Gostaria de permitir que usuários padrão instalem meu aplicativo que requer permissões elevadas, por exemplo, instalando "Por máquina" que grava em C:\Arquivos de Programas.
Há várias maneiras de fazer isso, mas a menos intrusiva (comparada à publicidade/publicação/SCCM) parece ser habilitar a política de grupo "Sempre instalar com privilégios elevados".
Isso obviamente é um risco de segurança, mas pode ser adequadamente mitigado configurando o AppLocker para executar apenas MSIs assinados por um ou mais editores específicos ou há alguma solução alternativa para abusar disso?
O Applocker pode ser um controle de compensação aceitável. Ele pode ser configurado com regras para permitir MSIs assinados dos fornecedores que você especificar, o que presumivelmente também incluiria a Microsoft e seu fornecedor de hardware.
Isso é provavelmente mais realista do que usar o Applocker para restringir executáveis, pois a instalação do MSI por usuários finais é bastante rara, e restringir executáveis somente a signatários aprovados pode atrapalhar até mesmo os maiores fornecedores (HP ou Dell ocasionalmente lançam um binário não assinado).
Uma desvantagem é que se você não usou o Applocker, a adoção não é trivial e você provavelmente vai querer testá-lo completamente identificando todos os fornecedores que você precisará permitir. No entanto, o AppLocker não tem mais restrição de SKU e funcionará no Windows 10/11 Professional desde 2022.
https://support.microsoft.com/en-us/topic/kb5024351-removal-of-windows-edition-checks-for-applocker-e3a763c9-6a3e-4d9c-8623-0ffe69046470
https://learn.microsoft.com/en-us/windows/security/application-security/application-control/app-control-for-business/applocker/requirements-to-use-applocker