Calcweb.ru

Информационный портал
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как запретить программам в Windows запускать параллельные экземпляры процессов

Запрет запуска копии стороннего приложения

Робот сжигающий копии блокнотаМногие программисты программного обеспечения сталкивались с задачей запрета запуска копий приложения. Это делается с различными целями и зависит от ситуации. Существует даже отдельный термин для решения данной задачи — Mutex.

Также данная задача иногда возникает перед системными администраторами с тем отличием, что приложение стороннее (разработано другой организацией). Эта статья описывает относительно простой способ решения проблемы запрета запуска копий стороннего приложения.

Задача

Как то раз у меня на работе возникла проблема — некоторые сотрудники умудрялись запускать несколько копий приложений. Запуск нескольких копий, конечно, не приводил к катастрофическим результатам, но иногда порождал различные «глюки», нестабильную работу программы. Это, естественно, добавляло мне головной боли от многочисленных жалоб на эти «глюки».

Первым делом я провел разъяснительную беседу с сотрудниками о проблеме запуска копий приложения и о том, как этого избежать. Данная мера помогла на ближайшие пару дней, а далее всё вернулось на круги своя. Жаловаться начальству на такое попустительство некоторых работников было чревато моим увольнением, т.к. начальство безумно ценило этих работников, а ко мне отношение было кардинально противоположным.

Как говориться «Раз гора не идёт к Магомету, то Магомет идёт к горе». Я решил сам программно запретить запуск копий приложения. Задача оказалась не тривиальная.

Несложный анализ выявил 2 особенности моей ситуации:
Во-первых, у меня приложение стороннее, т.е. его разработчик не наша организация и доступа к исходному коду нет (поясню, приложение — один из продуктов Microsoft). Каких-либо регулирующих запуск настроек и параметров приложение не имеет.
Во-вторых, приложение запускается не напрямую, а как программа по умолчанию для открытия файлов определённого расширения. То есть приложение запускается с параметром (путь файла данных, который нужно открыть).

Решение — теория

Поиск в Интернете не дал мне явного решения. Запрета запуска второй копии приложения в виде системных настроек, как я понял не существует (хотя есть API). Также я нашел десятки примеров реализации mutex-ов на различных языках программирования, но все они, естественно, требовали внесения изменений в код и мне не подходили. Надо было искать своё оригинальное решение, и желательно попроще.

  • Пользователь инициирует запуск приложения, открывая файл данных, ассоциируемый с приложением.
  • По умолчанию вместо требуемого приложения запускается приложение-прослойка.
  • Это приложение получает в виде параметра путь к файлу данных, создаёт mutex и запускает требуемое приложение с полученными параметрами. Приложение-прослойка, соответственно, должно быть скрыто.
  • Далее запускается требуемое приложение и пользователь работает в нём. Приложение-прослойка всё это время продолжает работу. Его mutex блокирует попытки запуска копии.
  • По окончанию работы пользователь закрывает основную программу. Программа-прослойка закрывается автоматически.
Решение — практика

Практическое решение приведено для приложения «Блокнот» (понятное дело, что на его месте может быть любое приложение).

Выбор языка программирования для написания приложения-прослойки не вызвал у меня трудностей. Мне нужно было это сделать быстро и без заморочек, поэтому я выбрал язык автоматизации AutoIt. Легковесный AutoIt изначально «заточен» под работу со сторонними приложениями. Скачать его можно с официального сайта. В комплекте помимо самого пакета языка идёт достаточно удобный редактор кода SciTE Script Editor, в котором удобно писать скрипты для AutoIt.
Естественно, можно использовать любой другой язык с необходимыми возможностями.

Программный код скрипта (текстовый файл с расширением .au3) не представляет ничего сложного:

Хабраюзер mayorovp правильно отметил, что название семафора «Mutex» лучше заменить на что-то более уникальное.

