如何防止Alice杀死进程，但允许Bob卸载它？

Question

我认识鲍勃，他是一个系统管理员。Bob需要将软件Foo部署到基于Windows (XP )的Alice工作设备上。Foo是安全软件。这不是恶意的。

爱丽丝在她的设备上有本地管理权限。Bob不允许Alice终止进程或卸载Foo。但是，Bob应该能够卸载Foo，如果他愿意的话。

假设有一种方法可以阻止本地管理员Alice终止特定的进程Foo。如何实现只允许Bob卸载Foo的功能？

Answer 1

不可能。不管你有什么保护措施，艾丽斯都能拿出她的管理员卡，绕过他们。

Answer 2

您唯一的选择是将Alice从Administrators组中删除，因为根据个人经验，如果域将某些东西推送到我的PC上(如果我不想要它)，我只是通过服务禁用它或终止进程，尽管我不是域管理员，我是网络上所有其他设备上的管理员。

Answer 3

你想要的不是很实际。如果供应商修改他们的服务以注册为一个受保护的进程(Windows8.1/2012 R2)，你可以得到尽可能接近的结果。

使用早期推出的反恶意软件(ELAM)驱动程序保护反恶意软件服务

https://msdn.microsoft.com/en-us/library/windows/desktop/dn313124%28v=vs.85%29.aspx

在Windows 8.1中，引入了受保护服务的新概念，允许将反恶意软件用户模式服务作为受保护的服务来启动。服务作为受保护的启动后，Windows使用代码完整性只允许受信任的代码加载到受保护的服务中。Windows还保护这些进程免受代码注入和管理进程的其他攻击。“

...

“更新和服务

“在反恶意软件服务作为保护启动后，其他非保护进程(甚至管理员)无法停止该服务。在更新服务二进制文件的情况下，反恶意软件服务需要接收来自安装程序的回调，以便停止服务。服务停止后，反恶意软件安装程序可以执行升级，然后按照注册服务和启动受保护部分中的步骤，注册证书并启动受保护的服务。

“请注意，该服务应确保只有受信任的调用方才能停止该服务。允许不受信任的调用方这样做有违保护服务的目的。

取消服务注册

“卸载受保护的服务时，服务必须通过调用ChangeServiceConfig2 API将自己标记为不受保护的服务。请注意，由于系统不允许任何非受保护的进程更改受保护服务的配置，所以对ChangeServiceConfig2的调用必须由受保护的服务本身进行。在将服务重新配置为不受保护的运行后，卸载程序只需采取适当步骤将反恶意软件从系统中删除。”