В UNIX-подобных системах обычные пользователи могут получить более высокие привилегии с помощью команды sudo (или они могут временно переключать пользователя с помощью su). Однако с помощью правильно сконфигурированных файлов sudoers и PAM вы можете запретить обычным пользователям полностью получить более высокие привилегии, так что даже если бы они обладали административными учетными данными, им пришлось бы входить в систему как этот пользователь.

В Windows UAC, когда для какого-либо приложения требуется доступ с более высоким уровнем привилегий, зарегистрированному в настоящее время пользователю предлагается ввести учетные данные привилегированной учетной записи.

Мне было интересно, если Windows предоставляет механизм, аналогичный sudo , чтобы не дать обычным пользователям полностью получить более высокий доступ.

1 ответ1

1

Windows по умолчанию (в большинстве случаев) запрашивает учетные данные администратора, когда действие требует повышения прав. Это поведение контролируется групповой политикой «Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей» . Если установлено «Автоматически отклонять запросы на повышение прав», приглашение не будет отображаться.

Это, однако, не помешает пользователю использовать runas или аналогичные инструменты для запуска программы с известными учетными данными администратора. Эти методы не связаны с UAC. Элемент контекстного меню Проводника можно отключить, используя DWORD HideRunAsVerb адресу HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

Чтобы полностью защитить систему, вам нужно использовать AppLocker, чтобы предотвратить выполнение всех неизвестных / нежелательных программ.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .