Преамбула

У Вас возникла необходимость дать Ограниченным Пользователям возможность запускать некоторые программы с правами Администратора? Но при этом Вам не хочется давать пользователям пароль Администратора? Вы не одиноки в этом мире! Это типичная задача администрирования защищенных систем. И не надейтесь на Большого Билла, стандартная утилита runas Вам тут не поможет. Вам поможет AdmiLink.


Содержание


Кратко о программе AdmiLink

AdmiLink - утилита, при помощи которой Администратор может создать ярлык, дающий возможность пользователям с ограниченными правами запускать конкретную (без возможности подмены!) программу с правами Администратора (или любого другого пользователя) без (интерактивного) ввода пароля.

Типичным применением программы AdmiLink является администрирование защищенных систем, в которых пользователь работает в основном под своей ограниченной учетной записью, и только отдельные, строго ограниченные Администратором функции запускает под Администратором, не зная его пароля и не имея возможности запускать другие, несанкционированные программы.

Другим типичным примером является использование AdmiLink для запуска потенциально опасных программ, например, Web браузера, с пониженными правами без ввода пароля. Так, чтобы избежать заражения машины вирусом, можно запускать Web браузер под учетной записью ограниченного пользователя, что резко снижает вероятность повреждения системы. Чтобы не вводить каждый раз пароль ограниченного пользователя, на Рабочем Столе можно сделать ярлык для запуска Web браузера под ограниченным пользователем.

Программа AdmiLink также содержит полезные дополнительные функции, нужные Администратору, такие как:

В общем, AdmiLink - хороший помощник Администратора, содержащий ряд уникальных функций, которые не так легко найти, тем более в одной, и притом свободной, программе.

Содержание


Версии программы Admilink

Содержание


Инсталляция Admilink

Для инсталляции AdmiLink загрузите и запустите инсталлятор
InstallAdmiLink.Exe.
Инсталляция должна запускаться под Администратором, иначе корректная работа программы в дальнейшем не гарантируется.

В процессе инсталляции надо выбрать язык инсталлятора, а также указать каталог инсталляции (рекомендуется использовать значения по умолчанию).

Для автоматической инсталляции "молча" (например, в командном файле или в составе другого пакета) используйте вызов типа такого:

  InstallAdmiLink.Exe /S                                - инсталляция молча
  InstallAdmiLink.Exe /S /D=C:\Program Files\AdmiLink   - и с указанием каталога
  

Запускать программу можно будет под всеми пользователями.
Однако при запуске AdmiLink из-под ограниченного пользователя ряд функций будет ограничен.
Например, создание ярлыков для всех пользователей будет запрещено. Функции AdmiGuard также будут недоступны.

Удаление программы AdmiLink снова потребует прав Администратора, так как все файлы при инсталляции были созданы с правами Администратора.

Содержание


Copyright © и все такое

Программа AdmiLink распространяется СВОБОДНО при условии некоммерческого использования.
Ее (пере)продажа или поставка в качестве компонента коммерческих продуктов без согласования с автором запрещена.

В случае некоммерческого использования программа AdmiLink поставляется "как есть", без каких-либо гарантий, явных или предполагаемых. Вы можете использовать ее на свой страх и риск.

В случае коммерческого использования программы AdmiLink, в том числе при ее включении в состав других коммерческих продуктов, необходимо письменное разрешение Автора. Условия распространения и гарантии в этом случае определяются договором с Заказчиком.

Автор программы: Алексей Курякин, 2005..2009, Саров, Россия, kouriakine@mail.ru.

Содержание


Зачем нужен AdmiLink

Пример № 1 измерительная система

Есть измерительная установка, работающая с потенциально опасными объектами. Измерительная программа требует прав Администратора, так как ей нужен доступ к аппаратуре. Давать пользователям права Администратора нельзя, чтобы пользователи не могли сломать систему или чтобы пользователи не могли запускать посторонние программы, могущие нарушить работу установки. Конечно, запуск измерительной программы возможен через меню "Запустить от имени...", но при этом Администратор должен "ручками" вводить пароль. Это означает, что нормальная эксплуатация установки становится невозможной - ведь Администратор (как ни странно :) тоже человек и он не может постоянно присутствовать рядом с установкой.
Значит, нужно иметь утилиту для запуска конкретной программы от имени Администратора, но без интерактивного ввода пароля.

Пример № 2 дети, геймеры и ламеры

Есть ребенок (например, ваш). Он хочет играть в крутую игру, которая работает только под Администратором. А вам надоело периодически переставлять сломанную систему после того, как вы по доброте душевной допустили его в систему с правами Администратора. Конечно, запуск игры возможен через меню "Запустить от имени...", но при этом вам нужно "ручками" вводить пароль, что после десятого раза изрядно "достает".
Значит, опять нужно иметь утилиту для запуска конкретной программы от имени Администратора, но без интерактивного ввода пароля.

Но где взять такую утилиту и главное как это сделать, не нарушая системы защиты Windows?

Вот здесь-то вам и пригодится AdmiLink

Пример № 3 безопасный Web серфинг

Программа AdmiLink - хороший помощник для безопасной работы в сети Internet. Не секрет, что Web серфинг, то есть интенсивная работа с Web браузером в сети Интернет - довольно опасный "вид спорта". Известно, что наиболее частой причиной заражения компьютера вирусами является загрузка из сети и выполнение зараженных вирусами программ и скриптов. Особую опасность при этом представляют элементы ActiveX, а также Java скрипты, так как они могут выполнять программный код на стороне клиента, часто даже даже без санкции пользователя. В моей практике практически все случаи заражения машин происходили по вине Internet Explorer, в котором ActiveX и Java по умолчанию разрешены, а запрещать их все естественно забывают. Я был вынужден уйти на Mozilla FireFox, который защищен намного лучше, чего и всем рекомендую, но речь сейчас не об этом. Одной из "степеней защиты" при Web серфинге является запуск Web браузера в "карантинной зоне", то есть под ограниченным пользователем. Я даже использую специально созданного ограниченного пользователя, у которого помимо обычных ограничений запрещен также запуск командной строки, редактора реестра, диспетчера задач, ну и так далее.

Для запуска Web браузера и других программ, для которых желательна работа в "карантинной зоне" со специально ограниченными правами, при помощи AdmiLink создаются ярлыки, чтобы не вводить пароль при каждом запуске интересующих программ. Практика показала, что безопасность работы в сети при этом резко повышается, так как даже при загрузке вирусов у них не хватает прав для того, чтобы серьезно повредить систему, а последствия заражения устранять становится намного легче.

Пример № 4 безопасная работа и администрирование

Не думайте, что AdmiLink - удел параноиков, который нужен только для борьбы доблестных джедаев Администраторов с тупыми клонами Юзерами и коварными ситхами Хакерами. На самом деле AdmiLink будет полезен и самому Администратору, и продвинутым пользователям, которые сами себе Администраторы. Работая много лет в CERN (Центрально-Европейский центр ядерных исследований, Женева, Швейцария), где сильно развиты правильные традиции сообщества Unix, я увидел, что никто там (под Unix) обычно не работает с правами Администратора, даже сами Администраторы. Хочется администрировать - открывай консоль root или используй команду su, и делай что надо. Если пароль не хочется вводить, сделай настройки sudo - и пользуйся на здоровье. Под Windows привычка к безопасной работе стала вырабатываться много позже и (еще) не стала всеобщей. А жаль.

