Alapértelmezett Windows 7 UAC és a kód injektálás

 ( trey | 2009. május 16., szombat - 17:48 )

A Microsoft Vista alapértelmezetten beállított UAC-ja a visszajelzések alapján nem volt éppen nagy kedvenc. Se szeri, se száma az olyan tutorial-oknak az interneten, amelyek arról szólnak, hogy hogyan lehet az User Account Control-t a Vista-ban kikapcsolni.

Valószínűleg ebből kifolyólag döntött úgy a Microsoft, hogy a Windows 7-ben bizonyos programokat speciális privilégiumokkal lát el (kivétellistára tesz) annak érdekében, hogy az UAC kevesebbszer bukkanjon fel a Windows felhasználók előtt. Ilyen kivételezett programok például a calc.exe vagy éppen a notepad.exe. Azonban egyesek szerint van ezzel a megközelítéssel egy kis probléma.

Ha a Windows 7 alapértelmezett UAC-lal fut, akkor egy speciális technikával (kód injektálás) ki lehet használni az elgondolást. Egy proof-of-concept exploit képes arra, hogy a saját kódját egy már futó, "auto-elevation" (jóváhagyás nélkül elindulhat) képességgel bíró alkalmazás memóriájába injektálja. Az eredményt ez a videó mutatja be.

A probléma - amely a hírek szerint a nemrég kiadott RC-ben is fennáll - ellen védekezni lehet az UAC lehető legmagasabb szintre állításával. Az OSNews egyik cikkének szerzője mindenképpen ezt javasolja.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ennyire nehéz egy jól használható és biztonságos rendszert összehozni?

Videót megnézted?

Egyébként nem: ennyire nehéz megértetni az egyszerű mezei felhasználókkal, hogy miért kérez rá a rendszer erre-arra.

----------------
Lvl86 Troll

Ez is az evolúció része.

Ennyire nehéz rábírni a zembereket, hogy ne rendszergazdaként töccsék a pornót.

Ennyire nehéz rábirni a rendszergazdákat, hogy ne töltsenek pornót? :)

Ennyire nehéz a rendszergazdának pornó töltés nélkül szexhez jutnia ? :) Mégse hígul a szakma ?
--
"Megtanultam a zenét, de nem csináltam, s azóta tudással, de irigység nélkül hallgatom.
Megtanultam egy sereg tudományt, mesterséget és művészetet, értek hozzájuk, de nem csinálom, s így érdektelenül tudom azokat élvezni. "
Hamvas Béla

sikerult megerteni a problemat?

--
.

Win 7 = nagy felcsapas... nem szar de kaka :)

sudo bc
Miert jo egy szamologepet privilegizalt felhasznalo neveben futtatni? :)

--
"ne támogasd az erdők kiírtását mozijeggyel, töltsd le a netről!" - killllll, asva.info

Igen, igazabol en sem ertem azt, hogy miert nem lehet megirni az alkalmazasokat ugy hogy normalisan fussanak mindenfele privilegizalt felhasznalo nelkul. Ezzel el lehetne kerulni az egesz UAC baszakodast.

ket erdekesseg is van, erdemes kulon kezelni oket:

- ravettek tetszoleges processt, hogy az o altaluk adott processt futtassa - ez az izgibb resze a dolognak
- hogy ne legyen olyan sok UAC-t utalo inkompetens juzer, vannak whitelistes programok, amik auto elevatedek.

namost a masodik kovetkezmenye hogy ha egy ilyen progit megfursz, akkor nyilvan a Te kodod is tud futni elevated jogokkal. viszont ha jol megnezzuk a videot, akkor egyszer az explorer.exet, egyszer a calc.exe -t hasznaljak mint ugropont, ami felveti a kerdest, hogy X kulonallo program mellett hogy hasznalnak code injectiont - a programokban _ugyanolyan_ hiba nem lehet (illetve csak epszilon valoszinuseggel).

kivancsi lennek, hogy a code injectiont hogy kovetik el, mert tippre valami altalanos furast vegeznek itt, a whitelist appok csak ugrodeszkak.

igazabol ha belegondolsz linuxon is ha hozzaferek egy olyan userhez amelyi sudoers alapjan futtathat roottal dolgokat passwd nelkul akkor pwned a gep

sztem ez igy operacios rendszer fuggetlen problema h user nem akar meg ok gombot se nyomogatni meg passwdket irogatni, mas szoval a kenyelem mindig a szekjuriti rovasara megy
--
.

Nade ez nem egészen ugyanaz. Akkor lenne ugyanaz, ha a sudo csak bizonyos parancsokhoz nem kérne jelszót. Tehát a sudo ./worm.sh-ra kérne jelszót, mert az nincs beállítva sudoers-ben, de ha a nano-ra be van állítva, akkor a sudo nano-ra nem kérne jelszót. A feladat, hogy a nano-n keresztül futtasd le a ./worm.sh-t rootként. :)

Szerk: persze ha nano-ból meghívható külső parancs, akkor helyettesíts be a nano helyére bármilyen másik programot amiből nem lehet. :)

latom a vegere azert rajottel te is a problemara :)

--
.

