Die SAM-Pfade und die eine oder andere Ecke sind standardmäßig nicht zugänglich.
Man KANN man sich als Admin diese Dinge ohne weiteres zugänglich machen. Man BRAUCHT sie aber normalerweise nicht.
Man BRAUCHT also das "System"-Konto nicht. Und man KANN auch ohne weiteres die Rechte des "Systems" gegenüber der standardmäßigen Allmacht einschränken. Nur im Bereich der Windows-Standardverzeichnisse (sowas wie "c:\windows", "c:\programme", "system volume information", "recycler") sollte man die Rechte so lassen, wenn man nicht riskieren will, wichtige Funktionen zu behindern. Immerhin handelt es sich ja aber um die Selbstverwaltung des Systems in sich. Wenn man dem System nicht vertrauen kann, ändert eine Behinderung dieser Selbstverwaltung nichts an jenem Umstand. Wenn man ihm vertraut, kann man ihm seine Selbstverwaltung ohne weiteres überlassen.
Den Zugriff auf wichtige Anwenderdaten dagegen kann man ohne weiteres gegenüber dem "System" einschränken, etwa um Behinderungen für amoklaufende (eventuell gekaperte) Systemdienste in den Weg zu legen. Bei mir hat z.B. "System" auf dem Bereich der Anwenderdaten per default nur Navigationsrechte und nur punktuell Lese- und Ausführrechte. Mit sowas käme ein böser Bube bei Benutzung des "System"-Kontos also nicht sehr weit.
Als "Bug" würde ich das daher nicht bezeichnen, sondern als "eigenartiges Feature". |