Вот пример, довольно близкий к реальности. Имеется сетевой архив для хранения всякой всячины, например, дистрибутивов: \\archive\distributions, который открыт для всех на чтение и только сетевому Администратору под пользователем root на запись. Сетевой Администратор, который администрирует архив, работает на своей машине (другой) под (ограниченным) пользователем bilbo, к примеру, и не имеет прав на запись в каталоге архивных дистрибутивов. Это значит, что Администратор не сможет случайно (а как Вы знаете людям свойственно ошибаться) удалить ценный дистрибутив, выполняя обычную работу. Чтобы выполнить удаление или запись дистрибутива в архив, надо зайти в систему под именем root, то есть предпринять некоторое осознанное действие, после чего можно будет делать все что нужно. Такой (правильный) подход не всеми используется, поскольку (некоторые) люди по природе своей ленивы и необходимость многократного ввода пароля их напрягает.

При помощи AdmiLink сетевой Администратор может сделать на своем Рабочем Столе или где-то еще ярлык для запуска любимого файлового менеджера, например, Total Commander, под пользователем root. Поскольку AdmiLink позволяет избежать ввода пароля, можно не держать файловый менеджер, запущенный под root, постоянно открытым, а запускать его всякий раз, когда требуется делать запись в архив дистрибутивов, и сразу закрывать его, когда он больше не нужен. Получается довольно сильное облегчение работы, при этом без потери безопасности. Разумеется, другие пользователи доступа на машину Администратора не имеют, иначе создавать ярлыки для Total Commander было бы опасно.

Вообще имеет смысл создавать несколько ярлыков (того же Total Commander, например) для выполнения разного рода администраторских работ. Можно администрировать несколько доменов, каждый под своим пользователем. Можно создавать несколько пользователей, каждый из которых имеет права для выполнение какой-то группы критических операций. Ярлыки AdmiLink при этом помогут быстро запускать нужные утилиты под нужными пользователями, что существенно облегчит жизнь Администратора.

Содержание


Как работает AdmiLink

В состав пакета входит две программы:
AdmiRun и AdmiLink.

AdmiRun - простая консольная задачка, которая умеет только одно - запускать другие программы от имени Администратора (или любого другого пользователя). При инсталляции AdmiRun копируется в каталог Windows, чтобы быть доступной в любом каталоге. AdmiRun может работать как в пакетном режиме (в командных файлах), так и для интерактивного запуска программ (через ярлык на Рабочем столе). Формат вызова можно получить, набрав AdmiRun /?. Разумеется, для запуска программ от имени Администратора нужно знать пароль. С другой стороны, из соображений безопасности открыто передавать пароль нельзя, иначе вся система защиты лишается смысла. Выход состоит в передаче зашифрованной учетной записи (учетная запись = пользователь + домен + пароль). Учетную запись AdmiRun получает демонстративно открыто, через командную строку, однако понять из нее ничего нельзя - учетная запись передается как зашифрованнный ключ. Ключ привязан к конкретному исполняемому файлу, без этого файла AdmiRun просто не сможет расшифровать учетную запись. Поэтому если пользователь попробует запустить другую программу с таким же ключем, он потерпит неудачу. Более того, для того, чтобы сделать жизнь хакеров повеселее, ключи генерируются с использованием случайных чисел и никогда не повторяются.

Но как сгенерировать упомянутый зашифрованный ключ для запуска интересующей программы? Как Вы (правильно) догадались, это делается при помощи утилиты AdmiLink.

AdmiLink - простая интерактивная задачка, которая умеет генерировать правильно построенные ярлыки, которые позволяют запускать другие программы от имени Администратора (или любого другого пользователя). AdmiLink шифрует учетную запись Администратора и строит ярлык для вызова AdmiRun, который получает в качестве параметров зашифрованную учетную запись, имя исполняемой программы и прочие параметры командной строки.

Таким образом, Администратор при помощи AdmiLink создает ярлык, который дает возможность пользователям с ограниченными правами запускать конкретную (без возможности подмены) программу с правами Администратора (или любого другого пользователя) без ввода пароля.

А это как раз то, что надо.

Содержание


Как защищен AdmiLink

Любой уважающий себя Администратор не станет использовать сомнительные с точки зрения защиты утилиты. Что можно сказать в пользу AdmiLink?
  1. Ключ (64 байт), хотя и передается открыто, зашифрован с высокой степенью защиты. Разумеется, алгоритм шифрования является "секретом фирмы", но могу сказать, что применяются вполне современные алгоритмы типа GOST,RC2,RC4,RC5,RC6,Blowfish и т.д. 2^512 - это все-таки довольно большое число... Поэтому не думаю, что ключ может быть так уж легко взломан. Так что пользователь едва ли сможет узнать пароль Администратора по ключу.
  2. AdmiLink генерирует неповторяющиеся ключи, что сильно затрудняет попытку взлома алгоритма шифрования.
  3. Ключ привязан к содержимому конкретного исполняемого файла и не может использоваться для запуска какого-либо другого файла. Поэтому пользователь не сможет получить права Администратора подменой исполняемого файла.
  4. Ключ при желании может быть привязан также к командной строке исполняемого файла, чтобы многофункциональные программы выполняли только то, что положено.
  5. Ключ при желании может быть привязан также к IP адресу машины, чтобы запуск был возможен только с фиксированного адреса.
  6. Ключ при желании может быть привязан также к MAC адресу машины, чтобы запуск был возможен только с фиксированной машины.
  7. При помощи AdmiGuard можно настроть систему так, чтобы снизить до минимума риск несанкционированного получения прав Администратора или запуска посторонних программ через ярлыки AdmiLink.

Если Вы намерены использовать сохранение и автозаполнение паролей, почитайте также раздел с описанием сохранения и автозаполнения паролей.

Содержание


Как НЕ защищен AdmiLink

Если кратко, AdmiLink не защищен от некомпетентности г-на Администратора и ляпов г-на Билла Гейтса.

После выхода версии 1.0 пользователи в сетке обсуждали "дыры" в защите при использовании AdmiLink. Я бы резюмировал кратко. Если хотите иметь хорошо защищенную систему, выключите компьютер немедленно. Это работает всегда :). Удовлетворительную защиту дает замена Windows на *nix. Если и это Вас, привередника этакого, не устраивает, имейте в виду, что любая программа, запущенная с правами Администратора, потенциально делает "дыру" в защите. Вопрос в размере этой "дыры". А вот это уже зависит от Вас.

Помните - система безопасности - не прерогатива какой-то одной программы, даже самой крутой, это комплекс мер (программных, аппаратных, организационных). Систему защиты можно сравнить со стеной крепости, которая защищает только тогда, когда каждый кирпич прочен и стоит на своем месте. И не забывайте про акведуки - на них надо ставить решетки, иначе можно пролезть в крепость даже при наличии крепостной стены.

Так вот, AdmiLink - это очень неплохой "кирпич" в системе защиты, задачей которого является БЕЗОПАСНЫЙ ЗАПУСК программ. Безопасный запуск означает, что:

  • Пользователь сможет запускать нужную программу с нужными правами.
  • Пользователь не сможет узнать пароль Администратора через ярлык запуска.
  • Пользователь не сможет запустить не разрешенную Администратором программу, даже подменив исполняемый файл или командную строку в ярлыке.
Это то, что гарантирует AdmiLink, и не более того.

За работу самих запущенных программ AdmiLink не отвечает. AdmiLink не контролирует дальнейшее поведение программ после их запуска. Это не его задача.

