Negar um direito de aplicativo para gravar no Registro do Windows

Question

Negar um direito de aplicativo para gravar no Registro do Windows

#1 resposta do (4 votos)
#2 resposta do (1 votos)

0

No Windows 7 ou posterior, existe uma maneira de negar os direitos de um programa de escrever em qualquer lugar do registro?

Por favor, especifique para qual versão do Windows sua resposta se aplica.

windows security windows-registry

por RockPaperLizard 29.05.2015 / 22:23

2 respostas

Tags windows security windows-registry

Git merge, qual branch foi mesclado no outro? IDE ATA100 HDD vs ATA100 IDE SSD

score 4 · Answer 1

No Windows Vista e posteriores, você pode fazer isso definindo o nível de integridade do programa em questão para Baixo ou Não Confiável.

Uma maneira de fazer isso é usar o iacls.exe utility para definir o nível de integridade do programa. Por exemplo, suponha que você queira definir notepad.exe para baixa integridade. Em um prompt de comando elevado, digite:

iacls notepad.exe /setintegritylevel low

Isso impede que o Bloco de Notas afete objetos no nível do sistema com um nível médio ou alto de integridade, como arquivos do sistema, vários ramos do Registro e assim por diante.

Dependendo do programa em questão, esta pode ser uma ideia muito boa ou muito ruim.

Níveis de integridade podem ser confusos para entender. Reserve um tempo para revisar cuidadosamente a documentação , para saber como descobrir o nível de integridade atual e para entender o impacto total das alterações que você está tentando.

Seja muito cuidadoso ao fazer isso, já que é muito fácil bagunçar as coisas severamente, especialmente se você não tiver certeza do que está fazendo. Faça um backup, experimente uma cópia, não tente isso em casa, a secretária rejeitará todo o conhecimento, etc., etc.

score 1 · Answer 2

Não diretamente, mas é possível criar uma situação em que funcionaria.

Você pode definir configurações de segurança no registro para contas de usuário, mas não programas.

Você também pode iniciar um programa como um usuário diferente. Então, em teoria, você poderia criar uma conta de usuário que não pode modificar, então definir especificamente que o usuário não tenha direitos para modificar essa chave de registro específica, mas dar permissão para ler essa chave e, opcionalmente, gravar em outras chaves.

Note que: limitar o acesso ao registro pode levar a erros estranhos, porque os programas geralmente não verificam se a parte do registro que eles querem gravar pode realmente ser lido, especialmente se você definir direitos na seção HKEY_Current User.

Para definir direitos

Abra o registro e navegue até a chave em que você deseja alterar os direitos. Clique com o botão direito do mouse na pasta (pasta thingy) e escolha Permissões ...

A partir daqui, você pode dar direitos. Nota Controle total = faz tudo, incluindo: valor da consulta, definir valor, criar subchave, enumerar subchaves, notificar, criar link, excluir, gravar dac, proprietário da gravação e controle de leitura.

Permissões especiais permitem que você defina direitos individuais. Para isso, pressione o botão Avançado .