প্রশাসক হিসাবে চালিত হওয়া থেকে নির্দিষ্ট অ্যাপ্লিকেশনগুলি প্রতিরোধ করুন

পটভূমি

বেশিরভাগ ইনস্টলেশন টুলকিটগুলি ইনস্টলেশনের পরে বাহ্যিক প্রোগ্রামগুলি স্বয়ংক্রিয়ভাবে বা অন্যথায় চালু করার ক্ষমতা রাখে। এটি "রিডমি শো দেখান" বা "স্টার্ট প্রোগ্রাম" এর মতো বিকল্পগুলির মাধ্যমে ইনস্টলারে প্রায়শই উপস্থিত হয়।

সমস্যা

সমস্যাটি হ'ল, এর মধ্যে অনেকগুলি ইনস্টলার খুব কমই কোডেড, এবং অনুমতিগুলি যথাযথভাবে বাদ দেয় না। উদাহরণস্বরূপ, অ্যাপ্লিকেশনটি স্বয়ংক্রিয়ভাবে শুরু করা, বা ব্রাউজারে অ্যাপ্লিকেশনটির হোমপেজ খোলার ফলে প্রায়শই ইনস্টলারের প্রশাসনিক সুযোগসুবিধিতে অ্যাপ্লিকেশন বা ব্রাউজার চালু করা বা "উচ্চ" ইউএসি সততা স্তরের ফলাফল হয়!

এটিতে ইনস্টলড অ্যাপ্লিকেশন বা একটি ওয়েব পৃষ্ঠা (এবং সম্ভবত ব্রাউজার অ্যাড-অন) খোলার মাধ্যমে সুরক্ষা লঙ্ঘনগুলি খোলার সম্ভাবনা রয়েছে যা এখন উন্নত অনুমতি নিয়ে চলছে।

^{(এই কারণেই আমি দৃ strongly়ভাবে প্রস্তাব দিচ্ছি যে সফ্টওয়্যার ইনস্টল করার সময় অটো-লঞ্চ বিকল্পগুলি কখনই না বেছে নেওয়া উচিত))}

প্রশ্ন

প্রশাসনিক সুযোগ-সুবিধাগুলি দিয়ে প্রবর্তন করা থেকে নির্দিষ্ট অ্যাপ্লিকেশনগুলিকে (যেমন কোনও ওয়েব ব্রাউজার) কখনও প্রতিরোধ করার কোনও উপায় আছে , অর্থাত্ প্রক্রিয়া নামের উপর ভিত্তি করে একটি স্বয়ংক্রিয় ড্রপ-অধিকার?

নীতিগতভাবে আমি "রুনাস" এর উত্তর দিয়ে সম্মত।

আমার কাছে মনে হচ্ছে আপনি যা চান তা হ'ল সাব-প্রসেসের দৃষ্টান্তগুলি স্বয়ংক্রিয়-সীমাবদ্ধ হওয়ার জন্য যদি সেগুলি প্রশাসক হিসাবে চলছে।

পন্থা একটি দম্পতি আছে। তবে এগুলি / কঠোর হতে পারে এবং ভীতু প্রশাসকের পক্ষে নয় কারণ ওভারহেড বিরক্তিকর। যদিও তারা কাজটি করবে।

আরও অনুরোধ করা না হলে কেবল একটি পন্থা দেখানো :

প্রতিটি প্রয়োগের জন্য আপনি সীমাবদ্ধ রাখতে চান:

right click the executable and go to **PROPERTIES**
go to the **SECURITY** tab
click **ADVANCED** at the bottom
click **ADD** at the bottom
type **ADMINISTRATORS** for the name. if you have a domain then adjust appropriately
press **OK** to get the custom settings for the administrator's group
check the **DENY** checkbox next to "TRAVERSE FOLDER/ EXECUTE FILE" permission (2nd on the list)
hit OK and so-on until you've closed the properties entry for that file.

