролировать записи;
  3. Восстанавливать системные файлы.

Как удалить папки, которые запрашивают права администратора

Начиная с седьмой версии Windows, даже если вы единственный пользователь, система запрашивает права администратора на удаление. Почему так происходит? Система создала Суперадминистратора. Это учетная запись с максимальными привидениями.

Иногда такие сообщения появляются если вы пытаетесь удалить важные системные файлы.

Вопрос как удалить папки, которая просит права администратора решается просто. Рассмотрим удалить папку с правами администратора Windows 10.
Чтобы не приходилось каждый раз запрашивать разрешение на изменение или удаления, сделаем так чтобы мы сами решали, что делать.

Изменение пользователя

Нажимаем правой кнопкой мыши по файлу, выбираем «Свойства»-«Безопасность»-«Дополнительно».
Возле пункта «Владелец», нажимаем ссылку «Изменить».
В новом окне нажимаем «Дополнительно».
Кликните по кнопке «Поиск». Найдите пользователя, нажмите «ОК».
Если меняется владелец папки, а не файла отметьте пункт «Заменить».

Как установить разрешения пользователя

Став владельцем стереть директорию еще не получится. Мало разрешений. Заходим «Свойства»-«Безопасность», далее «Дополнительно». Посмотрите есть ли нужный пользователь:

  1. Если его нет нажмите «Добавить». Далее «Выбор субъекта»-«Дополнительно»-«Поиск». Устанавливаем для нужного пользователя полный доступ. Отмечаем внизу пункт «Применить к объектам»;
  2. Если он есть, выбираем пользователя и нажимаем «Изменить». Также устанавливаем полные права доступа. Отмечаем «Заменить записи», применяем настройки.
    Теперь при удалении сообщение о том, что отказано в доступе возникать не будет.

Проводник с административными правами

Сделаем чтобы проводник работал с повышенными привилегиями. Для этого выполните последовательность таких действий:

  1. Нажимаем «Пуск»-«Выполнить»;
  2. Прописываем команду: runas /user:%userdomain%\administrator «explorer /separate».

Система выдаст предупреждение, введите пароль.

Как удалить папку без прав администратора

Если некоторым пользователям описанные действия покажутся сложными, рассмотрим, как поступить другим способом. Воспользуемся специальной программой Unlocker. После установки она появится в контекстном меню. Кликнув правой кнопкой мыши на директории выбираем Unlocker, далее — «Удалить».

Подробнее о работе программы читайте в статье: «Как стереть заблокированные файлы». Теперь вопросы как удалить папку Стим (Steam) требует права администратора или другой файл, или каталог не будет возникать.

Вывод

Мы рассмотрели, как удалить папку, которая просит права администратора. Используйте описанные выше рекомендации. Помните, что удаление системных папок приведет к некорректной работе системы. Будьте внимательны. Рекомендую использовать программу Unlocker. Это удобно.

Источник: https://public-pc.com/kak-udalit-papku-s-pravami-administratora/

Как стать владельцем файлов и папок — инструкция • Glashkoff.com

Как разрешить доступ от администратора

При открытии, удалении или других манипуляциях с файлами и папками вы можете столкнуться с ошибкой доступа к файлам. Я расскажу о том, как с этим бороться и почему так происходит.

Как получить полный доступ к файлам и папкам

Сначала инструкция о том, как получить полный доступ к папкам и файлам. В следующей главе будет объяснение для любознательных.

Открываем папку, где находится проблемный файл или папка. Чтобы получить полный доступ к их содержимому, нужно настроить доступ к файлам:

1. Нажимаем правой кнопкой мыши по заблокированному файлу (или папке) без доступа — Свойства — выбираем вкладку Безопасность:

2. Нажимаем кнопку Дополнительно — выбираем вкладку Владелец:

3. Нажимаем кнопку Изменить и выбираем имя вашего пользователя (в моем случае это Dima, у вас будет другое), также ставим галку на Заменить владельца подконтейнеров и объектов:

4. Если появится окно с текстом «Вы не имеете разрешение на чтение содержимого папки. Хотите заменить разрешения для этой папки так, чтобы иметь права полного доступа?», отвечаем Да:

5. После смены владельца папки появится окно с текстом «Вы только что стали владельцем этого объекта. Нужно закрыть и вновь открыть окно свойств этого объекта, чтобы видеть или изменять разрешения». Нажимаем OK, затем снова нажимаем OK (в окне Дополнительные параметры безопасности).