Peldaul egy ubuntu-n, ha a synaptic-on engedelyezve van a pw nelkuli futas a sudoers-ben, akkor siman pwned, mert a menu gksu(do)-val inditja az appot (elvben gksu-val inditja, de a gksu raveheto arra, hogy inkabb sudo-zzon).
--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

olyan userhez amelyi sudoers alapjan futtathat roottal dolgokat passwd nelkul

es melyik nagyobb linux disztribucioban van ilyen defaultbol?

- Use the Source Luke ! -

Ha jól értem a problémát, akkor itt azért van különbség: winen van egy gyárilag adott -tehát ismert- program csokor (az ms saját whitelisted programjai), amiken keresztül így lehet támadni, és ez bármilyen user mellett működik. Nem?

Most amit linuxra írtál az is igaz, csak ott már kicsit sok a feltétel: a támadáshoz kell ismerni egy konkrét megfelelő usert, aki történetesen tud sudozni jelszó nélkül. Mivel ilyen default beállítás szvsz semmilyen épkézláb disztróban nincs, ezért ez nem egy biztos támadási felület, amire rá lehet készülni.

> mas szoval a kenyelem mindig a szekjuriti rovasara megy

Ez csak szimpla magyarázkodás. Marketing duma, te meg bevetted :-)))

"kivancsi lennek, hogy a code injectiont hogy kovetik el, mert tippre valami altalanos furast vegeznek itt, a whitelist appok csak ugrodeszkak"

Igy van, es nem kell fekete magiara gondolni, meg api is van ra: a WriteProcessMemory(). :)

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Most kifakadok:

Már a csapból is ez a "balta" w7 folyik. Muszáj ezt? Biztos, hogy ennyire nagyon kell ez ide?

Én már kicsit unom, hogy lépten nyomon ebbe botlok még itt is. :S

>>: sys-admin.hu :<<

inkabb mint a bubuntu :-)

Nahát az inkább unix mint ez.

>>: sys-admin.hu :<<

az explicite nem unix ugye
--
.

+1 :P

de akkor mar inkabb valami tema := {unix,linux} \ {ubuntu}
___
info

sztem csak tul sok neked a hup. velveten kevesebb w7 cikk van javaslom azt inkabb. hangulat jobb, szakmailag meg ugyanott vannak
--
.

Mér', oda is jársz trollkodni?
Csaba

Kifogytak az érvek? De hisz itt nincs is vita...

Én takemeaw véleményével szemben sosem merek érvelni. Ő valahogy olyan drasztikus....
Komolyra fordítva a szót nagyra értékelném, ha inkább a Velvetre járna trollkodni, mert szakmai hozzászólását tán még egyet ha olvastam, viszont a színvonal mélyrepüléséhez igen aktívan hozzájárul. Már majdnem Gabucino a színvonala. Persze szigorúan SZVSZ.
Csaba

Beszartam.

Apa kezdődik?

----------------
Lvl86 Troll

Én meg azt unom kicsit, hogy minden windows hírnél egy ilyen commentbe botlok.

+1
---
/* No comment */
Ketchup elementál megidézése a sajt síkra

[kétszerment]

Az a szomorú, hogyha megnézed a cikkek olvasottságát és a hozzászólások számát, akkor az derül ki hogy itt ez kell a népeknek. Nemtom miért nem szerepel a "Népszerű témák" dobozban "Windows" szó, biztos mert túl kevés neki a hely.

Nem nagy ügy, vannak más hasonló témájú honlapok - pl amelyik az aláírásodban szerepel - lehet nem olyan menőek de legalább értelmesebbek az emberek.

Egyébként meg nem lesz nagy ügy átrajzolni a logót HWP-re miután a normálisabb emberek elmenekültek. De lehet elég lesz csak kiegészíteni HUWP-ra, mint Hungarian Ubuntu and Windows Portal. ;-)

--
http://csuhai.hu

És nyelvész.

Helytelen a mondatot az "és" szóval kezdeni.

És a Biblia?
--
Fight / For The Freedom / Fighting With Steel

Hát tulajdonképpen hát-tal sem kezdünk mondatot... :-)
--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

De én leszarom.

a "mindenki nyelvész" állításodat igyekeztem megalapozni :P

Hol? Ja nem arra értettem, hanem hogy nyelvész portál is. Tudom, kerek mondatok...

szóval ez olyan, mintha a calc.exe kapott volna egy "setuid" bitet. grat. ez aztán innovatív.

nem, nem olyan, rosszabb ;)

nevetséges. képtelenek összehozni egy oprendszert, ennyi év alatt. Nagy maffia az egész, remélem megérem, hogy becsődöl az egész. Hálistennek az ismerettségi körömben már egyre kevesebben használnak windost, és ez nekem is rengeteg időt, anyázást spórol meg. :)

valamit a topikhoz esetleg?
--
.

Ez azért figyelmeztető jel minden, felhasználói privilégiumokat kezelő OS-nek. A felhasználók inkább megpróbálják kikapcsolni, mint megérteni a hasznukat. Mondjuk elég idegesítő is lehet a felugráló ablakokaz lelövöldözni.
--
Fight / For The Freedom / Fighting With Steel

igazabol nem az

en nem ereztem kenyelmetlennek se a vista se a win7 eseteben ezeket mivel viszonylag ritkan fordul elo. ellenben az egysegsugaru juser aki amugyis fogalom nelkul hasznalja az OS-t sajnos annak erzi

--
.

