Windows parolayı bilmeden “Farklı Çalıştır”

13

Çalıştığım üniversite radyo istasyonuna bir dijital medya sistemi kuruyoruz. Programcılara (kodlayıcılar değil DJ'ler) müziğe, herhangi birini flash sürücülerine kopyalamalarına veya İnternet üzerinden aktarmalarına izin vermeden müzik erişimi sağlamaya çalışıyoruz.

Windows sistemlerinde çalışıyoruz (istemci makineler için Windows XP ve medya sunucusu için Windows Server 2008). Benim fikrim bu.

Dijital ortama hiç erişimi olmayan bir kullanıcı (ProgramUser) oluşturun.
Programcıların parola bilmediği ve bilmediği dijital medyaya salt okunur erişimi olan bir kullanıcı (MediaUser) oluşturun.
Kullanıcıların Windows'da ProgramUser olarak oturum açmasını sağlayın, böylece medyaya hiç erişemezler.
Oynatma uygulamamızı ( Traktor ) MediaUser olarak çalıştırarak programcının medyayı oynatmasına, ancak kopyalamasına veya değiştirmesine izin vermeyin.

Bu mükemmel bir çözüm gibi görünüyor, ama bir tane var. Çalma uygulaması veya makine çökerse, programlayıcı, makul bir süre içinde tekrar çalıştırabilecek tek kişidir (15 kW FM radyo istasyonuyuz, bu nedenle kesinti süresi büyüktür). Dolayısıyla benim açmazım ...

Programcıya, şifreyi bilmediği bir kullanıcı olarak oynatma uygulamamızı başlatma yeteneğini nasıl verebilirim?

windows-xp runas

— Peter Mortensen
kaynak

32

sudo.bat

@echo off
runas /user:Administrator /savecred %1

şaşırtıcı bir şekilde, yeniden başlatma veya elektrik kesintisinden sonra bile tekrar şifre sormaz

— jonny
kaynak

2

Doğru cevap için +1. Tanrım bir güvenlik açığı

— Dave Cheney

ciddi olarak bunun bir güvenlik açığı olduğu bilinmemektedir? Bu neden açık ?!

— Marm0t

2

Bunun yalnızca hesabın şifresi Kimlik Bilgileri Yöneticisi'ne kaydedilmişse işe yaradığından eminim, bu yüzden gerçekten OSX veya kimlik bilgilerinin kaydedilip yeniden kullanılabileceği başka bir sistemde olduğundan daha fazla bir güvenlik açığı değildir.

— Mark Henderson

Parolayı hala ilk kez bilmeniz gerekir ve bu değiştiğinde çalışmayı durdurur.

— ivan_pozdeev

1

... herhangi birini flash sürücülerine kopyalamalarına veya İnternet üzerinden aktarmalarına izin vermeden

Bu makinelerde USB flash sürücüleri, İnternet erişimini vb. Devre dışı bırakın.

— Duncan Smart
kaynak

0

Belki bu sorunu çözmek için elden düşünebilirim birkaç yolu vardır. İlk (ve daha zor) Traktor başlatan küçük bir windows hizmeti yazmak olacaktır. Bu nedenle, ProgramKullanıcı hizmetten yeni bir Traktor örneği isteyebilir ve hizmet MediaUser olarak çalışır, böylece Traktor MediaUser olarak başlatılır.

Başka bir olasılık ve çok daha kolay olan, her oturum açmada Traktor'ı başlatan bir başlangıç kısayolunun ayarlanmasıdır - Windows kısayolları, kısayol özelliklerinde uygun kullanıcının kimlik bilgilerini ayarlamanıza izin verir. Bilgisayar çökerse, programcıların oturum açmaları yeterlidir ve MediaUser olarak çalışan yeni bir Traktorları vardır!

Umarım bu çözümlerden biri sizin için çalışır!

