Sam Toki2023-1-10 13:23 /
本文首发于知乎
前言
简介:本文介绍如何充分利用 Windows 系统的 UAC(用户账户控制 User Account Control)机制,从系统层面上先发制人,阻止电脑运行某些臭名昭著的国产流氓软件。
提示:笔者用的是英文版 Win10,使用中文 Windows 系统的读者可能需要将下文中的截屏与自己的系统对照着食用,敬请见谅。
题外话:笔者个人十分反对某些自称「电脑高手」的网友鼓吹关闭 UAC。UAC 是 Windows 系统的核心安全机制之一,关闭了安全机制,再怎样「电脑高手」的人都可能一个不小心就让流氓软件占领自己的电脑。「不要以为你比微软更懂 Windows。」
1/3 证书拉黑
要点:将国产流氓软件的数字证书添加至 Windows 证书管理器的黑名单中。
步骤:① 下载 GitHub 项目「chinawareblock」
项目页面 直接下载
(GitHub 时常连接不稳定,载不出来可以多刷新几次试试,或者你懂的)
② 解压压缩包,按需选择要拉黑的软件类型。重点拉黑「全家桶及浏览器」「腾讯」,个人推荐拉黑「不受欢迎」「不好用」「工作无关软件」。运行这些文件夹下的「~一键拉黑.bat」并给予管理员权限(若不放心可以先右键检查代码),可以看到命令行窗口一闪而过。
(除腾讯全拉黑?拉黑的就是你个疼讯!)
③ 运行证书管理器(certmgr.msc),点击「不信任的证书」→「证书」,检查黑名单。若出现了「2345」「Beijing」「Shenzhen」等字样,说明大功告成。
2/3 UAC 等级拉至最高
要点:保证 UAC 发挥最大效用。
步骤:Win+S 键入「UAC」,打开 UAC 控制面板,将滑条拉至最高,确定即可。
3/3 UAC 要求键入密码(进阶 非必要)
要点:即使是管理员用户,UAC 也要求键入密码,防外人随便点「是」放行流氓软件,最大程度保证安全性。
步骤:Windows 专业版用户可使用组策略进行设定,奈何贫穷限制了笔者的想象,这里只介绍家庭版使用注册表的设定方法。
① 注册表定位至 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
② 修改键值 ConsentPromptBehaviorAdmin 为 1(DWORD 十六进制)。
参考链接
一些提示
尝试运行知名国产流氓软件时,将弹出显眼的红色 UAC,没有「是」按钮,强制阻止运行。若选择不做「证书拉黑」,则会是普通的蓝色 UAC(因为国产流氓软件的证书也是合法的),需要读者看清楚软件发布者名称,仔细辨别。
「证书拉黑」对不太知名的流氓软件、没有数字签名的流氓软件无效,还是需要读者看清楚软件发布者名称,仔细辨别。(梅开二度)
数字证书是会过期的,因此「证书拉黑」的方法依赖「chinawareblock」的作者更新维护证书清单,记得定期前往其 GitHub 项目页面看看有没有更新。
「UAC 要求键入密码」适用于以下情况:多人使用一台仅有一个管理员用户的电脑、旁边有熊孩子、安全要求高的用户。一般情况下大部分读者会嫌频繁键入密码太麻烦,只要记住以下两点即可:给别人建立标准用户、离开电脑的时候按 Win+L。
防流氓软件,最重要的还是用户自己良好的使用习惯与辨别能力。
延伸阅读:8个只能通过注册表开启的 Windows 小功能
前言
简介:本文介绍如何充分利用 Windows 系统的 UAC(用户账户控制 User Account Control)机制,从系统层面上先发制人,阻止电脑运行某些臭名昭著的国产流氓软件。
提示:笔者用的是英文版 Win10,使用中文 Windows 系统的读者可能需要将下文中的截屏与自己的系统对照着食用,敬请见谅。
题外话:笔者个人十分反对某些自称「电脑高手」的网友鼓吹关闭 UAC。UAC 是 Windows 系统的核心安全机制之一,关闭了安全机制,再怎样「电脑高手」的人都可能一个不小心就让流氓软件占领自己的电脑。「不要以为你比微软更懂 Windows。」
1/3 证书拉黑
要点:将国产流氓软件的数字证书添加至 Windows 证书管理器的黑名单中。
步骤:① 下载 GitHub 项目「chinawareblock」
项目页面 直接下载
(GitHub 时常连接不稳定,载不出来可以多刷新几次试试,或者你懂的)
② 解压压缩包,按需选择要拉黑的软件类型。重点拉黑「全家桶及浏览器」「腾讯」,个人推荐拉黑「不受欢迎」「不好用」「工作无关软件」。运行这些文件夹下的「~一键拉黑.bat」并给予管理员权限(若不放心可以先右键检查代码),可以看到命令行窗口一闪而过。
(除腾讯全拉黑?拉黑的就是你个疼讯!)
③ 运行证书管理器(certmgr.msc),点击「不信任的证书」→「证书」,检查黑名单。若出现了「2345」「Beijing」「Shenzhen」等字样,说明大功告成。
2/3 UAC 等级拉至最高
要点:保证 UAC 发挥最大效用。
步骤:Win+S 键入「UAC」,打开 UAC 控制面板,将滑条拉至最高,确定即可。
3/3 UAC 要求键入密码(进阶 非必要)
要点:即使是管理员用户,UAC 也要求键入密码,防外人随便点「是」放行流氓软件,最大程度保证安全性。
步骤:Windows 专业版用户可使用组策略进行设定,奈何贫穷限制了笔者的想象,这里只介绍家庭版使用注册表的设定方法。
① 注册表定位至 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
② 修改键值 ConsentPromptBehaviorAdmin 为 1(DWORD 十六进制)。
参考链接
一些提示
尝试运行知名国产流氓软件时,将弹出显眼的红色 UAC,没有「是」按钮,强制阻止运行。若选择不做「证书拉黑」,则会是普通的蓝色 UAC(因为国产流氓软件的证书也是合法的),需要读者看清楚软件发布者名称,仔细辨别。
「证书拉黑」对不太知名的流氓软件、没有数字签名的流氓软件无效,还是需要读者看清楚软件发布者名称,仔细辨别。(梅开二度)
数字证书是会过期的,因此「证书拉黑」的方法依赖「chinawareblock」的作者更新维护证书清单,记得定期前往其 GitHub 项目页面看看有没有更新。
「UAC 要求键入密码」适用于以下情况:多人使用一台仅有一个管理员用户的电脑、旁边有熊孩子、安全要求高的用户。一般情况下大部分读者会嫌频繁键入密码太麻烦,只要记住以下两点即可:给别人建立标准用户、离开电脑的时候按 Win+L。
防流氓软件,最重要的还是用户自己良好的使用习惯与辨别能力。
延伸阅读:8个只能通过注册表开启的 Windows 小功能