6. В окне Свойства — Безопасность снова нажимаем Дополнительно, только теперь смотрим первую вкладку открывшегося окна — Разрешения. Надо нажать кнопку Изменить разрешения:

7. Нажмите кнопку Добавить:

(Если вы работаете со свойствами папки, а не файла, отметьте галкой пункт «Заменить все разрешения дочернего объекта на разрешения, наследуемые от этого объекта». )

8. В открывшемся окне «Выбор: пользователи или группы» вам потребуется ввести имя вашего пользователя (можете посмотреть его в меню «Пуск» — имя будет самой верхней строчкой), нажать кнопку Проверить имена, затем OK:

Если вам нужно, чтобы папка (или файл) открывалась без ограничений абсолютно всеми пользователями, т.е. не только вашим, то снова нажмите Добавить и введите имя «Все» без кавычек («All» в англоязычной версии Windows), затем нажмите Проверить имена и OK.

9. На вкладке Разрешения по очереди нажимайте два раза по строчкам с именами пользователей и ставьте галку на пункт «Полный доступ»:

Это автоматически поставит галки на пунктах ниже.

10. Затем нажимайте ОК, в следующем окне отвечайте на предупреждение Да, снова ОК, чтобы закрыть все окна.

Готово! Полный доступ к файлам и папкам получен! Можете спокойно их открывать, изменять и производить другие действия с ними.

Вывод: нужно сделать два шага: стать «владельцем» файла или папки (п. 3), затем назначить себе права доступа (п. 6).

Во многих инструкциях о том, как получить полный доступ к файлам и папкам, упоминают только первый шаг, забывая о втором.

Это не совсем правильно, потому что настройки безопасности файла/папки могут быть разные, надо привести их в нормальный вид, а не только стать «владельцем».

Зачем нужны права файлам и папкам

Механизм разграничения доступа к файлам и папкам необходим по многим причинам. Например:

1. Ограничение доступа к информации разными пользователями.

Если на одном компьютере или в общей сети работает несколько (больше одного) пользователей, логично ограничить доступ к информации — одним пользователям доступна вся информация (чаще всего это администраторы), другим — только их собственные файлы и папки (обычные пользователи).

Например, дома можно сделать ограничение прав одного пользователя так, чтобы защитить важные файлы и папки от удаления (чтобы ребенок не смог по незнанию удалить важные документы), в то время как с другого (родительского профиля) можно было делать все, что угодно.

В первой главе я показал, как разрешить доступ определенным пользователям. Точно так же можно и ограничить доступ — шаги те же самые, только в пункте 9 надо ставить другие галочки.

2. Безопасность операционной системы.

В Windows XP все устроено довольно примитивно — пользователи с правами администратора могут изменять (и удалять) любые папки и файлы на жестком диске, в том числе системные, т.е. принадлежащие Windows.

Фактически, любая программа, запущенная в профиле пользователя-администратора, могла сделать с содержимым жесткого диска всё, что угодно. Например, удалить файл boot.

ini, из-за чего Windows перестанет загружаться.

Под правами ограниченного пользователя, где благодаря настройкам безопаности нельзя было удалять важные системные файлы, мало кто сидел, предпочитая администраторскую учетную запись. Таким образом, учетная запись с правами администратора в Windows XP создает самые благоприятные условия для вирусов.