Как вы сами видите, весь код условно можно разделить на две части: mutex и запуск требуемого приложения. Более детально я объяснять не буду, т.к. статья посвящена не изучению возможностей AutoIt.

Написав скрипт его можно откомпилировать либо в редакторе SciTE Script Editor, либо через контекстное меню файла (правый клик по файлу скрипта). После чего его уже можно использовать. Можно также откомпилировать с дополнительными настройками (битность системы и иконка приложения) при помощи утилиты Aut2Exe, которая также идёт в комплекте с AutoIt.

Далее всё элементарно — помещаем получившееся приложение-прослойку в какую-нибудь директорию и настраиваем открытие по умолчанию для файлов данных (в примере для файлов с расширением .txt) при помощи этого приложения-прослойки.

На этом всё. Проверяем и радуемся решенной задаче — теперь никто не сможет запустить две копии «Блокнота».

Читайте так же:
Ошибка Windows 10 «Файл C:windowssystem32configsystemprofiledesktop недоступен»
Послесловие

Данный способ позволил мне решить проблему двойного запуска приложений. Правда, на следующий день после установки приложения-прослойки ко мне прибежали нерадивые сотрудники со словами «Оно не запускается». Пришлось провести разъяснительную беседу с сотрудниками на тему «Приложение не запускается, потому что уже запущено». Эта беседа оказалась куда эффективнее, т.к. особого выбора у сотрудников не было. Уже почти месяц данных проблем не возникало.

Если кто из читателей знает способ написать mutex в виде .bat файла для данной задачи, то поделитесь опытом. У меня есть подозрение, что такой способ есть.

Запрет запуска программ Windows

Решаемая задача: Запретить запуск программ, кроме явно добавленных, для всех пользователей компьютера, кроме Администраторов.

Для выполнения описанных действий требуется учетная запись Администратора.

В данном случае у нас имеется определенное условие – «никто, кроме…». Зададим правила ограничения на использование программ.

Откройте Редактор локальной групповой политики и пройдите по пути Конфигурация компьютера – Конфигурация Windows – Параметры безопасности. Выберите Политики ограниченного использования программ.

Редактор локальной групповой политики

Чтобы включить политики жмем Действие – Создать политику ограниченного использования программ.

Создать политику ограниченного использования программ

В окне появились дополнительные опции. Заходим в раздел Дополнительные правила. Щелкаем правой кнопкой мыши на Дополнительных правилах и выбираем Создать правило для пути… для добавления пути.

Создать правило для пути…

После нажатия кнопки обзор, откроется окно проводника, где можно выбрать путь к папкам, из которых разрешен запуск программ. Папка выбрана, выставляем для нее уровень безопасности Неограниченный для полного доступа, и нажимаем ОК.

уровень безопасности для полного доступа

Повторяем действия, добавляя папки

  • C:Program Files
  • C:Program Files (x86)
  • C:Windows
  • C:Scripts
  • Для пути %HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionPrintPrintersDefaultSpoolDirectory% Ставим значение Запрещено.

Теперь нужно указать, что запрет на запуск программы не распространяется на Администратора компьютера. Снова идем в Политики ограниченного использования программ и открываем Применение. Ставим переключатель в позицию Все пользователи, кроме локальных администраторов и жмем ОК.

указать, что запрет не распространяется на Администратора

Запрет запуска программы для всех, кроме администратора настроен.

Запрет запуска для всех, кроме администратора настроен

Один параметр может оказаться досадной и никак не улучшающей безопасность помехой — по умолчанию, SRP обрабатывает не только исполняемые файлы, но и некоторые другие типы файлов — например, ярлыки (Shortcuts). Выполните двойной щелчок по значению Назначенные типы файлов и удалите расширение LNK из списка. Замечу, сами ярлыки и их целевые файлы обрабатываются политикой отдельно. Таким образом, удаляя LNK из списка обрабатываемых расширений, вы не понижаете уровень безопасности системы — создать ярлык на неразрешённый файл и таким образом запустить его в обход политики всё равно будет невозможным.

Затем идем в Политики ограниченного использования программ, Уровни безопасности, щелкаем по Запрещено и устанавливаем его по-умолчанию.

Уровни безопасности

После этого все программы, кроме тех, что присутствуют в Дополнительных правилах будут запрещены политикой для запуска.

Как запустить несколько версий одной и той же программы в Windows: 5 способов

Может оказаться полезным запуск двух копий одного и того же приложения на вашем компьютере. Возможно, у вас есть несколько учетных записей для приложения чата, которые вы хотите использовать одновременно, или вам нужно протестировать что-то в двух профилях одновременно.

В тех случаях, когда только одна запущенная копия приложения не подходит, есть несколько вариантов, позволяющих запускать несколько экземпляров одной и той же программы в Windows. Вот что ты можешь сделать.

Как дважды запустить одно и то же приложение в Windows: базовое решение

Есть удобный трюк, который не запускает полностью независимые экземпляры программы, но это может быть все, что вам нужно. Чтобы открыть второе окно некоторых открытых приложений, просто удерживайте Shift и щелкните значок на панели задач.

Для таких программ, как Word, Блокнот, Проводник и Chrome, откроется второе окно с пустым документом. Вы можете работать с этим отдельно от всего, что у вас уже есть.

Однако это работает не со всеми приложениями. Вы не можете запустить два окна Discord, например, удерживая Shift — это не даст никакого эффекта. Чтобы дважды запустить одну и ту же программу для приложений, которые не поддерживают указанный выше метод, ознакомьтесь с другими решениями ниже.

Как запустить несколько экземпляров программы от имени разных пользователей

Когда вы открываете приложение в Windows, операционная система создает новый процесс этой программы под вашей учетной записью. Если в вашей системе несколько пользователей, вы можете создавать новые экземпляры одной и той же программы под другим пользователем.

Читайте так же:
Driver Store Explorer — бесплатная утилита для просмотра и удаления драйверов устройств

Вы можете убедиться в этом сами, открыв Диспетчер задач (Ctrl + Shift + Esc), нажав «Подробнее», если необходимо, и просмотрев вкладку «Подробности». Столбец Имя пользователя содержит пользователя, запустившего процесс.

Конечно, постоянное переключение между учетными записями пользователей для использования двух копий приложения было бы утомительным. Однако есть способ лучше: вы можете запустить определенную программу от имени другого пользователя, оставаясь при этом в своей текущей учетной записи.

Если у вас еще нет хотя бы второго пользователя на вашем компьютере, вы можете создать новую локальную учетную запись, которая является фиктивным профилем. Один из способов сделать это — открыть приложение «Настройки» и выбрать «Учетные записи»> «Семья и другие пользователи»> «Добавить кого-то еще на этот компьютер».

Когда вам будет предложено ввести адрес электронной почты этого человека, нажмите внизу у меня нет данных для входа этого человека. Вам не нужно использовать учетную запись Microsoft для входа, поэтому нажмите Добавить пользователя без учетной записи Microsoft в нижней части следующей панели.

Установите имя пользователя и пароль для учетной записи. Мы рекомендуем упростить ввод обоих (но не используйте слабый пароль!), Если вы планируете часто его использовать. Если вы не установите пароль, возможность запустить другой экземпляр программы под этой учетной записью не будет работать.

Для достижения наилучших результатов вам также следует сделать новую учетную запись администратором. Если вы этого не сделаете, он сможет открыть только программное обеспечение, которое вы установили для всех пользователей. Вы увидите сообщение об ошибке, если стандартная учетная запись попытается открыть приложение, установленное только для другой учетной записи.

Дублирование приложения Windows под другой учетной записью

Теперь, когда у вас есть две учетные записи, вы можете запускать программы под любой из них. Когда вы запускаете программу, как обычно, она по умолчанию открывается под вашей учетной записью. Чтобы запустить его в качестве второго пользователя, найдите его в меню «Пуск». Щелкните правой кнопкой мыши имя приложения, затем выберите «Открыть расположение файла», чтобы открыть его исполняемый файл в проводнике.