Однако, идя навстречу Администраторам, в версии 1.5 в состав AdmiLink была добавлена утилита AdmiGuard, позволяющая выполнять некоторые, наиболее очевидные и критические настройки Windows, что несколько снижает риск несанкционированного получения прав Администратора пользователем при работе программ, запущенных с правами Администратора через ярлык AdmiLink.

Ну, к примеру, надо отключить запуск отладчика Dr.Watson при сбое приложений, потому, что если программа с правами Администратора "упадет", отладчик может дать пользователю возможность получить права Администратора.

Другой пример: запуская с правами Администратора произвольно взятую программу, содержащую стандартный диалог ввода имени файла, Пользователь может получить права Администратора через контекстное (выпадающее) меню, которое появляется по нажатию правой кнопки мыши в списке файлов стандартного диалога ввода имени файла. Чтобы защититься от этой напасти, можно, например, отключить контекстное меню в стандартном Проводнике Windows. Это можно сделать в редакторе реестра. Но гораздо удобнее это делать, воспользовавшись утилитой AdmiGuard, входящей в состав программы AdmiLink.

Но все-таки это, заметьте, проблемы не самого AdmiLink, а "навязчивого сервиса" Windows. Некоторые "дыры" такого рода можно закрыть настройкой Windows (например, через AdmiGuard), другие нельзя закрыть НИЧЕМ. Таким образом, круг программ, которые можно безопасно запускать из-под Администратора, несколько сужается.

Безопасно можно запускать под Администратором простые программы (без сложного интерфейса), либо специально созданные с учетом требований безопасности программы, либо надо очень тщательно настраивать систему безопасности Windows. Смотри описание AdmiGuard и советы.

Напомню, AdmiLink был создан для запуска программ пакета CRW-DAQ SCADA, а этот пакет имеет свою внутреннюю систему защиты и создан с учетом возможности работы из-под ограниченного пользователя. Например, диалоги ввода имен файлов там специальные, без выпадающего меню по правой кнопке мыши.

Однако я настаиваю на том, что ВСЕ обсуждаемые в форумах "дыры" в защите не являются проблемой самой программы AdmiLink, а являются проблемой либо системы безопасности Windows, либо уровня образования конкретного Администратора. Обеспечение безопасности - сложная задача, и AdmiLink является только одним из ее звеньев. AdmiLink отвечает за запуск программы, предохраняя от подмены программы, командной строки и т.д. Но AdmiLink не несет ответственности за "дыры" в защите самой запускаемой программы. И если Вы сделали ярлык на программу типа "cmd.exe /c format c:", пеняйте сами на себя, AdmiLink тут ни причем.

Таким образом, вопрос защиты был, есть и будет вопросом компетентности Администратора, который должен понимать, какие программы можно или нельзя запускать из-под Администратора.

Другой жалобой было то, что есть какие-то проблемы при работе AdmiLink на системах, установленных под Fat32. Забудьте. Безопасность и Fat32 - несовместимые понятия. Даже обсуждать тут нечего. Какой смысл что-то вообще защищать, если под Fat32 нет никакой защиты на базовом уровне - на уровне файловой системы.

Содержание


Почему не рекомендуется использовать RunAs

В системе Windows имеется стандартная утилита runas.exe, которая в принципе позволяет запускать программы из-под другого пользователя. Но я бы не рекомендовал ее использовать, поскольку она резко снижает безопасность системы.

Ну, интерактивный режим с вводом пароля через консольное окно мы тут не будем обсуждать - это все понятно, но это не то, что нам надо. Явную запись пароля в командном файле тоже не будем обсуждать - не интересно. Для чего вообще защита нужна, если пароль можно прочитать, заглянув в общедоступный файл?

Нас интересует запуск НУЖНОЙ программы без ввода пароля.
Для этого у программы runas вроде бы есть опция /savecred.
Работает это так.

Допустим, нам надо запускать программу notepad.exe от имени пользователя Администратор на локальной машине:

  1. Запускаем командную строку
            runas /savecred /user:localhost\Администратор notepad.exe
           
  2. Появляется запрос:
           Введите пароль для localhost\Администратор:
           
  3. Вводим пароль Администратора

  4. Появляется сообщение:
           Попытка запуска notepad.exe от имени пользователя "localhost\Администратор" ...
           
  5. Запускается программа notepad.exe от имени пользователя Администратор.
    В заголовке окна написано:
           notepad.exe (запущено от имени localhost\Администратор)
           

Пока все хорошо.
Проверяем, что теперь можно запускать ТРЕБУЕМУЮ программу notepad.exe от имени пользователя Администратор:

  1. Запускаем командную строку
            runas /savecred /user:localhost\Администратор notepad.exe
           
  2. Появляется сообщение:
           Попытка запуска notepad.exe от имени пользователя "localhost\Администратор" ...
           
  3. Запускается программа notepad.exe от имени пользователя Администратор. В заголовке окна написано:
           notepad.exe (запущено от имени localhost\Администратор)
           
Заметьте, теперь ввод пароля не потребовался. Прекрасно, именно этого мы и хотели.
Однако так ли это? Не снизилась ли защищеннность системы?

Давайте теперь попробуем запусть ДРУГУЮ программу, например, cmd.exe:

  1. Запускаем командную строку
            runas /savecred /user:localhost\Администратор cmd.exe
           
  2. Появляется сообщение:
           Попытка запуска cmd.exe от имени пользователя "localhost\Администратор" ...
           
  3. Запускается программа cmd.exe от имени пользователя Администратор. В заголовке окна написано:
           cmd.exe (запущено от имени localhost\Администратор)
           
Заметьте, для запуска ДРУГОЙ (несанкционированной) программы ввод пароля тоже не потребовался. То есть пользователь теперь может запускать ЛЮБУЮ программу с правами Администратора. А мы ведь совсем не этого хотели. Мы хотели, чтобы пользователь мог запускать только конкретную программу.

Итак, использование

  runas /savecred /user:host\name program.exe
  
приводит к тому, что пользователь с ограниченными правами получает возможность запускать ЛЮБУЮ программу с правами Администратора без ввода пароля. С таким же успехом можно повесить перед компьютером плакат с паролем Администратора. Или вообще отказаться от многопользовательского режима. Это будет честнее, чем обманывать себя и делать вид, что защита существует.

По указанной причине я не рассматриваю утилиту runas как альтернативу программе AdmiLink. Можно, конечно, возражать, что на такое титаническое усилие мысли, как ввод команды через консольное окно, средний пользователь не способен. Это далеко не всегда так. И вообще это слабое утешение. Я бы на это не полагался. В общем, используете runas - пеняйте на себя. Я Вас предупредил.

Справедливости ради надо отметить, что runas все же может с большой пользой использоваться, например, если вы, работая под Администратором, хотите запускать программы с пониженными правами, то есть под ограниченным пользователем. Понижение прав полезно, например, для работы в Internet (см. пример). В этом случае вызов программ через runas /savecred не будет приводить к снижению защищенности системы и потому вполне допустим.

Содержание


Как пользоваться программой AdmiLink

AdmiLink создает ярлык за 12 шагов, которые разбиты на 3 страницы.
  1. На странице AdmiLink\EXE задается имя и параметры (целевой) запускаемой программы, каталог запуска и способ отображения окна (целевой) программы.

  2. На странице AdmiLink\Account задаются параметры (целевой) учетной записи, под которой будет запускаться программа, а также параметры шифрования учетной записи, влияющие на способ и степень ее защиты от потенциальных атак. Например, можно привязать шифрование к MAC адресу компьютера, или к командной строке, чтобы исключить возможность несанкционированного использования зашифрованной учетной записи на другом компьютере или для запуска посторонних программ.

