Administrators概述
Administrators是Windows中預設的一個用戶組,介紹是:管理員對計算機/域有不受限制的完全訪問權。這個組包含了所有的Windows管理員用戶賬戶,加入這個組的用戶賬戶就會自動成為管理員並擁有系統管理權。 這個組的成員所具有的許可權是所有真人用戶中最高的。自從Windows Vista開始,Administrators的成員默認不再具有系統最高許可權。
Administrators成員
| 名稱 | 類型 | SID |
| (域名)\Administrator | 預設用戶,不可移除 | S-1-5-21-(域ID)-500 |
| NT AUTHORITY\SYSTEM | 內置安全主體,不可移除,沒有密碼且不可設立密碼 | S-1-5-18 |
| (其他用戶賬戶) | 自定義用戶或其他內置安全主體,可移除 | N/A |
註:可以通過“本地用戶和組”等管理工具更改這個組的成員。
Administrators組默認許可權
檔案與資料夾許可權
完全控制根目錄及以下的所有子檔案與子資料夾(非系統分區)
修改當前資料夾並 完全控制其子資料夾並 讀取和執行子檔案(系統分區下的WINDOWS、Program Files和Program Files (x86)資料夾)
讀取、寫入和執行當前資料夾並 完全控制其子檔案與子資料夾(系統分區下的Boot資料夾)
完全控制(系統分區下的其他資料夾或檔案)
組成員用戶特權
| 特權名 | 描述 | 特權狀態 |
| SeIncreaseQuotaPrivilege | 為進程調整記憶體配額 | 已禁用 |
| SeSecurityPrivilege | 管理審核和安全日誌 | 已禁用 |
| SeTakeOwnershipPrivilege | 取得檔案或其他對象的所有權 | 已禁用 |
| SeLoadDriverPrivilege | 載入和卸載設備驅動程式 | 已禁用 |
| SeSystemProfilePrivilege | 配置檔案系統性能 | 已禁用 |
| SeSystemtimePrivilege | 更改系統時間 | 已禁用 |
| SeProfileSingleProcessPrivilege | 配置檔案單一進程 | 已禁用 |
| SeIncreaseBasePriorityPrivilege | 提高計畫優先權 | 已禁用 |
| SeCreatePagefilePrivilege | 創建一個頁面檔案 | 已禁用 |
| SeBackupPrivilege | 備份檔案和目錄 | 已禁用 |
| SeRestorePrivilege | 還原檔案和目錄 | 已禁用 |
| SeShutdownPrivilege | 關閉系統 | 已禁用 |
| SeDebugPrivilege | 調試程式 | 已禁用 |
| SeSystemEnvironmentPrivilege | 修改固件環境值 | 已禁用 |
| SeChangeNotifyPrivilege | 繞過遍歷檢查 | 已啟用 |
| SeRemoteShutdownPrivilege | 從遠程系統強制關機 | 已禁用 |
| SeUndockPrivilege | 從擴展塢上取下計算機 | 已禁用 |
| SeManageVolumePrivilege | 執行卷維護任務 | 已禁用 |
| SeImpersonatePrivilege | 身份驗證後模擬客戶端 | 已啟用 |
| SeCreateGlobalPrivilege | 創建全局對象 | 已啟用 |
| SeIncreaseWorkingSetPrivilege | 增加進程工作集 | 已禁用 |
| SeTimeZonePrivilege | 更改時區 | 已禁用 |
| SeCreateSymbolicLinkPrivilege | 創建符號連結 | 已禁用 |
註:特權分配可以在本地安全策略中更改,這裡的特權僅針對除SYSTEM外的管理員
註冊表許可權
特殊(HKEY_LOCAL_MACHINE\SECURITY和HKEY_LOCAL_MACHINE\SAM\SAM以及它們的子項與值)
完全控制(其他所有內容)
進程許可權
特殊(所有核心級進程和大部分系統服務)
列出信息(部分svchost.exe)
拒絕訪問(所有已登錄的真人用戶運行的進程,除Administrator用戶的)
完全控制(所有Administrator用戶的進程)
服務許可權
特殊(所有核心服務)
完全控制(其他服務)
令牌句柄許可權
查詢(所有已登錄的真人用戶運行的進程的令牌(token),除Administrator用戶的)
特殊(所有系統進程的令牌)
完全控制(少數令牌)
執行緒句柄許可權
特殊(大部分非系統執行緒)
拒絕訪問(大部分系統執行緒和所有已登錄的真人用戶運行的執行緒,除Administrator用戶的)
完全控制(少部分執行緒)
事件句柄許可權
拒絕訪問(所有系統事件和大部分非系統事件)
特殊(剩餘事件)
Window Stations句柄許可權
特殊(部分系統進程的Window Stations)
完全控制(其他Window Stations)
Mutant句柄許可權
拒絕訪問(所有已登錄的真人用戶運行的進程Mutant,除Administrator用戶的)
特殊(某些系統進程的mutant)
Job句柄許可權
特殊(所有Job)
Directory句柄許可權
完全控制(全部Directory)
日誌許可權
完全控制(應用程式日誌、系統日誌)
讀取、清除(安全日誌)
概括
Administrators可以
控制大部分檔案
擁有大量特權
控制大多數註冊表內容
安裝作業系統和系統組件(如硬體驅動程式、系統服務等)
安裝服務包(Service Pack)
升級或修復系統
配置關鍵作業系統參數(如密碼策略、對象訪問控制、對象審核策略、核心模式驅動程式配置以及其他內容)
獲取檔案的所有權
管理安全和審核系統日誌與應用程式日誌、檢查安全日誌
備份系統、還原系統
控制大多數句柄、進程以進行管理
1.控制大部分檔案
2.擁有大量特權
3.控制大多數註冊表內容
4.安裝作業系統和系統組件(如硬體驅動程式、系統服務等)
5.安裝服務包(Service Pack)
6.升級或修復系統
7.配置關鍵作業系統參數(如密碼策略、對象訪問控制、對象審核策略、核心模式驅動程式配置以及其他內容)
8.獲取檔案的所有權
9.管理安全和審核系統日誌與應用程式日誌、檢查安全日誌
10.備份系統、還原系統
11.控制大多數句柄、進程以進行管理
安全措施
Administrators的許可權很高,這也使得許多病毒或有害程式嘗試獲取管理員許可權並篡改你的電腦。黑客入侵的常用手段之一就是取得其中一個管理員用戶賬戶的使用權。如果黑客已經取得就為時已晚了,因此我們需要做好有關的防範工作,防止自己的電腦被入侵。
管理員用戶賬戶的分配
對於一台電腦,如果是多人使用,不推薦使用超過1個管理員用戶賬戶,而且每個管理員用戶賬戶都應該設定強密碼。這樣能夠有效地防止其他人使用管理員許可權修改電腦中的重要數據。
管理員用戶賬戶的使用
在日常的電腦使用中,需要儘量避免使用管理員賬戶上陌生網站、運行未知程式,因為運行的腳本或程式都以管理員特權運行,可能就會對系統做出不需要的更改。同時應該開啟UAC的保護至較高級別,能防止這些不明程式運行。同時也要避免一些不必要的提權。
必要的查毒防毒措施
真正能夠防止病毒運行、阻止黑客入侵的有效方法還是需要一套給力的防毒、反間諜和防火牆安全系統。如果經常訪問陌生網站或未知程式而又不得不使用管理員特權時,它們就會起到保護的作用。同時也要定期檢查系統,防止病毒潛伏。
