При редактировании некоторых системных файлов в Windows 7 (и старше) вы можете столкнуться с отказом системы что-либо менять и сообщением о том, что необходимо запросить разрешение у TrustedInstaller. Это будет происходить даже если вы вошли под учётной записью администратора. В этой статье я расскажу вам о том, как отключить TrustedInstaller, почему компьютер перестал вам доверять и что это вообще такое.
Что такое TrustedInstaller
Перед тем, как отключить TrustedInstaller, необходимо узнать, что это такое, чтобы понимать, что мы делаем, потому что дело касается безопасности вашего компьютера.
Как отключить TrustedInstaller
Если при редактировании какого-то файла/папки появляется сообщение, о том, что необходимо запросить разрешение у TrustedInstaller, то вам следует его отключить (временно!). Потом желательно снова его включить, чтобы обеспечить должную безопасность.
Так как TrustedInstaller проявляется как владелец редактируемого файла/папки, необходимо сделать так, чтобы ваша учётная запись стала владельцем. Для этого совершите такие действия:
- Перейдите в «Свойства» файла/папки (через правый клик мышки).
- Зайдите во вкладку «Безопасность», нажмите «Дополнительно». После этого – вкладка «Владелец» и нажмите «Изменить».
- Поставьте галочку на «Заменить владельца подконтейнеров и объектов» (если речь идёт о папке), выберите свою учётную запись, нажмите «Ок». Появится сообщение, на котором тоже нужно нажать «Ок».
- Вернитесь на уровень выше, к редактированию свойств, и во вкладке «Безопасность» в списке выберите «Администраторы» и нажмите «Изменить».
- Откроется ещё одно окно, в котором тоже выберите «Администраторы», и проставьте галочки в графе «Разрешить» на каждом пункте. Нажмите «Ок». Теперь вы можете редактировать этот файл/папку.
Как включить TrustedInstaller
Чтобы включить TrustedInstaller обратно, совершите такие действия:
- Сделайте всё из инструкции выше до пункта 2 включительно (остановитесь там, где нужно было выбрать пользователя).
- Поставьте галочку на «Заменить владельца подконтейнеров и объектов» (если речь идёт о папке), нажмите «Другие пользователи и группы». В поле «Введите имена выбираемых объектов» впишите выражение: NT SERVICE\TrustedInstaller и нажмите «Ок».
- Выберите TrustedInstaller и нажмите «Ок». В появившемся сообщении тоже «Ок». Теперь папка/файл снова принадлежит TrustedInstaller и её нельзя так же легко редактировать.
Операции через права — это понятно. Но столкнулся с другой проблемой. Под локальным администратором присваиваю права (Take ownership) и получаю отказ их заменить с ошибкой Access denied. Самое неприятное в моменте то, что не могут заменится права непосредственно на скрытые каталоги Users\%username%\Local settings, users\%username%\Application data и ещё некоторые, от которых зависит корректная работа допустим исполняемых API криптографии в IE (работа с электронными подписями например). Понятно что ситуёвина может быть недочищенным следствием погуляния какого-нибудь экзотического руткита, но как это лечить? Как ошибку Security descriptorов Chkdsk такое не воспринимает (эта ошибка исправляется только если не остаётся юзеров соответствующих дескрипторам вобще, а юзер TrustedInstaller как группа в юзерлисте похоже всё-таки есть), а на замену правов (что беспрецендентно) правов локаладмина не хватает. Вот такой парадокс. Кто-нибудь сталкивался с тем, как его решать?
ЧСХ права такие (системе Deny и юзерам Deny как я понимаю) проставлены только на сами эти каталоги. Командой CD Users\%username%\Local settings\temp допустим в %temp% заходится без денайда. В общем охота за такую расстановку правов руки кому-нибудь пообрывать, но непонятно кому.
Я не встречал такую ситуацию на практике.
Так я тоже. Обычно если зашёл локаладмином — Take ownership работает на всё. Но чтоб админу можно было что-то заDenyить — это уже немножко слишком. Или я чего-то не вижу (что непорядок)… Болеют этим только несколько машин.
Благодарю! Пусть не совсем по описанному сценарию, но всё получилось! Доступно и понятно неопытному пользователю.