Запуск встроенного браузера с правами пользователя или гостя windows, возможно ли?

[kodzero]

Собственно сабж в теме письма.
Интерисуюсь на будущее. Пока конечно нужды не было, так как пару проектов написаны под известные ресурсы, где вирусни нет. Но в будущем я планирую парсить с разных ресурсов, соответственно будут попадаться ломаные завирусованные сайты. Так как ZP запускается только с правами администратора, то и браузер встроенный в нем запускается из под администратора, что дает 100% попадание всякой заразы на ПК и дальнейщую его установку в систему(вирусы, бекдоры и т.п.).
Тут никакой антивирус не защитит, если мы работаем из под учетки с правами администратора или рута - основное правило системного администратора.
Хочется запускать встроенный браузер из под ограниченной учетной записи windows с правами обычного пользователя или гостя.
Как это сделать?

 

[Sergodjan]

я конечно не спец в админстве, пусть прокомментируют мой метод спецы..
я работаю в системе постоянно с правами Пользователя, но перед установкой Зеннопостреа временно дал права Администратора на учетку, установил Зеннопостер и потом вернул права Пользователя.. т.е. запускаю Зеннопостер двумя кликами в учетке Пользователь (не от имени Администратора).. Зеннопостер работает нормально, глюков не видел ни разу, насчет вирусни не знаю, проникнет она в систему если такой метод использовать или нет..

 

[kodzero]

Да возможно это и есть решение.
Я всегда работал под учеткой с правами пользователь. При установке на семерку ввел пароль админа, зенно установился, но теперь все время требует при запуске пароль администратора. Сегодня вечером попробую сделать в той же последовательности, что и Вы, думаю все получится. Пробовал дать полные права всем пользователям машины на папку куда установлено зено, но он все равно потом требует права админа.

 

[kodzero]

Выполнил в той же последовательности, все равно программа требует права администратора.
1) Добавил учетную запись из под которой буду работать с Зено в локальную группу "Администраторы"
2) Полностью удалил старые версии и заново из под этой учетной записи установил Зеннопостер.
3) Вернул данную учетную запись в группу пользователи и удалил из группы администраторы.
4) Перезашел в рабочий профиль, чтобы применились политики учетных записей.
5) Пытаюсь запустить зенно, нет, все равно требует права администратора.(Спрашивает пароль админа на запуск)
6) Тогда я пошел к рабочей папке зенно постера, чтобы дать на нее полные права для ограниченной учетной записи из под которой буду работать. C:\Program Files (x86)\ZennoLab - "Свойства" паки, вкладка "Безопасность", ну и тут даем полные права на все папки и подпапки включая зеннопостер и проксичеккер.

Пытаюсь снова запустить программу, нет, все равно программа требует администраторский привилегий.

Когда программа запускается в администраторском режиме, все другие подпрограммы, которые запущены из под нее включая браузер, она тоже запускает с правами администратора, что делать не в коем случае нельзя особенно с браузером! Тут даже и эксплоиты не нужны, чтобы поиметь такую тачку, просто вхреначиваем exe через страницу куда заходит Зено и машина 100% заражена, делай с ней все что хочешь.

Кто, как решил данную проблему, поделитесь пожалуйста?

 

[Sergodjan]

странно..
но я делал на XP и Server 2003..
вы на 7-ке?

 

[kodzero]

Да - 7 максимальная.
У Вас другие программы в системе устанавливаются из под вашей учетной записи и не требуют никаких дополнительных манипуляций?

 

[Sergodjan]

Да - 7 максимальная.
У Вас другие программы в системе устанавливаются из под вашей учетной записи и не требуют никаких дополнительных манипуляций?

все остальные программы устанавливаю от имени учетки админа, запускаю от имени пользователя (простыми кликами)..

 

[kodzero]

Ну да тогда у Вас все верно. Ограниченная учетка с правами пользователь, как и положено.
У меня 7 максимальная. Все другие программы работают нормально, как положено. Устанавливаются от прав администратора и запускаются потом из под любой учетки с правами пользователь.

 

[kodzero]

Админы подскажите плиз, может надо дать пользователю полный доступ на какие-то системные файлы Windows, что программа запускадась с правами пользователь?
Ну или сделайте в следующем билде, чтобы встроенный браузер можно было запускать от прав другого локалького пользователя машины. Ну что-то типа в настройках сдлеать форму, куда можно вписать логин и пароль локального пользователя ПК, так чтобы браузер потом запускался от его имени, если сделает, я сразу продлю абонентку.

P.S.
Если надо могу дать RDP доступ до моей тачки.

 

[Sergodjan]

+100500, не исключено что придется апгрейдиться до win 7-ки, оооч. актуально иметь возможность запускать зеннопостер или встроенный браузер его не от Администратора..

 

[darkdiver]

Пока не получится запускать с пользовательскими правами, мы работаем над тем, чтобы браузер запускался с минимальными ему необходимыми правами, должно быть готово, через один релиз.
Так же дисковый кеш у браузера отключен, он не создает файлов на жестком диске, в папке профиля хранятся куки и служебные данные, так же есть мониторинг выполнения чужого кода в процессе, он просто убьет процесс при попытке выполнения стороннего кода в нем.
В любом случае сделаем, чтобы процесс работал с пониженными правами, сам постер скорее всего будет работать от админа, а base.exe от пользователя или того ниже.

 

[Sergodjan]

Пока не получится запускать с пользовательскими правами, мы работаем над тем, чтобы браузер запускался с минимальными ему необходимыми правами, должно быть готово, через один релиз.
Так же дисковый кеш у браузера отключен, он не создает файлов на жестком диске, в папке профиля хранятся куки и служебные данные, так же есть мониторинг выполнения чужого кода в процессе, он просто убьет процесс при попытке выполнения стороннего кода в нем.
В любом случае сделаем, чтобы процесс работал с пониженными правами, сам постер скорее всего будет работать от админа, а base.exe от пользователя или того ниже.

ок, это будет классно..
но непонятно как зеннопостер работает в моем случае - с правами админа или пользователя?
устанавливал в учетке с правами админа, потом перевел учетку в пользователя и запускаю мейкер и зенопостер просто двумя кликами, т.е. от пользователя.. запускается и работает нормально, пароль админа не требует.. система - server 2003 ..
видимо тут наиболее критично, чтобы права на папки и файлы были конкретной учетки?
но почему подобный фокус не проходит в вин 7? там продолжает требовать админский пароль..

 

[darkdiver]

в win 7 читается манифест приложения правильно, в win 2003 на него забивается.
изменить манифест приложения нельзя, он жестко зашит в exe файл.

 

[kodzero]

Oks, спасибо большое, будет очень актуально.
Может пригодится, хотя думаю вы и так знаете, но вдруг ускорит процесс. Запуск любой программы из командной строки от имени другого пользователя, команда - runas