Запуск браузера с ограниченными правами от отдельного пользователя.

Отчет по лабораторной работе №3

по дисциплине «Операционные системы»

Запуск браузера с ограниченными правами

 

 

Выполнил: Питько А. И. 2363

Преподователь: Скаков П. С.

 

 

Цель работы: запустить браузер Opera с ограниченными. Разрешить ему записывать только в свою собственную папку, необходимую для корректной работы, и в папку созданную специально для загрузок.

Для запуска браузера с ограниченными правами используется утилита psexec из пакета pstools.

Выполним команду psexec –l “C:/Program Files (x86)/Opera/opera.exe” она должна запустить программу opera.exe с правами ограниченного пользователя.

 

Это значит, что урезанных прав не хватает для запуска браузера, ему необходимо дать права на что-то еще. С помощью ProcessMonitor, определили что проблема с доступом к файлам в папке profiles в директории с файлами браузера. Разрешим пользователю Administrator делать все в папке profile.

Попробуем запустить таким же образом через psexec еще раз.

В описании команды psexec есть примечание для ОС Windows Vista и выше, что при использовании ключа –l, процесс запускается с Low Integrity Level. Проверим Integrity Level для папки profile с помощью программы chml “C:/Program Files (x86)/Opera/profile”.

Integrity level для этой папки – Medium. Значит, для того чтобы программа с Low Integrity Level, могла в неё записывать, надо установить этой папке Low Integrity Level.

Пробуем запустить еще раз. Теперь браузер загружается. Но сохранять файлы, скачанные из интернета мы теперь можем только в директорию profile. Создадим директорию C:/Downloads. Для того, чтобы браузер мог туда записывать, установим пользователю Administrator все права на эту папку

 

А также Low Integrity Level с помощью chml. Теперь наш браузер может записывать только в папки C:/Downloads и Opera/profiles.

 

Запуск браузера с ограниченными правами от отдельного пользователя.

 

Создадим через панель управления пользователя Browser с паролем 1234.

Для запуска программы от другого пользователя используется команда runas.

Попробуем запустить браузер с помощью команды:

runas /user:Browser “psexec –l C:/Progra~2/Opera/opera”

 

Добавляем пользователю Browser все права на папки opera/profile и C:/Downloads, Low Integrity Level уже был установлен для этих папок. Опять повторяем эту команду, Opera запустилась и функционирует аналогично предыдущему случаю.

 

Вывод: в ходе лабораторной работы, я научился пользоваться программными средствами управления правами, и, опираясь на это, запустил браузер Opera таким образом, чтобы он мог писать только в папку со своими конфигурационными файлами, а также в папку с загрузками.