Я знаю Боба, который является системным администратором. Бобу необходимо развернуть программное обеспечение Foo на рабочем устройстве Алисы на базе Windows NT (начиная с XP). Foo - это программа безопасности. Это не злой.
У Алисы есть разрешение локального администратора на своем устройстве. Боб хочет запретить Алисе убить процесс или удалить Foo. Боб, однако, может удалить Foo, если захочет.
Предположим, есть способ запретить локальному администратору Алисе завершить определенный процесс Foo. Как я могу реализовать функциональность, позволяющую только Бобу удалять Foo?
Невозможно. Независимо от того, какие меры защиты вы установите, Алиса всегда сможет вытащить свою карту администратора и обойти их.
То, что вы хотите, на самом деле непрактично. Примерно так близко, что вы могли бы получить, если бы поставщик изменил свою службу, чтобы зарегистрироваться как защищенный процесс (Windows 8.1 / 2012 R2).
Защита служб Anti-Malware с помощью драйвера Early Launch Anti-Malware (ELAM)
https://msdn.microsoft.com/en-us/library/windows/desktop/dn313124%28v=vs.85%29.aspx
«В Windows 8.1 была представлена новая концепция защищенной службы, позволяющая запускать службы защиты от вредоносных программ в пользовательском режиме в качестве защищенной службы. После того, как служба запускается как защищенная, Windows использует целостность кода, чтобы разрешить загрузку только доверенного кода. в защищенную службу. Windows также защищает эти процессы от внедрения кода и других атак со стороны административных процессов ».
[...]
«Обновления и обслуживание
"После того, как служба защиты от вредоносных программ запускается как защищенная, другие незащищенные процессы (и даже администраторы) не могут остановить службу. В случае обновлений двоичных файлов службы служба защиты от вредоносных программ должна получить обратный вызов от установщика, чтобы остановить себя, чтобы его можно было обслуживать.После остановки службы установщик защиты от вредоносных программ может выполнить обновления, а затем выполнить шаги, описанные выше в разделах Регистрация службы и Запуск службы как защищенной, чтобы зарегистрировать сертификат и запустите службу как защищенную.
"Обратите внимание, что служба должна гарантировать, что только доверенные абоненты могут остановить службу. Разрешение сделать это ненадежным вызывающим абонентам противоречит цели защиты службы.
Отмена регистрации услуги
"Когда вы удаляете защищенную службу, она должна помечать себя как незащищенная, вызывая API ChangeServiceConfig2. Обратите внимание, что, поскольку система не позволяет никаким незащищенным процессам изменять конфигурацию защищенной службы, вызов ChangeServiceConfig2 должен быть выполняется самой защищенной службой. После того, как служба была перенастроена для работы как незащищенная, программа удаления может просто предпринять соответствующие шаги для удаления антивирусного программного обеспечения из системы ».
Единственный вариант, который у вас есть, - это удалить Алису из группы администраторов, потому что по личному опыту, если домен отправляет что-то на мой компьютер, если я не хочу этого, я просто отключаю его через службы или прекращаю процесс, хотя я не Администратор домена Я являюсь администратором на всех остальных устройствах в сети.