Windows最高权限真的是Administrator吗?
在Windows XP系统之前,administrator权限确实可以说是无敌权限了,简直可以媲美system这个至高无上的超级系统权限,连删个系统文件都不再话下,这时导致病毒肆虐的主要原因之一。但从Vista开始,系统权限和用户权限做了很明显的划分,administrator的权限感觉明显的削弱了很多,系统文件不是你想删就可以删了,也不是你想改就可以随便改了。
在system权限的之上还增加了底层的TrustedInstaller权限,没错TrustedInstaller权限就是用来防止程序或用户无意或恶意破坏系统文件。若使用“取得文件或其他对象的所有权”特权来尝试修改权限,很容易被杀毒软件发现。所以TrustedInstaller权限配合UAC、Windows Defender、浏览器SmartScreen从源头上杜绝了病毒的肆虐。
Windows的用户组Windows操作系统的用户组就像管理一家公司一样参与管理,会根据不同的职位,分配不同的权力和职能范围。不同的账户或组队文件、文件夹、注册表等拥有不同的访问能力,这点是非常重要的,可以防止重要文件被其他人或病毒修改,避免系统崩溃或者机密性文件被盗。当一个用户试图访问一个文件或者文件夹的时候,NTFS文件管理系统就会检查用户使用的账号或所属的组在不在文件或文件夹的访问控制列表中(ACL),再进一步的检查就是访问控制项(ACE),控制项可以判断用户最终的权限。
NTFS权限有两大要素:标准访问权限和特别访问权限。标准访问权限的6大基本权限完全控制。该权限允许用户对对文件夹、子文件夹、文件进行完全控制,比如:修改资源的权限、获取资源的所有者、删除资源的权限等,拥有完全控制权限等于拥有了其他所有的权限。修改。该权限运行用户修改或删除资源,同时让用户拥有写入及读取和运行权限。
读取和运行。该权限允许用户拥有读取和列出资源目录的权限。也允许用户在资源中进行移动和遍历,专业用户就可以直接访问子文件夹和文件,即使用户没有权限访问这个路径。列出文件夹目录。该权限允许用户查看资源中的子文件夹和文件名称。读取。该权限允许用户查看该文件夹中的文件以及子文件夹,也允许查看该文件夹的属性、所有者和拥有的权限等。
写入。该权限允许用户在该文件夹中创建新的文件和子文件夹,也可以改变文件夹的属性、查看文件夹的所有者和权限等。特别访问权限遍历文件夹/运行文件。该权限允许用户在文件夹及其子文件夹之间移动(遍历),即使这些文件夹本身没有访问权限。列出文件/读取数据。该权限允许用户查看文件夹中的文件名称、子文件夹名称和查看文件中的数据。
读取属性。该权限允许用户查看文件或文件夹的属性。读取扩展属性。该权限允许查看文件或文件夹的扩展属性,这些扩展属性通常由程序所定义,并可以被程序修改。创建文件/写入数据。该权限允许用户在文件夹中创建新文件,也允许将数据写入现有文件并覆盖现有文件中的数据。创建文件夹/附加数据。该权限允许用户在文件夹中创建新文件夹或允许用户在现有文件的末尾添加数据,但不能对文件现有的数据进行覆盖、修改,也不能删除数据。
写入属性。该权限允许用户对文件或文件夹的扩展属性进行修改。写入扩展属性。该权限允许用户对文件或文件夹的扩展属性进行修改。删除子文件夹及文件。该权限允许用户删除文件夹中的子文件夹夹或文件,即使在这些子文件夹和文件上没有设置删除权限。删除。该权限允许用户删除当前文件夹和文件,如果用户在该文件或文件夹上没有删除权限,但是在其父级文件夹上有删除子文件及文件及的权限,那么仍然可以删除它。
读取权限。该权限允许用户读取文件或文件夹的权限列表。更改权限。该权限允许用户改变文件或文件夹上的现有权限。取得所有权。该权限允许用户获取文件或文件夹的所有权,一旦获取了所有权,用户就可以对文件或文件夹进行全权的控制。大多数情况下,标准权限是完全可以满足日常的管理需求,但对于一些要求严格的管理环境,管理员就需要赋予某些用户“特别权限”了。
TrustedInstaller是从Vista开始出现的内置安全主体,拥有修改系统文件的权限,它本身是一个服务但是以账户组的形式出现,全名:NT SERVICETrustedInstaller。TrustedInstaller用户账户用于保护系统核心文件,用于Windows Module Installer的安装、修改和删除Windows更新,也负责删除一些可选的Windows组件。
想要获得TrustedInstaller权限,只有通过了服务启动控制器的验证才能获取,普通用户几乎不可能获得。总结在Windows XP以前拥有Administrator账户就意味着有完全控制它的权利,但Vista之后仅表示你拥有使用它的最高权限而已。Administrator权限之上还有System权限和TrustedInstaller权限。
