-
超級管理員
鎖定
- 中文名
- 超級管理員
- 外文名
- Administrators
- 定 義
- 一個包含所有管理員用户的用户組
- 特 點
- 具有管理員權限
- 所屬用户域
- BUILTIN
- SID
- S-1-5-32-544
目錄
- 1 簡介
- 2 成員
- 3 Administrators組默認權限
- ▪ 文件與文件夾權限
- ▪ 組成員用户特權
- ▪ Mutant句柄權限
- ▪ Job句柄權限
- ▪ Directory句柄權限
- ▪ 日誌權限
- ▪ 概括
- 4 安全措施
- ▪ 管理員用户賬户的分配
- ▪ 管理員用户賬户的使用
- ▪ 必要的查毒殺毒措施
超級管理員簡介
Administrators是Windows中預設的一個用户組,介紹是:管理員對計算機/域有不受限制的完全訪問權。這個組包含了所有的Windows管理員用户賬户,加入這個組的用户賬户就會自動成為管理員並擁有系統管理權。
[1]
這個組的成員所具有的權限是所有真人用户中最高的。自從Windows Vista開始,Administrators的成員默認不再具有系統最高權限。
超級管理員成員
名稱 | 類型 | SID |
---|---|---|
(域名)\Administrator | 預設用户,不可移除 | S-1-5-21-(域ID)-500 |
NT AUTHORITY\SYSTEM | 內置安全主體,不可移除,沒有密碼且不可設立密碼 | S-1-5-18 |
(其他用户賬户) | 自定義用户或其他內置安全主體,可移除 | N/A |
超級管理員Administrators組默認權限
超級管理員文件與文件夾權限
讀取、寫入和執行當前文件夾並完全控制其子文件與子文件夾(系統分區下的Boot文件夾)
超級管理員組成員用户特權
特權名 | 描述 | 特權狀態 |
---|---|---|
SeIncreaseQuotaPrivilege | 為進程調整內存配額 | 已禁用 |
SeSecurityPrivilege | 管理審核和安全日誌 | 已禁用 |
SeTakeOwnershipPrivilege | 取得文件或其他對象的所有權 | 已禁用 |
SeLoadDriverPrivilege | 加載和卸載設備驅動程序 | 已禁用 |
SeSystemProfilePrivilege | 配置文件系統性能 | 已禁用 |
SeSystemtimePrivilege | 更改系統時間 | 已禁用 |
SeProfileSingleProcessPrivilege | 配置文件單一進程 | 已禁用 |
SeIncreaseBasePriorityPrivilege | 提高計劃優先級 | 已禁用 |
SeCreatePagefilePrivilege | 創建一個頁面文件 | 已禁用 |
SeBackupPrivilege | 備份文件和目錄 | 已禁用 |
SeRestorePrivilege | 還原文件和目錄 | 已禁用 |
SeShutdownPrivilege | 關閉系統 | 已禁用 |
SeDebugPrivilege | 已禁用 | |
SeSystemEnvironmentPrivilege | 修改固件環境值 | 已禁用 |
SeChangeNotifyPrivilege | 繞過遍歷檢查 | 已啓用 |
SeRemoteShutdownPrivilege | 從遠程系統強制關機 | 已禁用 |
SeUndockPrivilege | 從擴展塢上取下計算機 | 已禁用 |
SeManageVolumePrivilege | 執行卷維護任務 | 已禁用 |
SeImpersonatePrivilege | 身份驗證後模擬客户端 | 已啓用 |
SeCreateGlobalPrivilege | 創建全局對象 | 已啓用 |
SeIncreaseWorkingSetPrivilege | 增加進程工作集 | 已禁用 |
SeTimeZonePrivilege | 更改時區 | 已禁用 |
SeCreateSymbolicLinkPrivilege | 創建符號鏈接 | 已禁用 |
注:特權分配可以在本地安全策略中更改,這裏的特權僅針對除SYSTEM外的管理員
[4]
超級管理員註冊表權限
特殊(HKEY_LOCAL_MACHINE\SECURITY和HKEY_LOCAL_MACHINE\SAM\SAM以及它們的子項與值)
超級管理員進程權限
特殊(所有內核級進程和大部分系統服務)
