Проблемы с UAC при распространении ПО.

[medvedi244]

Версия Autoit: 3.3.6.1

Описание:
Всем доброго времени суток.
Есть парк машин в домене, есть админская учётка для установки ПО и есть доступ к логон скрипту. Доступ к групповым политикам закрыт и иного средства по централизованному распространению ПО нет. Необходимо в скрытом режиме разлить ПО.
Главная проблема состоит в включенном UAC (при отключённом UAC мой способ работает отлично на любой версии ОС windows ) на ПК пользователей, который я не имею право отключать. Все известные мне способы не работают с UAC или требуют согласия у пользователя на повышение прав.
Прошу помощи у знающих людей.

Примечание:
1. Огромная просьба людей не разбирающихся в работе UAC и в проблеме в целом, не писать ответы.
2. Не пишите ответы из серии:
2.1 А может так попробовать....
2.2 А что если установить антивирус Каспесрски и установить им?
2.3 Лучше отключить UAC и не париться.
2.4 А какие методы вы уже использовали?


Отправлено с моего iPad используя Tapatalk

 

[Yashied]

Re: Проблемы с UAC при распространении ПО.

Огромная просьба, перед тем, как постить в "Стол заказов", прочитайте в следующий раз правила этого раздела.

 

[joiner]

Re: Проблемы с UAC при распространении ПО.

medvedi244 [?]

Все известные мне способы не работают с UAC

какие способы?подробно

и вопрос вдогонку, околотемный. А не проще с админом уладить все дела? Установка программ вопреки запретам это схоже с заражением компьютера.

 

[medvedi244]

Re: Проблемы с UAC при распространении ПО.

Вы знаете как решить данную проблему? Если да, то буду очень благодарен, но если нет, то к чему такие вопросы? По поводу второго вопроса. Установка разрешена, но с оговоркой оставить uac в исходном состоянии.


Отправлено с моего iPad используя Tapatalk

 

[medvedi244]

Огромная просьба, перед тем, как постить в "Стол заказов", прочитайте в следующий раз правила этого раздела.

Сори. Поправил.
Может обратно в стол заказов вернуть?


Отправлено с моего iPad используя Tapatalk

 

[joiner]

Re: Проблемы с UAC при распространении ПО

medvedi244 [?]

Вы знаете как решить данную проблему?

я знаю, но вижу что ты не понимаешь ситуацию.
будем перебирать по очереди все способы?
я буду писать способ , а ты будешь отписываться - делал ты это или нет. потом я задам дополнительные вопросы, типа, "а как делал? так или так?"

[?]

2. Не пишите ответы из серии:

OffTopic:
ты в роли просящего, поэтому такого рода замечания - наглость

 

[uritalex]

Re: Проблемы с UAC при распространении ПО

OffTopic:
Нельзя не согласится с предыдущими постами Перечисли те способы что ты пробовал!!!! Это сэкономит время и тебе и всем остальным!!! И не хами! пришел за советом и сразу хамить :( не по людски как то

И в догонку ты такое пробовал: Есть такая WinAPI — RtlQueryRegistryValues (msdn.microsoft.com), она используется для того, чтобы запрашивать множественные значения из реестра одним своим вызовом, что делается с использованием специальной таблицы RTL_QUERY_REGISTRY_TABLE, которая передается в качестве __in__out параметра.
Самое интересное (и постыдное для разработчиков Microsoft) в этой API то, что существует определенный ключ реестра, который можно изменить при помощи ограниченных пользовательских прав: HKCU\EUDC\[Language]\SystemDefaultEUDCFont. Если сменить тип этого ключа на REG_BINARY, то вызов RtlQueryRegistryValues приведет к переполнению буфера.
Когда ядерная API-функция Win32k.sys!NtGdiEnableEudc запрашивает ключ реестра HKCU\EUDC\[Language]\SystemDefaultEUDCFont, она честно предполагает, что этот ключ реестра имеет тип REG_SZ, так что в буфер передается структура UNICODE_STRING, у которой первое поле является типом ULONG (где представлена длина строки). Но так как мы можем изменить тип этого параметра на REG_BINARY, то систему это ставит в глубокий тупик и она неправильно интерпретирует длину передаваемого буфера, что приводит к переполнению стека.