  3. На странице AdmiLink\LNK задается имя и параметры ярлыка программы, каталог и способ отображения ярлыка. Здесь Вы определяете, где будет расположен ярлык, каким пользователям он будет доступен и как он будет выглядеть.

Вот описание 12 шагов создания ярлыка:

  1. Задать имя исполняемого файла интересующей программы.
    Это должно быть полное имя, с путем и расширением. Проще всего воспользоваться диалогом для ввода имени файла (кнопка справа от поля ввода). Имейте в виду, что полное имя исполняемого файла участвует в шифровании учетной записи, поэтому при изменении пути программы ярлык станет недействительным. Это не ошибка, а один из элементов защиты ярлыков AdmiLink. Ярлыки жестко привязаны к полному пути и содержимому исполняемых файлов.

  2. Задать командную строку для исполняемого файла.
    Этот шаг необязателен, если параметры отсутствуют. Кроме того, имейте в виду, что можно указать привязку шифрования учетной записи к командной строке, чтобы нельзя было получить права Администратора, подменив параметры командной строки в ярлыке.
    Например, делая ярлык c:\windows\system32\control.exe timedate.cpl
    для коррекции системного времени, не забудьте привязать шифрование к командной строке, иначе, отредактировав ярлык, можно будет запустить, например,
    c:\windows\system32\control.exe nusrmgr.cpl
    и получить доступ к управлению пользователями, что совсем нехорошо.

  3. Задать каталог запуска.
    Обычно он устанавливается автоматически после ввода имени файла программы.
    Измените его, если каталог запуска отличается от каталога запускаемой программы.

  4. Задать режим отображения окна программы.
    • SHOW - запускать программу, видимую на экране. Это обычный режим для интерактивных программ.
    • HIDE - запускать программу, не видимую на экране. Это режим для служебных программ, работающих в фоновом режиме.

  5. Задать имя домена или компьютера (для локальных пользователей).
    Имя домена можно выбрать из списка по кнопке справа от поля ввода. При задании локальных пользователей в качестве домена используется либо имя компьютера, либо localhost, либо точка (как эквивалент localhost) для обозначения локального компьютера. При задании localhost или точки ярлык сохранит актуальность даже после смены имени компьютера. Если же явно задать доменное имя как текущее имя компьютера, то при смене имени компьютера ярлык станет недействительным. С другой стороны, указание localhost или точки в качестве домена даст возможность пользователям запускать одноименную программу на другом компьютере, а хорошо ли это - Вам решать. Если же компьютер в домене, совсем не лишним будет сделать привязку ярлыка к IP или MAC адресу компьютера, если вы хотите исключить возможность взлома системы путем копирования ярлыка на другой компьютер в домене и запуска одноименной программы на другом компьютере.

  6. Задать имя (целевого) пользователя, от имени которого будет запускаться интересующая программа.
    Имя пользователя можно выбрать из списка по кнопке справа от поля ввода. Я бы рекомендовал не использовать встроенную учетную запись Администратора для запуска программ. Лучше создайте специального пользователя с правами Администратора, настройте его профиль при помощи AdmiGuard и делайте ярлыки для запуска под этим пользователем. Так вы снизите риск взлома системы через ярлыки AdmiLink. Смотрите также
    советы.

  7. Задать пароль и подтвердить повторным вводом.
    Можно проверить пароль кнопкой Test it now. При нажатии этой кнопки, при условии правильного ввода параметров учетной записи, на экране появится командная консоль, запущенная от имени указанного (целевого) пользователя.

    При вводе паролей можно использовать сохранение и автозаполнение паролей. Это дает возможность избежать многократнго ввода паролей целевых учетных записей, под которыми надо запускать программы, сведя число вводов паролей до безопасного минимума. Почитайте описание сохранения и автозаполнения паролей.

  8. Сгенерировать ключ для запуска программы.
    Этот шаг необязателен, если создается обычный ярлык, для запуска программы от имени текущего (ограниченного) пользователя. Однако если Вы хотите запускать программу от имени целевого пользователя, обладающего правами Администратора, не забудьте про ключ! Иначе программа будет запускаться под ограниченным пользователем! При генерации ключа можно указать специальные параметры запуска AdmiRun, например, привязать ключ к командной строке, к IP адресу, к MAC адресу и т.д.

  9. Задать имя ярлыка.
    Обычно оно генеририруется автоматически как "Program as User".
    Но можно задать и что-то свое.

  10. Задать каталог, где создается ярлык.
    Кнопками можно задать типичные каталоги:
    • Desktop - Рабочий стол
    • Start - меню Пуск
    • Programs - меню Программы
    • AutoStart - папка Автозагрузка
    • Favorites - папка Избранное
    • Documents - папка Мои Документы
    • Quick Launch - панель быстрого запуска
    Можно также сделать ярлык для всех пользователей, но для этого надо запустить AdmiLink под Администратором и не забыть поставить галочку в поле All Users.

    При задании каталога ярлыка будьте внимательны. Если, например, вы запустили AdmiLink под Администратором, то и ярлык (по умолчанию) создается на Рабочем Столе Администратора (а не ограниченного пользователя)! Если вы хотите, чтобы ярлык появился на Рабочем Столе ограниченного пользователя, надо явно прописать путь к его Рабочему Столу. Либо надо запустить AdmiLink под ограниченным пользователем, тогда ярлык по умолчанию попадет на Рабочий Стол этого пользователя.

    Если же Вы хотите сделать ярлык для всех пользователей, то надо запустить AdmiLink под Администратором, поставить галочку в поле All Users, а затем нажать кнопку Desktop (например). Либо надо просто явно прописать каталог общего Рабочего Стола, например:
    C:\Documents and Settings\All Users\Рабочий Стол

  11. Задать файл и индекс картинки для ярлыка.
    Обычно это поле заполняется автоматически. По умолчанию предполагается, что картинка берется из исполняемого файла программы с индексом 0.

  12. Сгенерировать результирующую командную строку.
    Это довольно сложная абракадабра, которая и будет выполняться. Ну к примеру, это может быть чем-то вроде:
           C:\WINDOWS\AdmiRun.exe -d+ -i+ -w- -l+ -c- -a- -m- 8B+3/JY5AABl3qQju5BJfbv7dRxjhevM+pcAES7mQI9u7lDPA6rY0OB/4zFbuwpj "C:\WINDOWS\System32\defrag.exe" "C:"
           
    Правильная абракадабра не получится, если на предыдущих шагах допущена ошибка.
    Сгенерированную командную строку можно также использовать в командных файлах, если Вы хотите автоматизировать выполнение рутинных операций.

Если все прошло нормально, без ошибок, разрешается кнопка генерации ярлыка "Create Link now!".
После ее нажатия генерируется ярлык, а все поля сбрасываются. И не ругайтесь! Сброс полей делается сознательно, для того, чтобы минимизировать время, когда пароль Администратора еще находится в памяти. Не забывайте, что существуют взломщики паролей (например, Open Pass), позволяющие увидеть скрытый за "звездочками" пароль в поле ввода пароля.

Применение программы AdmiLink имеет ряд не совсем очевидных особенностей. Главное, что всегда надо помнить, это что в многопользовательской системе требуется четкое понимание, что, когда и под каким пользователем выполняется, и это самое неочевидное во всей этой кухне.

