UAC,即“用户账户控制”,全称为”User Account Control”,是Windows安全系统的一部分。
在运行Windows Vista及以后版本系统的Windows PC上,UAC可以试图阻止恶意软件执行有害的操作。
当某些软件尝试更改注册表或者更改系统的关键部分时,Windows也将弹出UAC窗口,以便用户确认更改。
在通常的情况下,当你正在进行的操作需要UAC授权时,UAC窗口将直接弹出,不过对于需要高级别安全策略的用户来说,默认的UAC授权步骤可能会让你不小心批准一些恶意软件的有害请求。
今天的这期教程,我们将讨论如何在处理UAC请求之前添加一步额外的确认操作,从而加强UAC的安全性,如果你是IT管理员或者Windows服务器的维护人员,那么这篇教程可能对你尤其有用。
为了让这篇教程适用于尽可能多的用户,本文将给出两种设置方法,分别为通过修改注册表来设置和通过编辑组策略来设置。
其中,通过编辑组策略来设置的方法适用于Windows 10专业版、企业版、教育版等高级版本,如果你正在使用的Windows 10为家庭版,则请参考通过修改注册表来设置的方法。
通过修改注册表来设置
要通过修改注册表来为UAC启用额外的安全防护,请在微软小娜中搜索并打开:
regedit
通过注册表编辑器窗口左侧的树状索引或者地址栏定位到:
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
将鼠标光标移至窗口右侧的空白区域,单击右键,选择新建-项,并将新建的项命名为:
CredUI
若“CredUI”项被成功新建,你将在注册表编辑器左侧的树状索引中看到它:
单击“CredUI”项;
将鼠标光标移植窗口右侧的空白区域,单击右键,选择新建-DWORD(32位)值,并将新建的DWORD(32位)值命名为:
EnableSecureCredentialPrompting
双击我们刚刚新建的名为“EnableSecureCredentialPrompting”的DWORD(32位)值,你将看到一个用以编辑DWORD(32位)值的窗口,在此窗口”数值数据”下的输入框中填写数字“1”(不包含引号),然后点击此窗口右下角的“确定”按钮。
此时,我们已经完成大多数的必要操作,要使我们的操作生效,请重新启动Windows 10。
操作生效后,当我们执行需要UAC批准的操作时,那在UAC窗口窗口弹出之前,Windows 10将要求你通过Ctrl+Alt+Del组合键来进行额外的确认。
效果如下:
额外的确认步骤一
额外的确认步骤二
UAC窗口
通过编辑组策略来设置
要通过编辑组策略来为UAC启用额外的安全防护,请在微软小娜中搜索并打开:
gpedit
通过组策略编辑器窗口左侧的树状索引定位到:
\计算机配置\管理模板\Windows组件\凭据用户界面\
将目光移至窗口的右侧,你将在设置项列表中看到一个设置项名为:
要求输入凭据的受信任路径
双击该设置项;
此时,你将看到一个用于设置“要求输入凭据的受信任路径”启用状态的窗口:
在此窗口的左上角,你将看到三个选项如下:
未配置
已启用
已禁用
将“已启用”设为选中状态,接着点击此窗口右下角的“确定”按钮。
操作生效后,当我们执行需要UAC批准的操作时,那在UAC窗口窗口弹出之前,Windows 10将要求你通过Ctrl+Alt+Del组合键盘来进行额外的确认。