Gibt es so etwas wie eine Sudoers-Liste in Windows?

481
andreee

In UNIX-ähnlichen Systemen können normale Benutzer mit dem sudoBefehl höhere Berechtigungen erhalten (oder den Benutzer vorübergehend wechseln su). Mit einer ordnungsgemäß konfigurierten sudoersund PAM- Datei können Sie jedoch verhindern, dass normale Benutzer vollständig höhere Privilegien erwerben, sodass sie sich selbst dann als dieser Benutzer anmelden müssen, wenn sie über Administratorrechte verfügen.

Immer, wenn eine Anwendung in Windows UAC einen höheren Zugriff erfordert, wird der aktuell angemeldete Benutzer aufgefordert, die Anmeldeinformationen eines privilegierten Kontos einzugeben.

Ich habe mich gefragt, ob Windows einen ähnlichen Mechanismus bietet sudo, um zu verhindern, dass normale Benutzer einen höheren Zugriff erhalten.

0
Aber auch wenn "sudo" gesperrt ist, können Sie "su" verwenden, wenn Sie die erforderlichen Berechtigungen kennen. Das ist nicht genau "vollständig verhindert". Daniel B vor 5 Jahren 1
@DanielB: Sie können effektiv verhindern, dass Benutzer, die sich nicht in der Gruppe `wheel` befinden,` su` verwenden, indem Sie 'auth required pam_wheel.so use_uid` in PAM (insbesondere in `/ etc / pam.d / su`) festlegen - zumindest in Fedora Linux). andreee vor 5 Jahren 0
Also benutze ich einfach einen anderen PAM-Dienst. ;) // Ist [this] (https://docs.microsoft.com/de-de/windows/security/threat-protection/security-policy-settings/user-account-control-behavior-of-the-evevation -Anfrage-für-Standard-Benutzer) vielleicht was Sie suchen? Daniel B vor 5 Jahren 1
"Also werde ich einfach eine andere PAM-Kette verwenden." - Was meinst du? andreee vor 5 Jahren 0
Das scheint was ich gesucht habe, danke! andreee vor 5 Jahren 0

1 Antwort auf die Frage

1
Daniel B

Windows fordert standardmäßig (in den meisten Fällen) zur Eingabe von Administratoranmeldeinformationen auf, wenn für eine Aktion eine Erhöhung erforderlich ist. Dieses Verhalten wird durch die Gruppenrichtlinie "Benutzerkontensteuerung: Verhalten der Eingabeaufforderung für Standardbenutzer" gesteuert . Bei Einstellung auf "Höhenanfragen automatisch ablehnen" wird die Aufforderung nicht angezeigt.

Dies hindert den Benutzer jedoch nicht daran runas, ein Programm mit bekannten Administratoranmeldeinformationen mit ähnlichen Tools auszuführen. Diese Methoden beziehen sich nicht auf die Benutzerkontensteuerung. Der Explorer-Kontextmenüeintrag kann mit HideRunAsVerbDWORD unter deaktiviert werdenHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

Um ein System vollständig abzusichern, müssen Sie AppLocker verwenden, um die Ausführung aller unbekannten / unerwünschten Software zu verhindern .

Verwandte Probleme