Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Программирование, базы данных и автоматизация действий » Скриптовые языки администрирования Windows » CMD/BAT - Запуск процесса из папки без доступа

Ответить
Настройки темы
CMD/BAT - Запуск процесса из папки без доступа

Новый участник


Сообщения: 11
Благодарности: 0

Профиль | Отправить PM | Цитировать


Изменения
Автор: san1kan
Дата: 08-06-2018
Приветствую. W10, в автозагрузке юзера (с ограниченными правами) лежит батник для запуска софта из папки к которой у него нет прав, "runas /user:blablabla /savecred c:\0\1.bat", ну не суть. Все работает, но как на батник повесить права ТОЛЬКО НА ЗАПУСК, (стоят галки на чтение/выполнение и чтение (ставится автоматом)) без возможности юзером посмотреть содержимое? (ПКМ > изменить). Если блочу папку автозагрузки от юзера, естественно батник не стартует.
Буду рад любому совету, заранее благодарю!

Отправлено: 20:46, 08-06-2018

 

Ветеран


Сообщения: 1274
Благодарности: 564

Профиль | Отправить PM | Цитировать


Цитата san1kan:
для запуска софта из папки »
Цитата san1kan:
без возможности юзером посмотреть содержимое? »
я лично ничего не понял. Заблокируйте от него папку и дайте ярлык на запуск файла - в чем проблема?

Отправлено: 23:10, 08-06-2018 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 11
Благодарности: 0

Профиль | Отправить PM | Цитировать


Ладно, реально сумбурно, хочу чтоб юзер не знал куда ведет батник в автозагрузке, реально ли закрыть доступ к папке автозагрузки, но чтобы батник или ярлык от туда запускался ?

Отправлено: 23:34, 08-06-2018 | #3


Ветеран


Сообщения: 27449
Благодарности: 8086

Профиль | Отправить PM | Цитировать


san1kan, о чём Вы?! После runas /savecred о каких-либо «ограничениях» говорить смысла даже не имеет.
Это сообщение посчитали полезным следующие участники:

Отправлено: 00:26, 09-06-2018 | #4


Новый участник


Сообщения: 11
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата Iska:
После runas /savecred о каких-либо «ограничениях» говорить смысла даже не имеет. »
В автозагрузке батник запускает софт с диска, к папке с софтом доступа у юзера нет, есть доступ к просмотру папки автозагрузка (но не может в нее записывать и изменять в ней файлы, но может получить содержимое батника через ПКМ > изменить), и доступ на чтение и запуск батника в автозагрузке, после запуска батника с командой runas /uses:админскаяучетка /savecred, дополнительного доступа у юзера ни к папке с софтом, ни куда либо еще не появляется, соответственно ограничения сохранились. Какие по-вашему ограничения обходит юзер используя в данном случае runas для запуска exe через bat в папке без доступа?
PS: при завершении процесса командная строка с админскими правами закрывается.

Последний раз редактировалось san1kan, 09-06-2018 в 09:38.


Отправлено: 09:31, 09-06-2018 | #5


Ветеран


Сообщения: 1274
Благодарности: 564

Профиль | Отправить PM | Цитировать


san1kan,
еще раз - почему именно батник почему не ярлык, пусть даже на батник (а он спрятан) или почему батник, а не exe или ссылка или кнопка в браузере. Вариантов еще можно накидать только насколько я вижу это все проблема где-то в другом, что-то вы мутите и не хотите раскрывать карты, поэтому и условие запутанное и туманное.

Отправлено: 14:20, 09-06-2018 | #6


Ветеран


Сообщения: 27449
Благодарности: 8086

Профиль | Отправить PM | Цитировать


san1kan, после Вашего:
Цитата san1kan:
runas /user:blablabla /savecred »
у пользователя есть возможность исполнить ту же команду runas.exe с любым приложением (а отнюдь не только для заданного Вами в конкретной команде), получив полные права и привилегии учётной записи blablabla. Дальнейшие действия ограничены только фантазией пользователя.

