Jak odmówić podniesienia uprawnień do programu?

12

Czy system Windows ma listę „automatycznie odrzucaj żądanie podniesienia uprawnień” ?

Jeśli użytkownik jest „użytkownikiem standardowym” , możliwe jest, że system Windows automatycznie odrzuca wszelkie żądania podniesienia uprawnień, zmieniając ConsentPromptBehaviorUserustawienie zasad grupy na Automatyczne odrzucanie żądań podniesienia uprawnień :

  • Prompt for credentials on the secure desktop.( Domyślnie ) Gdy operacja wymaga podniesienia uprawnień, na bezpiecznym pulpicie użytkownik jest monitowany o podanie innej nazwy użytkownika i hasła. Jeśli użytkownik wprowadzi prawidłowe poświadczenia, operacja będzie kontynuowana z odpowiednim uprawnieniem
  • Prompt for credentialsGdy operacja wymaga podniesienia uprawnień, użytkownik jest monitowany o podanie nazwy użytkownika administracyjnego i hasła. Jeśli użytkownik wprowadzi prawidłowe poświadczenia, operacja będzie kontynuowana z odpowiednim uprawnieniem
  • Automatically deny elevation requestsGdy operacja wymaga podniesienia uprawnień, wyświetlany jest komunikat o błędzie odmowy dostępu konfigurowalnego. Przedsiębiorstwo, które korzysta z komputerów stacjonarnych jako użytkownik standardowy, może wybrać to ustawienie, aby ograniczyć liczbę zgłoszeń do działu pomocy technicznej

Jest to przydatne w sytuacji, gdy program może poprosić o podniesienie poziomu, ale wymagałoby to od faceta z działu pomocy technicznej poprowadzenia trzech budynków (w celu wprowadzenia danych uwierzytelniających przez ramię ). Dopiero po dotarciu na miejsce odkrywają, że użytkownik nie powinien uruchamiać tego programu.

Chcemy, aby aplikacja działała jako zwykły użytkownik (możliwe, że nie uzyskano błędów odmowy dostępu ), ponieważ jest to poprawna odpowiedź.

Ale to ustawienie dotyczy wszystkich programów, które podnoszą. czy jest możliwe aby

  • oznaczyć program lub
  • dodaj go do listy

tak, że automatycznie odrzucane są żądania podniesienia uprawnień i działa jako zwykły użytkownik?

Problem występuje, gdy program został omyłkowo:

  • oznaczona jako requestedExecutionLevelz requireAdministratorjego osadzonym lub zewnętrznego manifeście
  • zaznaczył opcję zgodności „Uruchom ten program ma administratora”
  • jest wykrywany jako program instalacyjny (np. jest nazywany installlub setup) za pomocą EnableInstallerDetectionheurystyki

Uwaga: Zakładając, że aplikacja nie ma manifestu, można zasugerować dodanie manifestu wskazującego requestedExecutionLevel: asInvoker. To rozwiązanie wyłączałoby także wirtualizację plików i rejestrów dla aplikacji.

Zobacz też

Ian Boyd
źródło

Odpowiedzi:

4

Możliwym rozwiązaniem jest jednoczesne użycie dwóch zasad:

  1. Skonfiguruj już wspomniane ustawienie zasad grupy ConsentPromptBehaviorUser , aby automatycznie odrzucać żądania podniesienia uprawnień . Jak stwierdzono w pytaniu, wpłynie to na wszystkie uruchomione programy.

  2. Następnie WŁĄCZ Kontrolę konta użytkownika: Podnoś tylko pliki wykonywalne, które są podpisane i zatwierdzone ustawienia zasad. (Od Microsoft) To ustawienie wymusza sprawdzanie podpisu infrastruktury klucza publicznego (PKI) dla wszystkich interaktywnych aplikacji, które żądają podniesienia uprawnień. Administratorzy przedsiębiorstwa mogą kontrolować, które aplikacje mogą być uruchamiane, dodając certyfikaty do magazynu certyfikatów Trusted Publishers na komputerach lokalnych.

  3. Podpisuj dowolne zaufane programy kluczem organizacji i publikuj je w magazynie certyfikatów Zaufanych wydawców na wszystkich komputerach w organizacji. Więcej informacji.

Jeremy W.
źródło
Zaakceptowano, ponieważ prawie na pewno nie ma odpowiedzi; i te obejścia byłyby najlepsze, jakie można uzyskać.
Ian Boyd,