超級管理員
超級管理員
超級管理員(Administrators)是安裝系統時內置的一個用戶組,所有管理員用戶都在這個組下。
Administrator用戶默認在這個組,在安全模式情況下是啟動切換到超級管理員后可以設置其他用戶的許可權。一般網站也會設置超級管理員,用來管理註冊用戶或者具有一定許可權的其他管理員,維護網站的運行。
Administrators是Windows中預設的一個用戶組,介紹是:管理員對計算機/域有不受限制的完全訪問權。這個組包含了所有的Windows管理員用戶賬戶,加入這個組的用戶賬戶就會自動成為管理員並擁有系統管理權。這個組的成員所具有的許可權是所有真人用戶中最高的。自從Windows Vista開始,Administrators的成員默認不再具有系統最高許可權。
超級管理員
Administrators組成員 | ||
---|---|---|
名稱 | 類型 | SID |
(域名)\Administrator | 預設用戶,不可移除 | S-1-5-21-(域ID)-500 |
NT AUTHORITY\SYSTEM | 內置安全主體,不可移除,沒有密碼且不可設立密碼 | S-1-5-18 |
(其他用戶賬戶) | 自定義用戶或其他內置安全主體,可移除 | N/A |
註:可以通過“本地用戶和組”等管理工具更改這個組的成員。
文件與文件夾許可權
完全控制根目錄及以下的所有子文件與子文件夾(非系統分區)
修改當前文件夾並完全控制其子文件夾並讀取和執行子文件(系統分區下的WINDOWS、Program Files和ProgramFiles(x86)文件夾)
讀取、寫入和執行當前文件夾並完全控制其子文件與子文件夾(系統分區下的Boot文件夾)
完全控制(系統分區下的其他文件夾或文件)
組成員用戶特權
Administrators組成員默認擁有特權 | ||
---|---|---|
特權名 | 描述 | 特權狀態 |
SeIncreaseQuotaPrivilege | 為進程調整內存配額 | 已禁用 |
SeSecurityPrivilege | 管理審核和安全日誌 | 已禁用 |
SeTakeOwnershipPrivilege | 取得文件或其他對象的所有權 | 已禁用 |
SeLoadDriverPrivilege | 載入和卸載設備驅動程序 | 已禁用 |
SeSystemProfilePrivilege | 配置文件系統性能 | 已禁用 |
SeSystemtimePrivilege | 更改系統時間 | 已禁用 |
SeProfileSingleProcessPrivilege | 配置文件單一進程 | 已禁用 |
SeIncreaseBasePriorityPrivilege | 提高計劃優先順序 | 已禁用 |
SeCreatePagefilePrivilege | 創建一個頁面文件 | 已禁用 |
SeBackupPrivilege | 備份文件和目錄 | 已禁用 |
SeRestorePrivilege | 還原文件和目錄 | 已禁用 |
SeShutdownPrivilege | 關閉系統 | 已禁用 |
SeDebugPrivilege | 調試程序 | 已禁用 |
SeSystemEnvironmentPrivilege | 修改固件環境值 | 已禁用 |
SeChangeNotifyPrivilege | 繞過遍歷檢查 | 已啟用 |
SeRemoteShutdownPrivilege | 從遠程系統強制關機 | 已禁用 |
SeUndockPrivilege | 從擴展塢上取下計算機 | 已禁用 |
SeManageVolumePrivilege | 執行卷維護任務 | 已禁用 |
SeImpersonatePrivilege | 身份驗證后模擬客戶端 | 已啟用 |
SeCreateGlobalPrivilege | 創建全局對象 | 已啟用 |
SeIncreaseWorkingSetPrivilege | 增加進程工作集 | 已禁用 |
SeTimeZonePrivilege | 更改時區 | 已禁用 |
SeCreateSymbolicLinkPrivilege | 創建符號鏈接 | 已禁用 |
註:特權分配可以在本地安全策略中更改,這裡的特權僅針對除SYSTEM外的管理員
註冊表許可權
特殊(HKEY_LOCAL_MACHINE\SECURITY和HKEY_LOCAL_MACHINE\SAM\SAM以及它們的子項與值)
完全控制(其他所有內容)
超級管理員
進程許可權
特殊(所有內核級進程和大部分系統服務)
列出信息(部分svchost.exe)
拒絕訪問(所有已登錄的真人用戶運行的進程,除Administrator用戶的)
完全控制(所有Administrator用戶的進程)
服務許可權
特殊(所有核心服務)
完全控制(其他服務)
令牌句柄許可權
查詢(所有已登錄的真人用戶運行的進程的令牌(token),除Administrator用戶的)
特殊(所有系統進程的令牌)
完全控制(少數令牌)
線程句柄許可權
特殊(大部分非系統線程)
拒絕訪問(大部分系統線程和所有已登錄的真人用戶運行的線程,除Administrator用戶的)
完全控制(少部分線程)
事件句柄許可權
拒絕訪問(所有系統事件和大部分非系統事件)
特殊(剩餘事件)
Window Stations句柄許可權
特殊(部分系統進程的Window Stations)
完全控制(其他Window Stations)
Mutant句柄許可權
拒絕訪問(所有已登錄的真人用戶運行的進程Mutant,除Administrator用戶的)
特殊(某些系統進程的mutant)
Job句柄許可權
特殊(所有Job)
Directory句柄許可權
完全控制(全部Directory)
日誌許可權
完全控制(應用程序日誌、系統日誌)
讀取、清除(安全日誌)
概括
Administrators可以
1.控制大部分文件
2.擁有大量特權
3.控制大多數註冊表內容
4.安裝操作系統和系統組件(如硬體驅動程序、系統服務等)
5.安裝服務包(Service Pack)
6.升級或修復系統
7.配置關鍵操作系統參數(如密碼策略、對象訪問控制、對象審核策略、內核模式驅動程序配置以及其他內容)
8.獲取文件的所有權
9.管理安全和審核系統日誌與應用程序日誌、檢查安全日誌
10.備份系統、還原系統
11.控制大多數句柄、進程以進行管理
Administrators的許可權很高,這也使得許多病毒或有害程序嘗試獲取管理員許可權並篡改你的電腦。黑客入侵的常用手段之一就是取得其中一個管理員用戶賬戶的使用權。如果黑客已經取得就為時已晚了,因此我們需要做好有關的防範工作,防止自己的電腦被入侵。
管理員用戶賬戶的分配
對於一台電腦,如果是多人使用,不推薦使用超過1個管理員用戶賬戶,而且每個管理員用戶賬戶都應該設置強密碼。這樣能夠有效地防止其他人使用管理員許可權修改電腦中的重要數據。
管理員用戶賬戶的使用
在日常的電腦使用中,需要盡量避免使用管理員賬戶上陌生網站、運行未知程序,因為運行的腳本或程序都以管理員特權運行,可能就會對系統做出不需要的更改。同時應該開啟UAC的保護至較高級別,能防止這些不明程序運行。同時也要避免一些不必要的提權。
必要的查毒殺毒措施
真正能夠防止病毒運行、阻止黑客入侵的有效方法還是需要一套給力的殺毒、反間諜和防火牆安全系統。如果經常訪問陌生網站或未知程序而又不得不使用管理員特權時,它們就會起到保護的作用。同時也要定期檢查系統,防止病毒潛伏。