Я пытаюсь заблокировать свои серверы IIS и SQL. У меня есть контрольный список элементов для проверки, но контрольный список не принимает во внимание учетную запись TrustedInstaller, которая, похоже, имеет права доступа ко всем файлам.
Одна из моих проблем заключается в том, что мне нужно внести несколько изменений в реестр / dll. Многие из записей реестра, которые мне нужно изменить, а также вся папка System32, принадлежат TrustedInstaller. Чтобы внести необходимые изменения, я должен стать владельцем файлов / записей реестра, а затем предоставить себе дополнительный доступ.
Другая проблема, с которой я столкнулся, - это блокировка определенных папок, таких как библиотеки DLL IIS в system32. Я хочу свести к минимуму количество учетных записей, имеющих доступ к этой папке, и снова замечаю, что TrustedInstaller является владельцем и имеет полный контроль над этими файлами.
Итак, для чего именно используется TrustedInstaller и должен ли он быть владельцем этих файлов? Если не владелец, требуется ли полный контроль над этими файлами?
Я использую Windows Server 2008 R2.
Вам не нужно менять разрешения для безопасности.
В последних версиях Windows в файлах Windows, таких как System32, только Доверенный установщик иметь права на изменение, даже не Система учетная запись.
Начиная с Windows Vista и Windows Server 2008, службы Windows могут находиться в списках ACL папки. И Доверенный установщик счет - это Установщик сервисных модулей Windows который используется для файлов изменений, когда Windows выполняет обновление.
Вам не нужно и не следует изменять это поведение по умолчанию.