Есть ли что-то вроде списка sudoers в Windows?

457
andreee

В UNIX-подобных системах обычные пользователи могут получить более высокие привилегии с помощью sudoкоманды (или они могут временно переключать пользователя с помощью su). Тем не менее, с правильно настроенным sudoersи РАМ файл, вы можете предотвратить нормальные пользователям получать более высокие привилегированности полностью, таким образом, что даже если бы они были в распоряжении административных полномочий, они должны войти в систему как пользователь.

В Windows UAC, когда для какого-либо приложения требуется доступ с более высоким уровнем привилегий, зарегистрированному в настоящее время пользователю предлагается ввести учетные данные привилегированной учетной записи.

Мне было интересно, если Windows предоставляет аналогичный механизм sudo, чтобы не дать обычным пользователям полностью получить более высокий доступ.

0
Но даже когда `sudo` заблокирован, вы все равно можете использовать` su`, если знаете необходимые учетные данные. Это не совсем «предотвращено полностью». Daniel B 6 лет назад 1
@DanielB: Вы можете эффективно запретить пользователям, не входящим в группу «wheel», использовать `su`, установив` auth required pam_wheel.so use_uid` в PAM (особенно в `/ etc / pam.d / su` - по крайней мере, в Fedora Linux). andreee 6 лет назад 0
Поэтому я просто воспользуюсь другим сервисом PAM. ;) // Есть [это] (https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/user-account-control-behavior-of-the-elevation -прогноз-для-стандартных пользователей) возможно, что вы ищете? Daniel B 6 лет назад 1
«Так что я просто использую другую цепочку PAM». - Что вы имеете в виду? andreee 6 лет назад 0
Кажется, это то, что я искал, спасибо! andreee 6 лет назад 0

1 ответ на вопрос

1
Daniel B

Windows по умолчанию (в большинстве случаев) запрашивает учетные данные администратора, когда действие требует повышения прав. Это поведение контролируется групповой политикой «Контроль учетных записей: поведение запроса на повышение прав для обычных пользователей» . Если установлено «Автоматически отклонять запросы на повышение прав», приглашение не будет отображаться.

Это, однако, не помешает пользователю использовать runasили аналогичные инструменты для запуска программы с известными учетными данными администратора. Эти методы не связаны с UAC. Элемент контекстного меню Explorer можно отключить с помощью HideRunAsVerbDWORD наHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

Чтобы полностью защитить систему, вам нужно использовать AppLocker, чтобы предотвратить выполнение всех неизвестных / нежелательных программ.

Похожие вопросы