Nos, nem tudom, én mekkora sugárral rendelkezem, de amikor wint kényszerülök használni, gyorsan felbassza az agyam, ha sok-sok kis ablakocskát kell elolvasnom és leokéznom. Főleg, amikor egymásra dobálja őket, és még az előzőre kattintanék okét, erre meg nem. :( Ennek ellenére nem kapcsolnám ki, de a felhasználók jelentős része igyekszik megszabadulni tőle.
--
Fight / For The Freedom / Fighting With Steel

Talán az Engineering Win7 blogon láttam a diagrammot, ahol mutatták, hogy az idő elteltével hogy változott az ablakok száma. Meglepő módon a telepítés utáni viszonylag rövid időszakban kell többet nyomkodni. Meglepő módon az az időszak, amikor a legtöbb egyidejű telepítés és beállítgatás megy. Meglepő módon az átlagemberke nem szokta minden nap 5x átkonfigolni a rendszerét.

Az UAC ablakot szerintem elég nehéz kikerülni, lévén, hogy az egész rendszertől elveszi a fókuszt.

----------------
Lvl86 Troll

kiveve a linux usereket akik 1 nap utan kijelentik hogy szar :)
--
.

Én néha, jó kedvemben, adok neki akár két napot is. :)
--
Fight / For The Freedom / Fighting With Steel

Szóval olyan, mint az asszony feje: Eleinte sokat kell nyomkodni, később már magától is bólogat. :) Átkonfigolni tényleg nem szokta, de esetleg telepít egy új programot/toolbart/istentudjamit, és kezdi a bohóckodást. Átlagemberkét pedig minden zavarja, ami szerinte váratlan. Ráadásul már az egészen korai windowsok is képesek voltak teljesen egymást fedve elhelyezni az ablakokat. Ennek eredménye volt néhány látványos, nehezen helyrehozható hiba. Harmadrészt pedig a legtöbb user el sem olvassa, mi van kiírva, csak automatikusan kattint, ergo egy idő után megint csak idegesíteni fogják az ablakok.
--
Fight / For The Freedom / Fighting With Steel

"Átkonfigolni tényleg nem szokta, de esetleg telepít egy új programot/toolbart/istentudjamit, és kezdi a bohóckodást."

Nehogy már havonta 1x ne tudjon kattintani...

"Ráadásul már az egészen korai windowsok is képesek voltak teljesen egymást fedve elhelyezni az ablakokat."

Vista előtt volt UAC? Kérlek, mond már meg, hogy hogy nem lehet észrevenni egy ilyen ablakot és hogy tudja eltakarni egy másik.

"Harmadrészt pedig a legtöbb user el sem olvassa, mi van kiírva, csak automatikusan kattint, ergo egy idő után megint csak idegesíteni fogják az ablakok."

Szvsz ez eléggé PEBKAC. Tipikusan az a probléma, amivel nem lehet mit csinálni.

----------------
Lvl86 Troll

Idézet:
Nehogy már havonta 1x ne tudjon kattintani...

Van akinek évente 1 is sok. Megszokta korábban, hogy nem kell.

Idézet:
Kérlek, mond már meg, hogy hogy nem lehet észrevenni egy ilyen ablakot és hogy tudja eltakarni egy másik.

Úgy, hogy még egyet rádob...

Idézet:
Tipikusan az a probléma, amivel nem lehet mit csinálni.

Erről beszélek én is: Nem lehet vele mit kezdeni, de találtak rá megoldást - kikapcsolni.--
Fight / For The Freedom / Fighting With Steel

Az UAC-ra nem tud ablakot rádobni, mivel az nem egy sima ablak, hanem egy külön desktop (fixme).


"A fejlesztot azert fizetik, hogy oldja meg a problemat. Ez egy kemeny szakma." - Chain-Q

overlay nem se kiclickelni se kitabolni nem lehet belole le van tiltva minden csak ok/cancel-t tudsz nyomni

voltak itt paran akik arra panaszkodtak h ebbol ugye tobb jon fel, nah most ok mar biztosan nem hasznaltak

--
.

"Úgy, hogy még egyet rádob..."

Ember, láttál te már UAC-t? UAC ablak fölé hogy tud egy másik ablakot dobni egy program? Amikor XP-n CTRL+ALT+DEL-t nyomtál és bejött a Windows rendszerbiztonság, oda se tudott semmi bedobni új ablakot, eleve elrejtett mindent. Ugyanezt csinálja az UAC, csak itt elszűrkíti a háttérben lévő dolgokat és afölé rakja ki az UAC-s ablakot.

----------------
Lvl86 Troll

mar eztis elloptak a bubuntusok :(

Nem vagyok benne biztos, hogy vistában volt ez előbb. A Gnome-ban régóta ilyen a gksudo, és XGL/Compiz-t is használtam már 2006 február-március környékén. Vista mikor is jelent meg?

A megjelenésekor került bele, nem a fejlesztésekor? :)

Jogos, de ez ugye a gnome/compizra is igaz :)

de ott kevesbe szigoruan veszik a QA-t

--
When in doubt, use brute force.

A "ki-kiről másolt" kérdés szempontjából ez eléggé irreleváns.

Ne gonoszkodj a gyerekekkel!
Tudom, hogy tudod, hogy ez legalább 6-8 éves fícsör a Linux-okban, még ha nem is mindig gksudo-nak hívták. (A RedHat 9-ben már biztosan volt "userhelper", de talán már a 7.3-ban is.)

