使用UAC白名單讓指定的程序不受UAC限制
1. 關閉UAC的隱患
我的上一篇博文關於Windows_8.1/Windows7下普通用戶運行軟件提示需要輸入管理員密碼解決方法已經介紹過如何以普通用戶身份運行某些需要提權的程序而不彈出“用戶帳戶控制設置”對話框,文中的方法是把UAC完全關閉了,確實可以避免煩人的“用戶帳戶控制”提示,但同時也降低了系統的安全級別。
UAC(User Account Control),中文翻譯爲用戶帳戶控制,是微軟在Windows Vista和Windows7中開始引入的新技術,主要功能是進行一些會影響系統安全的操作時,會自動觸發UAC,用戶確認後才能執行。因爲大部分的惡意軟件、***病毒、廣告插件在進入計算機時都會有如:將文件複製到Windows或Program Files等目錄、安裝驅動、安裝ActiveX等操作,而這些操作都會觸發UAC,用戶都可以在UAC提示時來禁止這些程序的運行。
能夠觸發UAC的操作包括:
*修改Windows Update配置;
*增加或刪除用戶帳戶;
*改變用戶的帳戶類型;
*改變UAC設置;
*安裝ActiveX;
*安裝或卸載程序;
*安裝設備驅動程序;
*修改和設置家長控制;
*修改註冊表;
*將文件移動或複製到Program Files或是Windows目錄;
*訪問其他用戶目錄。
所以,UAC的作用還是很大的,如果完全關閉UAC的話,系統無法協助用戶阻止一些未定義的惡意軟件、***的運行,用戶在訪問一些網站或運行一些軟件時就很可能被植入而惡意的廣告插件或***程序,影響系統穩定性,嚴重的會導致企業信息泄露。
2. 添加指定的程序到UAC白名單
企業生產環境中一般是不會開放管理員權限給普通用戶的,但某些軟件既是工作必須又因爲以普通用戶身份運行時會觸發UAC,這點確實很煩人的。各位運維夥伴們對這點應該也是深惡痛疾了吧!!
本文測試使用的系統和軟件環境:
系統:Windows 8.1 64位企業版
需要加入UAC白名單的軟件:順豐速運“速打線下用戶專用版”
下面介紹如何開啓UAC白名單:
第1步:獲取微軟官方的工具“Application Compatibility Toolkit”,應用程序兼容性工具箱
進入微軟官網下載站點https://www.microsoft.com/en-us/download搜索關鍵字:Application Compatibility Toolkit,找到下載鏈接點擊進入下載頁面,如下圖:
點擊“Download”進入下載列表頁面,如下圖:
選擇“ApplicationCompatibilityToolkitSetup.exe”點擊右下角“Next”下載。
第2步:安裝“Application Compatibility Toolkit”
安裝前請先退出所有殺毒軟件,以免軟件在創建一些註冊表鍵值時被殺毒軟件攔截了。
雙擊剛纔下載的軟件圖標
出現下圖:
點擊“Next”按鈕進入下一界面:
勾選”I accept the terms in the License Agreement”,點擊"Next"按鈕進入下一界面:
路徑可以修改,我這裏按默認路勁安裝,繼續點擊“Next”按鈕進入下一界面:
點擊“Install”按鈕進入下一界面:
到此安裝已經完成,點擊“Finish”按鈕完成安裝。
第3步:配置UAC白名單
打開軟件,如下圖:
注意:窗口標題顯示”Compatibility Administrator(32-bit)”,要使用32-bit版本還是64-bit版本是根據你需要加入UAC白名單的軟而定的,本文要添加入UAC白名單的軟件“速打線下用戶專用版”是32位的軟件,所以這裏需要打開“Compatibility Administrator(32-bit)”。
1)右鍵點擊”New Database(1)[Untitled_1]”-->”Rename”,把數據庫名字修改爲”UAC_White_List”,如下圖:
提示:修改數據庫名字不是必須的,但明確規範的名字會方便日後管理。
2)右鍵點擊”UAC_White_List”-->”Create New”-->”Application Fix”,按實際情況修改程序名、開發商信息和程序完整安裝路徑,如下圖:
點擊“下一步”按鈕,進入下一界面:
勾選“RunAsInvoker”,然後點擊“下一步”按鈕進入下一界面:.
這裏不用修改,直接點擊“下一步”按鈕進入下一界面:
這步也不需要修改,點擊“完成”按鈕完成UAC白名單添加:
提示:此步驟的數據庫"UAC_White_List"可以保存爲磁盤文件,方便拷貝到其它電腦直接打開使用,前提是其它電腦需要添加到UAC白名單軟件都一樣。
3)選中剛纔建立的“速打線下用戶專用版”,點擊菜單欄的"File"à"Install”把軟件信息寫入系統的UAC白名單。注意:這步很重要,如果不Install的話,前面的操作就等於白做了。
4)測試效果
測試前先確保組策略中的“計算機配置”-->“Windows 設置”-->“安全設置”-->“本地策略”-->“安全選項”-->“用戶帳戶控制:以管理員批准模式運行所有管理員”選項是“開啓”的,因爲我之前測試的時候設置成“關閉”,默認情況該選項是開啓的,沒有修改過的話不用管。
以普通用戶身份登錄,運行“速打線下用戶專用版”,沒什麼意外的話,能夠正常打開軟件,而且沒有提示需要用戶輸入管理員密碼,到此UAC白名單設置大功告成。
3. 從UAC白名單中清除指定應用程序
將你需要從UAC白名單中刪除的應用程序從"UAC_White_List"中刪除,再運行一次"Install"就可以了。
小結:
1. UAC可以協助用戶阻止一些未定義的惡意軟件、***的運行,實際的生產環境中是建議開啓的。
2. 生產環境中部署系統和軟件都以最少權限爲原則,才能最大程度保障業務系統的穩定運行。
3. 使用UAC白名單的方式讓指定的程序不受UAC的限制,是比較好的方法,既可以讓用戶運行需要管理員批准的軟件,也不必輸入管理員密碼或把用戶加入管理員組。
4. 使用ACT(Application Compatibility Toolkit)生成的UAC白名單數據庫保存爲磁盤文件後,可以拷貝到其它需要添加相同軟件到UAC白名單的電腦,簡化了批量部署的步驟。
5. 本文的方法比較簡單,但進行大規模部署時還是會比較麻煩(譬如30臺或以上主機一起部署時),需要一臺一臺去安裝和設置,還是比較耗時的。
UAC白名單改進建議:
微軟的“Application Compatibility Toolkit”可以進行應用程序兼容性評估和UAC白名單設置,是比較實用的工具,但建議微軟可以把UAC白名單功能直接集成到系統中,同時支持使用域進行大規模部署,那系統管理就變得更高效方便了。