 

[medvedi244]

Уважаемые други, извините если кого обидел. Каюсь, честно каюсь.... Просто часто на подобного рода форумах много страниц обсуждения и нет решения, а есть перечисление возможных вариантов и от людей которые ни разу не использовали их.


Отправлено с моего iPad используя Tapatalk

 

[medvedi244]

Я еще новичок в использовании Autoit, узнал о его существовании только пару дней назад. Пытался найти альтернативные пути решения моей задачи и наткнулся на Autoit.
1. С использованием AutoIt пробовал аналог команды RunAs(точно не помню как называется, файл не при себе), с указанием админский учётку и запуском cmd с указанием запуска необходимого .bat файла. В .bat файле прописан путь к exe файлу.
2. При помощи bat файла и стандартного RunAs.
3. При помощи bat файла который запускал в тихом режиме утилиту CPAU с указанием зашифрованного файла (задания ). В зашифрованном файле учетная запись админа с указанием на запуск bat файла.
Все перечисленные способы отлично работали с отключенным UAC.
В данный момент активно использую способ 3, так как ранее для него написал на vbscript скрипт, который задает вопросы у админа про учётки, про сетевые пути к файлу установки и в конце сам генерирует готовый пакет для установки. Остаётся только прописать одну строчку в логоне на запуск, но и даже эта строчка готова в отдельном файле.



Отправлено с моего iPad используя Tapatalk

 

[medvedi244]

OffTopic:
Нельзя не согласится с предыдущими постами Перечисли те способы что ты пробовал!!!! Это сэкономит время и тебе и всем остальным!!! И не хами! пришел за советом и сразу хамить :( не по людски как то

И в догонку ты такое пробовал: Есть такая WinAPI — RtlQueryRegistryValues (msdn.microsoft.com), она используется для того, чтобы запрашивать множественные значения из реестра одним своим вызовом, что делается с использованием специальной таблицы RTL_QUERY_REGISTRY_TABLE, которая передается в качестве __in__out параметра.
Самое интересное (и постыдное для разработчиков Microsoft) в этой API то, что существует определенный ключ реестра, который можно изменить при помощи ограниченных пользовательских прав: HKCU\EUDC\[Language]\SystemDefaultEUDCFont. Если сменить тип этого ключа на REG_BINARY, то вызов RtlQueryRegistryValues приведет к переполнению буфера.
Когда ядерная API-функция Win32k.sys!NtGdiEnableEudc запрашивает ключ реестра HKCU\EUDC\[Language]\SystemDefaultEUDCFont, она честно предполагает, что этот ключ реестра имеет тип REG_SZ, так что в буфер передается структура UNICODE_STRING, у которой первое поле является типом ULONG (где представлена длина строки). Но так как мы можем изменить тип этого параметра на REG_BINARY, то систему это ставит в глубокий тупик и она неправильно интерпретирует длину передаваемого буфера, что приводит к переполнению стека.

Сори, но я не могу вас понять. Как мне может помочь переполнение стека?


Отправлено с моего iPad используя Tapatalk

 

[Belfigor]

Re: Проблемы с UAC при распространении ПО

Единственная легальная возможность, средствами винды: включить встроенную учетку локального админа, задать ей пароль, и тогда любая программа без прав, через runas, сможет запустить любую программу требующую админские права, при максимально выкрученном вверх UAC. Этот же вариант под просто админской учеткой - не сработает, у неё слишком обрезанные права.

Всякие там запуски через планировщик задач с повышенным приоритетом, через элевейтед ярлыки, через Microsoft Application Compatibility Toolkit, не работает. Точнее работает только в очень узкоспециализированных ситуациях.

Доменную учетку админа ты никак не обойдешь. Если ты не знаешь пароль от учетки администратора компьютера, но ты уверен что она есть, то ты можешь сбросить её пароль через например ердкоммандер, далее из под неё активировать учетку локального админа, и из под неё запускать чо хош и как хош, находясь в домене. только в runas надо соответствующую авторизацию подставить.

Если же на компьютере только доменные учетные записи - её ты никак без доступа к серверу или к админу не взломаешь.