:)

Van valami értelme az ilyen hozzászólásoknak? Vagy ez olyasmi, hogy a "window$o$ok ellopták a tabbed browsing-ot"?

--
trey @ gépház

Dehogy lopták el, azt is ők találták ki, csak olyan szigorú a QA, hogy évekig nem mehetett publicba, csak miután rákerült a kódra a "QC Passed" matrica.

Félreérthetően mondtam. Még egy UAC-ot.
Egyébként nem, még nem volt hozzá szerencsém. Viszont az általam említett kínokat már én is megtapasztaltam, sőt mások véleményét is ismerem.
Nyomtam már, nem nagyon zavarta. Volt, hogy spontán 100%-os terhelést csinált, mielőtt bármi ablakot is láttam volna. A fókuszát meg el lehetett lopni.
--
Fight / For The Freedom / Fighting With Steel

A fókuszát meg el lehetett lopni.

Hogyan?

Zsákkal.
--
Fight / For The Freedom / Fighting With Steel

ketzsakkal

nindzsákkal

reset gombbal

ahahhaa

kar hogy kamuzol :)

--
.

Hm. Nem.
--
Fight / For The Freedom / Fighting With Steel

de :)

mondjuk egy screenshottal ahogy a notepad felig kitakarja az UAC ablakot sokat segitenel az ugyon

--
.

Szerintem ti a fél threadon keresztül elbeszéltek egymás mellett. Én úgy értelmeztem, hogy egy másik UAC kerül elé, és mivel ugyanolyanok, teljesen el is takarja. De persze tombenko majd kijavít, ha nem így gondolta.

--
Debian - The "What?!" starts not!
http://nyizsa.uni.cc

Nem javítalak ki, mert eredetileg tényleg erre gondoltam. Közben kicsit elkanyarodott a téma. :)
--
Fight / For The Freedom / Fighting With Steel

+1
A UAC ablak nem is azon a szinten jelenik meg, ahol a tobbi alkalmazas, csak grafikailag van rateve a kepernyodre, hogy lasd is. Igencsak furi lenne, ha ellopnad a fokuszat.
--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Feltehetően az eredeti hozzászóló a pl. exe-k futtatásánál (pl. Unknown Publisher) felbukkanó "Open File - Security Warning" ablakot keverte az UAC figyelmeztetéssel. Én legalábbis erre tippelek.

--
trey @ gépház

Igen, ez konnyen lehetseges.
--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

l.: eggyel fentebb.
--
Fight / For The Freedom / Fighting With Steel

Revideálnom kell álláspontomat: Tényleg de. :(
Ma sikerült egy windowst indítanom.
--
Fight / For The Freedom / Fighting With Steel

no problem :)

--
.

Hgy nem lehet észrevenni az UAC-ot? Ha simán folytatod a tevékenységed, akkor nagyon szépen tálcára vágja magát, és ha nem figyelsz, úgy marad.

?

ezt igy hogy
--
.

nagyon szépen tálcára vágja magát, és ha nem figyelsz, úgy marad

Pontosabban tálcára vágja magát és ott villog. Hogy hogyan lehet nem figyelni rá azt nem tudom, de az biztos, hogy ha ezt nem csinálná, akkor azért menne a nyafogás, hogy milyen rohadt erőszakos ez az UAC és miért nem lehet közben mást csinálni... :)

A fókusz ettől függetlenül ha aktívvá válik, akkor nem vehető el tőle.

De nem tudom mit kell rugózni ezen a szaron, én talán ha hetente egyszer találkozok UAC ablakkal, akkor is azért, mert a defaulthoz képest szénné van korlátozva a rendszerem.

jode te troll vagyoknak meg az UAC se mer ugatni :(
--
.

Na ez kellett nekem az éjjeli jó hangulathoz :D

----------------
Lvl86 Troll

Én már jóideje Vistát használok, és sosem értettem, miért kapcsolják ki az UAC-t a felhasználók. Egyáltalán nincs sok idegesítő felugráló ablak. Nyilván telepítéskor több van, de utána, a néha megjelenő Windows frissítéseket leszámítva akár hetekig is ellehet a felhasználó popup nélkül. Akkor meg miért is olyan nehéz néha rányomni arra, hogy "Folytatás"?
Persze vannak szélsőséges esetek, például, ha két lejátszóprogramod van, amik egymástól veszik el a kiterjesztés-társításokat, akkor akár naponta többször is rá kellhet nyomni az UAC ablakára, de ez megint nem az oprendszer, hanem a felhasználó hibája.

Nálam napi 5-7 alkalommal ugrik fel. De még mindig jobb, mintha engedélyezés nélkül garázdálkodhatnának adminisztrátor jogokkal a programok...

Nálam napi 5-7 alkalommal ugrik fel.

Milyen programoknál, műveleteknél?

nekem azért program (nem win) update hamarabb szokott jönni, mint "hetek"; vagy ha épp be akarok tolni valamit inetpub-ba; vagy valamit állítgatni kell (nem, nem szokott a kezdeti beállítás mindig jó lenni); stb.

szerintem nem az én "hibám", hogy használni akarom a rendszert. de mielőtt rápörögtök, nem mondtam, hogy bajom van az UAC-vel. de azért azt se állítsuk már, hogy dehátsosejelenikmeg.

ha épp be akarok tolni valamit inetpub-ba

Gondoltál már rá, hogy mi lenne, ha adnál magadnak írási jogot arra a könyvtárra? :)

ahhaa baz nem hiszem el h valaki ennyire sotet :))

linuxon is a /sbin -be menteget tibike userrel

--
.

