超級管理員

超級管理員

超級管理員(Administrators)是安裝系統時內置的一個用戶組,所有管理員用戶都在這個組下。 Administrator用戶默認在這個組,在安全模式情況下是啟動切換到超級管理員後可以設定其他用戶的許可權。一般網站也會設定超級管理員,用來管理註冊用戶或者具有一定許可權的其他管理員,維護網站的運行。

Administrators概述

Administrators是Windows中預設的一個用戶組,介紹是:管理員對計算機/域有不受限制的完全訪問權。這個組包含了所有的Windows管理員用戶賬戶,加入這個組的用戶賬戶就會自動成為管理員並擁有系統管理權。 這個組的成員所具有的許可權是所有真人用戶中最高的。自從Windows Vista開始,Administrators的成員默認不再具有系統最高許可權。

Administrators成員

Administrators組成員
名稱類型SID
(域名)\Administrator預設用戶,不可移除S-1-5-21-(域ID)-500
NT AUTHORITY\SYSTEM內置安全主體,不可移除,沒有密碼且不可設立密碼S-1-5-18
(其他用戶賬戶)自定義用戶或其他內置安全主體,可移除N/A

註:可以通過“本地用戶和組”等管理工具更改這個組的成員。

Administrators組默認許可權

檔案與資料夾許可權

完全控制根目錄及以下的所有子檔案與子資料夾(非系統分區)

修改當前資料夾並 完全控制其子資料夾並 讀取和執行子檔案(系統分區下的WINDOWS、Program Files和Program Files (x86)資料夾)

讀取、寫入和執行當前資料夾並 完全控制其子檔案與子資料夾(系統分區下的Boot資料夾)

完全控制(系統分區下的其他資料夾或檔案)

組成員用戶特權

Administrators組成員默認擁有特權
特權名描述特權狀態
SeIncreaseQuotaPrivilege為進程調整記憶體配額已禁用
SeSecurityPrivilege管理審核和安全日誌已禁用
SeTakeOwnershipPrivilege取得檔案或其他對象的所有權已禁用
SeLoadDriverPrivilege載入和卸載設備驅動程式已禁用
SeSystemProfilePrivilege配置檔案系統性能已禁用
SeSystemtimePrivilege更改系統時間已禁用
SeProfileSingleProcessPrivilege配置檔案單一進程已禁用
SeIncreaseBasePriorityPrivilege提高計畫優先權已禁用
SeCreatePagefilePrivilege創建一個頁面檔案已禁用
SeBackupPrivilege備份檔案和目錄已禁用
SeRestorePrivilege還原檔案和目錄已禁用
SeShutdownPrivilege關閉系統已禁用
SeDebugPrivilege調試程式已禁用
SeSystemEnvironmentPrivilege修改固件環境值已禁用
SeChangeNotifyPrivilege繞過遍歷檢查已啟用
SeRemoteShutdownPrivilege從遠程系統強制關機已禁用
SeUndockPrivilege從擴展塢上取下計算機已禁用
SeManageVolumePrivilege執行卷維護任務已禁用
SeImpersonatePrivilege身份驗證後模擬客戶端已啟用
SeCreateGlobalPrivilege創建全局對象已啟用
SeIncreaseWorkingSetPrivilege增加進程工作集已禁用
SeTimeZonePrivilege更改時區已禁用
SeCreateSymbolicLinkPrivilege創建符號連結已禁用

註:特權分配可以在本地安全策略中更改,這裡的特權僅針對除SYSTEM外的管理員

註冊表許可權

特殊(HKEY_LOCAL_MACHINE\SECURITY和HKEY_LOCAL_MACHINE\SAM\SAM以及它們的子項與值)

完全控制(其他所有內容)

進程許可權

特殊(所有核心級進程和大部分系統服務)

列出信息(部分svchost.exe)

拒絕訪問(所有已登錄的真人用戶運行的進程,除Administrator用戶的)

完全控制(所有Administrator用戶的進程)

服務許可權

特殊(所有核心服務)

完全控制(其他服務)

令牌句柄許可權

查詢(所有已登錄的真人用戶運行的進程的令牌(token),除Administrator用戶的)

特殊(所有系統進程的令牌)

完全控制(少數令牌)

執行緒句柄許可權

特殊(大部分非系統執行緒)

拒絕訪問(大部分系統執行緒和所有已登錄的真人用戶運行的執行緒,除Administrator用戶的)

完全控制(少部分執行緒)

事件句柄許可權

拒絕訪問(所有系統事件和大部分非系統事件)

特殊(剩餘事件)

Window Stations句柄許可權

特殊(部分系統進程的Window Stations)

完全控制(其他Window Stations)

Mutant句柄許可權

拒絕訪問(所有已登錄的真人用戶運行的進程Mutant,除Administrator用戶的)

特殊(某些系統進程的mutant)

Job句柄許可權

特殊(所有Job)

Directory句柄許可權

完全控制(全部Directory)

日誌許可權

完全控制(應用程式日誌、系統日誌)

讀取、清除(安全日誌)

概括

Administrators可以

控制大部分檔案

擁有大量特權

控制大多數註冊表內容

安裝作業系統和系統組件(如硬體驅動程式、系統服務等)

安裝服務包(Service Pack)

升級或修復系統

配置關鍵作業系統參數(如密碼策略、對象訪問控制、對象審核策略、核心模式驅動程式配置以及其他內容)

獲取檔案的所有權

管理安全和審核系統日誌與應用程式日誌、檢查安全日誌

備份系統、還原系統

控制大多數句柄、進程以進行管理

1.

控制大部分檔案

2.

擁有大量特權

3.

控制大多數註冊表內容

4.

安裝作業系統和系統組件(如硬體驅動程式、系統服務等)

5.

安裝服務包(Service Pack)

6.

升級或修復系統

7.

配置關鍵作業系統參數(如密碼策略、對象訪問控制、對象審核策略、核心模式驅動程式配置以及其他內容)

8.

獲取檔案的所有權

9.

管理安全和審核系統日誌與應用程式日誌、檢查安全日誌

10.

備份系統、還原系統

11.

控制大多數句柄、進程以進行管理

安全措施

Administrators的許可權很高,這也使得許多病毒或有害程式嘗試獲取管理員許可權並篡改你的電腦。黑客入侵的常用手段之一就是取得其中一個管理員用戶賬戶的使用權。如果黑客已經取得就為時已晚了,因此我們需要做好有關的防範工作,防止自己的電腦被入侵。

管理員用戶賬戶的分配

對於一台電腦,如果是多人使用,不推薦使用超過1個管理員用戶賬戶,而且每個管理員用戶賬戶都應該設定強密碼。這樣能夠有效地防止其他人使用管理員許可權修改電腦中的重要數據。

管理員用戶賬戶的使用

在日常的電腦使用中,需要儘量避免使用管理員賬戶上陌生網站、運行未知程式,因為運行的腳本或程式都以管理員特權運行,可能就會對系統做出不需要的更改。同時應該開啟UAC的保護至較高級別,能防止這些不明程式運行。同時也要避免一些不必要的提權。

必要的查毒防毒措施

真正能夠防止病毒運行、阻止黑客入侵的有效方法還是需要一套給力的防毒、反間諜和防火牆安全系統。如果經常訪問陌生網站或未知程式而又不得不使用管理員特權時,它們就會起到保護的作用。同時也要定期檢查系統,防止病毒潛伏。

相關詞條

相關搜尋

熱門詞條

聯絡我們