Запретить запуск определенных приложений от имени администратора


фон

большинств toolkits установки имеют способность запустить, автоматически или в противном случае, внешние программы после установки. Это часто появляется в установщике через такие опции ,как" показать readme", или"запустить программу".

вопрос

проблема в том, что многие из этих установщиков плохо закодированы и не адекватно падению разрешения. Например, автоматический запуск приложения или открытие домашней страницы приложения в браузер, часто приводит к запуск приложения или браузера с правами администратора установщика,или" высокий " уровень целостности контроля учетных записей!

это имеет потенциал, чтобы открыть нарушения безопасности, открыв установленное приложение, или веб-страницы (и, возможно, надстройки браузера), которые в настоящее время работает с повышенными разрешениями.

(это причина, по которой я настоятельно рекомендую никогда не выбирать параметры автоматического запуска при установке программное обеспечение.)

вопрос

есть ли способ запретить некоторые приложения (например, веб-браузер) из когда-нибудь запускается с административными привилегиями, т. е. с автоматическим сбросом привилегий на основе имени процесса?

20
задан Unsigned
13.12.2022 10:17 Количество просмотров материала 3369
Распечатать страницу

6 ответов

Я согласен, в принципе, с ответом "руны".

Мне кажется, что вы хотите, чтобы экземпляры подпроцессов были автоматически ограничены, если они запущены в качестве администратора.

есть несколько подходов. Тем не менее, они/могут быть радикальными и не для робкого администратора, потому что накладные расходы раздражают. Однако они сделают свою работу.

только показывая подход один, если больше не запрашиваются:

для каждого приложения хочу ограничить:

right click the executable and go to **PROPERTIES**
go to the **SECURITY** tab
click **ADVANCED** at the bottom
click **ADD** at the bottom
type **ADMINISTRATORS** for the name. if you have a domain then adjust appropriately
press **OK** to get the custom settings for the administrator's group
check the **DENY** checkbox next to "TRAVERSE FOLDER/ EXECUTE FILE" permission (2nd on the list)
hit OK and so-on until you've closed the properties entry for that file.

теперь члены группы администраторы не могут выполнить этот файл. Они могут вернуться и изменить разрешения, чтобы отменить проверку, чтобы они могли запустить его, но они должны сознательно сделать это.

кроме того, так как вы беспокоитесь о том, что это происходит во время установки, вы хотели бы сделать ту же процедуру для SYSTEM "пользователь", который также (эффективно) работает как администратор, потому что эта учетная запись может использоваться во время некоторых установки (учетные данные учетной записи "администратор" Windows можно использовать для получения маркера учетных данных системы... но это выходит за рамки того, что этот вопрос нацелен).

вот некоторые картина делать это на windows 7:

enter image description hereenter image description hereenter image description hereenter image description hereenter image description here

2
отвечен Nick 2022-12-14 18:05

вы должны быть в состоянии достичь более низкого уровня прав с помощью dropmyrights или psexec.

самая сложная часть, кажется, в том, чтобы это произошло автоматически, когда установщик запускает новый экземпляр приложения.

для этого я подозреваю, что вам, по крайней мере, нужно будет настроить сопоставления файлов для всех соответствующих типов файлов, а также для URL-адресов, предваряя существующую команду командой psexec, например.

которое будет работать покуда установщик пытается открыть файл / url-адрес с помощью связанного приложения, а не указать исполняемый файл для запуска. Если путь к исполняемому файлу указан явно, я думаю, вам нужно будет заменить стандартный исполняемый файл исполняемым файлом, который запускает нужную команду.

1
отвечен sahmeepee 2022-12-14 20:22

одна вещь, которая упускается здесь является то, что Internet Explorer и Windows Explorer не может иметь их разрешения повышены (если вы не делаете реестра Хак). Я не знаю о Firefox, Chrome и т. д. но если вы попытаетесь запустить Internet Explorer от имени администратора, он с радостью примет ваши учетные данные, но на самом деле не повысит разрешения. Это функция безопасности Windows Vista и выше. И кроме того, единственный способ UAC не действует (если вы его не отключили), если вы вошли в систему встроенная учетная запись администратора. Просто потому, что что-то было установлено с повышенными разрешениями, это не значит, что установщик может дать этой программе повышенные разрешения. Разрешения определяются учетной записью, под которой была запущена программа. Единственный способ запустить программу с повышенными разрешениями без вашего ведома, это если, например, программа запускается с Windows из параметра реестра и т. д. Если это произойдет, это можно исправить, отредактировав реестр.

1
отвечен MegaloDon 2022-12-14 22:39

Я посмотрел на различные решения, и я уже могу сказать вам, что манифесты приложений или флаги appcompat не будут работать (да, это не реальный ответ, но я все еще хотел поделиться этим;))

Что может быть близко к тому, что вы ищете, это так называемый уровень целостности, он может быть установлен в файловой системе (ACL) и оказывает влияние на токен, который удерживает процесс

этой статьи объясняет, как вы делаете exe всегда работать на " низком уровне уровень целостности"

другой aproach был бы сторонним инструментом, как монитор процесса в реальном времени, используемый антивирусным сканером или брандмауэром приложений, но я не знаю ни одного, который можно настроить таким образом.

0
отвечен weberik 2022-12-15 00:56

вы можете использовать AppLocker.

Я считаю, что это доступно в Windows 7 Enterprise, Ultimate и Server 2K8 и выше. Не уверен в Windows 8, но предположил бы, что это то же самое (Enterprise и Ultimate).

вы можете настроить AppLocker, перейдя в групповую политику:

Конфигурация Компьютера - > Параметры Windows - > Параметры Безопасности - > Политики Управления Приложениями - > AppLocker - > Исполняемые Правила.

щелкните правой кнопкой мыши и "создать новую Правило..."

здесь вы можете заблокировать запуск определенных исполняемых файлов выбранными пользователями или группами. В вашем примере можно запретить выполнение Internet Explorer группой "администраторы".

0
отвечен zako42 2022-12-15 03:13
RUNAS /trustlevel:<TrustLevel> program

/trustlevel       <Level> should be one of levels enumerated
                  in /showtrustlevels.
/showtrustlevels  displays the trust levels that can be used
                  as arguments to /trustlevel.

This requires an elevated command prompt.

объяснение / шаг за шагом

  1. Откройте меню Пуск и введите cmd в строке поиска
  2. щелкните правой кнопкой мыши в командной строке и выберите Запуск от имени администратора тип:

    RUNAS /showtrustlevels
    
  3. выберите уровень доверия, подходящий для запуска вашего приложения, где X - это уровень доверия, который вы хотите использовать и введите:

    RUNAS /trustlevel:X "Application target"
    
0
отвечен David McGowan 2022-12-15 05:30

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх