Wie kann ich einem Programm die Erhöhung verweigern?


12

Hat Windows eine "Höhenanforderung automatisch ablehnen" Liste?

Wenn ein Benutzer ein ist "Standardbenutzer" ist es möglich, Windows zu haben Höheanforderungen werden automatisch abgelehnt durch Ändern der ConsentPromptBehaviorUser Gruppenrichtlinieneinstellung auf Höhenanfragen automatisch ablehnen :

  • Prompt for credentials on the secure desktop. ( Standard ) Wenn für einen Vorgang eine Erhöhung der Berechtigungen erforderlich ist, wird der Benutzer auf dem sicheren Desktop aufgefordert, einen anderen Benutzernamen und ein anderes Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit den entsprechenden Berechtigungen fortgesetzt
  • Prompt for credentials Wenn für einen Vorgang eine Erhöhung der Berechtigungen erforderlich ist, wird der Benutzer aufgefordert, einen Administratorbenutzernamen und ein Kennwort einzugeben. Wenn der Benutzer gültige Anmeldeinformationen eingibt, wird der Vorgang mit den entsprechenden Berechtigungen fortgesetzt
  • Automatically deny elevation requests Wenn für einen Vorgang eine Erhöhung der Berechtigungen erforderlich ist, wird eine konfigurierbare Fehlermeldung angezeigt, dass der Zugriff verweigert wurde. Ein Unternehmen, das Desktops als Standardbenutzer ausführt, kann diese Einstellung wählen, um die Anzahl der Helpdesk-Anrufe zu reduzieren

Dies ist in einer Situation hilfreich, in der ein Programm möglicherweise zu einer Erhöhung auffordert. Dies würde jedoch bedeuten, dass der Mann vom Helpdesk drei Gebäude überfahren muss (um seine Gebäude zu betreten) über die Schulter Referenzen). Erst wenn sie dort ankommen, stellen sie fest, dass der Benutzer das Programm nicht ausführen sollte.

Wir wollen die Anwendung, die als Standardbenutzer ausgeführt wird Zugriff verweigert Fehler), da dies die richtige Antwort ist.

Aber diese Einstellung gilt für alles Programme, die sich erhöhen. Ist es möglich, zu

  • ein Programm markieren oder
  • füge es einer Liste hinzu

so dass Höhenanfragen automatisch abgelehnt und als Standardbenutzer ausgeführt werden

Das Problem tritt auf, wenn ein Programm fehlerhaft ausgeführt wurde:

  • markiert als requestedExecutionLevel von requireAdministrator in seinem eingebetteten oder externen Manifest
  • Die Kompatibilitätsoption "Dieses Programm hat einen Administrator ausführen" wurde aktiviert
  • wird als ein Setup-Programm erkannt (wird beispielsweise benannt install oder setup ) durch die EnableInstallerDetection Heuristiken

Hinweis: Angenommen, Die Anwendung hatte kein Manifest, man könnte vorschlagen, ein Manifest hinzuzufügen, das angibt requestedExecutionLevel: asInvoker. Diese Lösung würde auch die Datei- und Registrierungsvirtualisierung für die Anwendung deaktivieren.

Siehe auch

Antworten:


4

Eine mögliche Lösung besteht darin, zwei Richtlinien gemeinsam zu verwenden:

  1. Konfigurieren Sie das bereits erwähnte ConsentPromptBehaviorUser Gruppe Richtlinieneinstellung auf Höhenanfragen automatisch ablehnen . Wie erwähnt In der Frage betrifft dies alle ausgeführten Programme.

  2. Weiter ENABLE the Benutzerkontensteuerung: Erhöhen Sie nur ausführbare Dateien sind unterschrieben und validiert Politikeinstellung. (Von Microsoft) Dies Die Einstellung erzwingt die Signaturprüfung der Public Key-Infrastruktur (PKI) für alle interaktiven Anwendungen, die eine Erhöhung von erfordern Privileg. Unternehmensadministratoren können die Anwendungen steuern dürfen ausgeführt werden, indem den vertrauenswürdigen Herausgebern Zertifikate hinzugefügt werden Zertifikatsspeicher auf lokalen Computern.

  3. Unterschreiben Sie vertrauenswürdige Programme mit dem Schlüssel Ihrer Organisation und veröffentlichen Sie sie in den Trusted Publishers-Zertifikatspeicher auf allen Computern in Ihrem Computer Organisation. Mehr Info.


Akzeptiert, weil es fast sicher keine Antwort gibt; und diese Problemumgehungen wären die besten, die man bekommen kann.
Ian Boyd
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.