公司電腦都有加入網域,預設一般user只有最低權限無法任意安裝或使用程式
某些程式安裝後,運行時會跳UAC認證要key管理者帳密
一般user的帳號,即便是電腦本機administrator群組我也不想讓他們加入
避免user自己安裝程式
目前方法都是寫一個run as administrator的bat檔案
指定程式以本機admin運行,只有第一次執行需要管理者權限而以
不過如果user去修改bat檔
或是將其他程式複製到bat檔的路徑並更名,也等於變相繞過權限
想請問下有甚麼方法可以讓run as administrator的使用比較安全呢?
先說我不是走你的方案跑run as administrator的bat檔案
但是我曾經考慮過這個方案,而且問題還不少,
只提供一些作法給你參考
1.可以安裝在系統環境上的的軟體,電腦重開機使用者就能用的,那就放工作排程跑
2.run bat的時候,檢查一下檔案的HASH,請至少用SHA-256檢查,避免被換檔案偷渡
3.將你的bat做個簽章,讓使用者改了程式碼就不會動,避免被使用者亂改
4.用GPO將憑證簽章部屬下去,用簽章做一定程度的執行限縮
bat用來跑程式是沒問題,但是已經過時了,現在的環境不能只考慮程式會跑就好
還要考慮資安才行,建議Windows還是用Powershell來跑程式吧
要過UAC就是要admin,沒有解方
可以不用提權就能bypass UAC那每個駭客都會衝那個漏洞了XD
Agent/Agent less監看類型
資產管理系統、MDM、設施應用監視系統
從網路控管
防火牆的應用程式封鎖、DNS封鎖、網頁封鎖等
公司政策控管
下達不要亂搞的資訊設備使用規章要求遵守
不是有很多程式, 像是runasadmin , cpau 之類的工具, 可以做到製作腳本,將帳密及執行程式的路徑都儲存在裡面, 提供給user去執行, user他們是改不了的.也就不會有你說的那些使用runas的問題了
電腦本機仍然會有 administrator 帳號,既然如此的話,寫一隻簡單的 api 搭配 ansible 戳 windows 用管理員帳號執行批次檔。
然後普通使用者就只需要給他一隻戳 api 的小腳本,他也沒辦法修改被管理員權限執行的 bat,因爲那個存放在管理員帳號下或甚至是遠端。