windows系统中,builtin,nt authority,nt services这三个权限,哪个更高?
在 Windows 系统中,BUILTIN、NT AUTHORITY 和 NT SERVICE 这些术语主要指安全标识符 (SID) 的前缀,用于表示不同的账户或组类别。它们不是单一的“权限实体”,而是用于组织权限的命名空间。基于 Windows 安全模型的权限层次(从高到低),以下是它们的比较:
| 类别 | SID 前缀示例 | 典型代表示例 | 权限级别描述 | 相对高低 |
|---|---|---|---|---|
| NT AUTHORITY 新界管理局 | S-1-5-* | NT AUTHORITY\SYSTEM (S-1-5-18) NT 权威\系统 (S-1-5-18) | 最高级别,几乎全系统权限(包括对内核和受保护资源的访问),由操作系统核心服务使用,常用于系统级任务。 | 最高 |
| BUILTIN | S-1-5-32-* | BUILTIN\Administrators (S-1-5-32-544) 内置\管理员 (S-1-5-32-544) | 高级别管理员权限,但需 UAC 提升,且低于 SYSTEM(如无法直接访问某些系统保留区域)。 | 中等 |
| NT SERVICE 新界服务 | S-1-5-80-* | NT SERVICE<服务名> (如 NT SERVICE\Dnscache) NT SERVICE< 服务名> (如 NT SERVICE\Dnscache) | 最低级别,服务特定虚拟账户,权限最小化(类似于 Local Service),仅限于特定服务需求,避免过度授权。 | 最低 |
总结:NT AUTHORITY 的权限最高(以 SYSTEM 为代表),BUILTIN 次之(以 Administrators 为代表),NT SERVICE 最低。这些权限可通过工具如 icacls 或组策略进行细粒度配置,但默认层次如上所述。
还有更高的权限吗?
在 Windows 安全模型中,NT AUTHORITY\SYSTEM 已经是用户模式下最高级别的权限账户,几乎拥有对本地系统的完全控制权,但它并非绝对顶峰。实际上,还有一个更高的特殊权限实体:TrustedInstaller(也称为 NT SERVICE\TrustedInstaller),它专用于 Windows 模块安装程序(Windows Modules Installer 服务),具有对某些核心系统文件、文件夹和注册表键的独占所有权和修改权限。即使是 SYSTEM 账户也无法直接修改这些受保护资源,除非通过提升到 TrustedInstaller 级别运行。权限层次扩展比较以下是基于 Windows 权限模型的简要扩展(从高到低):
| 权限实体 | SID 示例 | 权限描述 | 相对 NT AUTHORITY\SYSTEM 相对 NT 权限\系统 |
|---|---|---|---|
| TrustedInstaller | S-1-5-80-956008885… | 最高级别,专属系统文件保护(如 winsxs 目录),防止恶意修改核心组件。 | 更高(特定场景独占) |
| NT AUTHORITY\SYSTEM NT 权限\系统 | S-1-5-18 | 用户模式最高,完整系统访问,但受 TrustedInstaller 限制某些文件。 | – |
| BUILTIN\Administrators BUILTIN\管理员 | S-1-5-32-544 | 管理员组,高权限但需 UAC 提升,且低于 SYSTEM。 | 更低 |
注意:
- TrustedInstaller 不是一个通用“超级账户”,而是针对系统维护的特定服务账户。它运行在 SYSTEM 上下文中,但拥有额外的独占权限,以增强系统完整性。
- 在内核模式(Ring 0)下,还有更高的硬件级权限(如驱动程序),但这超出用户/服务账户范畴,通常不视为“权限级别”。
- 如果需要实际提升到这些级别(如测试),可以使用工具如 PsExec(从 SYSTEM)或 ntrights(从 TrustedInstaller),但这可能违反安全最佳实践,仅限合法场景。
"setACL"中,可以设置owenr为~={green}NT SERVICE=~或~={green}BUILTIN=~