विशिष्ट एप्लिकेशन को व्यवस्थापक के रूप में चलाए जाने से रोकें

पृष्ठभूमि

अधिकांश इंस्टॉलेशन टूलकिट में इंस्टॉलेशन के बाद स्वचालित रूप से या अन्यथा, बाहरी प्रोग्राम लॉन्च करने की क्षमता होती है। यह अक्सर इंस्टॉलर में "Show readme", या "स्टार्ट प्रोग्राम" जैसे विकल्पों के माध्यम से प्रकट होता है।

मुद्दा

समस्या यह है, इनमें से कई इंस्टॉलर खराब कोडित हैं, और अनुमतियों को उचित रूप से नहीं छोड़ते हैं। उदाहरण के लिए, एप्लिकेशन को स्वचालित रूप से शुरू करना, या ब्राउज़र में एप्लिकेशन के होमपेज को खोलना, अक्सर इंस्टॉलर के विशेषाधिकारों या "उच्च" यूएसी अखंडता स्तर के साथ एप्लिकेशन या ब्राउज़र लॉन्च करने का परिणाम होता है!

इसमें स्थापित एप्लिकेशन, या एक वेब पेज (और संभवतः ब्राउज़र ऐड-ऑन) को खोलकर सुरक्षा उल्लंघनों को खोलने की क्षमता है, जो अब उन्नत अनुमतियों के साथ चल रहे हैं।

^{(यही कारण है कि मैं सॉफ्टवेयर स्थापित करते समय ऑटो-लॉन्च विकल्पों को चुनने की दृढ़ता से सलाह देता हूं।)}

सवाल

क्या कुछ विशेष अनुप्रयोगों (जैसे वेब ब्राउज़र) को कभी भी प्रशासकीय विशेषाधिकारों के साथ लॉन्च करने से रोका जा सकता है, अर्थात प्रक्रिया नाम पर आधारित एक स्वचालित ड्रॉप-विशेषाधिकार?

मैं सहमत हूं, सिद्धांत रूप में, "रूनास" उत्तर के साथ।

यह मुझे लगता है कि आप जो चाहते हैं वह उप-प्रक्रिया के उदाहरणों के लिए ऑटो-प्रतिबंधित है यदि वे व्यवस्थापक के रूप में चल रहे हैं।

दृष्टिकोण के एक जोड़े हैं। हालाँकि, वे कठोर हो सकते हैं और डरपोक व्यवस्थापक के लिए नहीं हैं क्योंकि ओवरहेड कष्टप्रद है। वे काम करेंगे, हालांकि।

केवल एक दृष्टिकोण दिखा रहा है जब तक कि अधिक अनुरोध नहीं किया जाता है :

प्रत्येक एप्लिकेशन के लिए जिसे आप प्रतिबंधित करना चाहते हैं:

right click the executable and go to **PROPERTIES**
go to the **SECURITY** tab
click **ADVANCED** at the bottom
click **ADD** at the bottom
type **ADMINISTRATORS** for the name. if you have a domain then adjust appropriately
press **OK** to get the custom settings for the administrator's group
check the **DENY** checkbox next to "TRAVERSE FOLDER/ EXECUTE FILE" permission (2nd on the list)
hit OK and so-on until you've closed the properties entry for that file.

अब, व्यवस्थापक समूह के सदस्य उस फ़ाइल को निष्पादित नहीं कर सकते हैं। वे वापस अंदर जा सकते हैं और अनुमतियों को अन-चेक करने के लिए बदल सकते हैं ताकि वे इसे चला सकें, लेकिन उन्हें जानबूझकर ऐसा करना होगा।

इसके अलावा, चूंकि आप एक इंस्टॉलर के दौरान होने वाली इस बात से चिंतित हैं, आप सिस्टम "उपयोगकर्ता" के लिए भी यही प्रक्रिया करना चाहेंगे , जो (प्रभावी रूप से) व्यवस्थापक के रूप में भी चलाता है, क्योंकि इस खाते का उपयोग कुछ स्थापनाओं के दौरान किया जा सकता है ( एक Windows "ADMIN" खाता क्रेडेंशियल्स का उपयोग सिस्टम क्रेडेंशियल्स टोकन प्राप्त करने के लिए किया जा सकता है ... लेकिन यह इस तरह से परे है कि यह प्रश्न क्या लक्षित कर रहा है)।

यहाँ विंडोज 7 पर ऐसा करने के कुछ चित्र दिए गए हैं:

आपको ड्रॉप-डाउन या पेसटेक के साथ निचले अधिकार स्तर को प्राप्त करने में सक्षम होना चाहिए।

मुश्किल हिस्सा यह बनाने में लगता है कि यह तब होता है जब एक इंस्टॉलर अनुप्रयोग के एक नए उदाहरण को जन्म देता है।

इसके लिए मुझे संदेह है कि आपको कम से कम सभी प्रासंगिक फ़ाइल प्रकारों और URL के लिए फ़ाइल संघों को ट्विस्ट करने की आवश्यकता होगी, उदाहरण के लिए psexec कमांड के साथ अपने मौजूदा कमांड को पूर्वनिर्मित करना।

