none
set __COMPAT_LAYER=RunAsInvoker RRS feed

  • Вопрос

  • Пользователь без прав администратора может запустить программу с правами админа при помощи set __COMPAT_LAYER=RunAsInvoker .Как отключить эту возможность?
    13 марта 2019 г. 9:28

Ответы

Все ответы

  • а вы точно уверены что программа запускается с правами админа?
    13 марта 2019 г. 9:39
  • Ну, как минимум доступ к реестру даёт. Даёт право устанавливать ПО и т.п.
    13 марта 2019 г. 9:51
  • ну доступ к реестру(правда не вовсе ветки) есть у обычного пользователя. учтановка всякого плюшевого ПО(например портаблам вообще ниче не надо) тоже технически возможна.

    поясните, как вы пользуетесь set __COMPAT_LAYER=RunAsInvoker

    это у вас батник или запускаете из командной строки? вы не сохраняли пароли админа де нить? (Control Panel\User Accounts\Credential Manager)

    13 марта 2019 г. 9:58
  • Нет пароли админа не сохранены. Через терминал, батник не создавал. Ставится именно в programs Files.
    13 марта 2019 г. 10:01
  • а терминал как запущен? посмотрите в каких вы группах, выполнив тамже

    whoami /groups 

    или скопипастите вывод(по списку можно судить о правах, но там нет никакой приватной инфы):

    whoami /priv

    -----------

    вот почитайте, если в ладах с буржуйским:

    https://blogs.msdn.microsoft.com/oldnewthing/20161117-00/?p=94735

    я так понял смысл данной плюшки суппресить потенциальный запрос UAC и запускать прогу именно с теми правами которые есть на данный момент.

    UPD, тут по русски

    • Изменено Svolotch 13 марта 2019 г. 10:29
    13 марта 2019 г. 10:21
  • В данный момент не за этой машиной, спасибо прочту.
    13 марта 2019 г. 10:27
  • Права админа данная команда не даёт, а только пытается "пренебречь" влиянием включенного UAC с текущими правами пользователя.

    Думаю намного интереснее будет если вместо RunAsInvoker попробовать RunAsAdmin и посмотреть что будет в этом случае.

    13 марта 2019 г. 10:48
  • Мне нужно,чтоб пользователь, не мог запустить ничего с повышенными привилегиями, либо без них - не предустановленного в систему администратором.
    13 марта 2019 г. 10:52
  • SRP\Applocker
    • Предложено в качестве ответа Vector BCOModerator 13 марта 2019 г. 11:41
    • Помечено в качестве ответа Vector BCOModerator 3 июня 2019 г. 6:50
    13 марта 2019 г. 11:12
  • Мне нужно,чтоб пользователь, не мог запустить ничего с повышенными привилегиями, либо без них - не предустановленного в систему администратором.
    если вам нужно запретить все кроме разрешенного то applocker/srp должны помочь

    The opinion expressed by me is not an official position of Microsoft

    13 марта 2019 г. 11:13
    Модератор
  • Здравствуйте,

    Можете начать экспериментировать от сюда, каждый раз когда у вас будут новые прорывы безопасности пишите,  с радостью вам поможем :)


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение" Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    • Помечено в качестве ответа Anton Sashev Ivanov 13 марта 2019 г. 11:17
    • Снята пометка об ответе Anton Sashev Ivanov 13 марта 2019 г. 12:39
    13 марта 2019 г. 11:17
  • https://habr.com/ru/company/inoventica/blog/282373/

    Не катит.

    13 марта 2019 г. 11:53
  • ну извините, подождите, пожалуйста, ответа тогда, наверняка уже кто то сталкивался и решил данную ситуацию.

    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение" Мнения, высказанные здесь, являются отражение моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    13 марта 2019 г. 12:40
  • Мне нужно,чтоб пользователь, не мог запустить ничего с повышенными привилегиями, либо без них - не предустановленного в систему администратором.

    я точно знаю один гарантировано рабочий способ - положить системный блок под промышленный пресс, проехать по нему катком или на худой конец нагреть дето до 770°C. Ну или если очень хочется сохранить его, засуньте его в сейф(обесточенным естественно) сейф залейте бетоном, думаю 40 кубов хватит, вокруг этой площадки поставьте специально обученных сабак с автоматчиками.

    а то вы представляете, регулярно находят уязвимости, которые патчатся, патчи потенциально могут содержать новые уязвимости... любое решение по факту не будет защищенным.

    13 марта 2019 г. 13:27
  • Подумайте о варианте использования Secret Net Studio, или других аналогичных программ.

    Да, я Жук, три пары лапок и фасеточные глаза :))

    7 августа 2019 г. 12:39
    Модератор