Windows-技术

WDAGUtilityAccount

By wooblog

什么是 WDAGUtilityAccount 权限?

  • 定义: WDAGUtilityAccount 是一个内置账户,全称是“WDAGUtilityAccount – A user account managed and used by the system for Windows Defender Application Guard scenarios”(由系统管理和用于 Windows Defender Application Guard 场景的用户账户)。它在 Windows 10(版本 1709 及以上)和 Windows 11 中引入。

  • 作用: 该账户由系统管理,用于支持 WDAG 的隔离容器运行环境,确保在沙盒中执行的应用程序或浏览器(如 Microsoft Edge 的 Application Guard 模式)与主机系统隔离。

  • SID: 其安全标识符(SID)为 S-1-5-21--504。

WDAGUtilityAccount 权限的具体能力

WDAGUtilityAccount 的权限受限且专用于 WDAG 功能,默认包括:

  1. 文件和文件夹管理:

    • 默认权限:

      • 对 WDAG 隔离容器中的临时文件和数据有读取和写入权限。

      • 例如,访问隔离环境中的浏览器缓存或下载文件。

    • 限制:

      • 无权访问主机系统的文件(如 C:\Windows 或用户文件夹),除非明确配置。

  2. 系统配置:

    • 无权修改主机系统的设置,仅支持隔离容器的运行。

  3. 应用程序运行:

    • 用于在 Hyper-V 隔离容器中运行应用程序或浏览器实例。

    • 权限由 WDAG 策略和容器配置控制。

  4. 特权:

    • 拥有有限的特权(如 SeImpersonatePrivilege),仅用于支持隔离环境。

    • 低于 SYSTEM 或 TrustedInstaller 的权限。

与 SYSTEM、Administrators 和其他账户的关系

  • 与 SYSTEM 的对比:

    • SYSTEM: 拥有最高系统权限,运行核心服务。

    • WDAGUtilityAccount: 权限较低,仅限于 WDAG 隔离任务。

  • 与 Administrators 的对比:

    • Administrators: 拥有完全控制权。

    • WDAGUtilityAccount: 系统管理账户,权限受限且不可登录。

  • 与 DefaultAccount 的对比:

    • DefaultAccount: 用于 WSL 或其他托管任务。

    • WDAGUtilityAccount: 专用于 WDAG 隔离。

  • 与 TrustedInstaller 的关系:

    • WDAGUtilityAccount 无权修改受 TrustedInstaller 保护的系统文件。

WDAGUtilityAccount 权限的特点

  • 系统管理: 由操作系统自动创建和管理,用户无法直接登录或修改。

  • 默认状态: 默认存在且启用,但仅在启用 WDAG 时激活。

  • 隔离性: 权限仅适用于 Hyper-V 容器,与主机系统严格隔离。

如何管理 WDAGUtilityAccount 权限?

  1. 查看账户:

    • 打开“计算机管理”(compmgmt.msc)→ 本地用户和组 → 用户 → 找到 WDAGUtilityAccount。

    • 默认显示为禁用状态,描述为“由系统管理的账户”。

  2. 检查权限:

    • WDAGUtilityAccount 的权限不直接出现在文件系统中,而是由 WDAG 策略控制。

    • 检查容器活动:事件查看器(eventvwr.msc)→ 应用程序和服务日志 → Microsoft → Windows → WDAG。

  3. 启用 WDAG:

    • 控制面板 → 程序和功能 → 启用或关闭 Windows 功能 → 勾选“Windows Defender Application Guard”。

    • 或 PowerShell:Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard。

  4. 调整权限:

    • 不建议直接修改 WDAGUtilityAccount 的权限,因其由系统管理。

    • 通过组策略(gpedit.msc)配置 WDAG:

      • 路径:计算机配置 > 管理模板 > 系统 > Application Guard。

实际应用场景

  • 浏览器隔离: 在 Microsoft Edge 中打开不受信任的网站,使用 WDAGUtilityAccount 运行隔离会话。

  • 应用沙盒: 测试潜在恶意软件,在 WDAG 容器中运行。

  • 企业安全: 保护主机系统免受外部威胁。

注意事项

  • 不可登录: WDAGUtilityAccount 无法用于交互式登录。

  • 权限受限: 仅限于隔离容器,主机系统资源不可访问。

  • 硬件要求: WDAG 需要 Hyper-V 支持(虚拟化启用、足够内存)。

总结

WDAGUtilityAccount 权限是与 Windows Defender Application Guard 相关的权限,由 WDAGUtilityAccount 账户承载,用于在 Hyper-V 隔离容器中运行不受信任的应用程序或浏览器。它的权限低于 SYSTEM 和 Administrators,远低于 TrustedInstaller,仅限于沙盒环境。默认由系统管理,适用于增强安全性的隔离场景

Users
windows 权限简要说明

登录

还没有账号吗? 注册

忘记密码?

注册

重设密码

请输入您的用户名或电子邮箱地址。您会收到一封包含创建新密码链接的电子邮件。