UAC 替换

关于 UAC 替换

UAC 替换已引入 Application Control 2020.2 版本。此功能是 Application Control 中现有自行提升功能的补充，可以为管理员提供可配置的控制级别。

在 Windows 环境中，需要管理员权限的可执行文件将显示安全防护图标叠加。应用程序对话框也使用此图标来识别需要管理员访问的进程。标准用户配置文件触发此类应用程序或进程后，系统便会显示需要管理员登录详细信息的 Windows UAC 提升提示。

UAC 替换开启后，标准的 Windows UAC 提升提示便会替换为 Application Control 同意对话框。无论应用程序位于何处或以何种方式启动（例如从开始菜单、资源管理器、桌面或命令提示符启动），此功能都适用。

UAC 替换功能会检测所选应用程序是否会显示 Windows UAC 提示。如果不显示，可对此功能进行以下配置：

•通知用户需要提升的权限，并提示确认以继续。

•显示消息框，要求用户为提升权限提供原因。
请注意，提供的原因会存储为审计事件 (ID 9063)。有关详细信息，请参阅审计。

•自动提供管理员访问令牌

请注意，自 Application Control 2020.3 起，使用 UAC 替换来提升应用程序时，提升会应用于应用程序及其子项。

在某些实例中，UAC 替换提示不适用。这包括用户右键点击应用程序并从快捷菜单中选择“以管理员身份运行”时；或者当用户启动应用程序安装程序时。

1.在导航窗格中，点击所需适用组的用户权限节点，然后选择 UAC 替换选项卡。

2.选择启用 UAC 替换复选框。

3.按以下方式选择或清除配置选项：

在运行提升的应用程序之前提示用户

•选中此选项后，用户尝试打开会显示 UAC 提示的应用程序时，便会收到需要提升权限的通知。此提示允许用户确认他们是希望继续还是取消操作。
请注意，可以通过消息设置来配置 UAC 替换提示消息。

•清除此复选框后，可在不通知或不提示用户的情况下，根据需要应用提升的权限。

使用“最高/可用”提升应用程序
此选项会影响可以通过标准和管理员配置文件打开的应用程序，但应用程序给这些用户提供功能的位置各不相同。例如，一个标准用户可以运行 Regedit，但所提供的功能非常有限。拥有管理员权限的用户也可以运行 Regedit，而他们可以使用的功能要多得多。

•选中此复选框可以为会以提升权限运行的应用程序应用 UAC 替换提示（如果可能）。

•清除此复选框后，便只会提升需要管理权限才能运行的应用程序。

您可能希望从 UAC 替换功能中排除某些应用程序。例如，您可能出于安全考虑需要阻止提升对 Regedit 和其他功能强大的应用程序的访问权限。或者，您可能希望排除与此功能不兼容的应用程序。

排除项表格中列出了排除在 UAC 替换之外的任何应用程序。可以使用“添加排除项”和“删除排除项”按钮向表中添加和从表中删除应用程序。

1.在“UAC 替换”选项卡中，点击添加排除项按钮。
排除项表格的顶部会插入一个可编辑行。

2.指定要排除的应用程序并输入描述（如果需要）。

3.可通过输入可执行文件的路径和文件名（或文件名的子字符串）来指定应用程序。

说明。Application Control 规则引擎会对输入的值执行子字符串匹配。搜索不区分大小写，不支持通配符。

示例：
如需排除 C:\windows\regedit.exe，您可以指定以下任意一项：

•C:\windows\regedit.exe

•windows\reg

•Regedit

不建议仅输入简短的子字符串，因为这可能会无意中排除许多其他应用程序。

1.选择排除项表格中所需的行

2.点击删除排除项。
所选条目已删除。