使用UAC白名單讓指定的程序不受UAC限制

使用UAC白名單讓指定的程序不受UAC限制

1. 關閉UAC的隱患

        個人上一篇博文關於Windows_8.1/Windows7下普通用戶運行軟件提示須要輸入管理員密碼解決方法已經介紹過如何以普通用戶身份運行某些須要提權的程序而不彈出「用戶賬戶控制設置」對話框，文中的方法是把UAC徹底關閉了，確實能夠避免煩人的「用戶賬戶控制」提示，但同時也下降了系統的安全級別。

        UAC（User Account Control），中文翻譯爲用戶賬戶控制，是微軟在Windows Vista和Windows7中開始引入的新技術，主要功能是進行一些會影響系統安全的操做時，會自動觸發UAC，用戶確認後才能執行。由於大部分的惡意軟件、***病毒、廣告插件在進入計算機時都會有如：將文件複製到Windows或Program Files等目錄、安裝驅動、安裝ActiveX等操做，而這些操做都會觸發UAC，用戶均可以在UAC提示時來禁止這些程序的運行。

        可以觸發UAC的操做包括：

        *修改Windows Update配置；

        *增長或刪除用戶賬戶；

        *改變用戶的賬戶類型；

        *改變UAC設置；

        *安裝ActiveX；

        *安裝或卸載程序；

        *安裝設備驅動程序；

        *修改和設置家長控制；

        *修改註冊表；

        *將文件移動或複製到Program Files或是Windows目錄；

        *訪問其餘用戶目錄。

        因此，UAC的做用仍是很大的，若是徹底關閉UAC的話，系統沒法協助用戶阻止一些未定義的惡意軟件、***的運行，用戶在訪問一些網站或運行一些軟件時就極可能被植入而惡意的廣告插件或***程序，影響系統穩定性，嚴重的會致使企業信息泄露。

2. 添加指定的程序到UAC白名單

  企業生產環境中通常是不會開放管理員權限給普通用戶的，但某些軟件既是工做必須又由於以普通用戶身份運行時會觸發UAC，這點確實很煩人的。各位運維夥伴們對這點應該也是深惡痛疾了吧！！

本文測試使用的系統和軟件環境：

系統：Windows 8.1 64位企業版

須要加入UAC白名單的軟件：順豐速運「速打線下用戶專用版」

下面介紹如何開啓UAC白名單：

第1步：獲取微軟官方的工具「Application Compatibility Toolkit」，應用程序兼容性工具箱

    進入微軟官網下載站點https://www.microsoft.com/en-us/download搜索關鍵字：Application Compatibility Toolkit，找到下載連接點擊進入下載頁面，以下圖：

點擊「Download」進入下載列表頁面，以下圖：

       選擇「ApplicationCompatibilityToolkitSetup.exe」點擊右下角「Next」下載。

第2步：安裝「Application Compatibility Toolkit」

        安裝前請先退出全部殺毒軟件，以避免軟件在建立一些註冊表鍵值時被殺毒軟件攔截了。

雙擊剛纔下載的軟件圖標出現下圖：

點擊「Next」按鈕進入下一界面：

勾選」I accept the terms in the License Agreement」，點擊"Next"按鈕進入下一界面：

路徑能夠修改，我這裏按默認路勁安裝，繼續點擊「Next」按鈕進入下一界面：

 

點擊「Install」按鈕進入下一界面：

 

到此安裝已經完成，點擊「Finish」按鈕完成安裝。

第3步：配置UAC白名單

打開軟件，以下圖：

注意：窗口標題顯示」Compatibility Administrator(32-bit)」，要使用32-bit版本仍是64-bit版本是根據你須要加入UAC白名單的軟而定的，本文要添加入UAC白名單的軟件「速打線下用戶專用版」是32位的軟件，因此這裏須要打開「Compatibility Administrator(32-bit)」。

 

1）右鍵點擊」New Database(1)[Untitled_1]」-->」Rename」，把數據庫名字修改成」UAC_White_List」，以下圖：

提示：修改數據庫名字不是必須的，但明確規範的名字會方便往後管理。

 

2）右鍵點擊」UAC_White_List」-->」Create New」-->」Application Fix」，按實際狀況修改程序名、開發商信息和程序完整安裝路徑，以下圖：

點擊「下一步」按鈕，進入下一界面：

 

勾選「RunAsInvoker」，而後點擊「下一步」按鈕進入下一界面：.

 

這裏不用修改，直接點擊「下一步」按鈕進入下一界面：

 

這步也不須要修改，點擊「完成」按鈕完成UAC白名單添加：

 

提示：此步驟的數據庫"UAC_White_List"能夠保存爲磁盤文件，方便拷貝到其它電腦直接打開使用，前提是其它電腦須要添加到UAC白名單軟件都同樣。

 

3）選中剛纔創建的「速打線下用戶專用版」，點擊菜單欄的"File"à"Install」把軟件信息寫入系統的UAC白名單。注意：這步很重要，若是不Install的話，前面的操做就等於白作了。

 

4）測試效果

測試前先確保組策略中的「計算機配置」-->「Windows 設置」-->「安全設置」-->「本地策略」-->「安全選項」-->「用戶賬戶控制：以管理員批准模式運行全部管理員」選項是「開啓」的，由於我以前測試的時候設置成「關閉」，默認狀況該選項是開啓的，沒有修改過的話不用管。

 

以普通用戶身份登陸，運行「速打線下用戶專用版」，沒什麼意外的話，可以正常打開軟件，並且沒有提示須要用戶輸入管理員密碼，到此UAC白名單設置大功告成。

 

3. 從UAC白名單中清除指定應用程序

    將你須要從UAC白名單中刪除的應用程序從"UAC_White_List"中刪除，再運行一次"Install"就能夠了。

小結：

1. UAC能夠協助用戶阻止一些未定義的惡意軟件、***的運行，實際的生產環境中是建議開啓的。

2. 生產環境中部署系統和軟件都以最少權限爲原則，才能最大程度保障業務系統的穩定運行。

3. 使用UAC白名單的方式讓指定的程序不受UAC的限制，是比較好的方法，既可讓用戶運行須要管理員批准的軟件，也沒必要輸入管理員密碼或把用戶加入管理員組。

4. 使用ACT(Application Compatibility Toolkit)生成的UAC白名單數據庫保存爲磁盤文件後，能夠拷貝到其它須要添加相同軟件到UAC白名單的電腦，簡化了批量部署的步驟。

5. 本文的方法比較簡單，但進行大規模部署時仍是會比較麻煩（譬如30臺或以上主機一塊兒部署時），須要一臺一臺去安裝和設置，仍是比較耗時的。

UAC白名單改進建議：

      微軟的「Application Compatibility Toolkit」能夠進行應用程序兼容性評估和UAC白名單設置，是比較實用的工具，但建議微軟能夠把UAC白名單功能直接集成到系統中，同時支持使用域進行大規模部署，那系統管理就變得更高效方便了。

 

但願本文能幫助到各位運維夥伴，同時歡迎各位網友和技術愛好者指正文中的錯誤！！謝謝！！