Моя текущая проблема заключается в том, что я пытаюсь не допустить, чтобы программа изменила атрибуты (в частности, разрешения на запись) своих собственных файлов, чтобы не дать программе обновиться самостоятельно, поскольку она подключена к Интернету. До сих пор я пытался запретить пользователю, под которым выполняется программа, записывать (то есть изменять / изменять) исполняемый файл программы и все ее файлы с помощью icacls.exe. Этот встроенный системный инструмент может изменять права доступа пользователей к файлам / папкам. Для начала я предоставил полный доступ к исполняемому файлу программы и ее файлам, чтобы снять все ограничения, затем я отказал в следующем:DE, WD, WDAC, WO, AS, WEA, WA (см. Руководство по icacls.exe для посмотрите, что они обозначают) но после перезапуска программы атрибуты были сброшены в пользу программы, и она сразу же начала обновляться. После этой неудачной попытки, я отрицал дополнительные разрешения , такие как: D , но я уже не мог запустить программу , так как я даже не реж каталог программа находилась в. Такое же поведение может быть замечено с другими дополнительными запрещенными разрешениями, включая, но не ограничиваясь, M, W, GW. Я также попытался скрыть attrib.exe от программы, так как заметил, что conhost.exe всегда вызывается программой при запуске, с помощью которой она может передать команду attrib.exe для изменения атрибутов, если пользователь, под которым программе не разрешено изменять атрибуты, но, опять же, отказ в разрешениях M, W, GW, о которых я упоминал ранее, не позволяет мне просматривать каталог, в котором находится программа и ее файлы, не говоря уже о ее выполнении. Может ли быть так, что программа использует Windows API для изменения атрибутов своих файлов? Какие есть другие методы, чтобы помешать этой программе изменять атрибуты, помимо того, что я уже упоминал?
1 ответ
1. НЕ работайте в административном аккаунте. Создайте стандартный аккаунт и работайте там. Используйте учетную запись администратора только для установки прав доступа к нужным файлам или для установки / удаления новых программ или настройки параметров системы. Если ваша учетная запись является административной, то программа может легко перезаписать все ваши ограничения, поскольку она работает и в административной учетной записи.
2. Блокируйте исходящее соединение в брандмауэре для вашей упрямой программы в расширенных настройках брандмауэра.
Вы можете попытаться отозвать право собственности на файлы, которые вы хотите, чтобы они были недоступны для записи, и назначить ограниченного пользователя другим владельцем (не учетной записью, запускающей программу), но я думаю, что функциональность программы будет нарушена.