iT邦幫忙

2021 iThome 鐵人賽

DAY 17
0
Software Development

妄想對自己的Windows優化兼Debug的工程師很正常吧系列 第 17

Windows系統權限--傳說的至高無上SYSTEM和虛擬高階TrustedInstaller

今天要分享Windows各種的帳戶權限,因為我們在修改一些較深層的登錄檔(例如第8天的第六點更改系統夾的提示資訊)就發生權限不足的情況,一看你會發現除了自己的一般使用者跟管理員帳戶,我們還有傳說中的至高無上SYSTEM帳號跟負責系統檔建置的虛擬高級帳戶Trustedinstaller,程序無時無刻在系統中處理不同等級的事務,都需要各種不同的權限,了解”帳戶權限”在我們操作系統的時候才不會處處碰壁,但同時也要記得這些碰壁的原因多半是因為安全性,所以我們也要小心謹慎不能隨意提權。


檔案擁有者

首先我們可以從資料夾的擁有者來觀察看起,打開cmd,轉到要查看的目錄(下面以C槽目錄示範),輸入dir /a/q,可以看到所有資料夾和檔案的擁有者欄位,每個擁有者前面還會有個所屬用戶域表達他們所屬的群組,標示為…代表權限不足無法查看,裡面有個NT SERVICE\TrustedInsta他是排版問題,應該是NT SERVICE\TrustedInstaller。
Imgur

我們也可以對檔案按右鍵->內容->安全性->進階,也可以看到檔案的擁有者,下面我們一一介紹這些帳戶權限。
Imgur


系統中的四大類帳號

  • 電腦名稱\使用者名稱(一般使用者)
    這個是一般使用者,權限較低的文件通常是屬於這個帳號的,包括自己建立的各種文件還有媒體櫃的內容(文件圖片下載那些資料夾),這個帳號下能正常使用作業系統,通常可以保障安全性不會對系統造成傷害,他的SID代碼通常是s-1-5-21開頭,總之就是最一般最普通的帳號。

  • BUILTIN\Administrators
    系統管理員身分,他通常是我們遇到需要操作系統的重要資料的時候,需要提權到達的對象,Windows對這個身分的取得並不難,在我們安裝軟體的時候也常常出現UAC(User Account Control)視窗的詢問,他的目的有點像是在提醒使用者,避免誤觸一些可能傷害系統的動作,他是在Windows安裝過程中創建的第一個帳戶,可以完全控制電腦上的文件、目錄、服務和其他資源,創建其他使用者、分配權限等等。

  • NT AUTHORITY\SYSTEM
    這個帳號通常是隱藏的,就是傳說中的Windows至高無上權限帳號,跟Administrators擁有相同文件權限,這個帳戶會由操作系統跟在Windows上運行的服務使用,系統中有許多服務和程序需要能夠在內部登錄(例如在Windows安裝期間)。他不顯示在帳戶管理中,不能添加到任何群組,也不能分配使用者權限,被授予對整個NTFS系統磁碟所有文件的完全控制權,SID代碼是S-1-5-18。

    簡單來說,他是給系統自己操作自己的一個帳戶,Administrators才是一般使用者會接觸到的帳號,但我們還是有辦法透過工具去提升到這個權限,這個工具就在微軟的官網上(https://docs.microsoft.com/en-us/sysinternals/downloads/psexec )
    轉到檔案路徑,執行psexec.exe -s -i cmd.exe,就會以System的身分開啟一個新的cmd,用whoami指令可以查看自己的身分。
    Imgur

  • NT SERVICE\TrustedInstaller(TI)
    他是Windows內建的一個安全性帳號,意義是用來防止程序或用戶無意或惡意破壞系統文件,本體是Windows Modules Installer service,是一個虛擬帳戶,系統文件大部份歸他管,負責安裝、修改和刪除Windows更新和其他可選的Windows組件,在Windows更新和開關機中扮演很重要的角色。在更新的時候會自動啟動C:\Windows\servicing\TrustedInstaller.exe執行Windows Modules Installer服務然後啟用這個帳號,他甚至會保護系統,不讓你更改系統檔名稱等等,即使你已經使用管理員權限,這邊我們暫時不提他提權的辦法,因為這是一個服務,提權需要用powerShell去竊取token,簡單的做法是像我們之前在修改某些登錄檔權限不足的時候(參考此文第6點),更改擁有者為一般使用者再給管理員控制權即可,但是改完要記得將擁有者改回NT SERVICE\TrustedInstaller才是正確的習慣。

今天就先說到這裡,對於Windows的權限我們有了一定的了解,之後遇到權限不足的時候才知道怎麼處理,但還是要提醒各位,本來系統鎖住各種權限都是為了安全性,提權就好比把手機root一樣,出什麼問題都不奇怪,在提權期間做的一且都要清楚明白才是,下篇我們就要正式進入Windows的事件檢視器了,預計先來看懂這項工具,途中有研究到其他東西會再分享給大家~~

Imgur

參考資料:
https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/security-identifiers
https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/local-accounts
https://social.technet.microsoft.com/Forums/windowsserver/en-US/8ed9ae17-a8ea-4475-881f-832597bcaf5f/nt-authoritysystem?forum=operationsmanagergeneral
https://www.hackercat.org/windows/psexec-local-privilege-escalation
https://kknews.cc/zh-tw/tech/9m6684q.html


上一篇
C槽系統目錄--Windows資料夾常識
下一篇
事件檢視器的使用介紹(一)--Windows內建的日誌查看程式
系列文
妄想對自己的Windows優化兼Debug的工程師很正常吧30

尚未有邦友留言

立即登入留言