在类 UNIX 系统中,普通用户可以使用 命令获取更高的权限sudo(或者他们可以使用 临时切换用户su)。但是,如果正确配置sudoers和聚丙烯酰胺文件,您可以完全阻止普通用户获得更高的权限,这样即使他们拥有管理凭据,他们也必须以该用户身份登录。
在 Windows UAC 中,每当某些应用程序需要更高的特权访问时,都会要求当前登录的用户输入特权帐户的凭据。
我想知道 Windows 是否提供了类似的机制sudo,以完全阻止普通用户获得更高的访问权限。
答案1
当操作需要提升权限时,Windows 默认(在大多数情况下)会提示输入管理员凭据。此行为由“用户帐户控制:标准用户的提升提示行为”组策略。如果设置为“自动拒绝提升请求”,则不会出现提示。
但是,这不会阻止用户使用runas或类似工具运行具有已知管理员凭据的程序。这些方法与 UAC 无关。可以使用以下 DWORD 禁用 Explorer 上下文菜单项HideRunAsVerb:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
为了全面强化系统,你需要使用 AppLocker 来阻止执行全部未知/不需要的软件。