Отчет по лабораторной работе №3
по дисциплине «Операционные системы»
Запуск браузера с ограниченными правами
Выполнил: Питько А. И. 2363
Преподователь: Скаков П. С.
Цель работы: запустить браузер Opera с ограниченными. Разрешить ему записывать только в свою собственную папку, необходимую для корректной работы, и в папку созданную специально для загрузок.
Для запуска браузера с ограниченными правами используется утилита psexec из пакета pstools.
Выполним команду psexec –l “C:/Program Files (x86)/Opera/opera.exe” она должна запустить программу opera.exe с правами ограниченного пользователя.
Это значит, что урезанных прав не хватает для запуска браузера, ему необходимо дать права на что-то еще. С помощью ProcessMonitor, определили что проблема с доступом к файлам в папке profiles в директории с файлами браузера. Разрешим пользователю Administrator делать все в папке profile.
Попробуем запустить таким же образом через psexec еще раз.
В описании команды psexec есть примечание для ОС Windows Vista и выше, что при использовании ключа –l, процесс запускается с Low Integrity Level. Проверим Integrity Level для папки profile с помощью программы chml “C:/Program Files (x86)/Opera/profile”.
Integrity level для этой папки – Medium. Значит, для того чтобы программа с Low Integrity Level, могла в неё записывать, надо установить этой папке Low Integrity Level.
Пробуем запустить еще раз. Теперь браузер загружается. Но сохранять файлы, скачанные из интернета мы теперь можем только в директорию profile. Создадим директорию C:/Downloads. Для того, чтобы браузер мог туда записывать, установим пользователю Administrator все права на эту папку
А также Low Integrity Level с помощью chml. Теперь наш браузер может записывать только в папки C:/Downloads и Opera/profiles.
Запуск браузера с ограниченными правами от отдельного пользователя.
Создадим через панель управления пользователя Browser с паролем 1234.
Для запуска программы от другого пользователя используется команда runas.
Попробуем запустить браузер с помощью команды:
runas /user:Browser “psexec –l C:/Progra~2/Opera/opera”
Добавляем пользователю Browser все права на папки opera/profile и C:/Downloads, Low Integrity Level уже был установлен для этих папок. Опять повторяем эту команду, Opera запустилась и функционирует аналогично предыдущему случаю.
Вывод: в ходе лабораторной работы, я научился пользоваться программными средствами управления правами, и, опираясь на это, запустил браузер Opera таким образом, чтобы он мог писать только в папку со своими конфигурационными файлами, а также в папку с загрузками.
