在windows XP系统之前,administrator权限确实可以说是无敌权限了,简直可以媲美System这个至高无上的超级系统权限,连删个系统文件都不在话下,这时导致病毒肆虐的主要原因之一。
但从Vista开始,系统权限和用户权限做了很明显的划分,administrator的权限感觉明显的削弱了很多,系统文件不是你想删就可以删了,也不是你想改就可以随便改了。
在system权限的之上还增加了底层的TRustedInstaller权限,没错TrustedInstaller权限就是用来防止程序或用户无意或恶意破坏系统文件。若使用“取得文件或其他对象的所有权”特权来尝试修改权限,很容易被杀毒软件发现。所以TrustedInstaller权限配合UAC、Windows Defender、浏览器SmartScreen从源头上杜绝了病毒的肆虐。
Windows的用户组
Windows操作系统的用户组就像管理一家公司一样参与管理,会根据不同的职位,分配不同的权力和职能范围。不同的账户或组队文件、文件夹、注册表等拥有不同的访问能力,这点是非常重要的,可以防止重要文件被其他人或病毒修改,避免系统崩溃或者机密性文件被盗。
当一个用户试图访问一个文件或者文件夹的时候,NTFS文件管理系统就会检查用户使用的账号或所属的组在不在文件或文件夹的访问控制列表中(ACL),再进一步的检查就是访问控制项(ACE),控制项可以判断用户最终的权限。NTFS权限有两大要素:标准访问权限和特别访问权限。
完全控制。该权限允许用户对对文件夹、子文件夹、文件进行完全控制,比如:修改资源的权限、获取资源的所有者、删除资源的权限等,拥有完全控制权限等于拥有了其他所有的权限。
修改。该权限运行用户修改或删除资源,同时让用户拥有写入及读取和运行权限。
读取和运行。该权限允许用户拥有读取和列出资源目录的权限。也允许用户在资源中进行移动和遍历,专业用户就可以直接访问子文件夹和文件,即使用户没有权限访问这个路径。
列出文件夹目录。该权限允许用户查看资源中的子文件夹和文件名称。
读取。该权限允许用户查看该文件夹中的文件以及子文件夹,也允许查看该文件夹的属性、所有者和拥有的权限等。
写入。该权限允许用户在该文件夹中创建新的文件和子文件夹,也可以改变文件夹的属性、查看文件夹的所有者和权限等。
大多数情况下,标准权限是完全可以满足日常的管理需求,但对于一些要求严格的管理环境,管理员就需要赋予某些用户“特别权限”了。
TrustedInstaller是从Vista开始出现的内置安全主体,拥有修改系统文件的权限,它本身是一个服务但是以账户组的形式出现,全名:NT SERVICETrustedInstaller。TrustedInstaller用户账户用于保护系统核心文件,用于Windows Module Installer的安装、修改和删除Windows更新,也负责删除一些可选的Windows组件。想要获得TrustedInstaller权限,只有通过了服务启动控制器的验证才能获取,普通用户几乎不可能获得。
在Windows XP以前拥有Administrator账户就意味着有完全控制它的权利,但Vista之后仅表示你拥有使用它的最高权限而已。Administrator权限之上还有System权限和TrustedInstaller权限。System权限通过NTFS文件管理系统和TrustedInstaller的加持已经变得地位相当稳固,而Administrator再也别想越界了。