এখন, প্রশাসক গোষ্ঠীর সদস্যরা এই ফাইলটি কার্যকর করতে পারবেন না। তারা ফিরে যেতে পারে এবং আন-চেক করার অনুমতিগুলি পরিবর্তন করতে পারে যাতে তারা এটি চালাতে পারে তবে তাদের জেনে বুঝে তা করতে হবে।

এছাড়াও, যেহেতু আপনি কোনও ইনস্টলারের সময় এই ঘটনাটি সম্পর্কে উদ্বিগ্ন, তাই আপনি সিস্টেম "ব্যবহারকারী" এর জন্য একই পদ্ধতিটি করতে চাইবেন , যা অ্যাডমিন হিসাবেও কার্যকরভাবে কার্যকর হয়, কারণ এই অ্যাকাউন্টটি কিছু ইনস্টলেশন চলাকালীন ব্যবহার করা যেতে পারে ( একটি উইন্ডোজ "অ্যাডমিন" অ্যাকাউন্ট শংসাপত্রগুলি একটি সিস্টেমে শংসাপত্রাদি টোকেন অর্জন করতে ব্যবহার করা যেতে পারে ... তবে এই প্রশ্নটি লক্ষ্যবস্তু করার চেয়ে এটিই পথ)।

উইন্ডোজ on এ এটি করার কিছু চিত্র এখানে দেওয়া হয়েছে:

আপনার ড্রপমিটার বা psexec হয় নিম্নতর অধিকার স্তর অর্জন করতে সক্ষম হওয়া উচিত।

কোনও ইনস্টলার অ্যাপ্লিকেশনটির কোনও নতুন উদাহরণ উত্থাপন করার সময় জটিল অংশটি স্বয়ংক্রিয়ভাবে ঘটতে চলেছে বলে মনে হচ্ছে।

এর জন্য আমি সন্দেহ করি যে আপনাকে কমপক্ষে সমস্ত প্রাসঙ্গিক ফাইল প্রকারের জন্য এবং ইউআরএলগুলির জন্য ফাইল অ্যাসোসিয়েশনগুলি টুইঙ্ক করতে হবে, উদাহরণস্বরূপ, psexec কমান্ডের সাথে আপনার বিদ্যমান কমান্ডটি প্রিপেন্ড করে।

এটি যতক্ষণ কাজ করবে যতক্ষণ না ইনস্টলার চালানোর জন্য এক্সিকিউটেবলের উল্লেখ না করে সম্পর্কিত অ্যাপ্লিকেশনটির সাথে ফাইল / url খোলার চেষ্টা করে। যদি এক্সিকিউটেবল পাথটি স্পষ্টভাবে নির্দিষ্ট করা হয় তবে আমি অনুমান করি যে আপনার একটি শিম এক্সিকিউটেবল যা আপনার চান কমান্ডটি চালায় তার সাথে স্ট্যান্ডার্ড এক্সিকিউটেবলকে প্রতিস্থাপন করতে হবে।

এখানে একটি জিনিস মিস করা হচ্ছে যা হ'ল ইন্টারনেট এক্সপ্লোরার এবং উইন্ডোজ এক্সপ্লোরার তাদের অনুমতিগুলি উন্নত করতে পারে না (যদি আপনি রেজিস্ট্রি হ্যাক না করেন)। আমি ফায়ারফক্স, ক্রোম ইত্যাদি সম্পর্কে জানি না তবে আপনি যদি ইন্টারনেট এক্সপ্লোরারকে অ্যাডমিন হিসাবে চালানোর চেষ্টা করেন তবে তা আনন্দের সাথে আপনার শংসাপত্রগুলি গ্রহণ করবে তবে অনুমতিগুলি উন্নত করবে না। এটি উইন্ডোজ ভিস্তা এবং তার সুরক্ষা বৈশিষ্ট্য। এবং এর পাশাপাশি, যদি আপনি অন্তর্নির্মিত প্রশাসক অ্যাকাউন্টে লগ ইন করেন তবে একমাত্র উপায় ইউএসি কার্যকর হয় না (যদি আপনি এটি বন্ধ না করেন)। কিছু উন্নত অনুমতি নিয়ে ইনস্টল করা হয়েছিল বলেই এর অর্থ এই নয় যে ইনস্টলারটি সেই প্রোগ্রামটিকে উন্নত অনুমতি দিতে পারে। অনুমতিগুলি অ্যাকাউন্টের মাধ্যমে নির্ধারিত হয় প্রোগ্রামটির আওতাধীন ছিল। আপনাকে অজানা না করেই কোনও প্রোগ্রাম উন্নত অনুমতি নিয়ে চালানো যেতে পারে তা যদি হয়,

RUNAS /trustlevel:<TrustLevel> program

/trustlevel       <Level> should be one of levels enumerated
                  in /showtrustlevels.
/showtrustlevels  displays the trust levels that can be used
                  as arguments to /trustlevel.