 

[medvedi244]

Если это так, то это очень печально. Я уже долго искал и не хотел в это верить.
Не совсем понял что вы имели ввиду про "Доменную учётку админа ты не как не обойдёшь", мне не надо её обходит у меня есть данные к доменном пользователю добавленный в группу админа на пк пользователей.

 

[Belfigor]

Re: Проблемы с UAC при распространении ПО

OffTopic:

у меня есть данные к доменном пользователю добавленный в группу админа на пк пользователей.

Мужчина! МУЖЧИНА!!!!! Тока вот под этой учеткой ты даже взбзднуть без запроса UAC не сможешь, в отличии от кошерной учетки локального админа. Её ксатати активировать ты можешь и из под доменной учетки (память таки если мне не изменяет). Тока UAC пару раз OK нажать может попросить, если я все прально помню. В любом случае операция единоразовая. (не ну а чо ты хотел? Страдать придется так и так, разница лишь в том сколько раз)
Я то описывал вариант когда при максимльном UAC, тебе надо без его запросов чо сделать. А коли у тебя есть доменная учетка админа - чай не идиот значед, ну или просто повезло. 1) пробуй активировать локального админа на компе. 2) Если у тебя не получится из под доменного админа активировать локального - вешайся.

3) Надо сделать все кошерно - #RequireAdmin. Без него ты даже самую кошерную операцию без ведома UAC не проведешь. Тебя рано или поздно спросят - насколько кошерна твоя операция. Есть учетка локального админа - даже #RA софт запускаетсчя без лишнего писка. Я так на 76 серверах свой софт обновляю без необходимости повергать в ужас диспетчеров их юзающих. Только я не парился, мне все 76 локальных админов активировал эникей

P.S. Честно скажу - кое-то веки вылез за пределы своего раздела - если что нарушил по правилам, плиз удалите моё сообщение. А то оно достаточно ценное, нидайбох супостат прочитает его до исправления всех своих ранних оплошностей.

 

[medvedi244]

OffTopic:

у меня есть данные к доменном пользователю добавленный в группу админа на пк пользователей.

Мужчина! МУЖЧИНА!!!!! Тока вот под этой учеткой ты даже взбзднуть без запроса UAC не сможешь, в отличии от кошерной учетки локального админа. Её ксатати активировать ты можешь и из под доменной учетки (память таки если мне не изменяет). Тока UAC пару раз OK нажать может попросить, если я все прально помню. В любом случае операция единоразовая. (не ну а чо ты хотел? Страдать придется так и так, разница лишь в том сколько раз)
Я то описывал вариант когда при максимльном UAC, тебе надо без его запросов чо сделать. А коли у тебя есть доменная учетка админа - чай не идиот значед, ну или просто повезло. 1) пробуй активировать локального админа на компе. 2) Если у тебя не получится из под доменного админа активировать локального - вешайся.

3) Надо сделать все кошерно - #RequireAdmin. Без него ты даже самую кошерную операцию без ведома UAC не проведешь. Тебя рано или поздно спросят - насколько кошерна твоя операция. Есть учетка локального админа - даже #RA софт запускаетсчя без лишнего писка. Я так на 76 серверах свой софт обновляю без необходимости повергать в ужас диспетчеров их юзающих. Только я не парился, мне все 76 локальных админов активировал эникей

P.S. Честно скажу - кое-то веки вылез за пределы своего раздела - если что нарушил по правилам, плиз удалите моё сообщение. А то оно достаточно ценное, нидайбох супостат прочитает его до исправления всех своих ранних оплошностей.

Красавчег.
Про локального админа я знал, но думал есть метод который поможет в моём случае. С первого раза и без запросов uac. Чувствую придётся нарушать договорённость.....
Большое спасибо мил человек.!

 

[madmasles]

Re: Проблемы с UAC при распространении ПО

medvedi244,

Предупреждение

За нарушение общих правил (пункт В.2):

Старайтесь избегать “Over quoting” (преувеличенное цитирование) - цитируйте только необходимую часть сообщения, которая наилучшим образом подчеркнёт суть цитируемого.

С уважением, ваш Глобальный модератор.