Следует различать:

  1. Под каким пользователем был установлен AdmiLink. Это не очень важно, лишь бы это пользователь с правами Администратора.
  2. Под каким пользователем запускается AdmiLink при создании ярлыка. Это может быть как ограниченный пользователь, так и Администратор, в зависимости от цели, как станет ясно из следующего примера.
  3. Под каким пользователем будет запуcкаться Рабочий Стол Windows при использовании ярлыка. Скорее всего это будет один из ограниченных пользователей локального компьютера или сетевого домена.
  4. Под каким пользователем будет запускаться программа через созданный ярлык AdmiLink.

Рассмотрим такой пример.
Пусть имеются пользователи:

  1. Пользователь Администратор с правами Администратора.
  2. Пользователь root с правами Администратора.
  3. Пользователь alex с ограниченными правами.
  4. Пользователь oleg с ограниченными правами.
Заметим, что создание второго пользователя (в данном случае root) с правами Администратора - обычная практика, так как встроенную по умолчанию учетную запись по имени Администратор лучше держать "про запас", чтобы была возможность специальным образом настраивать учетную запись root для запуска пользовательских программ с правами Администратора, а учетную запись Администратор использовать только для задач администрирования и настройки системы.

Итак, пусть AdmiLink установлен из-под Администратора, и пусть имеются программы prog1.exe и prog2.exe, которые требуется запускать с правами Администратора (но без ввода пароля), для чего мы будем использовать учетную запись root. При этом Рабочий Стол Windows будет запускаться под ограниченными пользователями alex или oleg, причем программа prog1.exe должна быть доступна всем, а prog2.exe - только пользователю alex.

Как решить такую задачу при помощи AdmiLink?

Решение следующее.

  1. Для создания ярлыка Prog1.exe:
    • Запускаем AdmiLink как root (или как Администратор, все равно).
    • На странице AdmiLink\Exe указываем исполняемую программу prog1.exe.
    • На странице AdmiLink\Account вводим учетную запись root и его пароль.
    • На странице AdmiLink\LNK ставим галочку "All Users" и нажимаем кнопку Desktop.

    В результате в каталоге:

    • c:\Documents and Setings\All Users\Рабочий стол
    будет создан ярлык:
    • "Prog1 as root.Lnk"
    причем этот ярлык будет доступен всем пользователям компьютера.

    Заметим, что создание ярлыка, доступного для всех пользователей, потребовало запуска AdmiLink из-под Администратора, так как ограниченный пользователь не может записывать в целевой каталог
    c:\Documents and Setings\All Users\Рабочий стол.

  2. Для создания ярлыка Prog2.exe:
    • Запускаем AdmiLink как alex.
    • На странице AdmiLink\Exe указываем исполняемую программу prog2.exe.
    • На странице AdmiLink\Account вводим учетную запись root и его пароль.
    • На странице AdmiLink\LNK убираем галочку "All Users" и нажимаем кнопку Desktop.

    В результате в каталоге:

    • c:\Documents and Setings\alex\Рабочий стол
    будет создан ярлык:
    • "Prog2 as root.Lnk"
    причем этот ярлык будет доступен только пользователю alex.

    Заметим, что создание ярлыка, доступного только для пользователя alex, потребовало запуска AdmiLink из-под alex, так как целевой каталог
    c:\Documents and Setings\alex\Рабочий стол
    по умолчанию доступен этому пользователю.

Разумеется, во втором примере мы тоже могли бы запустить AdmiLink как root,
однако при этом потребуется ЯВНО ("ручками") указывать целевой путь ярлыка
c:\Documents and Setings\alex\Рабочий стол,
так как путь ярлыка по умолчанию в этом случае будет
c:\Documents and Setings\root\Рабочий стол
а это вовсе не то, что мы хотели.

В принципе, такой способ даже предпочтительнее (хотя и сложнее), так как созданный ярлык
"c:\Documents and Setings\alex\Рабочий стол\Prog2 as root.Lnk"
уже не может быть (случайно) удален пользователем alex, ведь его создал root.

Запутались?
А ведь это самый простой случай, проще не бывает.
Ничего, привыкните, станет легче.

Содержание


Как пользоваться утилитой AdmiGuard

Утилита AdmiGuard служит для настройки некоторых наиболее часто используемых параметров безопасности Windows. Дело в том, что после запуска требуемой программы с правами Администратора при помощи ярлыка AdmiLink, у пользователя появляется потенциальная возможность несанкционированно получить права Администратора для запуска посторонних программ, используя разные "лазейки" в защите системы.

Ну, например, если в запущенной с правами Администратора целевой программе есть стандартный диалог ввода имени файла (а это довольно-таки частый случай), то через этот диалог, точнее, через контекстное меню по правой кнопке мыши, можно удалять файлы, запускать программы и делать прочие нехорошие вещи (с правами Администратора!). Это серьезная "дыра" в защите - ведь она фактически дает пользователю полный доступ к системе с правами Администратора!

Хотя это не проблема собственно AdmiLink (это проблема системы безопасности Windows вообще), ее все же надо как-то решать. Указанная "дыра" лечится, например, отключением контекстного меню "Проводника", что, конечно, можно сделать через редактор реестра, но уж больно сложно и неудобно.

Вот тут и пригодится AdmiGuard.

AdmiGuard содержит массу настроек, которые позволят устранить ну хотя бы самые очевидные дыры в защите системы.

Перечислим основные функции AdmiGuard:

  1. На странице AdmiGuard\Launch можно разрешить выполнение всех программ, кроме списка запрещенных, либо запретить выполнение всех программ, кроме списка разрешенных. Эти списки влияют только на запуск программ из стандартного Проводника Windows, но не влияют на запуск программ из Far или Total Commander. Программы задаются без пути, в формате name.ext, например, notepad.exe. Каждая строка списка должна содержать только одну программу. Обратите внимание, что список разрешенных и запрещенных программ относится к тому пользователю, под которым в данный момент запущен AdmiLink. Не перепутайте пользователя, иначе Вы установите разрешения и запреты не тому, кому хотели.

  2. На странице AdmiGuard\EXE,GUI задаются ограничения на запуск системных программ (диспетчера задач, интерпретатора командной строки, редактора реестра, контрольной панели, инсталляции *.MSI файлов и запуска файлов реестра *.REG), а также на элементы системного графического интерфейса (контекстное меню, меню ПУСК, Рабочий Стол и ПРОВОДНИК), через которые тоже можно запускать программы или менять важные системные настройки. Обратите внимание, что рядом с каждой функцией (в скобках) указано, на какого пользователя действует данная функция.

    И еще раз напоминаю - не упускайте из виду, для какого пользователя Вы хотите делать настройки. Если Вы хотите, например, отключить контекстное меню для программы, запускаемой из-под Администратора, то и AdmiGuard запускайте из-под Администратора, так как настройки применяются либо к текущему пользователю, либо к всем пользователям.

  3. На странице AdmiGuard\CD,HDD задаются ограничения на доступ с компактным и жестким дискам. Можно отключить Автозапуск компактных дисков, встроенный Мастер Записи компактных дисков. Можно запретить или вообще спрятать для данного пользователя указанные диски. Впрочем, запреты действуют в рамках стандартного Проводника Windows, но не влияют на доступ из других оболочек (Far, Total Commander). Обратите внимание, что рядом с каждой функцией указано, на какого пользователя она действует. Не упускайте из виду, для какого пользователя Вы хотите делать настройки.

  4. На странице AdmiGuard\Network задаются запреты для сетевых функций. Можно запретить пользователю доступ к Мастеру Новых Подключений, запретить подключение\отключение локальной сети и Интернет, запретить закачку файлов из Интернет, отключить скрытые сетевые ресурсы (типа \\host\ADMIN$, \\host\C$, и т.д.). Обратите внимание, что рядом с каждой функцией указано, на какого пользователя она действует. Не упускайте из виду, для какого пользователя Вы хотите делать настройки.

