Как разрешить установку программ на windows 7
В каких ситуациях необходимо отключение антивируса?
Перед тем, как поговорить о методах отключения антивируса в операционной системе Виндов 7. необходимо рассмотреть основные ситуации, которые требуют выполнения этого действия. Иметь представление об этом очень важно, поскольку отключая свой антивирусник вы на некоторое время оставляете свой ПК без защиты.
Одной из самых распространенных причин для отключения антивирусного программного обеспечения является использование пиратских утилит, использующих специальные файлы crack.exe, генераторы ключей KeyGen.exe или файлы типа Patch.exe, отвечающих за взлом стандартной лицензии. Все дело в том, что из-за этих файлов, антивирус распознает пиратские программы как нежелательные или представляющие потенциальную угрозу. Однако на самом деле пиратские программы никакого вреда компьютеру не несут, но для их инсталляции и использования может потребоваться отключение антивируса.
Помимо этого, подобная ситуация возникает и при скачивании файлов с популярных интернет-ресурсов таких, как DepositeFiles, Letitbit, Rapidshare, Turbobit и некоторых других.
Также отключение антивирусного ПО может потребоваться при работе с ресурсоемкими программами или играми на компьютерах с низкими техническими характеристиками. Все дело в том, что для стабильной работы антивирусу требуется значительные ресурсы процессора и оперативной памяти, что создает большую нагрузку на «железо»компьютера.
Помимо этого, некоторые антивирусники могут конфликтовать с интегрированными в операционную систему средствами защиты, а именно, с брандмауэром. В этом случае решить проблему поможет полное отключение антивируса или его удаление.
Временная деактивация антивирусного ПО
Независимо от того, каким антивирусом вы пользуетесь на своем компьютере, процесс его отключения на Windows 7 абсолютно идентичен. Сделать это можно нажав правой кнопкой мыши на иконке антивирусной программы, расположенной в трее возле системного времени на строке меню «Пуск». После появления контекстного меню, выбираем пункт «Временно отключить защиту». Время деактивации зависит от используемого антивируса. Некоторые программы позволяют указать период, на который необходимо приостановить работу утилиты.
Такой способ отключения антивируса на Windows 7 работает на всех современных антивирусниках, однако, он подходит для приостановления работы на небольшой временной промежуток.
Полная деактивация антивирусного ПО
Чтобы полностью остановить работу защитного программного обеспечения на неопределенный временной интервал существует иной способ. Для этого необходимо зайти в пункт меню «Пуск»и выбрать строку «Панель управления». Далее, переходим в раздел «Администрирование» и убираем все галочки напротив строки антивируса в разделах «Настройки конфигурации» и «Автозагрузка».
Когда все галочки сняты. Нажимаем на кнопку «Ок», подтверждаем сохранение внесенных изменений и ждем пока Виндовс 7 выполнит перезагрузку системы. После этого антивирусное программное обеспечение будет находится в отключенном режиме.
Также, отключить антивирус можно через «Диспетчер задач». Для его вызова необходимо воспользоваться комбинацией клавиш Alt+Ctrl+Delete, после чего выбрать строку «Запустить диспетчер задач». Далее, переходим во вкладку «Процессы», находим в списке установленный антивирус, нажимаем на кнопку «Остановить» и подтверждаем свое намерение отключить антивирусник
Как остановить работу брандмауэра Windows 7?
Операционная система семейства Виндовс от компании Microsoft поставляется без интегрированного антивирусного ПО, а защитные функции выполняют стандартные средства защиты, к которым относится брандмауэр, который также называется файрволл.
Для отключения брандмауэра Виндовс необходимо открыть главное меню «Пуск», выбрать раздел «Панель управления», перейти в пункт меню «Система и безопасность» и зайти в раздел настроек брандмауэра Виндовс. Для полной остановки работы этой службы необходимо нажать на строку «Включение и отключение брандмауэра», расположенную в левой части экрана, поставить галочку напротив строки деактивации и подтвердить вносимые изменения.