— mikrofon
kaynak

Kendim ve diğer yöneticiler Yazılım Mühendisleridir, bu yüzden bu bir problem olmayacaktır. Ayrıca, GPIO girişi için karıştırma kartımızı izleyen başka bir hizmet daha yürütüyoruz, bu yüzden zaten yapıyoruz. Bu mükemmel bir fikir, teşekkürler!

0

MediaUser'ın DJ için işlemini başlatan bir program yapabilirsiniz. Bu ProgramUser olarak çalışacak şekilde yapılabilir.

MediaUser için parola / kimlik bilgilerinin programa derlenmesi gerekir, böylece parolayı biliyordu, ancak son kullanıcının asla bunun farkında olması gerekmez. Sadece "Traktör'ü Yeniden Başlat" yazan bir düğme veya programa sahip olacaklardı ve tüm işi yapabilirler.

İşte sürecin bir C # örneği. Tek değişiklik kimlik bilgilerini zor kodlamak olurdu, böylece DJ onları görmez.

— Reed Copsey
kaynak

Bu temelde önereceğim şeydi, ancak müstehcenlikle güvenlik olduğunu uyarıyordum. Son kullanıcılar procmon veya procexp'in bir kopyasını bulabilir ve çalıştırabilirse, şifreyi sorunsuz bir şekilde alabilirler.

— Ryan Bolger

@Ryan: Bu durumda procmon veya procexp'den şifreyi nasıl alırsınız? Bir işlemin altında çalıştığı kullanıcı adını alabilirsiniz, ancak kimlik bilgilerini alabileceğinizi düşünmüyordum. Bu devrimi anlıyorum. çalıştırılabilir kodlu şifre ile mühendislik yapmak, ama bunun dışında, bu bilgiyi nasıl elde edersiniz?

0

Steel RunAs'a bir göz atın. Başka alternatiflerin akla yatkın olmadığı durumlarda SysAdmin kariyerimde birkaç senaryo için kullandım. Kesinlikle kullanışlı. Depolanan kimlik bilgilerini şifrelediği yürütülebilir bir dosya oluşturur. bağlantı

— Nick Jacques
kaynak

0

İdeal durum Traktor'u servis olarak çalışacak şekilde, ayrı bir GUI ile değiştirmenizdir. Bu size en iyi güvenlik seçeneklerini sunar - Traktor daha sonra doğru kimlik bilgilerine sahip kullanıcı olarak çalışır ve kimsenin ne olduğunu bilmesine veya yeniden başlatmak için şifreyi yazmasına gerek yoktur. Aslında, hizmet snapin çökerse kendini yeniden başlatabilirsiniz.

Traktor'u sürmek için GUI'niz daha sonra kullanıcının kendisi gibi çalıştığı kendi uygulaması olarak yazılır, Traktor hizmetine (TCP / IP, RPC, paylaşılan bellek veya herhangi bir IPC formu aracılığıyla) mesaj gönderir. kullanıcı istiyor. GUI'yi bir çapraz ağ protokolü (örneğin, TCP / IP) kullanarak çalıştırdıysanız, kullanıcı iş istasyonunda oturum açabilir ve traktor hizmeti, "yanlışlıkla" yeniden başlatmayı önlemek için muhtemelen kilitli olan daha güvenilir bir sunucuda çalışabilir. İyiyseniz, Traktor'u sürmek için bir web uygulaması yazabilirsiniz (yani, web sunucusu iletileri servise gönderir) ve kullanıcınız istasyonu evden çalıştırabilir!

Traktor hizmeti, oturum açmaya gerek olmadan sunucu ile başlatılır.

— Peter Mortensen
kaynak

İlginç bir fikir, ancak Traktor çok tescilli ve gerçekten bir API'sı yok. Tek entegrasyon noktaları MIDI, Gönderme Anahtarları ve VST Eklentileridir. Traktor'un, özel bir kullanıcı arayüzüne sahip hizmete dayalı bir oynatma motoru olarak fikri, grafik ve oynatma listesi oluşturma gibi şeyleri ele alan daha sağlam bir özel kullanıcı arayüzüne baktığımız için çekici.