Como executar um conjunto restrito de programas com privilégios de Administrador sem abrir mão do acesso de Admin (Win7 Pro)

3

Eu tenho um sistema compartilhado, executando o Windows7 X64, restrito a um 'usuário padrão' sem senha. Nem todo mundo que tem acesso ao sistema tem a senha do administrador.

Isso funciona muito bem, exceto em alguns aplicativos - especialmente os aplicativos de desbloqueio para discos rígidos criptografados / unidades flash USB. Os específicos requerem acesso de Administrador (por exemplo, Seagate Blackarmor) ou simplesmente falham sem ele - já que esses programas estão enviando comandos brutos para um dispositivo, isso é esperado.

Gostaria de poder adicionar os hashes desses programas específicos a uma lista de desbloqueio e executá-los como administradores sem precisar de prompts. Como estes são, por definição, em mídia removível, não posso simplesmente usar um nome de arquivo ou mesmo um caminho. Um dos usuários que compartilham o sistema pode ser considerado 'engenhoso', então qualquer coisa que conceda temporariamente direitos de administrador a uma conta de usuário certamente causará problemas.

O que eu gostaria de poder fazer: 1) Crie uma conta de administrador que só pode executar programas de uma lista de desbloqueio (ou, na falta disso, de um diretório) Não consigo encontrar uma boa maneira de fazer isso: Tanto quanto eu posso dizer, o SRP se aplica igualmente a todos os usuários? Mesmo se eu colocar um token "Negar" em todos os diretórios do sistema, de forma que novos diretórios o herdem, ele ainda poderá potencialmente executar coisas a partir dos dispositivos USB montados. Eu também não sei se é possível criar um novo diretório que NÃO herda do pai, que daria conta do token de negação e forneceria acesso administrativo.

2) Encontre um serviço leve que executará esses programas em seu contexto local Windows7 parece bloquear a comunicação de nível de privilégio cruzado por padrão, e eu não encontrei tal para o Windows 7. Um exemplo parece ser "sudo" ( link ) mas porque usa um gancho WLNOTIFY, ele ganhou ' Não trabalhe com o Vista nem com o Windows7

Não-Soluções:
 - RunAs: Requer senha de administrador! (mas todos chamam de "sudo" de qualquer maneira)
 - RunAs / savecred: Boa idéia, mas parece ser completamente insegura.
 - RUNASSPC - Mesmo conceito como RunAs, usa arquivos "criptografados" com credenciais, mas verifica no espaço do usuário.
 - Tarefas agendadas - As permissões "Corrigidas" tornam isso difícil e não oferecem suporte a processos interativos, mesmo se o forem.
 - SuRun: Do Google: "Surun usa seu próprio serviço do Windows que adiciona o usuário ao grupo de administradores durante o início do programa e o remove automaticamente desse grupo novamente"

    
por frLich 03.01.2011 / 00:52

2 respostas

1

Há a capacidade de usar um arquivo de manifesto localizado no mesmo diretório que o aplicativo de administração exigente, se o aplicativo for app.exe, o manifesto seria app.exe.manifest

Algumas informações sobre msdn.

    
por 19.02.2011 / 18:52
-2

Talvez pudesse fazer o truque: No GPO local ou no domínio, forneça aos usuários "carregar e descarregar drivers de dispositivo" para usuários padrão.

    
por 16.01.2011 / 09:24

Tags