Теперь, удерживая Shift, щелкните правой кнопкой мыши значок программы. Это откроет контекстное меню с большим количеством опций, чем обычно. Щелкните Запуск от имени другого пользователя в меню, и вы откроете окно входа с просьбой войти в систему с другой учетной записью. Введите данные для входа в учетную запись, которую вы только что создали, и приложение запустит вторую версию под этим пользователем.

Это также работает для значков приложений, уже находящихся на панели задач. Удерживая Shift, щелкните правой кнопкой мыши имя приложения, чтобы открыть аналогичное меню. Если это не сработает, щелкните значок один раз правой кнопкой мыши, затем, удерживая Shift, снова щелкните правой кнопкой мыши имя приложения в появившемся всплывающем меню.

Если вы видите ошибку, в которой говорится, что Windows не может получить доступ к указанному устройству, пути или файлу, значит, выбранная вами учетная запись пользователя не имеет разрешения на открытие приложения. Скорее всего, вы пытаетесь использовать стандартную учетную запись, чтобы открыть программу, которая установлена ​​только для вашей основной учетной записи. Попробуйте продвинуть дополнительную учетную запись до администратора и сделайте это снова.

Этот метод не идеален. Иногда вам нужно запустить приложение как дополнительный пользователь, прежде чем открывать его под своей обычной учетной записью, чтобы оно правильно запустило две версии. Не все приложения позволяют запускать два экземпляра одновременно. И это ничего не значит для приложений из Магазина.

Поэтому стоит попробовать запустить два экземпляра одной программы, но это может не работать в зависимости от приложения.

Как установить две версии одного и того же программного обеспечения с помощью Sandboxie

Как оказалось, программное обеспечение для песочницы идеально подходит для двойной установки одного и того же приложения в вашей системе. В Windows есть встроенная песочница, которую вы можете использовать для этой цели, но Sandboxie еще проще. Он позволяет запускать что угодно в специальном окне, изолированном от остальной части вашего компьютера.

Это отличный способ проверить потенциально небезопасные загрузки в контролируемой среде, но также позволяет запускать несколько версий приложения.

Начать скачивание Sandboxie Plus (последняя версия после того, как оригинал закончил разработку) и проходит процесс установки. Когда вы закончите, вы увидите запись Run Sandboxed, когда вы щелкните правой кнопкой мыши программу в проводнике, если вы оставили этот параметр включенным во время установки.

Читайте так же:
Приложение Sway от Microsoft стало доступным для всех

Как и раньше, вам, вероятно, придется щелкнуть правой кнопкой мыши запись приложения в меню «Пуск» и выбрать «Открыть расположение файла», чтобы отобразить его в проводнике, затем щелкните правой кнопкой мыши приложение и выберите «Выполнить в изолированной среде».

Программа в песочнице отображается на панели задач, как и все остальное, но при наведении курсора мыши на границы окна вы увидите желтый контур вокруг нее. Обратите внимание, что все, что вы создаете в песочнице, уничтожается, когда вы ее закрываете, поэтому обязательно сохраните все важные файлы на своем компьютере, чтобы не потерять их.

Вы можете создать несколько песочниц, помимо стандартной, для запуска нескольких экземпляров программ. И это не ограничивается только запуском программного обеспечения, которое уже есть на вашем компьютере; вы можете установить программное обеспечение в песочнице, чтобы запустить его из свежего состояния.

Sandboxie — это мощная утилита с множеством применений, но для ее правильного изучения может потребоваться время. Посмотри на Справочная страница Sandboxie если вы хотите узнать больше.

