Windows-Server-2008

安全性:TrustedInstaller 需要多少訪問權限?

  • September 5, 2011

我正在嘗試鎖定我的 IIS 和 SQL 伺服器。我有一個要檢查的項目清單,但清單沒有考慮 TrustedInstaller 帳戶,該帳戶似乎對所有內容都具有文件權限。

我遇到的一個問題是我需要進行一些系統資料庫/dll 更改。我需要修改的許多系統資料庫項以及整個 System32 文件夾都歸 TrustedInstaller 所有。要進行我需要進行的更改,我必須擁有文件/系統資料庫項的所有權,然後授予自己額外的訪問權限。

我遇到的另一個問題是鎖定某些文件夾,例如 system32 中的 IIS dll。我想盡量減少有權訪問此文件夾的帳戶數量,並且我再次注意到 TrustedInstaller 是所有者並且可以完全控制這些文件。

那麼,TrustedInstaller 到底是用來做什麼的,它是否需要成為這些文件的所有者?如果不是所有者,是否需要完全控制這些文件?

我正在使用 Windows Server 2008 R2。

您無需更改權限以確保安全。

在最近版本的 Windows 中,像 System32 這樣的 Windows 文件中只有TrustedInstaller具有修改權限,甚至沒有系統帳戶。

從 Windows Vista 和 Windows Server 2008 開始,Windows Services 可以位於文件夾的 ACL 中。TrustedInstaller帳戶是服務Windows 模組安裝程序,用於在 Windows 執行更新時更改文件。

您不需要也不應該更改此預設行為。

引用自:https://serverfault.com/questions/291552