Зміна прав запущеного додатка Windows XP


Компанія Microsoft, прагнучи до підвищення рівня інформаційного захисту своїх продуктів, ввела в операційних системах Windows XP Professional і Windows Server 2003 спеціальний механізм - політику програмних обмежень (Software Restriction Policies), носить також альтернативне назва SAFER і дозволяє маніпулювати правами запускаються. Використовуючи цей інструмент, мережеві адміністратори можуть досить гнучко налаштовувати внутрішню політику мережі компанії, наприклад, дозволити користувачам запускати тільки офісні додатки, виключивши тим самим використання інших, неблагонадійних програм.

Власники Windows XP можуть самі вдосталь поекспериментувати з політикою програмних обмежень, запустивши аплет Local Security Policy (меню Control panel -> Administrative Tools"). Можна настроїти правила таким чином, щоб інші користувачі не змогли запустити вибрані вами програми, наприклад, ICQ або, скажімо, Windows Media Player.


редактор групповых политик
Політика програмних обмежень (Software Restriction Policies).

Крім того, використовуючи функцію SAFER, можна запускати програми від імені іншого користувача. Для цього досить клацнути мишею по іконці програми і, вибравши в контекстному меню пункт "Run As...", вказати користувача, під яким ми хочемо завантажити додаток. Ясно, що обмеживши правами користувача можна мінімізувати свавілля запущеної програми.

Але набагато ефективніше буде використовувати невеликий додаток DropMyRights, що дозволяє автоматизувати процес запуску додатків з обмеженими правами. Для цього достатньо прописати утиліту DropMyRights у властивостях ярлика потрібної нам програми. Наприклад, щоб запустити файловий менеджер FAR під "ненадійним" користувачем (untrusted users), необхідно відкоригувати шлях до FAR'у такий спосіб (див. скріншот):

D:\Creative\Tools\DropMyRights.exe "D:\Program Files\Far\Far.exe" U


приложение DropMyRights
Прописуємо DropMyRights у властивостях ярлика.

І щоб перевірити чарівну дію чудо-таблетки DropMyRights, спробуємо зберегти який-небудь файл. Безрезультатно...


Far
Результат запуску програми з обмеженими правами в системі.

Так до чого ми завели весь цей сир-бор? А вся справа в тому, що використовуючи вищеописаний механізм і запустивши додаток з обмеженими правами, можна сильно урізати його активність і свавілля в операційній системі. Програма не зможе записати свою інформацію в реєстр або в системну директорію, перемістити або видалити важливі файли. І, наприклад, прописавши в ярлику Internet Explorer наступний шлях D:\Creative\Tools\DropMyRights.exe "c:\program files\internet explorer\iexplore.exe" можна значно підвищити безпеку Internet Explorer - адже тепер будь-деструктивний дочірній процес (наприклад вірус або троян), запущений браузером, не зможе зробити яких-небудь негативних дій з вашим комп'ютером.