-
TrustedInstaller
鎖定
TrustedInstaller(中文名:受信任的安全主體)是從Windows Vista開始出現的一個內置安全主體,在Windows中擁有修改系統文件權限,本身是一個服務,以一個賬户組的形式出現。它的全名是:
NT SERVICE\TrustedInstaller。
注:下文簡稱為TI
- 中文名
- 被信任的安裝程序
- 外文名
- TrustedInstaller
- 別 名
- 受信任的安裝者
- 操作系統
- Windows
- 所屬用户域
- NT SERVICE
- 所有者
- SYSTEM
- 作為管理員組
- 不是
- 可修改
- 不能
- 本 質
- 服務
TrustedInstaller信息介紹
TrustedInstaller為Windows系統中眾多系統內置安全主體中的一個,本身是系統重要服務,用户無法直接在此服務的上下文中運行程序或另一個服務。它是操作系統上用來對系統進行維護、更新等操作的組。
[1]
它的SID是S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464。TrustedInstaller權限的意義是用來防止程序或用户無意或惡意破壞系統文件。
[2]
這個安全主體本身是一個服務,名稱為:Windows Modules Installer。
在Windows XP及以前,System賬户與管理員組對系統文件都有着完全訪問的權限。
[3]
這意味着以管理員身份運行的程序可以任意更改系統,降低了系統安全性。TrustedInstaller則改變了這一情況,使得只有擁有TrustedInstaller令牌的系統進程才能更改系統重要內容,而其他大部分系統服務就沒有權限。
[4]
這是因為,以SYSTEM權限運行的程序不一定同時擁有TrustedInstaller的權限,只有通過了Service Control Manager(服務啓動控制器)的驗證後才能獲取。
[2]
但是由於TrustedInstaller指代的是“Windows Modules Installer”服務,這在Service Control Manager中是唯一的,因此只有通過此服務運行的程序才可以繼承有TrustedInstaller的權限。
[5]
由於此服務是由微軟自行開發的,因此可以在服務中指定只允許微軟程序獲得此權限來解決安全問題。而篡改運行程序也是不可能的,因為服務的可執行文件的寫入權限就需要提供來自TrustedInstaller的權限,意味着只有TrustedInstaller自己可以修改自己。若使用“取得文件或其他對象的所有權”特權來嘗試修改權限,則會很容易被殺毒軟件發現。
[5-6]
TrustedInstaller成員默認權限
TrustedInstaller文件和文件夾
完全控制(系統分區下的所有文件)
TrustedInstaller用户特權
沒有指定
TrustedInstaller註冊表權限
完全控制(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\PropertySystem\SystemPropertyHandlers以及其所有子項與值)
沒有指定(其他項與值)
TrustedInstaller其他權限
TrustedInstallerTI權限獲取
- 對於修改少量需要此權限的文件(夾),可以通過取得文件或文件夾所有權來解決。
- 對於修改大量需要此權限的文件(夾),可以通過執行以下命令行(需要管理員權限,win10方法失效但仍可以通過:sc config TrustedInstaller binPath= "執行的程序" 與 sc start TrustedInstaller 使程序以TI權限運行(不會顯示))
sc config TrustedInstaller binPath= "cmd /k start" type= own type= interact
sc start TrustedInstaller
此時會出現一個交互式服務檢測的窗口,在裏邊點擊查看信息即可進入TrustedInstaller用户,裏面開啓了一個命令行。關閉的方法只需把cmd窗口結束,在交互式服務檢測窗口裏返回或使用命令行:
sc stop TrustedInstaller
還可以通過第三方工具NSudo、ExecTI等使程序直接提權以進行修改。
TrustedInstallerTI組成員
SYSTEM(啓用於默認, 啓用的組, 組的所有者)(注:只有啓動TrustedInstaller.exe這個服務時才會啓用,因為這個服務是以SYSTEM運行的)
- 參考資料
-
- 1. Supported Resource Replacement Mechanisms .Windows Dev Center[引用日期2019-02-12]
- 2. TrustedInstaller SID .Microsoft Docs[引用日期2019-02-12]
- 3. Default Security Groups in Windows Server 2003 .Microsoft Docs.2010-09-08[引用日期2020-02-26]
- 4. Protected Resource List .Windows Dev Center[引用日期2019-02-12]
- 5. Folder and File Permissions (Master Data Services) .Microsoft SQL Docs[引用日期2019-02-12]
- 6. Security Identifiers (SIDs) New for Windows Vista .Microsoft Docs.2008-07-25[引用日期2020-02-26]
- 詞條統計
-
- 瀏覽次數:次
- 編輯次數:15次歷史版本
- 最近更新: 65655656ui