:)

sosem jelenik meg

Aki már használt Vista-n, mondjuk az Abevjava-t, azt tudja, hogy miért érdemes kikapcsolni az UAC-t. Egyébként pedig simán ellehet vele élni. Persze ha valaki előtte "beedződött" linux-on, ahol nem root-ként teszünk-veszünk.

valoszinuleg a magyar adobevallas miatt fogom az UAC-t kikapcsolni

hahahah

mernem a trojan.exe miatt? te telleg hasznalj inkabb linuxot
--
.

Megoldás az Abevjava-ra?

gondolom megnezni a googleban neked mar magas.

There are two ways (other than disabling it) by which you can bypass eh UAC prompt for particular applications:

1. Task Scheduler
2. Elevate Me

The first method - Task Scheduler, is vcery useful incase you have scheduled a particular application to run on start-up and it needs the highest privileges. To do this:

Control Panel -> System Maintenance -> Administrative Tools -> Schedule Tasks

The same can be accessed from:

Start -> Administrative Tools -> Task Scheduler

From the scheduler, you need to Create a New Task. The wizard can be accessed from:

Task Bar -> Action (next to File) -> Create Task

Once the wizard opens, give suitable Name & Description. make sure that you check the ‘Run with highest privileges’ option.

This will launch the program (Limewire, in this case) at logon with highest privileges.

Another way to achieve the same is by using the utility called - Elevate Me. It uses the same method but instead of creating application actions to launch on start-up, it creates itself as a task to run on start-up and parses any application that you want should run with highest privileges.

--
.

Ezt magyarázd el egy egyszerű felhasználónak. Majd azt is, hogy neki miért kell ezzel foglalkozni, mert neki nem ez a dolga. Meg egyébként másnapra elfelejti, hogy mit is kell csinálni.

Most mit vagy úgy oda? Ez igazán felhasználóbarát megoldás, és fokozza a Windows Vista felhasználói élményt ;-)

----------

r=1 vagyok, de ugatok...

Ez tipikusan az az eset, amikor megmondják, hogy egyáltalán nem kell érteni az üzemeltetéséhez, megy ez mint az ágybaszuttyantás, aztán jönnek az ilyen alkalmazások, meg a megmondás, hogy hüje aki nem ért hozzá. Éééérteeeem? :)

Na ja. Csak az a baj, hogy a fennt vázolt megoldás, nem megoldás, mert a felhasználói programokat nem ütemezett feladatként kellene futtatni. Marad az uac kikapcsolása.

neked igen

az ertelmes embereknek marad az hogy allkalmaznak egy rendszergazdat
--
.

Rendszergazdát minden háztartásba!

ha már van rendszergazda, akkor windows sem kell, mehet a gépre valami operációs rendszer ;)

Tipikusan az az eset, amikor a kis pénzügyes Gizike pár embernek megcsinálná a bevallását, és az abevjava-t még csak letölti, mer az egy kattintás, és mivel magabiztosan tudja h a windóz stupido bitch edition használatához nem kell rendszergazdai gyorstalpaló -- mint ahogy pár magabiztos ember szerint a "Bubuntu"hoz sokkalinkábban -- szóval csak felpakolná, és minden fél kattintásra jut pár UAC, akkor minden bizonnyal az lenne erre a megfelelő válasz -- ezerrel szembemenve a ms marketingkommunikációjával -- hogy aszod, Gizi, fizess a testeddel egy rendszergazdának, ha használni akarod a gépedet normálisan, vagy talpaljál végig egy hardcore MCP stuffot.

gyenge fud

Látom lejött a lényeg

A Scheduled Task az fatengelyes megoldás. Az Application Compatibility Toolkit egy professzionális és ingyenes eszköz alkalmazáskompatibilitási ügyek kezelésére.
Ilyen problémákat okozhat az UAC is, erre jó az ACT részét képező UAC Compatibility Evaluator.
Részletesen olvashattok a témáról itt: Application Compatibility and User Account Control.

Üdv,
mrceeka

te nem erted a hupos hozzaallast, az UAC-t kiko kapcsuni mer' rossz!
--
.

Te most vagy kollektíve hüjének nézel itt mindenkit, akkor nemtom mit is keresel errefelé
Vagy besértődtél azon, hogy hibát találtak az UAC-probléma aktuális megoldásában, akkor viszont nemtom mit is keresel errefelé
Vagy nem érted, hogy mi a probléma van az UAC-al, sakkor meg azt nemtom mit is keresel errefelé

szerintem egyutt a harom
--
.

felraktam vistára az abevjavat (előtte soha nem volta rajta), letöltöttem vele egy űrlapot (0853), kitöltöttem pár lapot, leellenőriztettem és fájlba nyomtattam. egyetlen uac úr nem jött.

felraktam win7re az abevjavat (előtte soha nem volta rajta), letöltöttem vele egy űrlapot (0853), kitöltöttem pár lapot, leellenőriztettem és fájlba nyomtattam. egyetlen uac úr nem jött.

gondolom ez betudható a Haladó Közösségi Gondolkodásban való hiányosságomnak, igyekeznem kell kicsit

szinten

nyoma sincs az UACnak abevjava-val

--
.