В Windows Vista, в Windows 7 и Windows 8 работает «Контроль учетных записей пользователя» (кратко UAC): при работе в администраторской учетной записи программы, запускаемые пользователем, работают с ограниченными правами. То есть удалить или изменить системные файлы программы не могут. Программы способны получить более полный доступ, запросив его у пользователя с помощью окна UAC, о котором я уже рассказывал:

Если права доступа к файлам настроены правильно и UAC включен, то вирусы, запущенные в администраторской учетной записи Vista/7/8, не смогут серьезно навредить системе без разрешения человека, сидящему за компьютером.

UAC бесполезен в случаях:

1. Если за компьютером сидит пользователь, бездумно нажимающий кнопки «Да» и «OK»

2. Если запускать программы «от имени администратора» (правой кнопкой по ярлыку программы — Запустить от имени администратора).

3. UAC отключен.

4. Для системных файлов и папок на жестком диске разрешен полный доступ всем пользователям.

Советую почитать описание типов учетных записей Windows:

Типы учетных записей в Windows 7/8

Программы, запущенные в учетной записи ограниченного пользователя Windows Vista/7/8 (тип «Обычный доступ»), не могут вызвать окно UAC и работать с правами администратора, что вполне логично.

Повторю еще раз: когда нет возможности повысить свои права до администраторских, навредить защищенным с помощью ограничения прав доступа файлам операционной системы нельзя.

Причины и решение проблем с доступом к файлам

Проблема в том, что вы пытаетесь получить доступ к файлам и папкам, созданных под другой учетной записью. Решения два: либо разрешить всем пользователям доступ, либо разрешить только тем, кому это нужно, перечислив их. Оба решения легко реализуемы по инструкции выше. Разница лишь в том, что вы будете вводить в пункте 8 — слово «Все» или перечисляя пользователей.

Кстати, можно разрешить доступ всем, но запретить одному (нескольким) пользователям, при этом настройка запрета будет приоритетной для перечисленных пользователей.

Причин возникновения проблем с доступом к файлам множество. Наиболее часто они появляются, если у вас несколько учетных записей, несколько операционных систем или компьютеров — везде учетные записи разные, при создании файлов и папок права назначаются тоже разные.

Что с правами файлов и папок делать нельзя

Ни в коем случае не назначайте полный доступ файлам и папкам на всем жестком диске с установленной операционной системой!

Существует миф о том, что операционная система ограничивает доступ пользователя к его файлам, поэтому надо назначать права доступа всем файлам на диске. Это неправда и изменять права всех файлов нельзя! В системе, в которой не «ковырялись», не назначали права доступа вручную, все назначено правильно!

Используйте мою инструкцию только в случае реально возникших проблем, не для предотвращения надуманных.

Поясняю: разрешив доступ к системным файлам, Windows по-прежнему будет работать, вот только любой вирус или некорректно работающая программа могут сделать очень нехорошие вещи. Вряд ли вам нужны проблемы.

Свои настройки безопасности имеют папки «C:\Windows», «C:\Program files», «C:\Program files (x86)», «C:\Users», «C:\System Volume Information», «C:\ProgramData», «C:\Recovery» и многие другие. Их менять нельзя, за исключением случаев, если надо произвести какие-либо манипуляции с файлами (например, чтобы изменить тему Windows), причем надо вернуть настройки обратно.

Не меняйте настройки безопасности «просто так», делая систему беззащитной перед вирусами и сбоями! После установки Windows права доступа к системным папкам настроены правильно, не надо их менять!

Также не рекомендую запускать все программы «от имени администратора» — в этом режиме они имеют повышенные привилегии, поэтому имеют возможность навредить системе.

Совет: если программа корретно работает только в том случае, если запущена «от имени администратора», при обычном запуске выдавая ошибки — попробуйте назначить полные права на изменение папке с ней в «C:\Program files» или «C:\Program files (x86)» (не самой папке Program files, а папке с нужной программой внутри нее!).

