俞木發(fā)

專權(quán)專用 為標(biāo)準(zhǔn)賬戶提供指定管理員權(quán)限運(yùn)行程序

為了系統(tǒng)的安全，公司內(nèi)的很多電腦默認(rèn)都是使用標(biāo)準(zhǔn)賬戶的身份運(yùn)行，雖然這樣可以滿足員工基本的運(yùn)行需求，但在日常操作中仍然有一些操作需要用到管理員權(quán)限。比如IE的很多網(wǎng)銀控件在安裝時(shí)就需要輸入本機(jī)管理員賬戶的密碼（圖1）。

不過出于安全的需要，我們并不方便直接將管理員賬戶的密碼告訴給員工，當(dāng)然安裝這類控件時(shí)每次自己手動(dòng)輸入密碼也極為不便。此時(shí)可以借助系統(tǒng)自帶的Runas命令，專為員工打造一個(gè)以管理員權(quán)限運(yùn)行的IE。啟動(dòng)記事本并新建一個(gè)批處理文件IE.bat，放置在桌面上，其代碼如下：

Runas/savecred/user：cfan”C：＼Program Files＼Internet Explorer＼iexplore.exe”

代碼中的cfan需為系統(tǒng)的管理員賬戶（可以為公司的每臺(tái)電腦預(yù)設(shè)該管理員賬戶并設(shè)置統(tǒng)一、復(fù)雜的登錄密碼），這里使用“/savecre”參數(shù)來記住其登錄密碼，這樣我們只要在員工的電腦上運(yùn)行一次上述的批處理文件并輸入cfan賬戶的密碼即可（圖2）。

后續(xù)當(dāng)員工們需要以管理員身份安裝控件時(shí)，只要運(yùn)行上述的批處理文件，在UAC攔截窗口中點(diǎn)擊“是”進(jìn)行提權(quán)安裝即可（圖3）。這樣可以省去每次需要輸入管理員賬戶密碼的不便和免除密碼泄露的隱患，同時(shí)也不會(huì)影響員工日常使用IE。

靈活多變 以特定身份執(zhí)行指定高權(quán)限操作

在Windows 10中，很多重要的文件（夾）只有特定賬戶才能訪問，比如現(xiàn)在需要?jiǎng)h除“C：＼System Volume Information＼1245789.tmp”病毒文件，但是即使以管理員身份登錄系統(tǒng)也沒有權(quán)限打開上述的文件夾（圖4）。常規(guī)的解決方法是手動(dòng)更改“C：＼System Volume Information”的所有權(quán)和權(quán)限設(shè)置，獲得該文件夾的權(quán)限后再執(zhí)行刪除操作。不過這樣會(huì)帶來安全隱患，借助系統(tǒng)自帶的“任務(wù)計(jì)劃”則可以解決這個(gè)問題。

首先啟動(dòng)記事本程序并輸入“del"C：＼System Volume Information＼1245789.tmp"”代碼，接著將其保存為“G：＼1.bat”。然后在桌面任務(wù)欄的搜索框中輸入“任務(wù)計(jì)劃”，啟動(dòng)任務(wù)計(jì)劃程序后按提示新建一個(gè)名為“提權(quán)刪除文件”的新任務(wù)，點(diǎn)擊“安全選項(xiàng)”下的“更改用戶和組”，接著在打開的窗口中輸入“SYSTEM”，點(diǎn)擊“確定”后就可以使用SYSTEM賬戶運(yùn)行該任務(wù)（圖5）。

繼續(xù)在創(chuàng)建任務(wù)窗口中切換到“操作”，新建一個(gè)啟動(dòng)程序的操作，“程序或腳本”選擇“G：＼1.bat”，“起始于”輸入“G：＼”（圖6）。

最后再隨意設(shè)置一個(gè)觸發(fā)器，這樣返回任務(wù)計(jì)劃程序庫就可以看到新建的任務(wù)。按提示右擊并選擇“運(yùn)行”，成功運(yùn)行后就可以刪除上述的病毒文件了，這里批處理由于使用了SYSTEM賬戶運(yùn)行，因此擁有更高的權(quán)限刪除其中的文件，如果要執(zhí)行其他的操作，更改批處理中的命令即可（圖7）。

上述的方法可以很方便地在不更改系統(tǒng)安全設(shè)置的情況下提權(quán)，不過要注意的是，使用SYSTEM賬戶運(yùn)行的任務(wù)沒有交互界面，并不適合于瀏覽文件等操作。如果要實(shí)現(xiàn)交互界面的操作，可以借助NSudo（https：∥github.com/M2Team/NSudo/releases）。啟動(dòng)該程序后在用戶下拉列表中選擇“SYSTEM”，在“打開”后的文本框中選擇“C：＼windows＼system32＼cmd.exe”，這樣就可以使用SYSTEM身份啟動(dòng)命令提示符窗口了（圖8）。

同上可以直接在其中使用“del"C：＼System Volume Information＼1245789.tmp"”命令刪除病毒文件，或者還可以啟動(dòng)7-ZIP、注冊表編輯器等軟件，這樣便可以直接訪問那些受限的文件或者鍵值了（圖9）。