Ir ao conteúdo
  • Comunicados

    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
ranit8

Shell sem privilégio de Administrador ou "UAC" no XP

Recommended Posts

Executar programas como usuário básico por padrão, numa conta do grupo Administradores. Eu não queria perder privilégios de Administrador da minha única conta. Já li sobre executar o browser como Usuário Básico, mas eu quero é que TODOS os programas executem sem privilégios a menos que eu permita. Os métodos que encontrei (SetSAFER, MakeMeAdmin, DropMyRights) não são automáticos o bastante. Então estou tentando a seguinte solução:

Fazer com que o Usuário Básico apareça como um novo nível de segurança nas diretivas de restrição de software (SAFER): depois de adicionar a chave do registro abaixo, execute secpol.msc > diretivas de restrição de software > níveis de segurança e deve haver os níveis Não Permitido, Irrestrito e Usuário Básico. (fonte: http://blogs.msdn.com/nigelwa/archive/2005/07/29/445155.aspx , o artigo original está indisponível)


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers]
"Levels"=dword:00020000

Mudar o shell de logon de Explorer.exe para

%SYSTEMROOT%\system32\runas.exe "/trustlevel:Usuário Básico" %SYSTEMROOT%\Explorer.exe (fonte: http://msdn.microsoft.com/en-us/library/ms838576.aspx)

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon]
"Shell"="%SYSTEMROOT%\\system32\\runas.exe \"/trustlevel:Usuário Básico\" %SYSTEMROOT%\\Explorer.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot]
"Shell"="USR:Microsoft\\Windows NT\\CurrentVersion\\Winlogon"

Tentei fazer a primeira mudança em HKEY_LOCAL_MACHINE mas só abria uma janela de navegação do Explorer, sem a barra de tarefas ou área de trabalho.

Certificar-se que o serviço Logon Secundário está no Automático (deveria estar se não foi mexido), que é possível desligar sem que ninguém esteja logado, e que a conta não tem senha em branco.

Fazer logoff e logon. A partir de então, todos os programas criados pelo explorer terão privilégios reduzidos. Estou testando isso no XP SP3, e uso o Executar Como... com a minha própria conta sempre que preciso ser Administrador.

O problema é que não consigo desligar ou colocar em modo de espera pelo menu iniciar, só tem a opção de fazer logoff (posso usar os botões power/sleep do teclado, mas não gosto). Se alguém souber uma ideia como resolver isso...

Editado por ranit8
Título e correção de erros

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Eu até posso criar um atalho pra desligar, mas ainda teria de digitar a senha pra ele funcionar. Já tentei colocar nos direitos de usuário "Desligar o sistema" o Grupo "Todos", não adiantou. Além disso descobri que o wlcomm.exe do messenger 2009 dribla esse esquema!

    O wlcomm é iniciado pelo serviço DCOM então é normal ele ter acesso completo. Para prevenir problemas como ele ser sobrescrito por algum malware é recomendável que, no SECPOL.MSC a opção de segurança Objetos do sistema: o proprietário padrão para objetos criados por membros do grupo Administradores esteja como grupo Administradores. Isso no entanto pode exigir algum esforço de gerenciamento no futuro.

    http://blogs.msdn.com/aaron_margosis/archive/2005/03/11/394244.aspx

    Tem um projeto chamado RunAsAdmin que é similar ao que tento fazer, mas bem mais poderoso. Parece interessante mas não pretendo usá-lo, é overkill pra minha necessidade.

    https://sourceforge.net/projects/runasadmin

    RESOLVIDO o problema do desligamento: o token de segurança gerado por RUNAS não tem privilégio shutdown. Deve-se usar outro programa em seu lugar, eu escolhi o Sysinternals Psexec. Com as instruções abaixo funciona exatamente como eu quero.

    Baixar o arquivo PSEXEC.EXE e criar os valores de registro:

    Chave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\boot

    Nome: Shell

    Valor: USR:Microsoft\Windows NT\CurrentVersion\Winlogon

    Chave: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

    Nome: Shell

    Valor: C:\psexec.exe /d /l C:\WINDOWS\explorer.exe

    Editado por ranit8

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Crie uma conta ou entre para comentar

    Você precisar ser um membro para fazer um comentário






    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×