Windows 10手动提权安全又便捷
平时在Windows 10中执行一些操作,如运行一些带盾牌标记的程序,或者访问一些文件夹(如“C:/Recovery”)时,我们经常会遇到需要提权或者权限不足的提示。此时直接使用系统的管理员账户运行,或者更改文件夹的权限设置当然可以解决上述问题,但是这样的操作会给系统带来安全隐患。其实灵活合理地使用Windows 10自带的组件,我们完全可以实现既保护系统安全,又便于提权操作的目标。
○专权专用 为标准账户提供指定管理员权限运行程序
为了系统的安全,公司内的很多电脑默认都是使用标准账户的身份运行,虽然这样可以满足员工基本的运行需求,但在日常操作中仍然有一些操作需要用到管理员权限。比如IE的很多网银控件在安装时就需要输入本机管理员账户的密码(图1)。
不过出于安全的需要,我们并不方便直接将管理员账户的密码告诉给员工,当然安装这类控件时每次自己手动输入密码也极为不便。此时可以借助系统自带的Runas命令,专为员工打造一个以管理员权限运行的IE。启动记事本并新建一个批处理文件IE.bat,放置在桌面上,其代码如下:
Runas /savecred /user:cfan "C:/Program Files/Internet Explorer/iexplore.exe"
代码中的cfan需为系统的管理员账户(可以为公司的每台电脑预设该管理员账户并设置统一、复杂的登录密码),这里使用“/savecred”参数来记住其登录密码,这样我们只要在员工的电脑上运行一次上述的批处理文件并输入cfan账户的密码即可(图2)。
后续当员工们需要以管理员身份安装控件时,只要运行上述的批处理文件,在UAC拦截窗口中点击“是”进行提权安装即可(图3)。这样可以省去每次需要输入管理员账户密码的不便和免除密码泄露的隐患,同时也不会影响员工日常使用IE。
●火速链接
为了更方便员工使用,同时防止员工看到批处理的内容,我们还可以借助“Bat To Exe Converter”将批处理封装为可执行文件放置在桌面上,具体的操作请参考本刊2018年第2期《由明转暗 BAT批处理瞬间变身EXE》一文的介绍。
○灵活多变 以特定身份执行指定高权限操作
在Windows 10中,很多重要的文件(夹)只有特定账户才能访问,比如现在需要删除“C:/System Volume Information/1245789.tmp”病毒文件,但是即使以管理员身份登录系统也没有权限打开上述的文件夹(图4)。常规的解决方法是手动更改“C:/System Volume Information”的所有权和权限设置,获得该文件夹的权限后再执行删除操作。不过这样会带来安全隐患,借助系统自带的“任务计划”则可以解决这个问题。
小提示:
在Windows 10中还有“C:/recovery”文件夹、注册表中的[HKEY_LOCAL_MACHINE/SAM/SAM]键值等,默认这些组件都是只有SYSTEM账户可以访问。
首先启动记事本程序并输入“del "C:/System Volume Information/1245789.tmp"”代码,接着将其保存为“G:/1.bat”。然后在桌面任务栏的搜索框中输入“任务计划”,启动任务计划程序后按提示新建一个名为“提权删除文件”的新任务,点击“安全选项”下的“更改用户和组”,接着在打开的窗口中输入“SYSTEM”,点击“确定”后就可以使用SYSTEM账户运行该任务(图5)。
继续在创建任务窗口中切换到“操作”,新建一个启动程序的操作,“程序或脚本”选择“G:/1.bat”,“起始于”输入“G:/”(图6)。
最后再随意设置一个触发器,这样返回任务计划程序库就可以看到新建的任务。按提示右击并选择“运行”,成功运行后就可以删除上述的病毒文件了,这里批处理由于使用了SYSTEM账户运行,因此拥有更高的权限删除其中的文件,如果要执行其他的操作,更改批处理中的命令即可(图7)。
上述的方法可以很方便地在不更改系统安全设置的情况下提权,不过要注意的是,使用SYSTEM账户运行的任务没有交互界面,并不适合于浏览文件等操作。如果要实现交互界面的操作,可以借助NSudo(https://github.com/M2Team/NSudo/releases)。启动该程序后在用户下拉列表中选择“SYSTEM”,在“打开”后的文本框中选择“C:/windows/system32/cmd.exe”,这样就可以使用SYSTEM身份启动命令提示符窗口了(图8)。
同上可以直接在其中使用“del "C:/System Volume Information/1245789.tmp"”命令删除病毒文件,或者还可以启动7-ZIP、注册表编辑器等软件,这样便可以直接访问那些受限的文件或者键值了(图9)。