Для того, чтобы антивирусное программное обеспечение при работе не конфликтовало с брандмауэром, необходимо внести его в список исключений. Для этого переходим в раздел настроек системы «Разрешить запуск программы или компонента через брандмауэр Windows» и устанавливаем галочку напротив вашего антивируса.
Удаление антивируса
Если отключение антивируса не помогло или вы решили установить другую утилиту этого класса, то вам будет необходимо произвести деинсталляцию программы. Однако основная проблема заключается в том, что стандартными методами выполнить удаление антивируса невозможно. Чтобы бесследно удалить антивирусное ПО с компьютера необходимо загрузить операционную систему в безопасном режиме или предварительно установить специальную утилиту, предназначенную конкретно для этих целей. Тем не менее, большинство современных антивирусных программ поддаются деинсталляции без использования таких утилит.
Эта политика распространяет повышенные привилегии на все программы. Эти привилегии обычно зарезервированы для программ, которые были назначены этому пользователю (предложены на рабочем столе), назначены этому компьютеру (установлены автоматически), или были сделаны доступными в окне "Установка и удаление программ" панели управления. Эта политика позволяет пользователям устанавливать программы, которые требуют доступа к папкам, которые пользователь не может просматривать или изменять, включая папки на компьютерах с высоким уровнем ограничений.
Если эта политика отключена или не задана, система применяет разрешения текущего пользователя при установке программ, не распространяемых или назначаемых системным администратором.
Замечание: эта политика появляется как в папке "Конфигурация компьютера", так и папке "Конфигурация пользователя". Чтобы эта политика вступила в силу, следует включить ее в обеих папках.
надеюсь, кто-нибудь может дать доп. пояснения.
Домен 2003, пользователь ХП.
Нужна дать пользователю права на свободную инсталяцию.
Always install with . включен и на комп и на пользоваетеля (политику обновлял)
Пользователь добавлен в локальные админы (как альтернативная попытка)
При инсталяции, пользователь все равно не имеет доступа на запись в папке ПрограмФайлс.
Поможите пожалуйста решить эту проблему.
Да и дело как раз в том, что не хочется давать права на папку, пользователь сам то косячить не начнет, но все же не есть безопастно иметь такой аккаунт.
Пробовал методом Sergey Sosnovsky:
Конф. польз. -- адм.шабл. --комп.Win -- Установщик -- Всегда производить установку с повышенными полномочиями
эту политику положил в ОУ, где лежат эти 3 пользователя, gpupdate -> не могут устанавливать, говорит нужны административные права
в этот же ОУ положил пару компов, gpupdate -> не могут устанавливать, говорит нужны административные права
отредактировал политику добавил в ветке Конф.комп. -- адм.шабл. --комп.Win -- Установщик -- Всегда производить установку с повышенными полномочиями -> не могут устанавливать, говорит нужны административные права
Запрет скрытой установки программ
Unchecky
Одним из методов борьбы со скрытой установкой программ (например, когда вместе с игрой устанавливается браузер) является Unchecky. Эта программа снимает все дополнительные, часто незаметные для пользователя галочки с нежелательными предложениями во время установки какой-либо программы. Утилита также способна находить в запущенном файле сторонние скрытые программы и оповещать об этом пользователя.
Unchecky не требует для использования и настройки каких-либо специфических знаний. Пользователю доступна только настройка иконки программы в трее. Почти идеально, но иногда Unchecky всё же пропускает свежие гадости на жёсткий диск.
AppLocker
Можно не устанавливать ничего лишнего и обойтись встроенными в операционную систему средствами. Так, в Windows 7 Ultimate и Professional и Windows 8 и 8.1 есть утилита AppLocker. Она позволяет составить список запрещённых для установки приложений.
