TrustedInstaller

TrustedInstaller為Windows系統中眾多系統內置安全主體中的一個，本身是系統重要服務，用户無法直接在此服務的上下文中運行程序或另一個服務。它是操作系統上用來對系統進行維護、更新等操作的組。 ^[1]  它的SID是S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464。TrustedInstaller權限的意義是用來防止程序或用户無意或惡意破壞系統文件。 ^[2]  這個安全主體本身是一個服務，名稱為：Windows Modules Installer。

在Windows XP及以前，System賬户與管理員組對系統文件都有着完全訪問的權限。 ^[3]  這意味着以管理員身份運行的程序可以任意更改系統，降低了系統安全性。TrustedInstaller則改變了這一情況，使得只有擁有TrustedInstaller令牌的系統進程才能更改系統重要內容，而其他大部分系統服務就沒有權限。 ^[4]  這是因為，以SYSTEM權限運行的程序不一定同時擁有TrustedInstaller的權限，只有通過了Service Control Manager（服務啓動控制器）的驗證後才能獲取。 ^[2] 

但是由於TrustedInstaller指代的是“Windows Modules Installer”服務，這在Service Control Manager中是唯一的，因此只有通過此服務運行的程序才可以繼承有TrustedInstaller的權限。 ^[5] 

由於此服務是由微軟自行開發的，因此可以在服務中指定只允許微軟程序獲得此權限來解決安全問題。而篡改運行程序也是不可能的，因為服務的可執行文件的寫入權限就需要提供來自TrustedInstaller的權限，意味着只有TrustedInstaller自己可以修改自己。若使用“取得文件或其他對象的所有權”特權來嘗試修改權限，則會很容易被殺毒軟件發現。 ^[5-6] 

完全控制（系統分區下的所有文件）

完全控制（系統分區下除Windows、Program Files、Program Files (x86)、Boot的文件夾及其子文件夾）

列出文件夾目錄，特殊（系統分區下Windows、Program Files、Program Files (x86)、Boot文件夾及其子文件夾） ^[4-5] 

沒有指定

完全控制（HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\PropertySystem\SystemPropertyHandlers以及其所有子項與值）

沒有指定（其他項與值）

沒有指定 ^[4] 

sc config TrustedInstaller binPath= "cmd /k start" type= own type= interact

sc start TrustedInstaller

此時會出現一個交互式服務檢測的窗口，在裏邊點擊查看信息即可進入TrustedInstaller用户，裏面開啓了一個命令行。關閉的方法只需把cmd窗口結束，在交互式服務檢測窗口裏返回或使用命令行:

sc stop TrustedInstaller

還可以通過第三方工具NSudo、ExecTI等使程序直接提權以進行修改。

SYSTEM（啓用於默認, 啓用的組, 組的所有者）（注：只有啓動TrustedInstaller.exe這個服務時才會啓用，因為這個服務是以SYSTEM運行的）