Свободное общениеМесто для общения на любые темы. Здесь можно (и нужно) рассказывать различные истории, байки, тащить сюда все самое интересное отовсюду.
Помацал вчера дисятко. АЦТОЙ!
Пытался нужному заказчику работающий мини-макет нашей телемеханики втоптать на бук. Часа 4 убил.
VirtualBox+QNX+ПО контроллера, SQLExpress, специализированный софт, пяток поднимаемых-опускаемых из скрипта служб.
Все более-менее решаемо, но эта тварь не сохраняет то что пишется в подкаталоги %programfiles%. Ни инишки, ни базы. А софт-то разных производителей, никто из них на такую подляну не рассчитывал.
Половина софта поставилась под юзером, другая только от имени админа. Софт, установленный разными способами, из одной сессии запускать - та еще попоболь. Да еще службами из cmd-скрипта хрен поуправляешь. "Настоящий" админ нужен.
Цель была чтобы юзверь одной кнопкой все поднимал. За полдня ниасилил, плюнул.
Буду разработчиков клевать, чтоб это овно учитывали. Уже на носу проблемы внедрения.
PS. Да еще эта долбаная имитация старого меню "Программы". Горите в аду, дизигнеры мелкософта! БилГейц, забери управление конторой взад!
Это не проблема Windows 10. Вы выдаёте проблему рукожопых разработчиков, накосячивших с софтом за проблему разработчика и поставщика ОС.
В %programfiles% начали запрещать запись непривилегированного пользователя со времён этак windows 2000, но возможно ещё и раньше - со времён Windows NT. Уже давно прописано в доках для разработчиков какие каталоги нужно использовать.
Проблема Microsoft только в том что под Windows приучила работать под привелегированной учёткой, а теперь возвращается к нормальной модели безопасности (к слову, в миру Unix присутствовавшей ещё с 70х годов).
Также это не с 10ки началось, тут жалуются на такую же проблему в Windows 7.
Да, нарушается обратная совместимость. Но с другой стороны сдерживается распространение ботнетов - это на самом деле существенная проблема.
Клюйте разрабов чтобы читали доку, даже в wikipedia уже давно описано
что и для чего.
Возможно, я бы покопал в сторону переопределения %programfiles% в скрипте,
во времена XP это выглядело бы примерно так
Код:
# run.bat
setlocal
set %programfiles=какой_нить_каталог_в_APP_DATA_куда_запись_разрешена
rem скопировать нужные каталоги с флагом обновления
Xcopy .....
rem запуск софта
endlocal
Добавлено через 5 минут
также дополню что вы не одиноки.
В мире linux половина инструкций начинается с пункта "disable selinux".
Есть даже про android
Здесь я правда сторонник вот этих ребят
__________________
- Хотите услышать мое излюбленное определение человека? Это существо, которое охотнее всего рассуждает о том, в чем меньше всего разбирается.// "Дознание" С. Лем
Не, плитки-то хрен с ними. Неудобно, но терпимо.
Там есть же подменю "Все программы". То самое, которое со времен 95 высмеивалось. Но оно раньше хоть логично представлялось, даже в 7. А тут длинный алфавитный список программ, разделенный на развернутые секции подгрупп. Вот его на ноутбучном тачпаде попробуй-ка полистай.
Клавиатурный поиск неплох, но для него надо твердо знать все названия.
Добавлено через 15 минут
Цитата:
Сообщение от AlexVK
Также это не с 10ки началось
В 7 достаточно было обрезать функции UAC. В 10 всё, приехали. Не помогает. Молча работает, но не сохраняет.
Вообще говоря, мне не совсем понятен этот способ борьбы. При чем тут безобидные ини, мдб и логи? Блокировать надо запись исполняемых файлов. Возможно, исполнение только разрешенных специально файлов. А пока можно выполнить все что угодно откуда угодно, в т.ч. из юзердирсов, эта "защита" как коту пламенный спич. Может, ухом пошевелит, но от своего дела не оторвется.
Вообще говоря, мне не совсем понятен этот способ борьбы. При чем тут безобидные ини, мдб и логи? Блокировать надо запись исполняемых файлов. Возможно, исполнение только разрешенных специально файлов. А пока можно выполнить все что угодно откуда угодно, в т.ч. из юзердирсов, эта "защита" как коту пламенный спич. Может, ухом пошевелит, но от своего дела не оторвется.
Это всего лишь один из эшелонов обороны против угрозы извне. Цель практически любого зловреда - выполнится под привелегированным пользователем (админом). Реалии таковы что можно уже заразить даже привод hdd и тогда никакой антивирус уже не сможет найти заразу (отключение UAC и запуск под админом этому поспособствует).
Один из путей это запрет на изменение в определённых каталогах. В Windows раньше был UAC, сейчас я не знаю, в linux для этих целей appArmor и selinux, которые тоже обычно отключают при установке какого-либо софта из-за нежелания с ними разбираться. Проблема в том что для серверов это критично. В частности, selinux также следит за возможностью записи в определённые каталоги не разрешая запись если она чётко не оговорена в политике что этой программе под этим пользователем можно это и это.
В Windows в %programfiles% помимо самих выполняемых файлов (exe) существуют также файлы с ресурсами (шрифты, разнообразные картинки) и подгружаемые библиотеки. Вирусу необязательно в общем то заражать только исполняемые файлы, также вполне достаточно внедрится в ресурсы или в библиотеки. А с точки зрения ОС разницы особой нет в файлах, разница только в том чем и как их открывать. Сама ОС не может отследить конкретно что происходит - записывается ли ini файл, сбрасываются страницы из БД или действует вирус. ОС работает на уровне дескрипторов и буферов. открыл файл - заполнил буфер с нулями и единицами и передал программе, получил буфер с нулями и единицами и записал в файл.
__________________
- Хотите услышать мое излюбленное определение человека? Это существо, которое охотнее всего рассуждает о том, в чем меньше всего разбирается.// "Дознание" С. Лем
Линейный вид
