Как дать программам повышенные привилегии на доступ к usb и hdd под локальным пользователем?

Question

[Zohei]

Здравствуйте.
Имеется специфичное сертифицированное программное обеспечение (аналогов нет, не будет, гос. сектор, отказаться нельзя), которое писалось под Windows XP и замечательно на нем работало.
Тут закупили современные ПК с ОС Windows 10, подняли локальную сеть с контролером домена Windows Server 2008 R2.
Начались проблемы с тем, что старое ПО работает корректно только при запуске с правами администратора, иначе это ПО не видит карты памяти, например, для заливки прошивок, либо не может работать с hdd, например, осуществлять выбор разделов и директорий диска.

Раздавать всем пароли администратора чревато. Хотелось бы уйти от этого раз и навсегда.

Навскидку предполагаю два решения:
1. (Нежелательный) Раздать пользователям права локальных администраторов.
2. Дать повышенные привилегии на ветки реестра связанные с USB и HDD. Но на какие именно??
Ваши предложения, господа?)

Comments

[Yan]

а если дать права группе (пользователи например) не только на чтение, но и на запись в свойствах программы?
так же сделать в свойствах дисков

и вообще, у каждого своя учетка должна быть со своими привилегиями
гос сектор ЖИ

[Zohei]

Yan, в свойствах программы давал все права пользователям - не помогло. Попробую завтра на всякий случай по вашему совету и свойства дисков..
Учётка то у каждого своя, двухфакторная авторизация, юсб ключи...

Answer 1

[Ezhyg]

Хм, а просто дать повышенные права только программе, не вариант?

С помощью сторонних утилит не предлагаю, есть ведь "Планировщик заданий"! Создай XML файл и вставь туда следующий текст, затем открой планировщик и импортируй задачу, указав этот файл:

<?xml version="1.0" encoding="UTF-16" ?> 
- <Task version="1.3" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
- <RegistrationInfo>
  <Date>2010-04-25T16:26:08.3858237</Date> 
  <Author>Ezhyg_from_Toster</Author> 
  </RegistrationInfo>
- <Triggers>
- <EventTrigger>
  <Enabled>true</Enabled> 
  <Subscription><QueryList><Query Id="0" Path="Microsoft-Windows-UAC/Operational"><Select Path="Microsoft-Windows-UAC/Operational">*[System[Provider[@Name='Microsoft-Windows-UAC']]]</Select></Query></QueryList></Subscription> 
  </EventTrigger>
  </Triggers>
- <Principals>
- <Principal id="Author">
  <GroupId>S-1-5-32-545</GroupId> 
  <RunLevel>HighestAvailable</RunLevel> 
  </Principal>
  </Principals>
- <Settings>
  <MultipleInstancesPolicy>Parallel</MultipleInstancesPolicy> 
  <DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries> 
  <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries> 
  <AllowHardTerminate>false</AllowHardTerminate> 
  <StartWhenAvailable>false</StartWhenAvailable> 
  <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable> 
- <IdleSettings>
  <StopOnIdleEnd>true</StopOnIdleEnd> 
  <RestartOnIdle>false</RestartOnIdle> 
  </IdleSettings>
  <AllowStartOnDemand>true</AllowStartOnDemand> 
  <Enabled>true</Enabled> 
  <Hidden>false</Hidden> 
  <RunOnlyIfIdle>false</RunOnlyIfIdle> 
  <DisallowStartOnRemoteAppSession>false</DisallowStartOnRemoteAppSession> 
  <UseUnifiedSchedulingEngine>false</UseUnifiedSchedulingEngine> 
  <WakeToRun>false</WakeToRun> 
  <ExecutionTimeLimit>PT0S</ExecutionTimeLimit> 
  <Priority>7</Priority> 
  </Settings>
- <Actions Context="Author">
- <Exec>
  <Command>"C:\Program Files\Akelpad\AkelPad.exe"</Command> 
  </Exec>
  </Actions>
  </Task>

Затем создай ярлык:

C:\Windows\System32\schtasks.exe /run /tn Имя_задачи

Именем задачи является имя файла, но можешь переобозвать при импорте.

