Làm thế nào để từ chối độ cao cho một chương trình?


12

Windows có danh sách "tự động từ chối yêu cầu nâng cao" không?

Nếu người dùng là "người dùng chuẩn" , có thể Windows sẽ tự động từ chối mọi yêu cầu độ cao bằng cách thay đổi ConsentPromptBehaviorUsercài đặt chính sách nhóm thành Tự động từ chối yêu cầu độ cao :

  • Prompt for credentials on the secure desktop.( Mặc định ) Khi một thao tác yêu cầu nâng cao đặc quyền, người dùng sẽ được nhắc trên màn hình an toàn để nhập tên người dùng và mật khẩu khác. Nếu người dùng nhập thông tin xác thực hợp lệ, hoạt động sẽ tiếp tục với đặc quyền áp dụng
  • Prompt for credentialsKhi một hoạt động yêu cầu nâng cao đặc quyền, người dùng sẽ được nhắc nhập tên người dùng và mật khẩu quản trị. Nếu người dùng nhập thông tin xác thực hợp lệ, hoạt động sẽ tiếp tục với đặc quyền áp dụng
  • Automatically deny elevation requestsKhi một hoạt động yêu cầu nâng cao đặc quyền, thông báo lỗi từ chối truy cập có thể định cấu hình được hiển thị. Doanh nghiệp đang chạy máy tính để bàn với tư cách là người dùng chuẩn có thể chọn cài đặt này để giảm các cuộc gọi bàn trợ giúp

Điều này rất hữu ích trong trường hợp chương trình có thể nhắc nâng lên, nhưng điều đó sẽ yêu cầu anh chàng từ bộ phận trợ giúp điều hành ba tòa nhà (để nhập thông tin qua vai của họ ). Chỉ khi họ đến đó, họ phát hiện ra rằng người dùng không nên chạy chương trình đó.

Chúng tôi muốn ứng dụng chạy như một người dùng chuẩn (có thể bị lỗi truy cập bị từ chối ), vì đó là câu trả lời đúng.

Nhưng cài đặt đó áp dụng cho tất cả các chương trình nâng cao. Có thể

  • đánh dấu một chương trình, hoặc
  • thêm nó vào danh sách

để nó tự động bị từ chối yêu cầu độ cao và chạy như một người dùng chuẩn?

Vấn đề xảy ra khi một chương trình bị nhầm lẫn:

  • đánh dấu là requestedExecutionLevelcủa requireAdministratortrong manifest nhúng hoặc bên ngoài của nó
  • đã chọn tùy chọn tương thích "Chạy chương trình này có quản trị viên"
  • đang được phát hiện như một chương trình thiết lập (ví dụ: được đặt tên installhoặc setup) thông qua các EnableInstallerDetectionheuristic

Lưu ý: Giả sử ứng dụng không có bảng kê khai, người ta có thể đề nghị thêm một bảng kê khai requestedExecutionLevel: asInvoker. Giải pháp này cũng sẽ vô hiệu hóa ảo hóa tập tin và đăng ký cho ứng dụng.

Xem thêm

Câu trả lời:


4

Một giải pháp khả thi là sử dụng hai chính sách trong buổi hòa nhạc:

  1. Định cấu hình cài đặt chính sách nhóm ConsentPromptBehaviorUser đã đề cập để Tự động từ chối các yêu cầu độ cao . Như đã nêu trong câu hỏi, điều này sẽ ảnh hưởng đến tất cả các chương trình chạy.

  2. Tiếp theo ENABLE kiểm soát tài khoản người dùng: Chỉ nâng cao các thực thi được ký và thiết lập chính sách được xác thực . (Từ Microsoft) Cài đặt này thực thi kiểm tra chữ ký cơ sở hạ tầng khóa công khai (PKI) cho bất kỳ ứng dụng tương tác nào yêu cầu nâng cao đặc quyền. Quản trị viên doanh nghiệp có thể kiểm soát ứng dụng nào được phép chạy bằng cách thêm chứng chỉ vào kho chứng chỉ Nhà xuất bản đáng tin cậy trên máy tính cục bộ.

  3. Ký bất kỳ chương trình đáng tin cậy nào với khóa của tổ chức của bạn và xuất bản nó lên kho chứng chỉ Nhà xuất bản đáng tin cậy trên tất cả các máy tính trong tổ chức của bạn. Thêm thông tin.


Được chấp nhận vì gần như chắc chắn không có câu trả lời; và những cách giải quyết này sẽ là cách tốt nhất có thể nhận được.
Ian Boyd
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.