俞木發(fā)

專權(quán)專用 為標準賬戶提供指定管理員權(quán)限運行程序

為了系統(tǒng)的安全，公司內(nèi)的很多電腦默認都是使用標準賬戶的身份運行，雖然這樣可以滿足員工基本的運行需求，但在日常操作中仍然有一些操作需要用到管理員權(quán)限。比如IE的很多網(wǎng)銀控件在安裝時就需要輸入本機管理員賬戶的密碼（圖1）。

不過出于安全的需要，我們并不方便直接將管理員賬戶的密碼告訴給員工，當然安裝這類控件時每次自己手動輸入密碼也極為不便。此時可以借助系統(tǒng)自帶的Runas命令，專為員工打造一個以管理員權(quán)限運行的IE。啟動記事本并新建一個批處理文件IE.bat，放置在桌面上，其代碼如下：

Runas/savecred/user：cfan”C：＼Program Files＼Internet Explorer＼iexplore.exe”

代碼中的cfan需為系統(tǒng)的管理員賬戶（可以為公司的每臺電腦預設(shè)該管理員賬戶并設(shè)置統(tǒng)一、復雜的登錄密碼），這里使用“/savecre”參數(shù)來記住其登錄密碼，這樣我們只要在員工的電腦上運行一次上述的批處理文件并輸入cfan賬戶的密碼即可（圖2）。

后續(xù)當員工們需要以管理員身份安裝控件時，只要運行上述的批處理文件，在UAC攔截窗口中點擊“是”進行提權(quán)安裝即可（圖3）。這樣可以省去每次需要輸入管理員賬戶密碼的不便和免除密碼泄露的隱患，同時也不會影響員工日常使用IE。

靈活多變 以特定身份執(zhí)行指定高權(quán)限操作

在Windows 10中，很多重要的文件（夾）只有特定賬戶才能訪問，比如現(xiàn)在需要刪除“C：＼System Volume Information＼1245789.tmp”病毒文件，但是即使以管理員身份登錄系統(tǒng)也沒有權(quán)限打開上述的文件夾（圖4）。常規(guī)的解決方法是手動更改“C：＼System Volume Information”的所有權(quán)和權(quán)限設(shè)置，獲得該文件夾的權(quán)限后再執(zhí)行刪除操作。不過這樣會帶來安全隱患，借助系統(tǒng)自帶的“任務(wù)計劃”則可以解決這個問題。

首先啟動記事本程序并輸入“del"C：＼System Volume Information＼1245789.tmp"”代碼，接著將其保存為“G：＼1.bat”。然后在桌面任務(wù)欄的搜索框中輸入“任務(wù)計劃”，啟動任務(wù)計劃程序后按提示新建一個名為“提權(quán)刪除文件”的新任務(wù)，點擊“安全選項”下的“更改用戶和組”，接著在打開的窗口中輸入“SYSTEM”，點擊“確定”后就可以使用SYSTEM賬戶運行該任務(wù)（圖5）。

繼續(xù)在創(chuàng)建任務(wù)窗口中切換到“操作”，新建一個啟動程序的操作，“程序或腳本”選擇“G：＼1.bat”，“起始于”輸入“G：＼”（圖6）。

最后再隨意設(shè)置一個觸發(fā)器，這樣返回任務(wù)計劃程序庫就可以看到新建的任務(wù)。按提示右擊并選擇“運行”，成功運行后就可以刪除上述的病毒文件了，這里批處理由于使用了SYSTEM賬戶運行，因此擁有更高的權(quán)限刪除其中的文件，如果要執(zhí)行其他的操作，更改批處理中的命令即可（圖7）。

上述的方法可以很方便地在不更改系統(tǒng)安全設(shè)置的情況下提權(quán)，不過要注意的是，使用SYSTEM賬戶運行的任務(wù)沒有交互界面，并不適合于瀏覽文件等操作。如果要實現(xiàn)交互界面的操作，可以借助NSudo（https：∥github.com/M2Team/NSudo/releases）。啟動該程序后在用戶下拉列表中選擇“SYSTEM”，在“打開”后的文本框中選擇“C：＼windows＼system32＼cmd.exe”，這樣就可以使用SYSTEM身份啟動命令提示符窗口了（圖8）。

同上可以直接在其中使用“del"C：＼System Volume Information＼1245789.tmp"”命令刪除病毒文件，或者還可以啟動7-ZIP、注冊表編輯器等軟件，這樣便可以直接訪問那些受限的文件或者鍵值了（圖9）。