Очень часто это помогает запустить на Windows Vista/7/8/10 старые игры, которые хранят файлы настроек, сохранений внутри своей папки. Будучи запущенными без прав изменить свои собственные файлы, такие игры в лучшем случае не могут сохранить игровой прогресс, в худшем — закрываются или вовсе не запускаются. Со старыми программами то же самое.

Выводы

1. Назначить права доступа относительно легко.

2. Права доступа менять без обоснованной цели нельзя.

3. Изменили права системных файлов — меняйте их обратно. Чтобы изменить права системных папок и файлов на прежние, можно воспользоваться этой инструкцией (метод для Windows Vista должен подойти и к Windows 7, Windows 8, 10).

4.Изменение настроек безопасности — дело тонкое и автор статьи не несет ответственности за ваши действия.

Источник: https://glashkoff.com/kak-stat-vladeltsem-faylov-i-papok/

[Конспект админа] Что делать, если программа хочет прав администратора, а вы нет

Как разрешить доступ от администратора

(с) Вася Ложкин.

К сожалению, в работе сисадмина нет-нет да и приходится разрешать пользователям запускать всякий софт с админскими правами. Чаще всего это какие-нибудь странные китайские программы для работы с оборудованием. Но бывают и другие ситуации вроде небезызвестного bnk.exe.

Выдавать пользователю права администратора, чтобы решить проблему быстро и просто, противоречит нормам инфобезопасности. Можно, конечно, дать ему отдельный компьютер и поместить в изолированную сеть, но — это дорого и вообще…

Попробуем разобрать решения, которые позволят и программу запустить, и безопасника с финансистом не обозлить.

Ну, и зачем тебе права?

Программа может запрашивать права администратора условно в двух случаях:

  1. Когда хочет получить доступ туда, куда «простым смертным» нельзя: например, создавать файлы в системных каталогах.
  2. Когда программу скомпилировали со специальным флагом «Требовать права администратора».

С первым случаем все понятно: берем в руки замечательную программу Марка Руссиновича Process Monitor, смотрим, что происходит, и куда программа пытается залезть:

Куда это лезет этот 7Zip?

И по результатам исследования выдаем права пользователю на нужный каталог или ветку реестра.

Сложнее, если случай клинический, и так просто выдать права не получится: например, программа требует сильного вмешательства в работу системы вроде установки драйверов. Тогда придется придумывать всякий колхоз, про который речь пойдет в последнем разделе статьи. Пока подробнее освещу второй случай — когда стоит флажок.

Если сильно упростить, то в специальном манифесте программы (к слову, установщики — это тоже программы) могут быть три варианта запуска:

  • asInvoker. Программа запускается с теми же правами, что и породивший ее процесс (как правило, это explorer.exe c правами пользователя);
  • highestAvailable. Программа попросит максимально доступные пользователю права (у администратора появится окно с запросом повышения UAC, у пользователя — нет);
  • requireAdministrator. Программа будет требовать права администратора в любом случае.

Если разработчик твердо решил требовать права администратора, даже если они не нужны, то обойти это можно малой кровью.

Нет, не будет тебе прав

В системе Windows, начиная с Vista, появилась служба UAC, которая помимо прочего отвечает за запросы программ на повышение прав. Не все программы «переваривали» работу с этой службой. Поэтому в системе был доработан механизм совместимости приложений, позволяющий прямо задать программе ее поведение — запрашивать права или нет.

Простейшим вариантом работы с этим механизмом будет использование переменных среды.

Рассмотрим пример с редактором реестра. Действительно, запуская regedit.exe под администратором, мы получаем запрос на повышение прав:

Запрос повышение прав.

Если же мы запустим редактор реестра из консоли, предварительно поменяв значение переменной среды __COMPAT_LAYER на:

set __COMPAT_LAYER=RUNASINVOKER

То запроса UAC не будет, как и административных прав у приложения:

Бесправный редактор реестра.

Этим можно пользоваться, запуская программы батниками или добавляя контекстное меню через реестр. Подробнее читайте в материале How to Run Program without Admin Privileges and to Bypass UAC Prompt?

