本文的阅读对象适合安全性要求较高的IT Pro用户。
“用户帐户控制(UAC)”可以有效地保护我们的系统免受恶意程序。Win10天地边肖今天和大家分享一个技巧,在UAC用户账号控制界面增加两步,在可信安全屏幕输入管理员密码。
就是步骤变得繁琐,但一般来说,复杂程度和安全是成正比的,不是吗?
具体情况如下:
过去,当一个程序需要执行关键的系统操作时,会弹出UAC用户帐户控制界面,你需要获得许可才能继续。如图所示:
现在,将添加两步密码确认:
确认1:在可信Windows登录屏幕上输入我的凭据。
确认2:按Ctrl Alt Delete键输入凭据。
然后将显示UAC用户帐户控制界面,是否允许程序进行更改。
但是如果使用管理员账号登录系统,那么这两步只需要确认,不需要输入密码。只有当你以标准用户身份登录时,才会真正要求你输入密码。
下面详细解释一下增加这两步安全确认的设置步骤。有两种方法:
方法1:配置组策略
注意:此方法适用于带有组策略编辑器的Win10专业版/企业版/教育版。当然,我们也有办法为Win10家庭版打开组策略编辑器功能。
打开组策略编辑器,导航到计算机配置-管理模板-Windows组件-凭据用户界面。您可以在右边的窗口中看到配置项“可信路径需要凭据”。如图所示:
双击项目以打开编辑窗口。如图所示:
在帮助窗格中,我们可以看到该配置项的详细描述:
此策略设置要求用户使用受信任的路径输入Microsoft Windows凭据,这可以防止特洛伊木马或其他类型的恶意代码窃取用户的Windows凭据。
注意:此策略仅影响非登录身份验证任务。为了提高安全性,最好启用此策略。
如果启用此策略设置,将要求用户通过受信任路径机制在安全桌面上输入Windows凭据。
如果禁用或不配置此策略设置,用户将在其桌面会话中输入其Windows凭据,这很可能允许恶意代码访问其Windows凭据。
设置为“启用”并确认。
然后当UAC用户帐户控制弹出时,将首先显示输入凭据的两步确认。
方法2:修改注册表。
注意:该方法适用于所有Win10版本,但主要针对没有组策略编辑器的Win10家庭版。但是我之前说过,我们还是有办法打开Win10家庭版的组策略编辑器功能的。
打开注册表编辑器并导航到:
Hkey_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPolicies
PS:如何在注册表中快速定位一个项目?
考虑到修改注册表的风险,建议在修改之前先备份注册表(备份注册表的方法),或者创建一个系统还原点,以备出现问题时恢复。
选择可靠性项目,并在其下创建一个名为CredUI的新项目。
选择新创建的CredUI项,在右侧窗口中单击右键,选择“New-DWORD(32位)value”,命名为EnableSecureCredentialPrompting,双击该值打开编辑窗口。
将数字数据设置为1并确认。
此设置后的效果等同于第一种方法。
