web-dev-qa-db-ja.com

プログラムへの昇格を拒否するにはどうすればよいですか?

Windowsには"昇格要求を自動的に拒否する"リストがありますか?

ユーザーが"標準ユーザー"の場合、 ConsentPromptBehaviorUser グループポリシー設定をに変更することで、Windows 昇格要求を自動的に拒否する にすることができます。 昇格リクエストを自動的に拒否する

  • Prompt for credentials on the secure desktop.Default)操作に特権の昇格が必要な場合、ユーザーはセキュアデスクトップで別のユーザー名とパスワードを入力するように求められます。ユーザーが有効な資格情報を入力すると、操作は適切な特権で続行されます
  • Prompt for credentials操作に特権の昇格が必要な場合、ユーザーは管理ユーザー名とパスワードの入力を求められます。ユーザーが有効な資格情報を入力すると、操作は適切な特権で続行されます
  • Automatically deny elevation requests操作に特権の昇格が必要な場合、構成可能なアクセス拒否エラーメッセージが表示されます。標準ユーザーとしてデスクトップを実行している企業は、ヘルプデスクへの問い合わせを減らすためにこの設定を選択できます

これは、プログラムが昇格を促す可能性がある状況で役立ちますが、ヘルプデスクの人が3つの建物を走り回る必要があります(_(肩越しに資格情報を入力するため)。そこに着くと、彼らはそれを発見します。ユーザーはそのプログラムを実行しないでください。

wantアプリケーションを標準ユーザーとして実行する(おそらくアクセス拒否エラー))。これが正解だからです。

しかし、その設定はすべて昇格するプログラムに適用されます。

  • プログラムにマークを付ける、または
  • リストに追加する

昇格要求が自動的に拒否され、標準ユーザーとして実行されるようにしますか?

この問題は、プログラムが誤って作成された場合に発生します。

  • 埋め込みマニフェストまたは外部マニフェストでrequestedExecutionLevelrequireAdministratorとしてマークされています
  • 「このプログラムを実行するには管理者がいます」互換性オプションがチェックされています
  • install ヒューリスティックを介してセットアッププログラム(たとえば、setupまたはEnableInstallerDetectionという名前)として検出されています

注:アプリケーションにマニフェストがないと仮定すると、requestedExecutionLevel: asInvokerを示すマニフェストを追加することをお勧めします。このソリューションでは、ファイルとレジストリの仮想化も無効になります。アプリケーション。

も参照してください

12
Ian Boyd

考えられる解決策は、2つのポリシーを組み合わせて使用​​することです。

  1. すでに述べたConsentPromptBehaviorUserグループポリシー設定を自動的に昇格要求を拒否するに構成します。質問で述べたように、これは実行されるすべてのプログラムに影響します。

  2. 次にENABLE ユーザーアカウント制御:署名および検証された実行可能ファイルのみを昇格させます ポリシー設定。 (Microsoftから)この設定は、特権の昇格を要求する対話型アプリケーションに対して公開鍵インフラストラクチャ(PKI)署名チェックを実施します。エンタープライズ管理者は、ローカルコンピューターのTrusted Publishers証明書ストアに証明書を追加することにより、実行を許可するアプリケーションを制御できます。

  3. 組織のキーを使用して信頼できるプログラムに署名し、組織内のすべてのコンピューターの信頼できる発行元の証明書ストアに公開します。 詳細

4
Jeremy W