  5. На странице AdmiGuard\Vista задаются настройки, специфичные для этой ужасной на мой взгляд системы (я бы этих уродов из Майкрософта...). В основном настройки касаются User Access Control. Используйте их на свой страх и риск. Я Вистой не пользуюсь и потому проверял эти функции на скорую руку.

Применение утилиты AdmiGuard имеет ряд не совсем очевидных особенностей.

Во-первых, помните, что при помощи ярлыков AdmiLink вы будуте запускать программы под другим (целевым) пользователем, поэтому и AdmiGuard, скорее всего, надо запускать под этим (целевым) пользователем, так как именно его настройки наиболее критичны с точки зрения безопасности системы.

Кроме того, имейте в виду, что при запуске AdmiGuard из-под ограниченного пользователя этот самый ограниченный пользователь не имеет права менять многие параметры системы, даже если они вроде бы касаются только этого пользователя. Поэтому функции утилиты AdmiGuard работать под ограниченным пользователем, скорее всего, вообще не будут. Ситуация веселая - для выполнения настройки данного пользователя мне надо запускать AdmiGuard под этим пользователем, но у пользователя нет прав для изменения своих настроек! Вот тебе раз!

Как же быть, если Вы все же хотите сделать настройки функций Windows при помощи AdmiGuard для ограниченного пользователя? Это довольно неприятно, но Вам придется временно дать Пользователю права Администратора, выполнить настройки, а затем лишить Пользователя прав Администратора. Другого способа я не знаю. Напишите мне, если Вы это знаете.

Итак, для настройки Ограниченного Пользователя при помощи AdmiGuard Вам придется:

  1. Запустить консоль с правами Администратора.
  2. Командой control nusrmgr.cpl или control userpasswords2 вызвать апплет для управления пользователями.
  3. Изменить тип учетной записи Ограниченного Пользователя на Администратора, либо включить Ограниченного Пользователя в группу Администраторов.
  4. Перегрузить систему.
  5. Запустить AdmiGuard из-под нужного пользователя, которому теперь (временно) даны права Администратора.
  6. Выполнить в AdmiGuard требуемые настройки. Теперь это стало доступным.
  7. Командой control nusrmgr.cpl или control userpasswords2 вызвать апплет для управления пользователями.
  8. Изменить тип учетной записи снова на Ограниченного Пользователя, либо исключить пользователя из группы Администраторов.
  9. Перегрузить систему.
Теперь у Ограниченного Пользователя установились нужные настройки, причем этот пользователь не может их изменить. Для изменения настроек придется повторить процедуру.

Смотрите также советы.

Содержание


Сохранение и Автозаполнение паролей

В версии AdmiLink v1.7 введено сохранение и автозаполнение паролей. Звучит это для Администратоского уха несколько, я бы сказал, пугающе. Хотя и заманчиво. Что же это такое и зачем это надо?

Ну, надо это для того чтобы не вводить пароли по многу раз. Допустим, Вы запустили AdmiLink на машине Host1 под пользователем Host1\Administrator и Вам надо создать для ограниченных пользователей на данной машине двадцать ярлыков, причем программы должны запускаться под (целевым) пользователем Host1\root, который имеет права (локального) Администратора. Эта довольно типичная ситуация описана в советах. Так что теперь, десять раз вводить пароль для пользователя Host1\root? Не хотелось бы... Что же делать?

А вот что. Итак, запускаем AdmiLink под пользователем Host1\Administrator. При этом, естественно, (один раз) вводится пароль Host1\Administrator. Вводим домен Host1 и имя пользователя root для (целевой) учетной записи Host1\root, затем два раза вводим пароль пользователя Host1\root. Замечаем, что рядом с полем ввода пароля появилась симпатичная кнопочка с зеленой галочкой. Эта кнопочка умеет сохранять пароль учетной записи целевого пользователя, в данном случае Host1\root, в файл. Перед сохранением, ясное дело, спрашивается разрешение. Нажимаем, отвечаем ДА и сохраняем.

Ну, и что мы получили? А то, что теперь всякий раз, когда мы запускаем AdmiLink под пользователем Host1\Administrator и выбираем учетную запись Host1\root (это можно сделать через меню), мы не должны вводить пароль, так как он сам автоматически вводится после заполнения полей домена и имени (целевого) пользователя. Таким образом, число вводов паролей сокращается до одного - надо все-таки ввести пароль Host1\Administrator, чтобы запустить AdmiLink под пользователем Host1\Administrator, которому доступны сохраненные пароли. Если надо создавать много ярлыков, это сокращение числа вводов паролей довольно существенно.

Замечательно, но не приведет ли это к снижению защищенности машины? Не смогут ли другие пользователи использовать сохраненные пароли во вред? Не думаю. Сохраненные пароли защищены.

Как защищено сохранение\автозаполнение паролей?

  1. Автозаполнение работает только если Вы запустили AdmiLink под пользователем, имеющим права Администратора. Для обычных пользователей автозаполнение вообще недоступно.
  2. Более того, сохраненные пароли доступны только тому пользователю, который их сохранил, и только на том компьютере, на котором он их сохранил. В данном примере только пользователь Host1\Administrator на машине Host1 сможет использовать (сохраненные им) пароли учетных записей.
  3. Пароли, естественно, хранятся в зашифрованном виде.
  4. Пароли хранятся в приватной области пользователя, который их сохранил и недоступны другим пользователям. Напомним, что только пользователи, имеющие права Администратора, могут сохранять пароли. Но даже если другой пользователь имеет права Администратора, он не может воспользоваться чужими паролями - они находятся в чужой области.
  5. Шифрование пароля целевой учетной записи (в нашем примере Host1\root) привязано как к самой целевой учетной записи (в нашем примере Host1\root), так и к учетной записи пользователя, сохранившего пароль (в данном примере Host1\Administrator), а также к данной машине (в данном примере Host1). На другой машине и под другой учетной записью пароли просто не расшифруются, даже если кому-то удастся прочитать файл паролей. Так что другим пользователям этот файл бесполезен.

Вам мало такой защиты? Ну, не сохраняйте пароли. Тогда и автозаполнение не будет работать.

Ну а если Вы вдруг решили срочно удалить сохраненные пароли, там еще другая кнопочка есть, с красным крестиком. Убивает все пароли одним махом. Бальзам для параноиков.

Содержание


Использование AdmiRun в пакетном режиме

Программа AdmiLink и
AdmiRun вообще-то создавались для высокозащищенных систем, где пользователь, запускающий ярлыки под администратором, не должен ни при каких обстоятельствах узнать его пароль или запускать посторонние программы. При этом ярлык хранит зашифрованный ключ, сгенерировать который можно только с помощью программы AdmiLink и только в интерактивном режиме.

А вот как быть с командным режимом, когда надо запускать разные программы под разными пользователями, а вопрос защиты не стоит так остро? Ну, например:

Ну, для таких задач одно время я использовал cpau.exe, а потом подумал - зачем? И добавил в AdmiRun ключики, позволяющие делать практически то же самое, что умеет cpau.exe (только лучше :).