यह तब तक काम करेगा जब तक इंस्टॉलर चलाने के लिए निष्पादन योग्य को निर्दिष्ट करने के बजाय संबंधित एप्लिकेशन के साथ फ़ाइल / यूआरएल को खोलने की कोशिश करता है। यदि निष्पादन योग्य पथ स्पष्ट रूप से निर्दिष्ट किया गया है, तो मुझे लगता है कि आपको मानक निष्पादन योग्य को एक शिम निष्पादन योग्य के साथ बदलने की आवश्यकता होगी जो कि आप चाहते हैं कमांड चलाता है।

यहाँ एक चीज़ जो याद की जा रही है वह यह है कि Internet Explorer और Windows Explorer CANNOT के पास अपनी अनुमतियाँ ऊँची हैं (जब तक कि आप एक रजिस्ट्री हैक नहीं करते हैं)। मैं फ़ायरफ़ॉक्स, क्रोम इत्यादि के बारे में नहीं जानता, लेकिन यदि आप व्यवस्थापक के रूप में इंटरनेट एक्सप्लोरर को चलाने की कोशिश करते हैं, तो यह आपके क्रेडेंशियल्स को खुशी से स्वीकार करेगा लेकिन वास्तव में अनुमतियों को नहीं बढ़ाएगा। यह विंडोज विस्टा और ऊपर की सुरक्षा विशेषता है। और इसके अलावा, एकमात्र तरीका यूएसी प्रभाव में नहीं है (जब तक कि आपने इसे बंद नहीं किया है) यदि आप अंतर्निहित व्यवस्थापक खाते में लॉग इन हैं। सिर्फ इसलिए कि कुछ ऊंचे अनुमतियों के साथ स्थापित किया गया था इसका मतलब यह नहीं है कि इंस्टॉलर उस कार्यक्रम को उन्नत अनुमति दे सकता है। अनुमतियाँ उस खाते द्वारा निर्धारित की जाती हैं जिस कार्यक्रम के तहत चलाया गया था। जिस तरह से आप यह जानते हुए कि बिना किसी अनुमति के एक कार्यक्रम चलाया जा सकता है,

RUNAS /trustlevel:<TrustLevel> program

/trustlevel       <Level> should be one of levels enumerated
                  in /showtrustlevels.
/showtrustlevels  displays the trust levels that can be used
                  as arguments to /trustlevel.

This requires an elevated command prompt.

स्पष्टीकरण / चरण दर चरण

1. स्टार्ट मेन्यू खोलें और सर्च बार पर cmd टाइप करें

2. कमांड प्रॉम्प्ट पर राइट क्लिक करें और एडमिनिस्ट्रेटर टाइप के रूप में रन का चयन करें:

   RUNAS /showtrustlevels
   

3. अपने एप्लिकेशन को चलाने के लिए उपयुक्त ट्रस्ट स्तर चुनें, जहां Xवह विश्वास स्तर है जिसे आप उपयोग करना चाहते हैं और टाइप करें:

   RUNAS /trustlevel:X "Application target"
   

मैंने अलग-अलग समाधानों पर ध्यान दिया और मैं आपको पहले ही बता सकता हूं कि एप्लिकेशन मैनिफ़ेस्ट या एप्कोमेट फ्लैग काम नहीं करेगा (हाँ, इसका कोई वास्तविक उत्तर नहीं है, लेकिन फिर भी मैं इसे साझा करना चाहता हूं;)

आप जो देख रहे हैं उसके करीब क्या हो सकता है, तथाकथित अखंडता स्तर है , इसे फाइलसिस्टम (ACL) के भीतर सेट किया जा सकता है और इस प्रक्रिया के पकड़े जाने पर टोकन पर प्रभाव पड़ता है

यह आलेख बताता है कि आप हमेशा "कम अखंडता के स्तर" पर एक निर्वासन कैसे चलाते हैं

एक अन्य aproach एक थर्ड पार्टी टूल होगा, जैसे एक रियल-टाइम प्रोसेस मॉनिटर एक वायरस स्कैनर या एप्लिकेशन फ़ायरवॉल का उपयोग करेगा, लेकिन मुझे किसी भी तरह का पता नहीं है जो उस तरह से कॉन्फ़िगर किया जा सकता है।

आप AppLocker का उपयोग कर सकते हैं।

मेरा मानना ​​है कि यह विंडोज 7 एंटरप्राइज, अल्टीमेट और सर्वर 2K8 और इसके बाद के संस्करण में उपलब्ध है। विंडोज 8 के बारे में निश्चित नहीं है, लेकिन इसे वही (एंटरप्राइज और अल्टीमेट) माना जाएगा।

समूह नीति में जाकर आप AppLocker को सेट कर सकते हैं:

कंप्यूटर कॉन्फ़िगरेशन -> विंडोज सेटिंग्स -> सुरक्षा सेटिंग्स -> अनुप्रयोग नियंत्रण नीतियां -> AppLocker -> निष्पादन योग्य नियम।

राइट क्लिक करें और "नया नियम बनाएं ..."

यहां आप चयनित उपयोगकर्ताओं या समूहों द्वारा चलाए जा रहे विशिष्ट निष्पादन योग्य ब्लॉक कर सकते हैं। अपने उदाहरण में, आप व्यवस्थापक समूह द्वारा इंटरनेट एक्सप्लोरर के निष्पादन से इनकार कर सकते हैं।