公司电脑都有加入网域,预设一般user只有最低权限无法任意安装或使用程式某些程式安装后,运行时会跳UAC认证要key管理者帐密一般user的帐号,即便是电脑本机administrator群组我也不想让他们加入避免user自己安装程式
目前方法都是写一个run as administrator的bat档案指定程式以本机admin运行,只有第一次执行需要管理者权限而以不过如果user去修改bat档或是将其他程式复制到bat档的路径并更名,也等于变相绕过权限想请问下有甚么方法可以让run as administrator的使用比较安全呢?
4 个回答
- 旧至新
- 新至旧
- 最高Like数
1
zero
iT邦好手 1 级 ‧ 2024-09-26 19:23:50
最佳解答
先说我不是走你的方案跑run as administrator的bat档案
但是我曾经考虑过这个方案,而且问题还不少,
只提供一些作法给你参考
1.可以安装在系统环境上的的软体,电脑重开机使用者就能用的,那就放工作排程跑
2.run bat的时候,检查一下档案的HASH,请至少用SHA-256检查,避免被换档案偷渡
3.将你的bat做个签章,让使用者改了程式码就不会动,避免被使用者乱改
4.用GPO将凭证签章部属下去,用签章做一定程度的执行限缩
bat用来跑程式是没问题,但是已经过时了,现在的环境不能只考虑程式会跑就好
还要考虑资安才行,建议Windows还是用Powershell来跑程式吧
-
1 -
-
ACE
iT邦新手 4 级 ‧
2024-09-27 15:50:29
感谢解答!签章部分我没有搞过,我看下在AD怎么部属下去,谢谢提供方向
修改
2
mathewkl
iT邦高手 1 级 ‧ 2024-09-25 19:12:34
要过UAC就是要admin,没有解方
可以不用提权就能bypass UAC那每个骇客都会冲那个漏洞了XD
Agent/Agent less监看类型
资产管理系统、MDM、设施应用监视系统
从网路控管
防火墙的应用程式封锁、DNS封锁、网页封锁等
公司政策控管
下达不要乱搞的资讯设备使用规章要求遵守
2
Kailis
iT邦研究生 1 级 ‧ 2024-09-26 10:14:36
不是有很多程式, 像是runasadmin , cpau 之类的工具, 可以做到製作脚本,将帐密及执行程式的路径都储存在里面, 提供给user去执行, user他们是改不了的.也就不会有你说的那些使用runas的问题了
0
rin0913
iT邦新手 5 级 ‧ 2024-09-30 12:56:27
电脑本机仍然会有 administrator 帐号,既然如此的话,写一只简单的 api 搭配 ansible 戳 windows 用管理员帐号执行批次档。
然后普通使用者就只需要给他一只戳 api 的小脚本,他也没办法修改被管理员权限执行的 bat,因爲那个存放在管理员帐号下或甚至是远端。