Ключ -u+ позволяет отключить шифрование учетной записи (пользователя, домена и пароля). При этом "секретный ключ" передается в URL кодировке и должен иметь вид:

  user%0d%0adomain%0d%0apassword
  user     - имя пользователя
  domain   - домен
  password - пароль
  %0d%0a   - разделитель (CR,LF)
  
  Например, пользователь bilbo в домене shire с паролем ring может использовать ключ типа
  admirun -u+ bilbo%0d%0ashire%0d%0aring c:\Game\Lord.exe
  
Не буду углублять эту тему - кто знает, что такое URL кодировка - разберется, кто не знает - тому и не положено пользоваться такими штуками. Кстати, в AdmiLink есть URL кодировщик, которым всегда можно воспользоваться. Надо лишь помнить, что символы пробелов, а также +, % обрабатываются специальным образом. Еще полезно знать, что для запуска под текущим пользователем достаточно указать ключи "admirun -u+ + ...", так как плюс заменится на пробел и получится пустой "секретный ключ", который интерпретируется как текущий пользователь.

Ключ -s+ позволяет отключить интерактивные сообщения (диалоговые окна), которые появляются в случае ошибки запуска программы. Этот режим удобен для командного режима, чтобы лишние сообщения не болтались на экране. В командных файлах лучше анализировать код возврата, чем лицезреть всякие там окна.

Ключ -d0, -d1, ... -d10 позволяет запускать программу в различных режимах:

Подробнее смотрите константы SW_SHOW... в документации по "mustdie32".

В программе AdmiLink перечисленные ключи не используются, так как они ориентированы на режим командной строки и командных файлов.

Примеры:

  --Запуск Notepad (Minimized) под текущим пользователем 
  admirun -d2 -u+ + c:\windows\system32\notepad.exe
  --Запуск Notepad (Maximized) под localhost\root с паролем boss, с подавлением сообщений об ошибках
  admirun -d3 -s+ -u+ root%0d%0alocalhost%0d%0aboss c:\windows\system32\notepad.exe
  

Имейти в виду: использование открытых паролей НЕБЕЗОПАСНО. Я Вас предупредил!
Не присылайте мне писем с претензиями типа "у меня систему взломали" - Вы ведь на то и Администратор, сами должны знать, в каких случаях уместно использовать открытые пароли, а в каких - смерти подобно.

Содержание


Часто задаваемые вопросы (FAQ)

  1. Созданный ярлык не запускается.
    При запуске выдается сообщение о возможной атаке.

    • Проверьте, что у ограниченного пользователя есть права на чтение запускаемого файла. Если права на чтение нет, AdmiRun не сможет расшифровать учетную запись для запуска программы, так как содержимое исполняемого файла используется как ключ для расшифровки учетной записи Администратора.
    • Возможно, исполняемый файл программы был изменен (например, кто-то обновил версию программы). С точки зрения AdmiRun, произошла атака путем подмены исполняемого файла. Скорее всего, Администратору придется создать ярлык для новой версии программы заново. Ничего не поделаешь, за безопасность надо платить.
    • Возможно, было изменено имя компьютера или домена. С точки зрения Windows, сохраненная в зашифрованном ключе учетная запись стала недействительной. Скорее всего, Администратору придется создать ярлык для нового домена заново. Ничего не поделаешь, за безопасность надо платить.
    • Проверьте, что запущена служба seclogon (Вторичный вход в систему). Именно эта служба выполняет запуск программ под разными пользователями, без нее запуск программ из-под других пользователей не работает.
    • В старых версиях AdmiLink есть проблемы с передачей в качестве параметров вызываемой программы имен файлов, содержащих пробелы. Проблема устранена в версии 1.6. Обновите версию AdmiLink, если для Вас актуальна эта проблема.
    • На машинах, работающих в сетевых доменах, могут не запускаться ярлыки, если для них указана целевая учетная запись с точкой (".") в качестве имени домена (для локальных учетных записей этого компьютера). В этом случае попробуйте указать в качестве доменного имени localhost, а не поможет - попробуйте явно указать имя локального компьютера, тогда все точно заработает. Вообще-то, по правилам Windows, точка - эквивалентная замена имени локального компьютера (как localhost в Unix), однако это может быть запрещено политикой безопасности данного домена.

  2. Ярлык в папке Автозагрузка не срабатывает

    Ситуация предсказуемая. Дело в том, что запуск из-под другого пользователя выполняет служба seclogon (Вторичный вход в систему). Эта служба, как и прочие службы Windows, запускается с задержкой, в первые секунды после старта текущего сеанса работы Windows. Так что вполне возможна ситуация, когда попытка запуска ярлыка происходит до запуска службы seclogon.

    Эта болезнь лечится вводом задержки в 15 - 30 секунд в поле

    • "AdmiRun ждет при старте, сек ..."
    на странице
    • "AdmiLink\Account"
    За счет этой задержки службе seclogon дается время для корректного запуска. Время задержки определяется производительностью компьютера и сложностью стартовых скриптов или программ.

  3. Нужно создавать ярлыки, доступные для всех пользователей

    Ну, тогда надо создавать ярлыки в каталоге
    c:\Documents and Setings\All Users

    Для этого надо запустить AdmiLink из-под Администратора и поставить галочку "All Users" на странице "AdmiLink\LNK".
    Либо надо "ручками" прописать целевой путь ярлыка, сославшись на каталог "All Users".

  4. Созданный ярлык доступен только одному пользователю

    А Вы что хотели? Ясное же дело, если запустить AdmiLink под (ограниченным) пользователем, то и ярлык (по умолчанию) создается на Рабочем Столе этого пользователя и другим пользователям будет недоступен.

    Чтобы сделать ярлык для всех пользователей, надо либо "ручками" размножить ярлык, скопировав его на Рабочие Столы других пользователей, либо, что будет правильнее, поместить ярлык в профиль "All Users", как описано в предыдущем пункте.

  5. Надо разрешить ограниченному пользователю установку системного времени

    Создайте ярлык с программой

            c:\windows\system32\control.exe timedate.cpl
           
    Рекомендуется зафиксировать командную стоку на странице "AdmiLink\Account", чтобы нельзя было вызвать другие контрольные панели.

  6. Нужно выполнять программы из-под Администратора в командном режиме

    Создайте ярлык и скопируйте командную строку из ярлыка в командный файл.
    Ну к примеру, что-нибудь типа:

           C:\WINDOWS\AdmiRun.exe -d+ -i+ -w- -l+ -c- -a- -m- 8B+3/JY5AABl3qQju5BJfbv7dRxjhevM+pcAES7mQI9u7lDPA6rY0OB/4zFbuwpj "C:\WINDOWS\System32\defrag.exe" "C:"
           

  7. Проблемы с Fat32 ...

    Забудьте про Fat32. Безопасность и Fat32 - несовместимые понятия. Даже обсуждать тут нечего. Какой смысл что-то вообще защищать, если под Fat32 нет никакой защиты на базовом уровне - на уровне файловой системы.

    Используйте NTFS - родную систему Windows-NT/2000/XP/Vista.

  8. Проблемы с переносом ярлыков...

    Вообще говоря, ярлыки AdmiLink привязаны к содержимому исполняемого файла, его полному пути, размеру и дате файла, а также (по желанию) к командной строке программы, IP и MAC адресу машины. Перечисленные данные участвуют в шифровании целевой учетной записи (то есть домена, пользователя и пароля), под которой будет запускаться программа. Если что-то задано неправильно, то AdmiRun неверно расшифрует учетную запись и Windows не сможет запустить программу. На самом деле AdmiLink не знает, правильно ли расшифрована учетная запись, он видит просто, что с данной расшифровкой программа не запускается. AdmiLink также не знает причины, по которой она не запускается. С точки зрения AdmiLink изменение любого параметра, из-за которого учетная запись расшифрована неверно, является попыткой взлома системы (атаки).

