Problemas ao executar o wireguard no Windows 10 como NÃO administrador - "A interface do usuário só pode ser acessada nas áreas de trabalho dos administradores integrados"

Como as soluções e comentários anteriores apontaram, não é possível ativar um túnel wireguard (WG) - a ação requer algum tipo de elevação de privilégio.

As soluções mencionadas até agora têm algumas desvantagens, pelo menos no meu caso de uso. Para completar, listarei todas as soluções mencionadas e adicionarei as minhas.

1. Instalação WG normal, alterne para o usuário administrador para ativar o Wireguard e, em seguida, volte.

   • Pro: o usuário administrador tem acesso a todos os recursos do WG GUI
   • Contra: leva tempo e cliques para trocar de usuário

2. Instalação normal do WG, adicionar HKLM\Software\WireGuard\LimitedOperatorUIchave de registro e adicionar usuário ao Network Configuration Operatorsgrupo

   consulte a documentação das chaves de registro do WG

   • Pro: WG GUI acessível
   • Contra: mexer com o registro, funcionalidade da GUI severamente limitada, bagunça com o prompt de elevação de privilégio

   O último ponto precisa ser esclarecido: ao trabalhar como um usuário comum sem privilégios, o Windows solicita elevação de privilégio por vários motivos e é necessário digitar a/uma senha de administrador regularmente. Isso é bastante direto, porque uma conta de administrador é selecionada por padrão e pode-se inserir a senha rapidamente. Fazer parte do grupo NCO, no entanto, torna o usuário uma espécie de administrador aos olhos do sistema operacional, portanto, cada solicitação de elevação oferecerá o usuário NCO atual por padrão - agora, para inserir a senha de um administrador real , é necessário para primeiro selecionar outro usuário. Isso rapidamente se torna irritante após as primeiras vezes em que alguém precisa de elevação de privilégio.

3. Instalação do Enterprise WG sem iniciar a GUI do administrador, iniciando/parando o túnel do WG a partir do atalho executado como administrador

   • Pro: sem interface gráfica, sem serviço WG em segundo plano, o usuário realmente permanece regular
   • Contra: sem GUI

   Consulte a documentação de uso corporativo .

   Em resumo:

   1. baixe o instalador WG MSI (em vez de .exe)
   2. no prompt de comando do administrador, executemsiexec /i <installer filename>.msi DO_NOT_LAUNCH=1
   3. crie atalhos na área de trabalho para o WG:
      • comece com o comandowireguard /installtunnelservice <path to conf>.conf
      • pare com o comando `wireguard /uninstalltunnelservice
      • marque run as Administratorpara ambos os atalhos

   O status do túnel pode ser verificado com wg.exe

No momento, o que você pergunta não é possível no Windows.

Ao contrário de outras ferramentas e tecnologias VPN, o cliente Wireguard cria uma interface de túnel (mostrando-se como um adaptador de rede) para cada conexão que você configurou ao tentar se conectar , também conhecida como "on the fly". Quando você encerra a conexão, o cliente exclui totalmente a interface do túnel. Ele faz isso fora do encanamento VPN oficial do Windows. Esse design tem a limitação severa de que você precisa ser um administrador da máquina para que o software possa criar a interface.

Eu uso o Wireguard no Windows, Mac e Linux. O Windows é a única plataforma com a qual tenho esse problema. Além disso, eu só uso o cliente oficial (versão 0.38 no momento da redação deste artigo) do Wireguard. Não sei se existem outros.

O Wireguard 3.1+ agora oferece suporte a não-administradores executando o wireguard, mas você precisará fazer algumas pequenas modificações:

https://lore.kernel.org/wireguard/[email protected]/T/#u

• Instale o wireguard 3.1+
• Adicione seu usuário ao "Grupo de Operadoras de Rede". Abra o explorer como administrador, clique com o botão direito em "Meu Computador" > "Gerenciar" > "Usuários/Grupos" > Grupo de Operadores de Rede
• Adicione uma entrada ao registro. Tecla Windows + R > regedit > crie a chave HKLM\SOFTWARE\WireGuard, crie um DWORD em HKLM\SOFTWARE\WireGuard\LimitedOperatorUI e defina-o como 1
• Saia e faça login novamente.
• Executar wireguard

Você não pode abrir a IU como um usuário comum. No entanto, existe uma maneira de permitir que o Wireguard funcione com um usuário comum no Windows 10, dando ao usuário a capacidade de iniciar e parar livremente o túnel Wireguard.

Como o Wireguard é executado como um serviço no Windows, você pode alterar as permissões desse serviço, sem precisar dar ao usuário mais privilégios do que ele precisa.

1. Configure o túnel Wireguard na máquina usando uma conta de administrador e a GUI e inicie o túnel

2. Abra um prompt de comando e altere as permissões do serviço

   sc.exe sdset WireGuardTunnel$NameOfTheTunnel "D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;WD)(A;;CCLCSWLOCRRC;;;IU )S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

3. Você pode então iniciar e parar o túnel usando esses comandos. Não use a GUI para iniciar/parar neste ponto

   sc stop WireGuardTunnel$NameOfTheTunnel

   sc start WireGuardTunnel$NameOfTheTunnel

4. Crie um arquivo em lote, um para cada comando, como WireguardON.bat e WiregaurdOFF.bat e coloque-os em algum lugar que o cliente possa acessar (em sua área de trabalho ou algo assim)

5. Saia e faça login novamente com a conta de usuário. Ele deve ser capaz de iniciar e interromper o serviço, mesmo após uma reinicialização.

Se você adicioná-lo ao grupo de operadoras de rede, o usuário poderá alterar o endereço IP, alterar o adaptador e modificar as configurações de rede que podem acabar comprometendo a rede. Se houver outra possibilidade, por favor poste.