Использование приложений браузера для запуска нескольких экземпляров программного обеспечения

Поскольку так много приложений теперь доступно в виде веб-версий, легко упускать из виду возможность запуска нескольких экземпляров учетной записи через ваш браузер. Например, вы можете использовать настольное приложение Discord для одной учетной записи, а затем открыть Discord в своем браузере, чтобы войти в другую учетную запись.

Если вы часто используете этот метод, инкогнито или частные окна будут еще более полезными. Они обеспечивают «чистое» окно браузера, в котором не хранится никакая информация для входа или другая идентифицирующая информация. Таким образом, вы можете использовать личное окно для одновременного входа в несколько учетных записей для таких сервисов, как Facebook, Gmail, или веб-версий приложений, таких как Skype. Вам также не придется выходить из своей основной учетной записи.

Точно так же в Google Chrome есть переключатель профилей, который позволяет вам открывать Chrome под другой учетной записью, что упрощает переключение между несколькими часто используемыми конфигурациями.

Встроенные параметры и окна приложений

Не забывайте, что во многих программах уже есть возможность входить в несколько учетных записей, поэтому вам может не потребоваться запускать более одного экземпляра приложения.

Например, Slack позволяет переключаться между несколькими рабочими пространствами с помощью переключателя слева. В настольном приложении Telegram есть возможность добавить еще одну учетную запись и переключаться между ними.

Если до сих пор ничего не работало с конкретным приложением, которое вы используете, тогда вам подойдет утилита, позволяющая получить доступ к нескольким учетным записям в одном месте. Попробуйте такие услуги, как Франц, Куча, или же Rambox которые позволяют запускать одновременно множество приложений для повышения продуктивности.

Для каждого приложения легко добавить более одной учетной записи. Большинство этих инструментов взимают плату за полный набор функций, но оно того стоит, если вы манипулируете большим количеством учетных записей.

Две версии одного и того же программного обеспечения: нет проблем

Хотя сначала это может показаться невозможным, с этими инструментами и методами у вас есть много возможностей для запуска нескольких экземпляров одной программы. Некоторые из них требуют больше работы, чем другие, но одно из этих решений должно работать практически для любого приложения. Теперь вам не придется делать ничего неудобного, например, постоянно входить в учетные записи и выходить из них.

Знаете ли вы, что вы можете пойти дальше и даже запустить несколько операционных систем на одном компьютере?

Как запретить программам в Windows запускать параллельные экземпляры процессов

Данная задача решается только одним методом, который требует некоторых подготовительных работ.
Итак, самое главное, чего вам нужно добиться — запретить пользователям пользоваться административной учётной записью. Вы должны пользователям выделить ограниченную учётную запись. Её вполне хватает для комфортной работы с приложениями. Но главная задача, которая решается на данном этапе — непозволение пользователям изменять параметры и настройки системы. До тех пор, пока это не будет выполнено ваша задача не будет иметь решения.

Если с первым шагом справились, то дальше необходимо приступать к настройке Software Restriction Policies. Что это такое и с чем это едят:
http://www.samag.ru/cgi-bin/go.pl?q=articles;n=09.2008;a=02 (на русском)
Секреты Software Restriction Policies (на русском)

Читайте так же:
Как скрыть аватарку пользователя на экране входа в Windows 10

по первой ссылке не поленитесь внизу страницы просмотреть ссылки на более подробный материал на TechNet’e

В принципе, ничего космически сложного нету там, но дам несколько рекомендаций:
1) к правилам по умолчанию добавьте необходимые исключения, чтобы пользователи могли запускать ярлыки из меню Start и quicklaunch.
2) добавьте исключения для рабочих программ, которые проинсталлированы в отличные от C:Windows и C:Progrm Files папки.

При действии по умолчанию disallowed пользователи не смогут запустить ничего, кроме того, что вы явно разрешили, это т.н. "белый список". [тут могла быть ваша реклама] http://www.sysadmins.lv

Данная задача решается только одним методом, который требует некоторых подготовительных работ.
Итак, самое главное, чего вам нужно добиться — запретить пользователям пользоваться административной учётной записью. Вы должны пользователям выделить ограниченную учётную запись. Её вполне хватает для комфортной работы с приложениями. Но главная задача, которая решается на данном этапе — непозволение пользователям изменять параметры и настройки системы. До тех пор, пока это не будет выполнено ваша задача не будет иметь решения.