Вместо долгих манипуляций по составлению собственного списка можно также скачать готовый файл настроек Locker и установить, для чего потребуется проделать следующее:
- перейдите в меню «Панель управления» → «Администрирование» → «Службы»;
- переведите службу «Удостоверение приложения» в режим автозапуска и кликните «Запустить»;
- перейдите в меню «Панель управления» → «Администрирование» → «Локальная политика безопасности» → «Политики управления приложениями»;
- выберите параметр AppLocker, вызовите правой кнопкой мыши меню, выберите пункт «Импортировать политику», откройте файл Locker.xml из архива.
Ограничение доступа к учётной записи
Есть и чуть более простой способ (для ранее указанных версий Windows тоже работает):
- перейдите в меню «Панель управления» → «Учётные записи пользователей» → «Управление другой учётной записью» → «Создание (новой) учётной записи»;
- выберите имя учётной записи (например, User), установите галочку напротив «Обычный доступ (Пользователи)» и кликните на кнопке «Создание учётной записи»;
- перезагрузите компьютер.
При дальнейшей работе можно спокойно использовать новую учётную запись — ни одна зловредная программа не сможет установиться. Правда, учётку придётся настраивать с нуля и очень часто будет появляться окошко с запросом о запуске с правами администратора.
«Песочница»
«Песочница» в данном контексте — отдельная выделенная системная область, вариант виртуальной машины. Процессы, запущенные там, могут влиять только на собственное окружение, ограниченное правами доступа. При этом сама операционная система не подвергается какому-либо влиянию. Таким образом, можно работать с любыми файлами. Если приложение окажется безопасным, можно будет его установить. Если какой-то исполняемый файл тянет за собой что-то нежелательное — просто сделать откат и не устанавливать в ОС.
Самый простой способ организации подобного пространства — Sandboxie. Эта программа позволяет запускать в режиме «песочницы» браузер, скачанные файлы, а также работает со ссылками, так что мимо ничего не пройдёт. Если что-то нежелательное и проникнет, можно будет сделать очистку и пользоваться компьютером как ни в чём не бывало. Нечто подобное есть в некоторых антивирусных программах, например в avast! Premier Antivirus или Kaspersky Internet Security.
Что делать, если установка нежелательных программ произошла
В случае, если на ваш компьютер установилась нежелательная программа (не вирус), стоит воспользоваться простой утилитой AdwCleaner.
Конечно, есть и другие не менее простые и удобные способы избежать установки нежелательных и вредоносных программ в Windows. Но не стоит забывать, что лучше всего — внимательность и прямые руки.
К сожалению, в работе сисадмина нет-нет да и приходится разрешать пользователям запускать всякий софт с админскими правами. Чаще всего это какие-нибудь странные китайские программы для работы с оборудованием. Но бывают и другие ситуации вроде небезызвестного bnk.exe.
Выдавать пользователю права администратора, чтобы решить проблему быстро и просто, противоречит нормам инфобезопасности. Можно, конечно, дать ему отдельный компьютер и поместить в изолированную сеть, но — это дорого и вообще…
Попробуем разобрать решения, которые позволят и программу запустить, и безопасника с финансистом не обозлить.
Программа может запрашивать права администратора условно в двух случаях:
- Когда хочет получить доступ туда, куда «простым смертным» нельзя: например, создавать файлы в системных каталогах.
- Когда программу скомпилировали со специальным флагом «Требовать права администратора».
С первым случаем все понятно: берем в руки замечательную программу Марка Руссиновича Process Monitor, смотрим, что происходит, и куда программа пытается залезть:
Куда это лезет этот 7Zip?
И по результатам исследования выдаем права пользователю на нужный каталог или ветку реестра.
Сложнее, если случай клинический, и так просто выдать права не получится: например, программа требует сильного вмешательства в работу системы вроде установки драйверов. Тогда придется придумывать всякий колхоз, про который речь пойдет в последнем разделе статьи. Пока подробнее освещу второй случай — когда стоит флажок.