Megoldás az Abevjava-ra?

a megoldas az hogy nem hazudozol

--
.

Azt szeretném megtudni,hogyan tudnám telepíteni az Abevjava alkalmazást Windows 7-re.Amikor elinditom a javas alkalmazást egyből figyelmeztett engem,hogy: A program jogosultság hiányában a abevjavapath.cfg állományt a C:\windows könyvtár helye a C:\users\username\abevjava könyvtárban hozza létre.Késöbbi frissitétesek ezen felhasználóval végezzen. Az üzenet elolvasása utána elkezdem a telepitést,s csak a C:\.....\VirtualStore mappába engedi telepiteni a Program Filesba nem..ha a C:\abevjava könyvtárba teléepitem igy felmegy,de elinditani nem tudom a programot,s nem értem miért.
A kérdésem az lenne,hogyan tudnám ezt a programot megfelelően telepíteni és futtatni.

Válaszotokat előre is köszönöm.

üdv L.

:DDDDDDDDDDDDDDDDDD

sirok bazmeg

SZAR A WINDOWS MER NEM LEHET TIBIKE USERREL IRNI A WINDOWS FOLDERT

--
.

Engem az fogott meg, hogy az APEH által fizetett fejlesztőcég ilyen kódot ad ki a kezéből. Biztos jól keresnek.

Node örülök, hogy ennyire jót mulatsz a dolgon. Az XP végnapjai felé közeledve vicces azt látni, ahogy a windóz tervezésekor elővesznek olyan eszközöket, amik nyilván fejtörést okoznak a korábbi kiadásokhoz edződött embereknek, és a vista megjelenése óta nyilvános közröhej tárgya a 15+ éve működő és bevett fejlesztői és felhasználói viselkedés. Nem mintha a változás nem lenne szükséges, de ha ez mással fordult volna elő, akkor aszondanák, hogy szemen köpte egykori önmagát, legalábbis ami a stílust illeti.

mi a kérdés, mert hülye fantazmagóriákkal már tele a polc

A kérdés az, hogy hogyan oldja meg a ms azt a problémát, amit a korábbi gyakorlatából eredő nem megfelelő felhasználói és fejlesztői viselkedés (és annak nehézkes levetkőzése) okoz.
Esszékérdés, megoldási idő 3 év, kapható pontszám 85+%os részesedés, részmegoldást eddig is elfogadtak.

"fejlesztőknél" (ha már az évek során nem sikerült elsajátítani) oktatással, ismeretterjesztéssel

felhasználók esetén nem tudom mire gondolsz

a vista megjelenése óta nyilvános közröhej tárgya a 15+ éve működő és bevett fejlesztői és felhasználói viselkedés

s/a vista/az NT/

HTH

Releváns? Max céges felhasználásnál volt érdemi különbség, de csak a felhasználói gyakorlatban

Tehát a fentebbi hozzászólásoddal együtt értelmezve, lényegében a Microsoftot hibáztatod amiatt, mert egyes fejlesztők nem olvasták el az MS ajánlásait.

Nem. A fejlesztőt azért, mert bár jó pénzért dolgozik, mégis beleszarik egy kvázi elterjedt platformba. A felhasználót azért, mert képes bedőlni az OS marketingjének (mindenki ért hozzá), illetve azért, mert képtelen elsajátítani annak az eszköznek a kezelését akár minimális szinten is, amit nem csikkzsebből fizetett meg. A ms-t azért, mert 15 év kellett nekik h eddig eljussanak, és ezalatt az idő alatt elhitették az emberekkel, hogy nem kell érteni hozzá, mert annyira intuitív, hogy egy amőba is tudja kezelni, stb...

Ja és az ms-t azért, mert nem képes úrrá leni ezen az tragikomikus helyzeten

>> h eddig eljussanak
meddig?

mennyi esz kell ahhoz hogy ugy fejlessz egy alkalmazast hogy system folderbe akarjon irogatni?
--
.

Kérdezd azokat a "szoftver""fejlesztő""cégeket", akik azt a nagy windózos "termést" "produkálták", ami miatt a platform ennyire elterjedt, és nélkülözhetetlenné vált.

A kedvencem a comdlg32.dll cseréje

hogyhogy a comdlg32 cseréje

Lecserélte az installer, bátran

Jobb klikk ->run as administrator. Ja, neked nincs diplomad...
--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

te telleg ennyire tufa vagy h random letoltott appot azert futtatsz adminnal h tudjon irni a win konyvtarba?

ez igy velvet userknek is leesne h nem oke megis mi a retkes faszt keres egy konfiguracios file a c:\windows -ban????

--
.

1) Nincs sok lehetoseg, az APEH cuccat fel kell rakni, ha nem akarsz nagyon sokaig nagyon sokat fizetni
2) A programozok hulyesege ellen en sokat tenni nem tudok
3) A reinstall ajtaja meg mindig nyitva all, kulonben meg lehet virtualgepezni. Sot, az AbevJava Linuxon is fut, szal nem kotelezo windowssal futtatni

--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

abevet az emulált xpben használni nem lenne jobb?

csak kérdezem.


