Windows 如何确定应用程序是否对设备进行了更改

Windows 如何确定应用程序是否对设备进行了更改

对于触发 UAC 的应用程序(“是否允许此应用程序更改您的设备”对话框),Windows 会检测哪些特征来决定触发 UAC?请考虑在可执行文件/快捷方式属性的“兼容性”选项卡中禁用“以管理员身份运行此程序”。Windows 是否会检测可执行文件中的特定数据/元数据?Windows 是否会保留有关不同应用程序的元数据,以区分可能“更改设备”的应用程序和不会更改的应用程序?

答案1

which are the characteristics that are detected by Windows in order to decide to trigger UAC

尝试访问该帐户的标准用户令牌无权访问的资源。

https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/how-user-account-control-works

“当管理员登录时,会为用户创建两个单独的访问令牌:标准用户访问令牌和管理员访问令牌。标准用户访问令牌包含与管理员访问令牌相同的用户特定信息,但删除了管理 Windows 权限和 SID。标准用户访问令牌用于启动不执行管理任务的应用程序(标准用户应用程序)。然后使用标准用户访问令牌显示桌面(explorer.exe)。Explorer.exe 是所有其他用户启动的进程从其继承访问令牌的父进程。因此,所有应用程序都以标准用户身份运行,除非用户提供同意或凭据以批准应用程序使用完整的管理访问令牌。”

相关内容