Comments

[Zohei]

Ругается на Subscription при импорте. Может разметка xml для задач изменилась десятке...

[Zohei]

Создал задачу вручную.. не работает.. вероятно я не умею готовить планировщик.
Запускается только под админом, если в него выполнен вход. Если в настройках указать всех пользователей задача не запускается вовсе

[Ezhyg]

Zohei, попробуй сохранять в юникоде.

Тебя планировщик спрашивал в первый раз указать Имя и Пароль?

Я вот именно эту задачу создал прямо в акельпаде из другого файла, импортировал и проверил - добавляется нормально, но в семёрке. Потому там и стоит "акельпад".

[Zohei]

Пробовал ansi, utf8, utf8 без bom)
При сохранении задачи спрашивает имя, пароль.
При запуске через консоль в зависимости от настроек задачи, говорит либо "отказано в доступе", либо "успех. попытка запуска задачи", но задача не запускается.

[Zohei]

Ezhyg, завтра смогу выложить логи и варианты настроек, может посоветуете что)

Вообще я не понимаю какие конкретно функции требуют прав администратора. Вызов winapi функций на получение списка устройств, запись, возможно работа с реестром? Под винапи крайне мало кодил. Буду ещё пытаться с разработчиками софта связаться, может они посоветуют что

[Zohei]

Ezhyg, ок, попробую завтра в нормальном редакторе сохранить файл, а не в стоковом виндовом.

[Ezhyg]

Zohei, а если UTF-16 (если есть приставка, то LE) и с BOM?

Так сохранил сам планировщик. Хотя текст в Win1251 он у меня тоже принимал - только что проверил ещё раз.

Скорее всего просто какая-то проблема с планировщиком.
Попробуй создать задачу и экспортировать в xml, а потом мне покажи. Вдруг что подскажу.

Журналы ещё обязательно включи (журналы в планировщике)! И там смотри отчёт.

Answer 2

[Константин Цветков]

писалось под Windows XP

Установите для программы совместимость с Windows XP.
Настройка совместимости.

Не помогло

Тогда следует сделать виртуальную машину с Windows XP или использовать мини-компьютер.

Примечание:
С прошлого века применяю в работе следующее: иногда проще использовать для "специфического" ПО отдельный компьютер, чем бороться за совместимость оного. Например, клиент-банк (как приложение, а не онлайн) с его крипто-ключами, лежит маленькая коробочка с удаленным рабочим столом.

Comments

[Zohei]

Не помогло

Answer 3

[rPman]

Если про доступ к прошивкам я еще понимаю, прямой доступ к портам ввода вывода, то требование администраторских прав чтобы делать выбор разделов и диска это фейл, вы не сможете правильно ограничить приложение, так как как только вы даете доступ к дискам то через окно открытия файла можно будет вытворять с файловой системой что угодно

В вашем случае решением может быть только изоляция, в идеале - виртуальные машины. Для начала по экспериментируйте с приложениями песочницами типа Sandboxie (последние можно найти фактически ту же виртуалку, только не потребуется покупать отдельную лицензию на операционную систему внутри виртуалки)

Comments

[Zohei]

Протестировал vmware thinapp. Работает приложение опять же только при запуске с правами администратора. Под пользователем по прежнему не видит карты памяти.
Попробую ещё другие средства виртуализации...

[rPman]

Ищите 'проброс usb портов' или даже всего usb контроллера (например с этим заморачиваются пользователи, запускающие лицензионные приложения, требующие usb ключ/usb hasp), это могу практически все виртуальные машины, точно помню играл с kvm работала даже видеокарта (но не смог пробросить ps/2 клавиатуру, на тот момент для меня это было критично).

Внутри виртуалки вы можете давать приложению любые права, это песочница, дальше которой приложение можно не пускать, изоляция на уровне сети/фаервола/прав пользователей.