列出信息(部分svchost.exe)
拒絕訪問(所有已登錄的真人用户運行的進程,除Administrator用户的)
完全控制(所有Administrator用户的進程)
超級管理員服務權限
特殊(所有核心服務)
完全控制(其他服務)
超級管理員令牌句柄權限
查詢(所有已登錄的真人用户運行的進程的令牌(token),除Administrator用户的)
特殊(所有系統進程的令牌)
完全控制(少數令牌)
超級管理員線程句柄權限
特殊(大部分非系統線程)
拒絕訪問(大部分系統線程和所有已登錄的真人用户運行的線程,除Administrator用户的)
完全控制(少部分線程)
超級管理員事件句柄權限
拒絕訪問(所有系統事件和大部分非系統事件)
特殊(剩餘事件)
超級管理員Window Stations句柄權限
特殊(部分系統進程的Window Stations)
完全控制(其他Window Stations)
超級管理員Mutant句柄權限
拒絕訪問(所有已登錄的真人用户運行的進程Mutant,除Administrator用户的)
特殊(某些系統進程的mutant)
超級管理員Job句柄權限
特殊(所有Job)
超級管理員Directory句柄權限
超級管理員日誌權限
讀取、清除(安全日誌)
超級管理員概括
Administrators可以
- 控制大部分文件
- 擁有大量特權
- 控制大多數註冊表內容
- 安裝操作系統和系統組件(如硬件驅動程序、系統服務等)
- 安裝服務包(Service Pack)
- 升級或修復系統
- 配置關鍵操作系統參數(如密碼策略、對象訪問控制、對象審核策略、內核模式驅動程序配置以及其他內容)
- 獲取文件的所有權
- 管理安全和審核系統日誌與應用程序日誌、檢查安全日誌
- 備份系統、還原系統
- 控制大多數句柄、進程以進行管理
超級管理員安全措施
Administrators的權限很高,這也使得許多病毒或有害程序嘗試獲取管理員權限並篡改你的電腦。黑客入侵的常用手段之一就是取得其中一個管理員用户賬户的使用權。如果黑客已經取得就為時已晚了,因此我們需要做好有關的防範工作,防止自己的電腦被入侵。
超級管理員管理員用户賬户的分配
對於一台電腦,如果是多人使用,不推薦使用超過1個管理員用户賬户,而且每個管理員用户賬户都應該設置強密碼。這樣能夠有效地防止其他人使用管理員權限修改電腦中的重要數據。
[6]
超級管理員管理員用户賬户的使用
在日常的電腦使用中,需要儘量避免使用管理員賬户上陌生網站、運行未知程序,因為運行的腳本或程序都以管理員特權運行,可能就會對系統做出不需要的更改。同時應該開啓UAC的保護至較高級別,能防止這些不明程序運行。同時也要避免一些不必要的提權。
超級管理員必要的查毒殺毒措施
真正能夠防止病毒運行、阻止黑客入侵的有效方法還是需要一套給力的殺毒、反間諜和防火牆安全系統。如果經常訪問陌生網站或未知程序而又不得不使用管理員特權時,它們就會起到保護的作用。同時也要定期檢查系統,防止病毒潛伏。
[7]
- 參考資料
-
- 1. How do I log on as an administrator? .Windows Support[引用日期2019-02-15]
- 2. Administrator account .Windows IT Pro Center[引用日期2019-02-15]
- 3. LocalSystem Account .Windows Dev Center[引用日期2019-02-15]
- 4. Appendix C: Protected Accounts and Groups in Active Directory .Windows IT Pro Center[引用日期2019-02-15]
- 5. Appendix B: Privileged Accounts and Groups in Active Directory .Windows IT Pro Center[引用日期2019-02-15]
- 6. Appendix D: Securing Built-In Administrator Accounts in Active Directory .Windows IT Pro Center[引用日期2019-02-15]
- 7. Appendix H: Securing Local Administrator Accounts and Groups .Windows IT Pro Center[引用日期2019-02-15]