network service

NETWORK SERVICE屬於Windows諸多安全主體中的一個，用於作為服務用户登錄系統，可以訪問網絡。用户無法通過登錄界面正常登錄，也無法以此權限正常創建交互式服務來讓用户直接操作。以這個賬户運行的服務會根據實際環境把訪問憑據提交給遠程的計算機。此賬户默認沒有密碼。一般情況下，需要訪問網絡而不需要管理員權限的服務都是以這個權限運行的 ^[1]  。它擁有本機部分權限並以計算機的名義訪問網絡資源。

這個賬户主要負責一些網絡相關的服務，例如DNS客户端服務、Internet 協議安全策略嚮導服務等。

以NETWORK SERVICE權限運行的程序無法訪問內核驅動程序，無法訪問除“系統中斷”、“System”和“系統空閒處理器百分比”之外的所有進程。該賬户可以訪問Active Directory，如果是在網絡上運行服務，則日誌會存在服務器，否則存在本地。這個賬户也可以用於啓動一些 SQL Server的服務。 ^[3] 

NETWORK SERVICE賬户默認情況下的權限

完全控制（C:\Windows\ServiceProfiles\NetworkService文件夾及其所有子文件與子文件夾）

拒絕訪問（所有“System Volume Information”文件夾及其子文件和子文件夾和所有其他用户配置文件夾）

讀取和執行（其他所有文件或文件夾） ^[1] 

注：特權分配可以在本地安全策略中更改

完全控制（HKEY_USERS\S-1-5-20項及其子項與值）

沒有指定（其他所有位置）

拒絕訪問（所有進程，除“系統中斷”、“System”和“系統空閒處理器百分比”）

拒絕訪問（所有服務）

與普通用户相同 ^[1] 

NETWORK SERVICE的應用與實例

Network Service 帳户是特別設計的，專用於為應用程序提供訪問網絡的足夠權限，而且在IIS6 中，無需提升權限即可運行 Web 應用程序。這對於 IIS 安全性來説，是一個特大的消息，因為不存在緩衝溢出，懷有惡意的應用程序無法破譯進程標識，或是對應用程序的攻擊不能進入 System 用户環境。更為重要的一點是，再也不能形成針對System帳户的“後門”，例如，再也無法通過 InProcessIsapiApps 元數據庫項利用加載到 Inetinfo 的應用程序。 ^[2] 

Network Service 帳户在創建時不僅僅考慮了在 IIS 6 中的應用。它還具有進程標識 W3WP.exe 的絕大部分（並不是全部）權限。如同 ASPNET 用户為了運行 ASP.net 應用程序，需要具有 IIS 5 服務器上某些位置的訪問權限，進程標識 W3WP.exe 也需要具有類似位置的訪問權限，而且還需要一些默認情況下沒有指派給內置組的權限。 ^[3] 

使用NETWORK SERVICE賬户時的注意事項