theelf escribió:@Perfect ArdamaxLo que deberías es usar cuenta limitada, y escalar privilegios cuando sea necesario
En NT4, win2000 y XP se usaban funciones de la API llamadas impersonation, que ni cristo usaba, excepto admin competentes con diferentes herramientas. Luego salieron algunas herramientas como sudown o sudowin para faciltar el tema
En sistemas mas nuevos, yo supongo sudown sigue funcionando, hace algun tiempo lo compile para 64bits, en version consola.
Yo sigo usando XP x64, así que solo lo he probado en este sistema
https://www.elotrolado.net/hilo_sudown-compilado-para-64bits_2184204
Lamentablemente este tipo de buenas practicas, no le importa un pimiento a casi nadie
Todo el sistema de permisos de windows 8.1 y superiores a mi parecer es una mierda trinchada en un palo para usuarios avanzados, creo que win7 tambien, no recuerdo
Había escrito algo tiempo atrás
https://www.elotrolado.net/hilo_como-puedo-evitar-permisos-de-administrador-en-windows-10_2144916Esog Enaug escribió:Tu lo que quieres es implementar el sistema de permisos de Linux en Ventanucos.
Entiendo que quiere meter casi todo como lectura sin escritura, aun usando admin
@Esog Enaug y
@theelf Voy a explayarme (para intentar explicarme):
Yo ahora mismo en el PC de "trabajo" estoy en Windows 7 (tuve que asarme forzosamente al no poder usar cierta aplicación en XP x64).
La aplicación que as puesto me puede ser muy útil (gracias). Esta noche la probare no obstante si dices (en su momento por lo que leo) la probaste en W8 y funcionaba en W7 no debería dar problemas.
Respecto a lo que "quería" era simplemente que
en determinados directorios (incluyendo los archivos y subdirectorios) Windows incluso siendo yo administrador me pidiera
si o si confirmación antes de borrar o modificar los archivos de dicho directorio.
Y que me permitiese así Denegar (en caso necesario) la operación de modificado/borrado.
En carpetas del sistema como la carpeta Windows esta opción es impracticable (puesto que el SO usas archivos de ese directorio de forma constante y por lo tanto constantemente me saltarían mensajes de permitir/denegar). Pero en otro tipo de ubicaciones como "Documentos" o "Escritorio" o los múltiples HDD esclavos que tengo dicha función seria muy util porque me permitirá discernir modificaciones legitimas (las que estoy haciendo yo justo en ese preciso instante) y las que no.
Piensa en ello como un UAC avanzado (personalizado por directorios) en el que si un directorio (con sus correspondientes archivos y subdirectorios) protegido previamente por tí con ese "UAC personal" fuese a ser modificado o borrado saltara un mensaje como el de UAC:
Con un mensaje parecido a:
Dicho archivo/directorio esta intentando ser eliminado por el programa C:\Users\Admin\AppData\Local\Temp\virus.exe
Con proceso llamado dmw.exe
Con algo tan simple como eso evitas cualquier malware que tenga como función modificarte o borrarte archivos de carpetas que "tú" consideres importantes.
(Obviamente nadie le daría a "Permitir")
Es mas en el caso concreto de los Ransomware dicha ventana de advertencia te saltaría por cada archivo (dentro del directorio protegido) que el Ransomware intentara modificar por lo que simplemente ante el hecho de que te saltaran (supongamos que tienes 100 archivos importantes en la carpeta protegida) 100 ventanas de aviso una tras otra ya es que incluso una persona inepta no le daria 100 veces a "Permitir" sin antes leer que cojones esta diciendo el mensaje.
Y ya lo bordamos si implementamos "X" (Cerrar) como un denegar and cerrar (incluso el mayor inepto que le diera a "Cerrar Grupo" salvaría sus datos).
Ademas de que solo el hecho de que te saltaran 100 advertencias ya delataría la propia existencia del malware (aunque el antivirus de turno no lo detectase).
Se que esto no lo lleva Windows implementado. Así pues mi consulta era más bien dirigida a métodos similares (que tuvieran el mismo efecto) si el engorro (y mal diseño) del sistema de permisos actuales de Windows.
Lo que dice
@theelf de:
theelf escribió:Entiendo que quiere meter casi todo como lectura sin escritura, aun usando admin
Es una solución valida como también lo es la de dar permiso de "solo lectura" a directorios concretos del sistema (aun siendo parte del grupo administradores) cosa que se puede hacer perfectamente desde "propiedades" en la pestaña de "seguridad".
Pero dicha solución (al igual que la de modificar permisos o la de trabajar con cuentas limitadas en windows) es igualmente engorroso cuando "yo de forma legitima" quiera borrar/ modificar los archivos/directorios sobre los cuales no tengo permiso suficientes.
Cundo como digo con que solo Windows diese una "advertencia" basta (de echo si me fuerzas incluso diría que es más util en casos de verdadera necesidad que en nefasto sistema de permisos de windows).
Es por eso que en ese sentido me gusta más linux (porque aunque resulte pesado a veces) porque te obliga a poner tú calve para borrar/modificar archivos importantes (archivos que dicho sea de paso puedes personalizar y decirle a linux que archivos o directorios deben ser considerados como tales).
Saludos