This requires an elevated command prompt.

ব্যাখ্যা / ধাপে ধাপে

1. প্রারম্ভ মেনুটি খুলুন এবং অনুসন্ধান বারে সিএমডি টাইপ করুন

2. কমান্ড প্রম্পটে ডান ক্লিক করুন এবং প্রশাসক হিসাবে চালিত নির্বাচন করুন প্রকার:

   RUNAS /showtrustlevels
   

3. আপনার অ্যাপ্লিকেশনটি চালুর জন্য উপযুক্ত একটি বিশ্বাস স্তর চয়ন করুন, Xআপনি যে বিশ্বস্ত স্তরটি ব্যবহার করতে চান এবং টাইপ করতে চান তা:

   RUNAS /trustlevel:X "Application target"
   

আমি বিভিন্ন সমাধানগুলিতে দেখেছি এবং আমি ইতিমধ্যে আপনাকে বলতে পারি যে অ্যাপ্লিকেশনটি প্রকাশিত হয় বা অ্যাপকম্প্যাট পতাকাগুলি কাজ করবে না (হ্যাঁ সত্যিকারের উত্তর নেই তবে আমি এখনও এটি ভাগ করে নিতে চেয়েছিলাম;))

আপনি যা সন্ধান করছেন তার কাছাকাছি কী হতে পারে তথাকথিত অখণ্ডতা স্তরটি , এটি ফাইল সিস্টেমের (এসিএল) মধ্যে সেট করা যেতে পারে এবং প্রক্রিয়াটি হ'ল টোকেনের উপর তার প্রভাব ফেলে

এই নিবন্ধটি ব্যাখ্যা করে যে আপনি কীভাবে সর্বদা "নিম্ন সততা স্তরে" চালাবেন

অন্য একটি অ্যাপ্রোচ তৃতীয় পক্ষের সরঞ্জাম হতে পারে, যেমন একটি বাস্তব-সময় প্রক্রিয়া মনিটরের মতো কোনও ভাইরাস স্ক্যানার বা অ্যাপ্লিকেশন ফায়ারওয়াল ব্যবহার করবে তবে আমি সেভাবে কনফিগার করা কোনওরূপ জানি না।

আপনি অ্যাপলকার ব্যবহার করতে পারেন।

আমি বিশ্বাস করি এটি উইন্ডোজ 7 এন্টারপ্রাইজ, আলটিমেট এবং সার্ভার 2 কে 8 এবং তার বেশি ক্ষেত্রে উপলভ্য। উইন্ডোজ 8 সম্পর্কে নিশ্চিত নন তবে এটি একই (এন্টারপ্রাইজ এবং আলটিমেট) হিসাবে ধরে নেওয়া হবে।

আপনি গ্রুপ নীতিতে গিয়ে অ্যাপলকার সেটআপ করতে পারেন:

কম্পিউটার কনফিগারেশন -> উইন্ডোজ সেটিংস -> সুরক্ষা সেটিংস -> অ্যাপ্লিকেশন নিয়ন্ত্রণ নীতি -> অ্যাপলকার -> নির্বাহযোগ্য নিয়ম।

ডান ক্লিক করুন এবং "একটি নতুন নিয়ম তৈরি করুন ..."

এখানে আপনি নির্দিষ্ট এক্সিকিউটেবলকে নির্বাচিত ব্যবহারকারী বা গোষ্ঠী দ্বারা চালিত হতে বাধা দিতে পারেন। আপনার উদাহরণে, আপনি প্রশাসক গোষ্ঠী দ্বারা ইন্টারনেট এক্সপ্লোরার কার্যকর করতে অস্বীকার করতে পারেন।