微软提供了五种等级:不受限的、基本用户、受限的、不信任的、不允许的。
不受限的,最高的权限等级,但其意义并不是完全的不受限,而是“软件访问权由用户的访问权来决定”,即继承父进程的权限。
基本用户,基本用户仅享有“跳过遍历检查”的特权,并拒绝享有管理员的权限。
受限的,比基本用户限制更多,也仅享有“跳过遍历检查”的特权。
不信任的,不允许对系统资源、用户资源进行访问,直接的结果就是程序将无法运行。
不允许的,无条件地阻止程序执行或文件被打开
很容易看出,按权限大小排序为 不受限的 > 基本用户 > 受限的 > 不信任的 > 不允许的
其中,基本用户 、受限的、不信任的 这三个安全等级是要手动打开的
具体做法:
打开注册表编辑器,展开至
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
新建一个DWORD值,命名为Levels,其值可以为
0x10000 //增加受限的
0x20000 //增加基本用户
0x30000 //增加受限的,基本用户
0x31000 //增加受限的,基本用户,不信任的
设成0x31000(即4131000)即可
---------------------------------------------
RUNAS 用法:
RUNAS [ [/noprofile | /profile] [/env] [/netonly] ] /user:<UserName> program
RUNAS [ [/noprofile | /profile] [/env] [/netonly] ] /smartcard [/user:<UserName>] program
RUNAS /trustlevel:<TrustLevel> program
/noprofile 指定不应该加载用户的配置文件。
这会加速应用程序加载,但
可能会造成一些应用程序运行不正常。
/profile 指定应该加载用户的配置文件。
这是默认值。
/env 要使用当前环境,而不是用户的环境。
/netonly 只在指定的凭据限于远程访问的情况下才使用。
/savecred 用用户以前保存的凭据。
Windows XP Home Edition 上没有这个选项。
该选项会被忽略。
/smartcard 如果凭据是智能卡提供的,则使用这个选项。
/user <UserName> 应使用 USER@DOMAIN 或 DOMAIN\USER 形式
/showtrustlevels 显示可以用作 /trustlevel 的参数的
信任级别。
/trustlevel <Level> 应该是在 /showtrustlevels 中枚举
的一个级别。
program EXE. 的命令行。请参阅下面的例子
例如:
> runas /noprofile /user:mymachine\administrator cmd
> runas /profile /env /user:mydomain\admin "mmc %windir%\system32\dsa.msc"
> runas /env /user:user@domain.microsoft.com "notepad \"my file.txt\""
注意: 只在得到提示时才输入用户的密码。
注意: USER@DOMAIN 跟 /netonly 不兼容。
注意: /profile 跟 /netonly 不兼容。
==================================================
源代码(复制代码另存为xx.bat即可):
代码:
:::添加基本用户
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" /v "Levels" /t REG_DWORD /d 0x00030000 /f>nul
:::刷新组策略
gpupdate /force>nul
:::以基本用户运行IE
Runas /trustlevel:基本用户 "%ProgramFiles%\Internet Explorer\IEXPLORE.EXE"
exit==================================
另一种方法是“建立IE为基本用户的策略”
做了个批处理给大家分享。
点“是”除“建立限制IE为基本用户的策略”外还将在桌面建立“以不受限的用户运行IE.EXE”以方便使用。
点“否”取消“限制IE为基本用户的策略”并删除桌面“以不受限的用户运行IE.EXE” 
批处理原码:
代码:
@echo off
set b=
echo Wsh.Echo MsgBox("【是(Y)】限制IE为基本用户。                    "^&Chr(10)^&"【否(N)】取消IE为基本用户的限制。          "^&Chr(10)^&"【取 消】退出!"^&Chr(10)^&Chr(10)^&"                  提示:需要重新启动后生效!!",vbYesNoCancel,"请选择:“是”“否”限制IE为基本用户的策略……") >tmp.vbs
for /f %%a in ('cscript tmp.vbs //nologo //e:vbscript') do set "b=%%a"
del tmp.vbs>nul
if %b%==6 goto Yes
if %b%==7 goto No
if %b%==2 goto end
goto end
:Yes
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers" /v "Levels" /t REG_DWORD /d 0x00030000 /f>nul
echo Windows Registry Editor Version 5.00>%temp%\ie.reg
echo.>>%temp%\ie.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{beaeacb1-c258-449b-954f-4ef750406b33}]>>%temp%\ie.reg
echo "LastModified"=hex(b):c4,fb,5e,a3,91,10,c9,01>>%temp%\ie.reg
echo "Description"="限制IE为基本用户的策略">>%temp%\ie.reg
echo "SaferFlags"=dword:00000000>>%temp%\ie.reg
echo "ItemData"="*\\iexplore.exe">>%temp%\ie.reg
echo.>>%temp%\ie.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\131072\Paths\{291b2596-e933-443f-843c-643db8cf0b8a}]>>%temp%\ie.reg
echo "LastModified"=hex(b):56,a2,ac,b8,27,b0,c8,02>>%temp%\ie.reg
echo "Description"="限制IE为基本用户的策略">>%temp%\ie.reg
echo "SaferFlags"=dword:00000000>>%temp%\ie.reg
echo "ItemData"="C:\\Program Files\\Internet Explorer\\*.exe">>%temp%\ie.reg
echo.
echo.
regedit /s %temp%\ie.reg
del %temp%\ie.reg
gpupdate /force>nul
Call :以不受限的用户运行IE
Start mshta vbscript:CreateObject("Wscript.Shell").popup("[^_^]您的 IE 浏览器已经有足够的安全性!",5," [^_^]OK! IE 已经被限制为基本用户权限 …",vbOKOnly)(window.close)
goto end
:No
echo Windows Registry Editor Version 5.00>%temp%\ie.reg
echo.>>%temp%\ie.reg
echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\0\Paths\{beaeacb1-c258-449b-954f-4ef750406b33}]>>%temp%\ie.reg
echo.>>%temp%\ie.reg
echo [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\131072\Paths\{291b2596-e933-443f-843c-643db8cf0b8a}]>>%temp%\ie.reg
echo.
regedit /s %temp%\ie.reg
del %temp%\ie.reg
gpupdate /force>nul
if exist "%USERPROFILE%\桌面\以不受限的用户运行IE.EXE" del /f /q /s "%USERPROFILE%\桌面\以不受限的用户运行IE.EXE">nul 2>nul
Start mshta vbscript:CreateObject("Wscript.Shell").popup("[^_^]OK! 限制IE为基本用户的策略已经取消 ……",5,"[^_^]取消您 IE 浏览器的基本用户的策略! ",vbOKOnly)(window.close)
goto end
:end
exit以不受限的用户运行IE的代码:
代码:
Runas /trustlevel:不受限的 "%ProgramFiles%\Internet Explorer\IEXPLORE.EXE"
转载自卡饭论坛