С конкретным примером такой неприятной программы можно столкнуться при загрузке классификаторов банков из 1С с сайта РБК по ссылке http://cbrates.rbc.ru/bnk/bnk.exe.

Если обновление классификаторов отдается на откуп самим пользователям и нет возможности поменять загрузку на bnk.zip (а современные 1С это поддерживают), то приходится придумывать костыли. Ведь bnk.

exe — самораспаковывающийся архив, в котором зачем-то прописано «Требовать права администратора».

Поскольку ярлычками тут обойтись не выйдет, ведь 1С сама скачивает файл и запускает его, то придется применять тяжелую артиллерию — Microsoft Application Compatibility Toolkit.

Документация к ПО, как обычно, доступна на официальном сайте, загрузить можно как часть Windows Assessment and Deployment Kit. Сам процесс решения проблемы несложен.

Необходимо поставить утилиту, запустить Compatibility Administrator и создать Application Fix в новой или имеющейся базе данных:

Создаем исправление приложения.

Имя и издатель значения не имеют. Имеет значение только расположение файла — тут нужно указать реальный проблемный bnk.exe (где он будет лежать на самом деле — не важно).

Далее необходимо в списке исправлений выбрать RunAsInvoker.

Выбираем нужный фикс.

Все остальное оставляем по умолчанию, сохраняем базу данных. Должно получиться примерно так:

Созданный фикс для bnk.exe.

После этого достаточно будет установить базу данных, щелкнув по ней правой кнопкой и выбрав Install. Теперь пользователи смогут сами грузить классификаторы банков.

Все становится хуже, если приложению действительно нужны права админа. Тогда добавление прав на системные объекты и исправления не помогают.

Ну ладно, держи права

Казалось бы, самым очевидным решением для запуска нашего странного ПО выглядит использование встроенной утилиты Runas. Документация доступна на сайте Microsoft.

Ну, посмотрим, что из этого выйдет.

Команда:

runas /savecred /user:Администратор “C:\Program Files\7-Zip\7zFM.exe”

Действительно, RunAs запустит 7zip с правами учетной записи «Администратор», спросит пароль и запомнит его. Потом ярлык с такой строкой запуска будет запускать 7zip под Администратором без вопросов.

)

Вводим пароль.

Есть один существенный недостаток: пароль запоминается на уровне системы, и теперь, используя команду Runas, можно будет запускать абсолютно любую программу. Это мало чем отличается от прямого предоставления админских прав сотрудникам, так что использовать это решение не стоит.

Зато runas может быть полезен, когда сотрудник знает пароль администратора, но работает под ограниченной учетной записью (по идее так должен делать каждый системный администратор).Если мы начали с консольных команд, то перейдем к более высокоуровневым скриптам. Интересное решение было предложено в статье «Планктонная Windows», где упомянутый выше Runas обвязывался js-скриптом и пропускался через обфускатор. У решения есть и очевидный минус — скрипт можно раскодировать.

Чуть более интересным методом в 2к20 являются возможности PowerShell и его работа с паролями. Подробнее можно почитать в материале «Защита и шифрование паролей в скриптах PowerShell».

Если вкратце: в PS работа с паролями производится через специальный тип данных SecureString и объект PSCredential. Например, можно ввести пароль интерактивно:

$Cred = Get-Credential

Затем сохранить пароль в зашифрованном виде в файл:

$Cred.Password | ConvertFrom-SecureString | Set-Content c:\pass.txt

И теперь использовать этот файл для неинтерактивной работы:

$username = “Domain\Администратор” $pass = Get-Content C:\pass.txt | ConvertTo-SecureString $creds = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $username, $pass

К сожалению, файл этот можно использовать только на том ПК, на котором его создали. Чтобы этого избежать, можно сделать отдельный ключ шифрования. Например так:

$AESKey = New-Object Byte[] 32 [Security.Cryptography.RNGCryptoServiceProvider]::Create().GetBytes($AESKey) $AESKey | out-file C:\password_aes.key

