Trustedinstaller 추가 방법

TrustedInstaller SID

 Windows Server® 2008 및 Windows Vista® 운영 체제에서 대부분의 운영 체제 파일은 운영 체제 파일에 대한 모든 권한을 갖는 유일한 SID인 TrustedInstaller SID(보안 식별자)에서 소유합니다.
TrustedInstaller SID의 목적은 관리자 또는 LocalSystem 계정으로 실행되는 프로세스가 운영 체제 파일을 자동으로 바꾸지 못하도록 방지하는 것입니다. 운영 체제 파일을 삭제하기 위해서는 해당 파일에 대한 소유권이 있어야 하며 파일을 삭제할 수 있도록 허용하는 ACE(액세스 제어 항목)를 파일에 추가해야 합니다. 이런 방식으로 LocalSystem으로 실행되며 시스템 무결성 레이블을 갖는 프로세스에 대한 보호 수준을 높이고, 무결성이 낮은 프로세스가 자체의 권한을 상승시켜서 소유권을 변경하지 못하도록 할 수 있습니다. 

예를 들어 일부 서비스는 LocalSystem으로 실행되는 경우에도 중간 무결성으로 실행될 수 있습니다. 이러한 서비스는 시스템 파일을 바꿀 수 없기 때문에 운영 체제 파일을 바꿔서 서비스에 대한 제어 권한을 갖는 악용 사례를 방지할 수 있습니다.

CMD.exe 에 trustedinstaller SID 를 추가 하는 방법과 해당 SID가 필요한 이유는 아래 내용을 참고 하시기 바랍니다.

[ trustedinstaller SID 추가 방법]

먼저 CMD.exe의 속성에서 편집을 클릭 합니다.

Cmd 사용 권한 화면에서 '추가' 버튼을 클릭합니다.

선택할 개체 이름에 Nt service\trustedinstaller 를 입력 한 후 이름 확인을 클릭 합니다.

** NT와 service 사이에 공백 필요 **

Trustedinstaller 이름이 확인 되면 확인을 클릭 합니다.

Trutedinstaller에 모든 권한을 부여 합니다.

[Trsutedinstaller 계정이 필요 한 이유]

TrustedInstaller SID Windows Server® 2008 및 Windows Vista® 운영 체제에서 대부분의 운영 체제 파일은 운영 체제 파일에 대한 모든 권한을 갖는 유일한 SID인 TrustedInstaller SID(보안 식별자)에서 소유합니다.  TrustedInstaller SID의 목적은 관리자 또는 LocalSystem 계정으로 실행되는 프로세스가 운영 체제 파일을 자동으로 바꾸지 못하도록 방지하는 것입니다. 운영 체제 파일을 삭제하기 위해서는 해당 파일에 대한 소유권이 있어야 하며 파일을 삭제할 수 있도록 허용하는 ACE(액세스 제어 항목)를 파일에 추가해야 합니다. 이런 방식으로 LocalSystem으로 실행되며 시스템 무결성 레이블을 갖는 프로세스에 대한 보호 수준을 높이고, 무결성이 낮은 프로세스가 자체의 권한을 상승시켜서 소유권을 변경하지 못하도록 할 수 있습니다. 예를 들어 일부 서비스는 LocalSystem으로 실행되는 경우에도 중간 무결성으로 실행될 수 있습니다. 이러한 서비스는 시스템 파일을 바꿀 수 없기 때문에 운영 체제 파일을 바꿔서 서비스에 대한 제어 권한을 갖는 악용 사례를 방지할 수 있습니다. Windows 2008 이후부터는 윈도우 내 중요 파일은 Admin보다 상위 삭제 권한이 있어야 삭제가 가능합니다. 바로 Trusted installer로부터의 권한이 있어야 합니다. 즉 Administrative 권한보다 상위 권한임에, 혹시 제거된다면 몇몇 작업은 Administrative 권한의 계정일지라도 실패할 수 있습니다. 따라서 특별한 이유가 없다면 제거하지 않는 것이 좋을 듯 합니다.

[참고자료]
Windows Server 2008의 액세스 제어를 위한 새로운 기능

http://technet.microsoft.com/ko-kr/library/cc731677(WS.10).aspx

감사합니다.