Windows操作系統的內置安全主體

摘 要 為了確保共享資源的安全，我們常常要進行訪問控制。如果要在Windows操作系統上進行訪問控制，就勢必要了解Windows操作系統的內置安全主體及其權限，以及與這些內置安全主體相關的一些事實。本文就是來探討這些的。

【關鍵詞】訪問控制 內置安全主體 權限

在Windows 操作系統中，用戶經過身份驗證后，操作系統使用內置的授權和訪問控制技術來確定它們是否有正確的權限訪問資源。在訪問控制技術模型中，用戶又被稱為安全主體，在Windows 操作系統中它們由獨特的安全標識符（SID）表示；資源通常指文件、文件夾、打印機等，它們也被稱為客體；客體通過訪問控制列表（ACL）來分配權限。

在Windows 操作系統中，安全主體除了大家所熟知的用戶，還有用戶組、內置安全主體。接下來，我們就詳細介紹幾個與訪問控制較為緊密的內置安全主體。

1 Windows操作系統的幾個內置安全主體

System/LocalSystem（S-1-5-18）：系統/本地系統，操作系統使用的服務帳戶。打開任務管理器會發現一些進程就是以System/LocalSystem身份運行的。System/LocalSystem是Administrators 組的隱藏成員，所以，任何以System/LocalSystem身份運行的進程其訪問令牌具有內置的 Administrators 組的 SID。以System/LocalSystem身份運行的進程除了具有管理員權限，其啟動時機也較早，在操作系統加載階段即已運行，這也是很多病毒想方設法注冊成為系統服務的原因。

Everyone（S-1-1-0）：所有人，在運行 Windows Server 2003 及以后版本操作系統的計算機上，Everyone 包括 Authenticated Users 和 Guest。

AuthenticatedUsers（S-1-5-11）：已驗證身份的，包括其身份已經得到驗證的所有用戶和計算機。AuthenticatedUsers 不包括 Guest，即使 Guest 帳戶有密碼。

Creator Owner（S-1-3-0）：創建者，創建對象時操作系統會為對象分配所有者，而默認情況下創建者就是該對象的所有者。

Windows操作系統里的內置安全主體很多，想要了解更多請訪問微軟TechNet。

2 與內置安全主體有關的一些事實

2.1 登錄后Administrator帳戶隸屬于Users組

由上面的介紹可知，任何已得到身份驗證的用戶和計算機都隸屬于AuthenticatedUsers；這樣，當內置帳戶Administrator登錄后也將隸屬于它。如果我們查看Users組的成員，會發現AuthenticatedUsers就在其中。所以，Administrator登錄后將是Users組成員。事實上，在Windows操作系統中，任何已登錄帳戶都屬于Users組；所以，在設置文件/文件夾的ACL時，盡量避免拒絕Users組的權限，不授予即可，不然可能會導致不必要的麻煩。

2.2 文件/文件夾創建者默認具有完全控制權限

Windows NT內核的操作系統作為《可信計算機系統評價標準》（TCSEC）C2安全級別的操作系統，采用了自主的訪問控制（DAC），DAC最顯著的特點便是資源的所有者能完全控制資源。由上面的介紹可知，默認Creator Owner是對象的所有者，那么它也就對所創建對象具有完全控制權限。

2.3 對系統安裝目錄訪問權限的變遷

由上面的介紹可知，在運行 Windows Server 2003 及以后版本操作系統的計算機上，Everyone 包括 AuthenticatedUsers 和 Guest。為了更好的保證系統安裝目錄的安全，這些年微軟在對系統安裝目錄的默認權限上也做了一些變化。

在Windows Server 2003操作系統上默認Everyone對系統安裝目錄具有讀取和運行權限，而在Windows Server 2008操作系統上Everyone已經沒有了權限。當然，變化并不只體現在服務器操作系統上，在工作臺操作系統上亦有所變化，請讀者自查。

3 結語

Windows 操作系統在實際的生活、工作中仍被大量的使用，當我們使用Windows 操作系統來共享資源（通常是文件或文件夾）時，會發現對共享資源進行訪問控制是多么重要，那么了解Windows 操作系統的內置安全主體就是一件繞不開的事情，希望這篇文章能對有這些需要的讀者有所裨益。

參考文獻

[1]安全標識符技術概述[EB/OL].https：//technet.microsoft.com/zh-cn/library/dn743661（v=ws.11）.aspx.

[2]趙瑞華.Windows 7系統上病毒的一些啟動時機[J].電腦與信息技術，2015（23）：43-45.

[3]訪問控制概述[EB/OL]. https：//technet.microsoft.com/zh-cn/library/dn408189（v=ws.11）.aspx.

[4] 張敬.高安全等級操作系統關鍵技術研究[D].西安電子科技大學碩士學位論文，2014.

作者簡介

趙瑞華（1981-），女，河南省濮陽市人。碩士學位。研究方向為操作系統安全、Web應用安全。

作者單位

公安部第三研究所 上海市 200031