转自:https://blog.csdn.net/xcntime/article/details/51746148
导读:对于Windows内置安全主体特别需要注意的是:你无法创建、重命名和删除它们,并且它们在任何一个Windows系统中都是一样的。
在上期杂志的“理解Windows内置安全主体(上)”一文中,我们初步了解了Windows内置安全主体(它们是Windows安全子系统中预定义和控制的特殊对象)在管理和维护系统安全方面的强大功能。若仔细阅读了该文,那么你应当了解安全主体在简化和控制Windows资源访问控制上的能力。对于这些Windows内置安全主体特别需要注意的是:你无法创建、重命名和删除它们,并且它们在任何一个Windows系统中都是一样的。在本期文章中,我们将深入了解每个安全主体,为大家展示Windows是如何使用这些内置安全主体,并同时提供一些有用的使用技巧。
Authenticated Users和Everyone
Authenticated Users内置安全主体包括了所有通过Windows用户登录身份验证的用户——包括了域和森林中的所有用户,以及来自其他受信任域森林的用户。
Everyone内置安全主体可以认为是Authenticated Users的父集,它包括了Authenticated Users和Guest帐户。成员关系在不同的环境中稍显复杂。表1中显示了Authenticated Users和Everyone的详细成员关系。从表中可以看出对于Windows XP和Windows 2000的Active Directory(AD),Anonymous帐户默认是Everyone的成员,但不是Authenticated Users的成员。对于Windows Server 2003的AD和Windows XP SP2,Anonymous帐户默认就不是Everyone的成员,但是你可以通过修改Network Access: Let Everyone permissions apply to anonymous users设置,启用这个功能。还可以通过修改注册表HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Control\LSA\EveryoneIncludesAnonymous(REG_DWORD)中,键值改为1。无论任何情况下,Anonymous帐户都不会是Authenticated Users的成员
| 表1:Authenticated Users和Everyone的成员关系对比 |
||
| 成员 |
Authenticated Users |
Everyone |
| 域中所有用户 |
是 |
是 |
| 森林中所有用户 |
是 |
是 |
| 被信任的域和森林中的所有用户 |
是 |
是 |
| Guest |
否 |
是 |
| Anonymous |
是 |
对于Windows XP和Windows 2000 AD,是;对于Windows Server 2003和Windows XP SP2,否。 |
表1:Authenticated Users和Everyone的成员关系对比
System, Local Service和Network Service
在Windows 2000和更早的版本中,Windows的服务和很多第三方应用程序通常都运行在System内置安全主体的安全上下文环境中(有时也被称为Local System和LSA帐户)。AD用户将其归类为Well-Known-Security-ID-System。System代表了该计算机在网络中的计算机帐户,网络中显示为Domain name\ machine name$。本地系统的帐户名为NT AUTHORITY\System。此帐户没有密码,也不需要系统管理员的管理和干预:它自动使用Windows指派的计算机帐户凭据。
System安全主体的威力大抵与UNIX系统中的root帐户类似。当你在System的安全上下文环境中运行服务或者应用程序,那么该服务或应用程序就具备了在这个Windows系统中无所不能的权限。例如,假设一个服务使用System安全主体登录到一台域控制器,那么该服务就成为DC上的本地服务。一旦该服务被黑客攻击利用,那么恶意用户就具有了任何修改AD的权限。所以要特别小心——尤其是遵从最小权限的原则,尽量避免使用System。
为了遵从最小权限原则和避免使用System带来的隐患,Windows Server 2003和Windows XP SP2提供了两种替代方案:Local Service和Network Service。Local Service提供了一般服务在本地运行所需的最小权限。智能卡、远程注册表和Telnet服务都使用Local Service帐户。使用Local Service的服务在访问网络资源时,将默认使用Anonymous凭据。要配置一个服务使用Local Service,打开“服务”控制台,选择所需服务点击右键,“属性”在“登录”对话框中,选择“此帐户”并输入NT AUTHORITY\LocalService。无需为此帐户设置密码。
Network Service提供了一般服务在需要访问网络中其它计算机运行所需的最小权限。如同运行System下的服务一样,一个运行在Network Service下的服务在访问网络资源时,需要使用它们的计算机帐户凭据。域名解析服务(DNS)和远程过程调用(RPC)服务都默认使用Network Service。要配置一个服务使用Network Service,打开“服务”控制台,选择所需服务点击右键,“属性”在“登录”对话框中,选择“此帐户”并输入NT AUTHORITY\NetworkService。无需为此帐户设置密码。
This Organization和Other Organization
Windows Server 2003中新增了This Organization和Other Organization两个内置安全主体,它们是与一种新的,被称为selective authentication或者authentication