所以我有一台共享计算机,多个用户可以通过 RDP 连接。
我拥有唯一的管理员帐户,其余的都是标准权限帐户。
一个标准用户使用一套特定的软件,该软件只有在以管理员身份运行时才能正常工作,该软件还具有文件“另存为”功能。以管理员身份运行时,它会在弹出的资源管理器中公开所有文件,而标准特权帐户不应该看到这些文件。
有没有什么方法可以让我以标准权限帐户的管理员身份运行这个特定的软件,而不暴露整个文件系统?
任何建议都有帮助。
答案1
简而言之:不。如果您以“管理员身份”运行特定软件,则会暴露所有内容。如果没有,则不会是“以管理员身份”。
我看到了一些选择:
- 将这个难以操作的软件移到另一台机器上,在那里您可以将其隔离,这样一来,让某个管理员只暴露第二台机器,从而最大限度地减少该人可以访问的其他东西。
弄清楚这个软件需要访问哪些内容,这些内容似乎需要管理员权限。除非软件明确检查管理员组的成员身份,并在检查结果为假时拒绝运行,否则您可能可以采取更细致的措施。“需要”管理员权限的程序通常存在错误,您可能能够找出程序假定的提升权限。示例包括:
- 授予非管理员用户对可执行文件所在位置的写访问权限。
- 授予非管理员用户对程序使用的注册表部分的写访问权限。
另外,如果所讨论的用户是标准帐户,他们如何以管理员身份运行此程序?他们知道管理员帐户的凭据吗?如果知道,那么暴露范围就超出了他们以管理员身份运行此特定程序的范围。
答案2
如果你担心的是用户修改文件而不是看到然后你可以使用这样的产品将应用程序隔离在沙箱中沙盒。
将该应用程序放入沙箱中将确保它只能修改沙箱内的文件,尽管它仍然可以读取所有文件。
弄清楚应用程序存储其修改后的文件的位置意味着要在的 Sandboxie 文件夹中查找它们C:\Sandbox,或者在沙箱上下文中启动 Windows 资源管理器(或其他)。