Теперь при помощи этого ключа пароль можно зашифровать:

$Cred.Password| ConvertFrom-SecureString -Key (get-content C:\password_aes.key )| Set-Content C:\pass.txt

И расшифровать:

$pass = Get-Content C:\pass.txt | ConvertTo-SecureString -Key (get-content C:\password_aes.key)

К сожалению, с безопасностью дела обстоят так же печально: утащить пароль не составляет трудностей, если есть доступ к файлу с ключом шифрования и зашифрованным паролем. Да, можно добавить обфускации и скомпилировать скрипт в .exe вместе с нужными файлами. Но нужно понимать, что это — полумеры.

В свое время я использовал для решения подобных задач свой любимый AutoIt, где компилировал скрипт с командой RunAs и радовался… До тех пор, пока не узнал, что AutoIt (особенно старых версий) декомпилируется на раз-два.

Другим интересным вариантом может быть применение назначенных заданий — если создать назначенное задание от админского аккаунта, пользователю для работы будет достаточно его запуска. К сожалению, для интерактивной работы с приложением это решение не подходит.

На свете существует несколько сторонних решений, призванных решить задачу. Остановлюсь на парочке из них.

Пожалуй, одна из самых известных утилит — это AdmiLink, разработанная Алексеем Курякиным для нужд ядерной физики. Программа и принципы ее работы описаны на официальном сайте. Я, как обычно, позволю себе более краткое описание.

Программа состоит из трех модулей. AdmiLink — это графическое окно, где можно создать ярлык на нужное приложение (в принципе, в ряде случаев достаточно только его).

Основное окно программы.

Помимо непосредственно создания ярлыка (и да, запрос UAC тоже можно подавлять), есть и дополнительные функции вроде калькулятора, терминала и удобных настроек политик безопасности. Со всеми возможностями программы читателю предлагается разобраться самостоятельно.

Второй модуль называется AdmiRun и представляет из себя консольную утилиту. Она умеет запускать приложения от имени администратора, получив в качестве одного из параметров строку, созданную через AdmiLink. В строке шифруется имя пользователя и пароль, при этом участвует и путь к программе.

На первый взгляд все выглядит безопасно, но, к сожалению, код программ закрыт, и насколько можно доверять разработчику — вопрос.

Третий модуль — AdmiLaunch — отвечает за запуск окон в разных режимах, и он используется для запуска AdmiRun, если создавать ярлык через AdmiLink.

В целом, решение проверено годами и поколениями отечественных системных администраторов. Но добавлю и альтернативу из-за рубежа.

RunAsRob — довольно интересное ПО за авторством немецкого разработчика Оливера Хессинга (Oliver Hessing). В отличие от AdmiLink, ПО устанавливается как служба, запускаемая под привилегированной учетной записью (администратора или системы). Как следствие, подготовленный ярлык обращается к службе, которая уже в свою очередь запускает заданное ПО.

Особенность программы в том, что есть возможность авторизовать не только программы, но и папки (включая сетевые). А хранение настроек в реестре позволило добавить шаблоны групповых политик, примерно как мы писали в статье «Погружение в шаблоны и приручение GPO Windows». Благодаря этому при необходимости настройки можно применять прямо из Active Directory.

Основное окно программы.

Программа богато документирована на официальном сайте.

У этого автора есть еще и программа RunAsSpc, позволяющая запускать исполняемые файлы под правами другого пользователя, передавая учетные данные через зашифрованный файл.

Мне остается только добавить, что это ПО бесплатно только для личного использования.

Но учтите, что из программы, запущенной под административными правами, можно натворить бед. Например, запустить привилегированную командную консоль через диалог Файл — Открыть.

Запускаем cmd.exe прямо из редактора реестра.

Немного защититься помогут политики запрета контекстного меню и прочих диспетчеров задач, часть из которых может настроить AdmiLink. Но в любом случае следует быть осторожным.

Источник: https://habr.com/ru/company/pc-administrator/blog/485958/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.