通过kisEPM系统可实现指定程序运行时自动提权,实现步骤包括两部分,一部分是在服务器管理端创建提权策略,一部分是在客户端更新策略并实现提权。
- 服务器侧创建提权策略注:系统已经内置了部分策略,但默认是禁用状态,只要启用即可测试(注意内置策略中进程名对应的产品名等参数不同版本的程序可能是不同的,如果测试不成功请确认)。1,进入软件运行提权管理>策略,再点新建策略;
2,会弹出新建策略的窗口,如下图所示,可以发现策略包括三部分:策略名、进程限定条件、客户端限定条件三部分组成。这些条件都是AND关系(非OR关系)。
按提示填入即可,策略名和程序进程名是必须填写的,程序进程名是要提权程序的文件名,注意包括exe的扩展名。除了填写程序进程名,建议还要加上一些附加条件,比如这个程序的厂商名、或厂商数字签名、或产品名称、或程序路径、或产品哈希值,注意这些条件都是AND关系,也就是如果填写后需要每个条件都满足才可提权。一般建议至少两个条件组合,比如程序进程名+厂商数字签名,或程序进程名+产品名称。
如果是程序进程名+产品哈希值,则如果程序升级后,则需要新增或变更策略。
如果仅仅是程序进程名限制,则可能导致有人会修改不能提权程序的名字为可提权程序的名字。
针对域用户组、域计算机组、IP范围三个条件,默认为空,也即是所有用户、所有计算机、所有IP都可以应用此提权策略。这三个条件也是AND关系。
域用户组和域计算机组都不用填域名前缀,直接填写组名即可,用分号分割开。
注1:可以点左上方的软件信息查看工具提取要提权程序的相关信息,并复制到策略中。
虽然正常情况同一个程序的不同版本的产品名、厂商名、厂商签名都应该一致,但也有变化的情况,所以当提权不成功时可用上面的软件信息查看工具确认。
注2:策略的执行是按序号从小到大检查,只要匹配了某条策略就不会再向下检查,可以修改策略的序号值以实现自定义的策略执行顺序。
- 客户端验证策略
客户端默认会在90分钟内随机时间检查服务器端策略是否变更,如果有变更则会自动更新并应用。
如果要马上验证策略是否有效,请直接在命令行中运行epupdate,然后等大约1分钟就可测试新的策略了。
验证时像平常一样双击运行程序即可,此时如果命中策略会自动提权(以管理员身份运行),但如果系统启用了UAC,部分程序可能会弹出UAC窗口,此时要提权就需要右击程序,在右键菜单中选择“通过kisEPM提权运行”。
