请问有办法实现类似 Linux 的 SUID 权限吗？

Question

请问有办法实现类似 Linux 的 SUID 权限吗？

wy16W2pIilK1xgqN opened this issue 6 years ago · 5 comments

wy16W2pIilK1xgqN commented 6 years ago

主要是想对一些程序永久性降权。

目前的方法都是通过，中介程序来实现降权，如果程序被直接掉用就不会被降权。
希望能实现：指定程序，被任何权限的程序掉用，都不会被提权。

比如 Notepad.exe 被设定为 Users 后，具有 Administrators 权限的程序掉用它后，
Notepad.exe 任然以 Users 权限启动。

请问有这样的办法吗？

Answer 1 · 2019-02-03T02:03:58.000Z

此需求应该修改应用程序清单设置权限，但与Linux 权限策略仍然有区别

Answer 2 · 2019-02-03T03:43:50.000Z

谢谢回复！
网上爬文后，大概得知方法了。
首先提取exe 中的manifest文件。
然后修改 requestedExecutionLevel 项的值。
但设定项只要三个：asInvoker highestAvailable requireAdministrator。
实际上就是决定是否提权，而不是降权。
请问是我没搞懂吗？

Answer 3 · 2019-02-03T14:02:24.000Z

这个是提权的但在 Windows 系统上降权的话比较麻烦，利用清单降权基本没有办法.

Answer 4 · 2019-02-03T18:35:13.000Z

我记得曾经我看微软的博文谈到了通过icacls来指定一个exe强制以某个完整性级别运行的功能
那个例子貌似是让某目录的计算器程序以始终以IL Low运行

Answer 5 · 2019-02-04T01:56:58.000Z

我记得曾经我看微软的博文谈到了通过icacls来指定一个exe强制以某个完整性级别运行的功能
那个例子貌似是让某目录的计算器程序以始终以IL Low运行

必须在指定路径？
这样也行，请问有连接吗？