Update: Изложение в деталях: Почему не рекомендуется использовать RunAs.

Последний раз редактировалось Iska, 09-06-2018 в 14:34. Причина: Дополнение


Отправлено: 14:24, 09-06-2018 | #7


Новый участник


Сообщения: 11
Благодарности: 0

Профиль | Отправить PM | Цитировать


Господа, вы почему какую-то подоплеку то ищите?))) На уроках математики никто не спрашивал учителя: "Зачем Вова, отдал Толе 2 яблока из своих 5?" Чего бы там я не мутил, я хочу сделать, то что изложил, так сказать есть задача, есть данные, необходимо с этими данными найти решение, из того чем богат или скорее беден мой опыт, у меня не получается именно то, что мне нужно.

Цитата alpap:
почему именно батник »
сейчас работает через батник, но очень костыльно.
Цитата alpap:
почему не ярлык »
ярлык в свойствах явно указывает на путь, который я не хочу светить
Цитата Iska:
а не exe или ссылка или кнопка в браузере »
exe пожалуй интересный вариант, рассмотрю. не ссылка и не браузер, т.к. необходима автозагрузка.

Цитата Iska:
у пользователя есть возможность исполнить ту же команду runas.exe с любым приложением »
спасибо за пояснение, но я это постарался предусмотреть, и на моем примере, при запущенном приложении от имени админской учетки (runas .. /savecred), я запускаю еще 1 cmd под юзером, используя runas запускаю любое приложение, запрашивает пароль админской учетки.

В принципе, я думаю без костылей exe решит задачу. Пока работает с костылями.

Всем спасибо за дискуссию и советы.

Отправлено: 19:27, 09-06-2018 | #8


Ветеран


Сообщения: 27449
Благодарности: 8086

Профиль | Отправить PM | Цитировать


san1kan, Вы не поняли. Если под неким пользователем Вы сохранили учётные данные другого пользователя, то этот некий пользователь всегда сможет ими воспользоваться без знания чужого пароля. До тех пор, пока Вы не удалите эти учётные данные из хранилища, либо не поменяете пароль этого другого пользователя (и тогда сохранённый перестанет быть валидным). То есть, раз и навсегда — никаких runas /savecred для запуска приложений от имени каких-либо административных учётных записей не должно быть в принципе. Никогда. Это просто открытая настежь дверь.
Это сообщение посчитали полезным следующие участники:

Отправлено: 20:03, 09-06-2018 | #9


Новый участник


Сообщения: 11
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата Iska:
Вы не поняли. Если под неким пользователем Вы сохранили учётные данные другого пользователя, то этот некий пользователь всегда сможет ими воспользоваться без знания чужого пароля »
Я понял) и прочитал статью про runas и admirun, в моем случае, вопреки логике, юзер не может снова воспользоваться запуском от учетки админа без ввода пароля, похоже следствие костылей, но тем не менее.

В целом, полностью согласен с теорией "открытой настежь двери", прислушаюсь. Буду от этого уходить, чтобы не вошло в привычку)) Еще раз благодарю за ЦУ!

Отправлено: 20:59, 09-06-2018 | #10



Компьютерный форум OSzone.net » Программирование, базы данных и автоматизация действий » Скриптовые языки администрирования Windows » CMD/BAT - Запуск процесса из папки без доступа

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
CMD/BAT - [решено] Запуск и завершение процесса из СМD Vsirf Скриптовые языки администрирования Windows 12 08-05-2017 17:07
Windows7: рабочие папки диска С: - с замками и без доступа SAVoyage Лечение систем от вредоносных программ 11 26-04-2013 09:17
[решено] Запуск программы из [GuiRunOnce] без $ОЕМ$ директории Nun-Nun Автоматическая установка Windows 2000/XP/2003 2 08-02-2011 16:32
Разное - Как удалить профильные папки из Личной Папки без последствий? Котяр Microsoft Windows 7 0 28-11-2009 20:36
Запуск *.ехе из HTML без диалога открыть/сохранить Guest Программирование и базы данных 1 11-02-2004 02:19




 
Переход