    Ярлык переносим, только если все перечисленные параметры полностью идентичны тем, которые были указаны в момент создания ярлыка. Это довольно сильное условие. Поэтому перенос ярлыков на другой компьютер в общем случае не работает. При переносе ярлыков несколько помогает то, что на локальный компьютер можно сослаться, указав localhost или точку в качестве домена. Если на другом компьютере поместить ТУ ЖЕ программу ПО ТОМУ ЖЕ пути, сохранив при этом ее дату, то ярлык, может быть, и заработает.

    Но вообще-то безопасность была приоритетной целью AdmiLink, а переносимость ярлыков на другие машины как явная цель вообще не ставилась. Ну, не помрет Ваш Админ, сделает еще пару ярлыков. Безопасность дороже стоит.

  9. А почему бы не использовать стандартную утилиту RunAs вместо AdmiLink?

    А потому. RunAs - это даже не просто дыра, а фактически полное разрушение системы защиты.

  10. А зачем AdmiCalc

    Он удобнее стандартного калькулятора - доступны формулы, скобки, переменные, ряд функций.

  11. А зачем AdmiTerm

    Командный интерпретатор cmd.exe может быть запрещен Администратором. В этом случае терминал "AdmiTerm\Task terminal" - хорошая альтернатива консоли.

    Терминал именованных каналов и TCP/IP - хорошее средство для тестирования и наладки сети, а также проверки программ, которые управляются или взаимодействуют через каналы или сокеты.

    Терминал COM портов - средство отладки для измерительной аппаратуры с интерфейсом RS-232/422/485.

  12. А зачем AdmiCrypt

    Передача шифрованных сообщений через открытые каналы связи, к примеру, по электронной почте. Кодирование-декодирование MIME блоков.

  13. А зачем AdmiGuard

    Для настройки некоторых параметров системы безопасности Windows.

    Чтобы запретить все "лазейки" для получения прав Администратора при запуске программ через ярлыки AdmiLink.

    Чтобы запрещать Пользователю изменение критических параметров системы.

  14. Программа запускается под текущим пользователем, а не под Администратором

    Скорее всего Вы забыли сгенерировать ключ запуска AdmiRun. Это шаг № 8 на странице AdmiLink\Account.

  15. Программа не удаляется

    Установка и удаление программы должны делаться под Администратором. Запустите деинсталлятор от имени Администратора.

  16. AdmiGuard не работает

    Скорее всего, Вы запустили AdmiLink под Ограниченным Пользователем. У этого пользователя не хватает прав для изменения параметров безопасности (даже своих собственных!).

    Если Вам надо менять общие параметры безопасности, запускайте AdmiLink под Администратором.

    Если Вы хотите все же изменить параметры безопасности Ограниченного Пользователя, Вам придется временно включить этого пользователя в группу Администраторов, запустить AdmiLink, сделать настройки, а затем исключить пользователя из группы Администраторов. Смотри описание AdmiGuard и советы.

  17. Не работает автозаполнение паролей

    Скорее всего, изменилось имя компьютера, или домена, или Вы запускаете AdmiLink не под тем пользователем, который сохранял пароли. Почитайте повнимательнее раздел про сохранение и автозаполнение паролей.

Содержание


Дельные советы от автора AdmiLink

Эти советы взяты из моей практики. Спорить ни с кем не буду, хотите - используйте мой опыт, нет - сами себе враги хозяева.

  1. Оставьте встроенную учетную запись (локального) Администратора в покое. Не делайте ярлыков AdmiLink на эту учетную запись. Используйте учетную запись Администратора только для аварийных ситуаций.

  2. Используйте учетную запись Администратора для запуска AdmiLink, если Вы планируете использовать сохранение и автозаполнение паролей. Тогда, введя пароль Администратора один раз, вы сможете избежать многократного ввода паролей (целевых) учетных записей, не снижая защищенности системы, так как только зайдя под Администратором Вы сможете прочитать сохраненные им пароли.

  3. Создайте для запуска программ с правами Администратора через ярлыки AdmiLink другого пользователя с правами Администратора. Например, я обычно использую учетную запись по имени root с правами Администратора. В этом есть большой смысл, так как этот пользователь будет иметь специальные настройки и ограничения, которые необязательны для встроенной учетной записи Администратора. Кроме того, ему будут недоступны сохраненные пароли, если используется сохранение и автозаполнение паролей.

  4. Запустите AdmiGuard под учетной записью root и запретите этому пользователю все лишние возможности, особенно контекстное меню Проводника, запуск системных утилит и т.д. Это предохранит Вашу систему от взлома через ярлыки, созданные программой AdmiLink.

  5. Создайте и настройте ограниченных пользователей, под которыми будет запускаться Рабочий Стол Windows. Рекомендуется следующий алгоритм создания и настройки ограниченного пользователя:
    1. Создайте нового пользователя с правами Администратора.
    2. Сделайте настройку профиля пользователя, его Рабочего Стола и т.д.
    3. Запустите под созданным пользователем AdmiGuard и отключите все лишние функции Windows.
      Что считать лишним - судить Вам, исходя из поставленных задач.
      Для настройки Windows могу посоветовать свободную утилиту XP Tweaker.
    4. Измените тип учетной записи настроенного пользователя на "Ограниченного пользователя".
    5. Перегрузите компьютер.
    Заметьте, что пользователь создается с правами Администратора, и только после настройки переводится в группу Ограниченных Пользователей. Это связано с тем, что многие настройки запрещены для ограниченных пользователей (даже если они касаются только этого пользователя!). Поэтому пользователя сначала надо настроить, а потом уже лишить прав Администратора. Не очень-то удобно, но другого способа я не знаю.

  6. Создайте при помощи AdmiLink ярлыки для всех программ, требующих для корректной работы прав Администратора, указав при этом пользователя root в качестве целевого пользователя. Использование специально настроенного пользователя root для выполнения программ предохранит систему от взлома. Сделайте созданные ярлыки доступными для ограниченных пользователей, которые будут ими пользоваться.

  7. При создании ярлыков AdmiLink не упускайте из виду, для кого Вы хотите создавать ярлыки. Если Вы хотите создать ярлыки, доступные для всех пользователей, то запускайте AdmiLink под пользователем Администратор и не забывайте про флажок "All Users" при задании пути ярлыка. Если Вы хотите создать ярлыки, доступные только для одного ограниченного пользователя, то запускайте AdmiLink под этим пользователем, тогда ярлыки будут созданы по умолчанию в папках этого пользователя. А еще лучше запускайте AdmiLink всегда под пользователем Администратор и прописывайте пути ярлыков ЯВНО, тогда пользователь эти ярлыки не сможет (случайно) удалить, так как их владельцем будет Администратор.

  8. Запускайте Web браузер и другие потенциально опасные программы, работающие в сети Internet, только в "карантинной зоне", под пользователем с ограниченными правами. Для этого создайте ограниченного пользователя, запретите этому пользователю все лишние возможности, такие как запуск командной строки, редактора реестра, диспетчера задач и т.д. Затем сделайте при помощи AdmiLink ярлыки для запуска интересующих программ под этим ограниченным пользователем. Запуск Web браузера с пониженными правами поможет предохранить машину от заражения вирусами (см. пример).

  9. И почитайте еще примеры 1, 2, 3, 4.

Содержание


Успеха в Admi-нистрировании!
kouriakine@mail.ru