我正在尝试锁定我的 IIS 和 SQL 服务器。我有一个要检查的项目清单,但清单没有考虑到 TrustedInstaller 帐户,该帐户似乎拥有所有内容的文件权限。
我遇到的一个问题是我需要对注册表/dll 进行一些更改。我需要修改的许多注册表项以及整个 System32 文件夹都归 TrustedInstaller 所有。要进行我需要的更改,我必须拥有文件/注册表项的所有权,然后授予自己额外的访问权限。
我遇到的另一个问题是锁定某些文件夹,例如 system32 中的 IIS dll。我想尽量减少有权访问此文件夹的帐户数量,并且我再次注意到 TrustedInstaller 是所有者并对这些文件具有完全控制权。
那么,TrustedInstaller 到底是用来做什么的?它是否需要成为这些文件的所有者?如果不是所有者,它是否需要完全控制这些文件?
我正在使用 Windows Server 2008 R2。
答案1
您不需要为了安全而更改权限。
在 Windows 的最新版本中,只有 System32 等 Windows 文件受信任的安装程序有修改权限甚至没有系统帐户。
自 Windows Vista 和 Windows Server 2008 起,Windows 服务可以位于文件夹的 ACL 中。并且受信任的安装程序帐户是服务 Windows 模块安装程序用于在 Windows 执行更新时更改文件。
您不需要也不应该改变此默认行为。