Если сильно упростить, то в специальном манифесте программы (к слову, установщики — это тоже программы) могут быть три варианта запуска:
- asInvoker. Программа запускается с теми же правами, что и породивший ее процесс (как правило, это explorer.exe c правами пользователя);
- highestAvailable. Программа попросит максимально доступные пользователю права (у администратора появится окно с запросом повышения UAC, у пользователя — нет);
- requireAdministrator. Программа будет требовать права администратора в любом случае.
Если разработчик твердо решил требовать права администратора, даже если они не нужны, то обойти это можно малой кровью.
В системе Windows, начиная с Vista, появилась служба UAC, которая помимо прочего отвечает за запросы программ на повышение прав. Не все программы «переваривали» работу с этой службой. Поэтому в системе был доработан механизм совместимости приложений, позволяющий прямо задать программе ее поведение — запрашивать права или нет.
Простейшим вариантом работы с этим механизмом будет использование переменных среды.
Рассмотрим пример с редактором реестра. Действительно, запуская regedit.exe под администратором, мы получаем запрос на повышение прав:
Запрос повышение прав.
Если же мы запустим редактор реестра из консоли, предварительно поменяв значение переменной среды __COMPAT_LAYER на:
То запроса UAC не будет, как и административных прав у приложения:
Бесправный редактор реестра.
Этим можно пользоваться, запуская программы батниками или добавляя контекстное меню через реестр. Подробнее читайте в материале How to Run Program without Admin Privileges and to Bypass UAC Prompt?
Поскольку ярлычками тут обойтись не выйдет, ведь 1С сама скачивает файл и запускает его, то придется применять тяжелую артиллерию — Microsoft Application Compatibility Toolkit.
Документация к ПО, как обычно, доступна на официальном сайте, загрузить можно как часть Windows Assessment and Deployment Kit. Сам процесс решения проблемы несложен.
Необходимо поставить утилиту, запустить Compatibility Administrator и создать Application Fix в новой или имеющейся базе данных:
Создаем исправление приложения.
Имя и издатель значения не имеют. Имеет значение только расположение файла — тут нужно указать реальный проблемный bnk.exe (где он будет лежать на самом деле — не важно).
Далее необходимо в списке исправлений выбрать RunAsInvoker.
Выбираем нужный фикс.
Все остальное оставляем по умолчанию, сохраняем базу данных. Должно получиться примерно так:
Созданный фикс для bnk.exe.
После этого достаточно будет установить базу данных, щелкнув по ней правой кнопкой и выбрав Install. Теперь пользователи смогут сами грузить классификаторы банков.
Все становится хуже, если приложению действительно нужны права админа. Тогда добавление прав на системные объекты и исправления не помогают.
Казалось бы, самым очевидным решением для запуска нашего странного ПО выглядит использование встроенной утилиты Runas. Документация доступна на сайте Microsoft.
Ну, посмотрим, что из этого выйдет.
Действительно, RunAs запустит 7zip с правами учетной записи «Администратор», спросит пароль и запомнит его. Потом ярлык с такой строкой запуска будет запускать 7zip под Администратором без вопросов.
)
Есть один существенный недостаток: пароль запоминается на уровне системы, и теперь, используя команду Runas, можно будет запускать абсолютно любую программу. Это мало чем отличается от прямого предоставления админских прав сотрудникам, так что использовать это решение не стоит.
Зато runas может быть полезен, когда сотрудник знает пароль администратора, но работает под ограниченной учетной записью (по идее так должен делать каждый системный администратор).
Если мы начали с консольных команд, то перейдем к более высокоуровневым скриптам. Интересное решение было предложено в статье «Планктонная Windows», где упомянутый выше Runas обвязывался js-скриптом и пропускался через обфускатор. У решения есть и очевидный минус — скрипт можно раскодировать.
Чуть более интересным методом в 2к20 являются возможности PowerShell и его работа с паролями. Подробнее можно почитать в материале «Защита и шифрование паролей в скриптах PowerShell».
