root vs Administrator vs SYSTEM

15

Porównując różne dystrybucje linuksowe z oprogramowaniem Windows, jaka jest zasadnicza różnica w zakresie poziomów dostępu do kont administracyjnych ?

Zawsze myślałem, że konto administratora systemu Windows jest odpowiednikiem konta root w systemie Unix . A co z SYSTEMEM ? To nie jest zwykłe konto użytkownika, ale wykonując różne sztuczki, możesz uzyskać powłokę, ale czy naprawdę ma większe uprawnienia niż konto administratora?

windows unix user-accounts administrator Brian
źródło

Odpowiedzi:

13

Główną różnicą między Administratorem a SYSTEMem jest to, że Administrator jest faktycznym kontem (na przykład, ma hasło), podczas gdy SYSTEM nie. (Prawidłowo mówiąc, SYSTEM jest „głównym zabezpieczeniem”).

Jedną praktyczną różnicą jest to, że jeśli komputer jest przyłączony do domeny, procesy działające jako SYSTEM mogą uzyskiwać dostęp do serwerów domeny w kontekście konta domeny komputera. Procesy uruchomione jako Administrator nie mają dostępu do komputerów w domenie, chyba że hasło się zgadza lub alternatywnie nie podano jawnych poświadczeń.

Plik, katalog, klucz rejestru lub inny zabezpieczany obiekt może przyznać dostęp tylko do SYSTEMU, a nie do Administratora. Nie znam jednak żadnych przykładów domyślnej instalacji systemu Windows. Edycja: Zapomniałem klucza SAM zawierającego informacje o koncie lokalnym. Zapewnia to pełną kontrolę tylko SYSTEMowi, przy czym grupa Administratorzy nie ma dostępu do odczytu ani zapisu. Kreemoweet wskazał również, że Vista ma wiele innych przykładów.

Oczywiście administrator i tak może zastąpić wszelkie uprawnienia.

Istnieje jeden lub dwa specjalne przypadki nieparzystych. Na przykład funkcja WTSQueryUserToken pozwala programowi uzyskać token dostępu, którego można użyć do uruchomienia nowego procesu w kontekście określonego zalogowanego użytkownika. Z tej funkcji mogą korzystać tylko procesy działające jako SYSTEM, a nie procesy działające jako Administrator.

Harry Johnston
źródło
1
W systemie Vista domyślne listy ACL dla niezliczonych kluczy rejestru i plików zachowują pełną kontrolę nad systemem lub TrustedInstaller. Foldery \ winsxs \ i system32 \ drivers \ to dwa takie foldery. Administratorzy nie mogą nawet wyświetlić właściwości zabezpieczeń wielu kluczy rejestru.
kreemoweet
@kreemoweet: Ciekawe. Nie miałem wiele wspólnego z Vistą. W Windows 7 uprawnienia zarówno do folderów winsxs, jak i sterowników są takie same dla Administratorów, jak dla SYSTEMU. (Naprawdę dziwną rzeczą jest to, że uprawnienia są w całości jawnie przyznawane SYSTEMowi; to jest zbędne, ponieważ token SYSTEM zawsze obejmuje grupę Administratorów).
Harry Johnston,
4

Root w Linuksie jest równoważny administratorowi i systemowi Windows.

Widzisz, możesz legalnie zalogować się do Linuksa jako root w wielu dystrybucjach. Naprawdę nie można tego zrobić w systemie Windows za pomocą konta System. Root uruchamia również wszystkie usługi na komputerze, tak jak system działa w systemie Windows. Logujesz się do systemu Windows jako administrator, ale usługi nie działają pod nim, chyba że zostanie o to wyraźnie poproszony.

Kevin Shoaf
źródło
+1. Dwa konta w oknach są jak dwie strony tej samej monety.
Xyon,