Могу ли я создать привилегию администратора только для одного приложения?

Question

Университет пытается запустить наше программное обеспечение, но его пользователи не имеют прав администратора.

Однако для запуска нашего программного обеспечения требуются права администратора.

Есть ли способ заставить их системного администратора создать привилегию, только для нашего программного обеспечения, или это вызовет (серьезную) лазейку в безопасности их системы?

Любые другие (разумные) обходные пути также приветствуются, но об изменении нашего программного обеспечения (к сожалению) не может быть и речи. Эта проблема возникает как в Windows XP, так и в Vista.

Answer 1

Да, это вызывает серьезную дыру в безопасности. Если у вас есть какие-либо ошибки, которые допускают выполнение произвольного кода или порождение новых процессов, то вы в основном предоставили пользователю полные права администратора системы.

Я знаю, что вы сказали, что вы не можете изменить свое программное обеспечение, но если это между этим и потерянной продажей, я бы решительно подумал об этом, действительно не так сложно не требовать прав администратора.

Что конкретно требует прав? Вам нужно записать в определенные части диска? Вам нужен сырой доступ к устройству? Это поможет уточнить.

Answer 2

Лучший способ, которым я мог бы воспользоваться, - это использовать замену runas, которая сохраняет зашифрованные пароли ... что-то вроде supercrypt.

Answer 3

Если пользователи являются частью домена, вы можете использовать объект групповой политики для определения политики ограниченного использования программ, которая позволяет запускать только ваше приложение. Создайте учетные записи для пользователей и предоставьте им права локального администратора для компьютеров (желательно с этим же объектом групповой политики).

Answer 4

Разве ваше программное обеспечение не может быть запущено внутри виртуальной машины или песочницы, например, Virtualbox или Sandboxie, или виртуальных учетных записей ICore?

Либо на компьютерах пользователя, либо на сервере.

Это не облегчит установку или использование, но даст вам некоторое время, пока ваше программное обеспечение не будет изменено.

Answer 5

я только что нашел это .. http://www.howtogeek.com/howto/windows-vista/create-administrator-mode-shortcuts-without-uac-prompts-in-windows-vista/

Я не уверен, насколько это подходит для работы / учебы. но дома это хорошо работает для небольшого количества утилит администратора, которые я регулярно использую.

Answer 6

Я думаю, что PrivilegeGuard от Avecto должен делать именно то, что вы ищете ... он позволяет повышать права для конкретного приложения Windows, не предоставляя пользователям полных прав администратора. Это все можно сделать для XP, Vista и Win 7.

Answer 7

Посмотрите на судо для окон. Это позволяет повысить обычных пользователей до администраторов в рамках одного приложения.

Я не уверен, что это будет работать для вас полностью, хотя, как будто вы даете пользователю разрешение sudo, я не думаю, что вы сможете остановить их, подняв другие приложения по своему выбору. Хотя стоит посмотреть.

Answer 8

Это абсолютно возможно, PowerBroker Desktop: Windows Edition позволяет повышать права определенных приложений без повышения прав пользователя, вы можете определить, какое дополнительное повышение присваивается задействованным SID.

Answer 9

Я предполагаю, что вы ищете недорогое решение, но если вы не можете найти ничего подходящего, вы можете попробовать Universal Shield. Это работает, ограничивая доступ для приложения, а не для пользователя. С точки зрения безопасности, это именно то, что вам нужно.