Запретить запуск определенных приложений от имени администратора

Я согласен, в принципе, с ответом "руны".

Мне кажется, что вы хотите, чтобы экземпляры подпроцессов были автоматически ограничены, если они запущены в качестве администратора.

есть несколько подходов. Тем не менее, они/могут быть радикальными и не для робкого администратора, потому что накладные расходы раздражают. Однако они сделают свою работу.

только показывая подход один, если больше не запрашиваются:

для каждого приложения хочу ограничить:

right click the executable and go to **PROPERTIES**
go to the **SECURITY** tab
click **ADVANCED** at the bottom
click **ADD** at the bottom
type **ADMINISTRATORS** for the name. if you have a domain then adjust appropriately
press **OK** to get the custom settings for the administrator's group
check the **DENY** checkbox next to "TRAVERSE FOLDER/ EXECUTE FILE" permission (2nd on the list)
hit OK and so-on until you've closed the properties entry for that file.

теперь члены группы администраторы не могут выполнить этот файл. Они могут вернуться и изменить разрешения, чтобы отменить проверку, чтобы они могли запустить его, но они должны сознательно сделать это.

кроме того, так как вы беспокоитесь о том, что это происходит во время установки, вы хотели бы сделать ту же процедуру для SYSTEM "пользователь", который также (эффективно) работает как администратор, потому что эта учетная запись может использоваться во время некоторых установки (учетные данные учетной записи "администратор" Windows можно использовать для получения маркера учетных данных системы... но это выходит за рамки того, что этот вопрос нацелен).

вот некоторые картина делать это на windows 7:

вы должны быть в состоянии достичь более низкого уровня прав с помощью dropmyrights или psexec.

самая сложная часть, кажется, в том, чтобы это произошло автоматически, когда установщик запускает новый экземпляр приложения.

для этого я подозреваю, что вам, по крайней мере, нужно будет настроить сопоставления файлов для всех соответствующих типов файлов, а также для URL-адресов, предваряя существующую команду командой psexec, например.

которое будет работать покуда установщик пытается открыть файл / url-адрес с помощью связанного приложения, а не указать исполняемый файл для запуска. Если путь к исполняемому файлу указан явно, я думаю, вам нужно будет заменить стандартный исполняемый файл исполняемым файлом, который запускает нужную команду.

одна вещь, которая упускается здесь является то, что Internet Explorer и Windows Explorer не может иметь их разрешения повышены (если вы не делаете реестра Хак). Я не знаю о Firefox, Chrome и т. д. но если вы попытаетесь запустить Internet Explorer от имени администратора, он с радостью примет ваши учетные данные, но на самом деле не повысит разрешения. Это функция безопасности Windows Vista и выше. И кроме того, единственный способ UAC не действует (если вы его не отключили), если вы вошли в систему встроенная учетная запись администратора. Просто потому, что что-то было установлено с повышенными разрешениями, это не значит, что установщик может дать этой программе повышенные разрешения. Разрешения определяются учетной записью, под которой была запущена программа. Единственный способ запустить программу с повышенными разрешениями без вашего ведома, это если, например, программа запускается с Windows из параметра реестра и т. д. Если это произойдет, это можно исправить, отредактировав реестр.

Я посмотрел на различные решения, и я уже могу сказать вам, что манифесты приложений или флаги appcompat не будут работать (да, это не реальный ответ, но я все еще хотел поделиться этим;))

Что может быть близко к тому, что вы ищете, это так называемый уровень целостности, он может быть установлен в файловой системе (ACL) и оказывает влияние на токен, который удерживает процесс

этой статьи объясняет, как вы делаете exe всегда работать на " низком уровне уровень целостности"

другой aproach был бы сторонним инструментом, как монитор процесса в реальном времени, используемый антивирусным сканером или брандмауэром приложений, но я не знаю ни одного, который можно настроить таким образом.

вы можете использовать AppLocker.

Я считаю, что это доступно в Windows 7 Enterprise, Ultimate и Server 2K8 и выше. Не уверен в Windows 8, но предположил бы, что это то же самое (Enterprise и Ultimate).

вы можете настроить AppLocker, перейдя в групповую политику:

Конфигурация Компьютера - > Параметры Windows - > Параметры Безопасности - > Политики Управления Приложениями - > AppLocker - > Исполняемые Правила.

щелкните правой кнопкой мыши и "создать новую Правило..."

здесь вы можете заблокировать запуск определенных исполняемых файлов выбранными пользователями или группами. В вашем примере можно запретить выполнение Internet Explorer группой "администраторы".