在 Windows 中,您可以拥有的最高权限是管理员权限。但是当您安装防病毒软件等应用程序时,它们具有比管理员高一级的系统权限,这是我无法理解的。
为什么这些权限是授予应用程序而不是用户?这些应用程序实际上可以访问所有内容,甚至可以访问您无法通过管理员权限看到的地方,甚至可以阻止您停止该过程(这有助于病毒自我防御)。它们甚至可以在引导加载程序和可能的 BIOS 中注入内容。为什么 Windows 授予程序比管理员更多的权限?
答案1
管理员之间的区别SYSTEM不在于安全性,而在于安全性。它主要是为了防止人们意外破坏重要文件和注册表项。(也许它还可以防范不成熟的恶意软件,但这不是这里的主要目标——只要管理员足够努力,他们就可以做任何事情。)
系统服务以 身份运行,SYSTEM因为该帐户专门指定用于不与特定用户绑定的事物。该SYSTEM帐户还具有特殊权限 -SeTcbPrivilege或作为操作系统的一部分- 允许它为任何用户创建登录令牌而无需知道他们的密码。管理员默认没有该权限(尽管他们可以将其分配给自己),因为他们没有理由利用它 - 他们安装应用程序来管理这些事情。(不过,他们可以编写自己的应用程序来利用这些权力。)
您还提到了某些程序能够阻止自己被终止。这些程序被称为受保护的进程并且不能被任何用户模式进程终止,即使是以 身份运行的进程也不能SYSTEM。内核强制实施保护,以阻止病毒篡改防病毒程序。