感知问题&环境描述:
在开始菜单的几个文件夹中,我注意到安全选项卡上有一个奇怪的用户。我还在我的姓名、姓氏和电子邮件中看到了该用户(微软帐户?)。我在 lusrmgr 上看不到这两个用户。我在那里看到了我的管理员帐户,它与微软帐户不同。在下图中检查未知帐户。
具有特殊权限的未知帐户-读取和执行+读取,从StartMenu继承:
在其他文件夹中,我看到了另外两个我不确定是什么的帐户:CREATOR OWNER 和 TrustedInstaller。我尝试过是否可以为这两个帐户添加权限,但只找到了 CREATOR OWNER。我认为这是有效的,但我仍然想了解更多信息。
我刚刚安装了 Win10 PRO - 几个星期。防火墙已打开,没有特殊自定义。还有杀毒软件。路由器上的固件不是最新版本。有时我会访问互联网上的高风险场所。
在路由器后面,我可以完全控制两台设备。另一台设备我不关心其安全性。我的家庭网络在两台计算机上都设置为私有网络。
总而言之,问题是:
这个未知用户 (S-1-5-21-...) 是什么?它是怎么来的?它的存在是否意味着我受到了攻击?
为什么我的(可能的) Microsoft 帐户与未知帐户对同一文件夹具有特殊访问权限?
什么是 CREATOR OWNER 账户?
什么是 TrustedInstaller 账户?
为什么我在 lusrmgr 中看不到上述四个帐户?
感谢您对我在这个话题上不太深入的了解的理解。
答案1
这个未知用户 (S-1-5-21-...) 是什么?它是怎么来的?它的存在是否意味着我受到了攻击?
这是您的机器上不存在的用户的安全标识符 (SID)。 您的计算机绝对没有受到损害。
为什么我的(可能的) Microsoft 帐户与未知帐户对同一文件夹具有特殊访问权限?
这绝对没有什么可担心的。 更详细地查看我自己的个人机器,我有一个类似的 SID,它也拥有该特定文件夹的所有权。 实际上,您发现的是一个“兼容性SID”,是Windows 8+为了实现系统功能而提供的功能。 您可以在注册表中搜索 SID,如果发现它包含在注册表中,则表示它是一个兼容性 SID。
如果您在注册表数据中找到该 SID,则它为功能 SID。根据设计,它不会解析为友好名称。如果您在注册表数据中未找到该 SID,则它不是已知功能 SID。您可以继续将其作为普通未解析 SID 进行故障排除。根据设计,功能 SID 不会解析为友好名称。
兼容性 SID 在以下注册表项中列出:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCachedCapabilities
Microsoft 对兼容性 SID 提供了以下警告:
请勿从注册表或文件系统权限中删除功能 SID。从文件系统权限或注册表权限中删除功能 SID 可能会导致功能或应用程序运行不正常。删除功能 SID 后,您无法使用 UI 将其重新添加。
因此,该特定 SID 的存在是有原因的。它实际上不是一个用户帐户,它不能用于访问您的系统,并且存在是为了让 Windows 10 正常运行。 您绝对不应该删除它的权限。
您的用户帐户有权访问同一文件夹,因为您指出您的系统上只有一个非特权用户帐户。由于所有用户的权限都基于用户组 CREATOR OWNER,因此权限相同。根据您自己的描述,您的管理员帐户未链接到 Microsoft 帐户。
什么是 CREATOR OWNER 账户?
CREATOR OWNER是每台现代 Windows 机器上都存在的默认用户组。它用于作为模板。 默认情况下,非特权用户对文件具有与该用户组相同的权限。
什么是 TrustedInstaller 账户?
每台现代 Windows 机器上都存在的默认系统帐户。 Windows 使用 TrustedInstaller 作为系统文件的所有者。
为什么我在 lusrmgr 中看不到上述四个帐户?
用户管理工具仅显示可以登录的帐户,系统帐户仅供 Windows 内核使用。链接到 Microsoft 帐户的用户帐户绝对列在用户管理工具中。您指出的是,有一个用户,拥有您的姓名和电子邮件地址,即 Microsoft 帐户。此帐户与您的特权管理员帐户是分开的。这意味着您有 2 个您创建的帐户。