Если вкратце: в PS работа с паролями производится через специальный тип данных SecureString и объект PSCredential. Например, можно ввести пароль интерактивно:
Затем сохранить пароль в зашифрованном виде в файл:
И теперь использовать этот файл для неинтерактивной работы:
К сожалению, файл этот можно использовать только на том ПК, на котором его создали. Чтобы этого избежать, можно сделать отдельный ключ шифрования. Например так:
Теперь при помощи этого ключа пароль можно зашифровать:
К сожалению, с безопасностью дела обстоят так же печально: утащить пароль не составляет трудностей, если есть доступ к файлу с ключом шифрования и зашифрованным паролем. Да, можно добавить обфускации и скомпилировать скрипт в .exe вместе с нужными файлами. Но нужно понимать, что это — полумеры.
В свое время я использовал для решения подобных задач свой любимый AutoIt, где компилировал скрипт с командой RunAs и радовался… До тех пор, пока не узнал, что AutoIt (особенно старых версий) декомпилируется на раз-два.
Другим интересным вариантом может быть применение назначенных заданий — если создать назначенное задание от админского аккаунта, пользователю для работы будет достаточно его запуска. К сожалению, для интерактивной работы с приложением это решение не подходит.
На свете существует несколько сторонних решений, призванных решить задачу. Остановлюсь на парочке из них.
Пожалуй, одна из самых известных утилит — это AdmiLink, разработанная Алексеем Курякиным для нужд ядерной физики. Программа и принципы ее работы описаны на официальном сайте. Я, как обычно, позволю себе более краткое описание.
Программа состоит из трех модулей. AdmiLink — это графическое окно, где можно создать ярлык на нужное приложение (в принципе, в ряде случаев достаточно только его).
Основное окно программы.
Помимо непосредственно создания ярлыка (и да, запрос UAC тоже можно подавлять), есть и дополнительные функции вроде калькулятора, терминала и удобных настроек политик безопасности. Со всеми возможностями программы читателю предлагается разобраться самостоятельно.
Второй модуль называется AdmiRun и представляет из себя консольную утилиту. Она умеет запускать приложения от имени администратора, получив в качестве одного из параметров строку, созданную через AdmiLink. В строке шифруется имя пользователя и пароль, при этом участвует и путь к программе.
На первый взгляд все выглядит безопасно, но, к сожалению, код программ закрыт, и насколько можно доверять разработчику — вопрос.
Третий модуль — AdmiLaunch — отвечает за запуск окон в разных режимах, и он используется для запуска AdmiRun, если создавать ярлык через AdmiLink.
В целом, решение проверено годами и поколениями отечественных системных администраторов. Но добавлю и альтернативу из-за рубежа.
RunAsRob — довольно интересное ПО за авторством немецкого разработчика Оливера Хессинга (Oliver Hessing). В отличие от AdmiLink, ПО устанавливается как служба, запускаемая под привилегированной учетной записью (администратора или системы). Как следствие, подготовленный ярлык обращается к службе, которая уже в свою очередь запускает заданное ПО.
Особенность программы в том, что есть возможность авторизовать не только программы, но и папки (включая сетевые). А хранение настроек в реестре позволило добавить шаблоны групповых политик, примерно как мы писали в статье «Погружение в шаблоны и приручение GPO Windows». Благодаря этому при необходимости настройки можно применять прямо из Active Directory.
Основное окно программы.
Программа богато документирована на официальном сайте.
У этого автора есть еще и программа RunAsSpc, позволяющая запускать исполняемые файлы под правами другого пользователя, передавая учетные данные через зашифрованный файл.
Мне остается только добавить, что это ПО бесплатно только для личного использования.
Но учтите, что из программы, запущенной под административными правами, можно натворить бед. Например, запустить привилегированную командную консоль через диалог Файл — Открыть.
Запускаем cmd.exe прямо из редактора реестра.
Немного защититься помогут политики запрета контекстного меню и прочих диспетчеров задач, часть из которых может настроить AdmiLink. Но в любом случае следует быть осторожным.
А вам приходилось городить странные костыли? Предлагаю делиться историями в комментариях.
Читайте также: