Иногда требуется удалить какие-нибудь «очень защищённые» файлы, или поправить реестр. Если в WinXP это можно было обойти легко, всего лишь выставив себе нужные права, то в Vista мы получили геморрой по имени “Trusted Installer”. И сейчас бывает действительно необходимо использовать системную учётную запись.
Для запуска от имени Local System используется временный сервис (который работает под этим аккаунтом). Он запускает cmd.exe (это можно легко поправить в исходниках). Сначала сервис распаковывается из ресурсов, потом устанавливается, запускается, запускает cmd, и завершается, удаляя за собой временный сервис.
В WinXP запущенная программа будет видна сразу. В Vista из соображений безопасности все сервисы запускаются на отдельной оконной станции (window station). Поэтому после запуска вылазит такое вот сообщение:
Жмём “Show me the message”, и пользуемся полученными привелегиями
ПРЕДУПРЕЖДЕНИЕ. Описываемую ниже технологию следует применять лишь четко осознавая ЧТО именно Вы хотите сделать и к каким последствиям это может привести. Необдуманное применение может вызвать крах системы. После столь грозного предупреждения, опишу совершенно невинные действия по извлечению из Registry интересующей меня информации, которая невозможно извлечь обладая правами администратора. Вот пример попытки войти в ветку с именем Properties:
Как видите, невежливо отказано посмотреть что там "внутрях" ветки свойств...
К счастью существует команда Марка Руссиновича ( www.sysinternals.com ), создавшая большой набор очень полезных утилит. Одна из них, под названием psexec.exe, позволила мне удовлетворить свое любопытство и таки заглянуть внутрь ветки Properties:
Запустим RegEdit.exe с помощью psexec.exe и вот что мы теперь увидим внутри ветки Properties:
Понятно, что мое любопытсво в данном случае поймет лишь ничтожное количество читателей, но ведь подобных защищенных веток в системном реестре - тысячи и многие из них наверняка содержат более интересную информацию. Cразу подчеркну, что ВСЕ такие ветки содержат КРИТИЧЕСКУЮ для работы системы информацию, которую ни в коем случае не рекомендуется изменять или удалять. Теперь давайте разберемся с тем, что же именно делает утилита psexec.exe ( очевидно и козе, что запускать ее надо с административными правами ). Ответ на этот вопрос под спойлером.
Программа RegEdit.exe запущена администратором syspr_000 и вот как выглядит в TaskManager: А вот как TaskManager отображает процесс той же самой RegEdit, но запущенной с помощью psexec: Как видите теперь процесс RegEdit запущен с правами SYSTEM и потому у него нет никаких ограничений в работе с реестром.
Заключительные замечания и рекомендации. Хотя многим уже стало понятно, что запустив с помощью psexec.exe скажем Проводник или Тотальный командир, они смогут влет удалять к примеру Windows.Old, я КАТЕГОРИЧЕСКИ не рекомендую это делать, тем более не очень грамотным и опытным пользователям. Ведь неизвестно где, скажем в системном реестре или в пользовательских профайлах или еще где-то, хранится информация об удаляемых директориях. Именно поэтому удаление скажем Windows.Old все же БЕЗОПАСНЕЙ осуществлять штатным средством cleanmgr.exe. С другой стороны, использование утилиты PSExec именно так, как я описал применительно к ЧТЕНИЮ конкретных веток Registry, абсолютно безопасно.
Под root тоже не возможно зайти в эти ветки или как?
Боюсь, что НЕТ, но проверьте, я не проверял. Все же мне представляетс сомнительным, чтобы пользователю BASH назначались права SYSTEM независимо от того, под каким идом запущен процесс. Все же BASH внедрен под Windows не для управления Windows, а в первую очередь для разработки кода *nix в среде Windows
встроенного админа, а не того админа которого по умолчанию назначает система.
Понятно, так называемый TrustedInstaller. Но насколько я понимаю, это и есть SYSTEM, которая при назначении прав указывает это фиктивное имя. Не думаю, что реально можно логиниться под TrustedInstaller. А что касается вcтроенного Administrator, то он НИГДЕ в правах не прописан и потому бесполезен
Проверил. А теперь результат. Во первых, то что под админом нет доступа к разделу, это ошибка мелких, так как у данного раздела нет владельца. Во вторых, после назначения владельца в ручную, под встроенным админом свободный доступ в полный рост. Не требуются ни какие дополнительные утилиты!!! Остальное допишу в личку.
если владелец не является пользователем данного ПК\домена.
Внимание, Вопрос? Как может встроенный администратор данного ПК - не являться пользователем данного ПК? Все действия происходят на одной и той же машине.
Ну нету у этой ветки ни какого владельца. Даже "разработчика" Так же нет наследования прав от выше стоящего объекта. Скрин что-то выложить не могу, загрузка изображений подвисает.
В связи с введением в действие Постановления Правительства Российской Федерации от 14.11.2023 № 1905 т.н. "о запрете популяризации VPN" с 1 марта 2024 года - любое обсуждение способов обхода блокировок и VPN на портале запрещено!