Если с первым шагом справились, то дальше необходимо приступать к настройке Software Restriction Policies. Что это такое и с чем это едят:
http://www.samag.ru/cgi-bin/go.pl?q=articles;n=09.2008;a=02 (на русском)
Секреты Software Restriction Policies (на русском)

по первой ссылке не поленитесь внизу страницы просмотреть ссылки на более подробный материал на TechNet’e

В принципе, ничего космически сложного нету там, но дам несколько рекомендаций:
1) к правилам по умолчанию добавьте необходимые исключения, чтобы пользователи могли запускать ярлыки из меню Start и quicklaunch.
2) добавьте исключения для рабочих программ, которые проинсталлированы в отличные от C:Windows и C:Progrm Files папки.

При действии по умолчанию disallowed пользователи не смогут запустить ничего, кроме того, что вы явно разрешили, это т.н. "белый список". [тут могла быть ваша реклама] http://www.sysadmins.lv

Всё это уже давно пройденный этап. Эти рекомендации могут остановить только начинающих пользователей. Любая программа во время работы или между сеансами работы что-то пишет на диск. В моём случае только одна программа из полутора десятков установленных, писала свои временные файлы в папку где сама и находится. Соответственно был разрешен запуск программы из этой папки и была разрешена запись файлов в неё.
Куда писать пользователи нашли меньше чем за час. Игрушки победили.
Но если игрушку записанную на диск можно найти и пользователя "пожурить", то как быть со следующей ситуацией. Пользователь запускает браузер, такое действие ему разрешено. Заходит на сайт и играет. Есть и другие варианты этой "технологии".

Наивно верить в могущество Software Restriction Policies.
Также наивно верить в силу администраторского пароля.

Можете ли предложить что-либо ещё?

> Соответственно был разрешен запуск программы из этой папки и была разрешена запись файлов в неё

пользователи всё равно не могут запускать свои .exe файлы даже при возможности записи в папку.

> Пользователь запускает браузер, такое действие ему разрешено. Заходит на сайт и играет.

это уже взаимодействие с сетью. На локальной станции максимум что можно сделать — отключить Java и флеш. Но проксирование в данном случае более выгодно.

> Наивно верить в могущество Software Restriction Policies.

я несколько иного мнения. Пока что обойти данный запрет не так и просто даже профессионалам.

> Также наивно верить в силу администраторского пароля.

а что он? Безусловно, есть только одна лазейка, как обойти его — в оффлайне использовать ERD. Тут поможет разве что пломбирование кейса, запароливание BIOS’а ну и административные меры. В онлайн взломать пароль администратора ну неполучится, извините.

> Можете ли предложить что-либо ещё?

нет. Я остаюсь на своих же рекомендациях, которые действительно работают. Почему они не работают у вас — это вопрос. Я готов обсудить эти вопросы.
[тут могла быть ваша реклама] http://www.sysadmins.lv

Судя по всему вариант, когда пользователи — это очень грамотные, высококвалифицированные и бессовестные профессионалы даже не рассматривается.

Речь идёт о студентах старших курсов специальности "Программное обеспечение вычислительных систем".