No rainbow, no sugar

>> az APEH cuccat fel kell rakni

és ami ehhez egészen bizonyosan nem kell, az rendszergazdai jogosultság és systemrootba szarás

UGORJUNK NEKI MEGEGYSZER:

______NEM___________SZUKSEGES___________AZ_________ABEVJAVA_______APPLIKACIOT
_____ADMINNAL____FUTTATNI______MERT_TAMOGATJA____A_USER__FOLDERBE____MENTEST

___NEM____KELL___UAC___ABLAKOT___SE____NYOMOKODNI_HOZZA

HATHA IGY

C:\Users\TIBIKE\Documents\abevjav\abevjava_start.bat

--
.

Üresen hagyott helyek kitöltendők

Esélytelen.
A Google Chrome is hasonlóképpen működik (Local Settingsbe búvik), pedig a Google nagyon jócég.

Vaalahogy az alairas smiley-val egyutt kimaradt az eletembol. Eleg pocsek betukeszlettel neztem, ugyhogy most ujraolvasom a tobbi topicot is.
--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Kérlek, bánj kedvesebben és nagyobb tisztelettel velünk, a HUP látogatóival! Előre is köszönöm!

:)

amikor én vistáztam, nem ugráltak fel az UAC ablakok sűrűn, nem tudom mi a probléma :)
---
/* No comment */
Ketchup elementál megidézése a sajt síkra

A calc.exe-nek és a notepad.exe-nek mi a fenéért kell root jog?


"A fejlesztot azert fizetik, hogy oldja meg a problemat. Ez egy kemeny szakma." - Chain-Q

Milyen jog? Windowson nincs olyan, hogy root/root jog.

----------------
Lvl86 Troll

Úgy értettem, hogy a calc.exe-t miért kellett whitelist-elni? Egyáltalán milyen esetben dobná fel az UAC ablakot?


"A fejlesztot azert fizetik, hogy oldja meg a problemat. Ez egy kemeny szakma." - Chain-Q

szorozni csak privilégiummal lehet. :)

...szerintem az az osztás... :)
...az destruktív művelet. :D

Ja, mert a kivonas konstruktiv. :-)
--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

.

Attól függ, hogy mit és miből vonunk ki. :)

Azért whitelist a calc.exe hogy nehogy az OpenOffice.org calc.exe-je induljon el ha begépeled ;-)

--
Elméletileg nincs különbség elmélet és gyakorlat között. Gyakorlatilag van.

Haza telefonalsahoz kell a magasabb jog :)


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

lehet, hogy azon teszteltek es ugymaradt :D

--
When in doubt, use brute force.

Csak tipp: a calc.exe-be maszott olyan, hogy unit/currency converter. Talan ennek a metaadatait frissiti kulon a calc.exe maganak.
--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

RENDSZERGAZDAKÉNT????

--
Debian - The "What?!" starts not!
http://nyizsa.uni.cc

a megoldás, ingyen adom:

* a normál indítás mindig sima felhasználóval lépjen be és ekkor az alkalmazások 99%-át egyáltalán ne lehessen rendszergazda joggal indítani.

* A bejelentkezett sima felhasználónak legyen lehetősége arra, hogy 1x, azaz 1x kattintson, hogy ő most rendszergazda munkafolyamatot indít és akár a leállításig abban fog dolgozni tudomásul véve annak kockázatát.

Szervác Attila - http://321.hu/sas

Magyarul marad a régi megoldás, hogy van egy user, meg van egy "külön" rendszergazda felhasználó...
--
Discover It - Have a lot of fun!

Régebben használtam Vistát, és teljesen jól működik ezzel a módszerrel. Csak az UAC ablak emlékeim szerint bekéri egy admin felhasználó nevét és jelszavát. Összességében jobban működött, mint az XP-n a RunAs.

"Összességében jobban működött, mint az XP-n a RunAs."

Igen, itthon XP-zek, ilyen szempontból időnként hiányzik az UAC.

----------------
Lvl86 Troll

Nem kell ehhez még trükközni sem...
Ha már notepad root jogokkal fut, ofkorz azt a konfigot/ini fájl írod át, amelyiket akarod. Vagy simán elmentheted a saját kódodat pl. ntoskrnl32.exe-be...
--
Discover It - Have a lot of fun!

calc.exe + high integrity == security by design

Sziasztok,

lehet, hogy tévedek, de mintha néhányan nem látnátok pontosan mire való az UAC.
Működése kétféle:
-Ha standard user futtat olyat, amihez magasabb jog kell, kér egy felhasználói hitelesítést egy másik felhasználóra.
-Ha rendszergazda futtat olyat, amihez magasabb jog kell, megerősítést kér.
Ez utóbbi működést ismerik itt a legtöbben, valószínűleg, mert gépüket rendszergazdaként használják.
Számukra az UAC újdonsága az, hogy rendszergazdaként sincsenek meg a rendszergazdai jogokhoz szükséges biztonsági tokenek, csak megerősítés után kaphatók meg.
Ugyanakkor fontos tudni, hogy az UAC nem képez biztonsági határt a rendszerben, így az ezt áthágó megoldások nem jelentenek biztonsági sebezhetőséget.
Akkor mire jó ez az egész? E nélkül továbbra is minden kódot rendszergazdaként futtatna a felhasználók jó része, aminél még mindig jobb az UAC - esetlegesen kijátszható - védelme.
A kialakításnál a használhatóság és a biztonság között kellett egyensúlyt találni.
Ahol ez a megoldás a biztonság szempontjából kevés, még mindig lehetőség van külön userrel dolgozni, más userrel adminisztrálni és egy harmadikkal nem biztonságos oldalakat böngészni.

Mindezt sokkal részletesebben megtaláljátok Mark Russinovich blogjában és a cikk külső hivatkozásaiban: http://blogs.technet.com/markrussinovich/archive/2007/02/12/638372.aspx
Ha elolvassátok, megtaláljátok benne, hogy "For instance, having your elevated AAM processes run in the same account as your other processes gives you the convenience of allowing your elevated processes access to your account’s code and data, but at the same time allows your non-elevated processes to modify that same code and data to potentially cause an elevated process to load arbitrary code."

Üdv,
mrceeka

"E nélkül továbbra is minden kódot rendszergazdaként futtatna a felhasználók jó része, aminél még mindig jobb az UAC - esetlegesen kijátszható - védelme."

Mármint hogy ezentúl minden malware első dolga az lesz, hogy betámadja az explorer.exe-t (opcionálisan más whitelistelt alkalmazást) és már futhat is a kódja jóváhagyás nélkül csendben? És ezentúl csak a legitim !microsoft whitelistes alkalmazások fogják molesztálni a felhasználót?

Vagy én értek félre valamit? :)

Akkor inkább tényleg feljebb kell állítani az UAC szintjét.

--
trey @ gépház

a felhasználókat eddig sem molesztálta semmi

Értsd ahogy kell. A fent leírtban van valami logikai hiba esetleg?

--
trey @ gépház

ne stresszeld magad ezzel. ubuntu desktop powa

fujci windows, uac meg egyeb szarok
--
.

Ferike, hivatásszerűen foglalkozom Windows-zal, így érdekel. Nem mondtam, hogy fujci, azt mondtam, hogy ha ez így van, akkor ésszerű felvetés az UAC level-t emelni. Szerinted nem az?

--
trey @ gépház

nekem nem volt problemam azzal h UAC van sem vistaban sem windows7 ben

azzal sincsen problemam h egyesek nem ertik mire valo

azzal sincsen problemam h nehanyak ki akarjak kapcsolni

ha nem vagy megelegedve a by default beallitassal akkor emeld

szerintem
--
.

Akármilyen szintre emeled az UAC-t, nem képez biztonsági határt.
Előnye annyi, hogy
-az alkalmazások íróit készteti eddigi kódolási szokásaik megváltoztatására
-része egy defense-in-depth megközelítésű védekezésnek
-a rendszergazda számára tudatosítja, mikor végez módosításokat a rendszeren.

Nézd meg, ahogy Mark Russinovich a Windows Security Boundaries című remek előadásában demonstrálja az UAC megkerülhetőségét Vistán: http://www.microsoft.com/uk/technet/spotlight/sessionh.aspx?videoid=993
54. perc táján van az UAC-s rész.

Üdv,
mrceeka

"Akármilyen szintre emeled az UAC-t, nem képez biztonsági határt."

Azonban a videóban bemutatott exploitálási technika ellen véd. Legalábbis a videó szerint.

"-a rendszergazda számára tudatosítja, mikor végez módosításokat a rendszeren."

Illetve, hát ez gondolom még a Vista-ra vontakozik, mert a 7-ben az UAC "Prompt for consent for non-Windows binaries" (default) beállítás mellett már szinte semmiért sem szól. Ehelyett a "Prompt for consent" az, ami Windows Vista-szerű viselkedést produkál.

A többire:

Magyarul képes arra nem megfelelően konfigurálva, hogy fals biztonságérzetet adjon, hiszen olyan dolgok is át tudnak menni rajta, amiről a felhasználó feltételezi, hogy figyelmeztetés nélkül nem fog?

--
trey @ gépház

>>Azonban a videóban bemutatott exploitálási technika ellen véd. Legalábbis a videó szerint.
Az ellen véd, más ellen meg nem feltétlen.

>>Illetve, hát ez gondolom még a Vista-ra vontakozik, mert a 7-ben az UAC "Prompt for consent for non-Windows binaries" (default) beállítás mellett már szinte semmiért sem szól. Ehelyett a "Prompt for consent" az, ami Windows Vista-szerű viselkedést produkál.
Igen, Vistáról írtam.

>>Magyarul képes arra nem megfelelően konfigurálva, hogy fals biztonságérzetet adjon, hiszen olyan dolgok is át tudnak menni rajta, amiről a felhasználó feltételezi, hogy figyelmeztetés nélkül nem fog?
Pontosan, hiszen nem megakadályozza ezen változásokat (=nem biztonsági határ), hanem nehezíti. Szerintem egy átlag, otthoni felhasználót még így is inkább véd ez a megoldás, semmint megtéveszt.

Üdv,
mrceeka

"nem megfelelően konfigurálva, hogy fals biztonságérzetet adjon"

nem megfelelően konfigurálva szerintem, BÁRMI_BÁRHOL képes arra, hogy fals biztonságérzetet adjon


No rainbow, no sugar

kiraly a video koszi. jo eloado az urge

A hülye usertől csak az egyujjas kesztyűben hátrabilincselt kéz védi meg a gépet. Nem csodálnám, ha egyszer tényleg fellázadnának...