Shell sem privilégio de Administrador ou "UAC" no XP

ranit8 · 9 de abril de 2009

Executar programas como usuário básico por padrão, numa conta do grupo Administradores. Eu não queria perder privilégios de Administrador da minha única conta. Já li sobre executar o browser como Usuário Básico, mas eu quero é que TODOS os programas executem sem privilégios a menos que eu permita. Os métodos que encontrei (SetSAFER, MakeMeAdmin, DropMyRights) não são automáticos o bastante. Então estou tentando a seguinte solução:

Fazer com que o Usuário Básico apareça como um novo nível de segurança nas diretivas de restrição de software (SAFER): depois de adicionar a chave do registro abaixo, execute secpol.msc > diretivas de restrição de software > níveis de segurança e deve haver os níveis Não Permitido, Irrestrito e Usuário Básico. (fonte: http://blogs.msdn.com/nigelwa/archive/2005/07/29/445155.aspx , o artigo original está indisponível)


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"Levels"=dword:00020000

Mudar o shell de logon de Explorer.exe para

%SYSTEMROOT%\system32\runas.exe "/trustlevel:Usuário Básico" %SYSTEMROOT%\Explorer.exe (fonte: http://msdn.microsoft.com/en-us/library/ms838576.aspx)

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon]
"Shell"="%SYSTEMROOT%\\system32\\runas.exe \"/trustlevel:Usuário Básico\" %SYSTEMROOT%\\Explorer.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
"Shell"="USR:Microsoft\\Windows NT\\CurrentVersion\\Winlogon"

Tentei fazer a primeira mudança em HKEY_LOCAL_MACHINE mas só abria uma janela de navegação do Explorer, sem a barra de tarefas ou área de trabalho.

Certificar-se que o serviço Logon Secundário está no Automático (deveria estar se não foi mexido), que é possível desligar sem que ninguém esteja logado, e que a conta não tem senha em branco.

Fazer logoff e logon. A partir de então, todos os programas criados pelo explorer terão privilégios reduzidos. Estou testando isso no XP SP3, e uso o Executar Como... com a minha própria conta sempre que preciso ser Administrador.

O problema é que não consigo desligar ou colocar em modo de espera pelo menu iniciar, só tem a opção de fazer logoff (posso usar os botões power/sleep do teclado, mas não gosto). Se alguém souber uma ideia como resolver isso...

ranit8 · 24 de abril de 2009

Eu até posso criar um atalho pra desligar, mas ainda teria de digitar a senha pra ele funcionar. Já tentei colocar nos direitos de usuário "Desligar o sistema" o Grupo "Todos", não adiantou. Além disso descobri que o wlcomm.exe do messenger 2009 dribla esse esquema!

O wlcomm é iniciado pelo serviço DCOM então é normal ele ter acesso completo. Para prevenir problemas como ele ser sobrescrito por algum malware é recomendável que, no SECPOL.MSC a opção de segurança Objetos do sistema: o proprietário padrão para objetos criados por membros do grupo Administradores esteja como grupo Administradores. Isso no entanto pode exigir algum esforço de gerenciamento no futuro.

http://blogs.msdn.com/aaron_margosis/archive/2005/03/11/394244.aspx

Tem um projeto chamado RunAsAdmin que é similar ao que tento fazer, mas bem mais poderoso. Parece interessante mas não pretendo usá-lo, é overkill pra minha necessidade.

https://sourceforge.net/projects/runasadmin

RESOLVIDO o problema do desligamento: o token de segurança gerado por RUNAS não tem privilégio shutdown. Deve-se usar outro programa em seu lugar, eu escolhi o Sysinternals Psexec. Com as instruções abaixo funciona exatamente como eu quero.

Baixar o arquivo PSEXEC.EXE e criar os valores de registro:

Chave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot

Nome: Shell

Valor: USR:Microsoft\Windows NT\CurrentVersion\Winlogon

Chave: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Nome: Shell

Valor: C:\psexec.exe /d /l C:\WINDOWS\explorer.exe