На 3 курсе они изучают клиентские ОС. В том числе изучается парольная защита ОС. А после лабораторной работы "Получение доступа к ОС с неизвестным паролем", получить администраторский пароль может любой. Там же на 3 курсе они начинают знакомиться с политиками безопасности. На 4 курсе изучаются серверные ОС. И студенты учатся управлять доменами и применять эти самые политики.
В начале этого семестра, преподаватель предложил студентам запустить "игрушку" на машинах с включённой политикой ограниченного использования программ. Студентам был обещан лишний балл к зачёту, если смогут это сделать. Через полчаса в папке Program files нашли папку с программой тестирования знаний студентов, а ней папку с разрешением на запись и запустили игру. Ещё через полчаса запустили игрушки в браузере. А через неделю нашли первую настоящую "дыру". Файлы с расширением "chm" запрещены для прямого запуска. Но если его запустить из rar-архива, то файл запускается. Под XP это работает без ограничений, запущенный файл не искажается. Под Вистой файл из архива запускается, но открывается в "Блокноте", в искажённом виде. До конца семестра 3 месяца, что ещё найдут и придумают.

Читайте так же:
Анонимные знакомства на Мамба

Вот так. Пароли снимаются, политики обходятся. Специфика работы такая.
Призывы к совести не действуют. Штатные средства в описанной ситуации не помогают или помогают временно, дополнительные программы контроля за доступом так же.

Не пробовали только наказывать, пойманных на несанкционированном доступе. Но их пока ещё и не поймали ни одного.

Может быть ещё кто-нибудь что-нибудь предложит?

> получить администраторский пароль может любой.

получить сам пароль — это очень вряд ли, если машина в онлайне. Если в оффлайне, то можно поставить свой пароль. ERD и вперёд. Если у пользователей действительно ограниченные права (только Users и никаких Power Users и прочих), то просьба продемонстрировать. Без выключения компьютера или без повышения их прав свыше Users это будет невозможно. Разве что подбирать пароль. Но это слишком долго и неинтересно. В конце концов passprop решит вопрос с подбором.

> Через полчаса в папке Program files нашли папку с программой тестирования знаний студентов, а ней папку с разрешением на запись и запустили игру.

это не проблема SRP, а проблема неверного конфигурирования политики. Ведь недостаточно только включить политику и всё. Её же ещё и настроить надо. По таким случаям есть чёткие рекомендации:
в случае если программа требует разрешение записи пользователем в каталог с исполняемым файлом, то в политике SRP следует явно запретить правилом эту папку, а исполняемый файл разрешать только по хешу. В таком случае пользователи могут копировать свои .exe файлы, но запустить их не смогут, даже подменив исполняемый файл программы. Хеш не совпадёт.

Опять же, ничто не мешает установить приложение на другой том и там разрешить исполняемый модуль по хешу. Тем самым вы избавляетесь в необходимости перекрёстного правила (когда запрещается вся папка одним правилом и что-то разрешается в ней другим правилом).

об этом говорится в первой ссылке:
Hash Rule – правило хэша. Для каждого приложения требуется создание отдельного правила. Данный тип правил очень полезен для приложений и файлов, которые находятся в открытых для записи пользователями папках. Например, можно разрешить запуск приложения из папки My Documents (куда пользователь имеет права записи) по хэшу. В таком случае гарантируется защита от подмены файла (с таким же именем) или при инфицировании файла вирусом, так как в обоих случаях хэш самого файла изменится и не подпадёт под правило хэша политики SRP и запуск его будет невозможен.

но даже, если бы и не было такой программы, то я знаю минимум 2 лазейки в самой системе. Но об этом чуть позже. Что касается CHM, то там всё проще. В меню Start -> Run. наберите:

hh pathfilename.chm

и он откроется. Именно такой метод использует WinRAR для открытия CHM. Но с исполняемыми (а так же пакетными) файлами это не пройдёт. В принципе из CHM можно запустить исполняемый файл, но этот исполняемый файл должен будет пройти отдельную проверку политикой на легитимность запуска.

Что касается браузера — готовы ли вы продемонстрировать процесс?

Вам достаточно было открыть вторую ссылку в моём посте, чтобы узнать альтернативные методы обхода политики. Но это же нужно делать.

Я попрежнему настаиваю на своей позиции. Вопрос только в том, на сколько у вас есть желание изучить материал и применить его на практике.

голоса
Рейтинг статьи
Ссылка на основную публикацию