-
system
(系統內置安全主體)
鎖定
SYSTEM的中文意思是系統,在Windows中擁有比管理員更大的權限,在Windows中主要作為系統服務或進程的運行賬户。
system帳户介紹
SYSTEM為Windows系統中眾多系統內置安全主體中的一個,在XP及以下版本的操作系統中擁有最高權限(從Vista開始,微軟分割了SYSTEM用户的部分權限,系統文件控制權限由TrustedInstaller接管)。用户不可以通過登錄界面登錄,也無法正常加載桌面、資源管理器、控制面板等常見進程。其實在我們使用Windows時經常遇到這個用户,例如:用户登錄界面就是以該賬户的權限運行的;在Windows Vista以及之後的系統中的Ctrl+Alt+Delete調出的安全選項界面也是以這個的權限運行的。在Windows服務或IIS中,它被稱為Local System。此賬户默認沒有密碼。
[2]
在該賬户訪問網絡資源時,作為計算機的域賬户出現,使用的是空的會話控制。
[1]
它的全名是: NT AUTHORITY\SYSTEM。
在Windows啓動過程中,從載入內核到最後的登錄階段中的所有內核和部分服務權限都是以SYSTEM權限運行的。它與真人使用的用户最大區別就是SYSTEM由操作系統自己管理並主要負責內核中的任務,而且它是從內部登錄的,因為許多服務或進程需要從內部登錄,這也是設計這個賬户的目的。
[3]
SYSTEM賬户只能通過“Service”(服務)方式登錄,在其他登錄方式下會顯示“用户名或密碼不正確”。而我們一般使用的用户賬户是通過“Interactive”(交互)方式登錄,因此SYSTEM無法從登錄界面登錄。
[4]
在使用Windows PE時,默認使用的權限是SYSTEM + TrustedInstaller權限,因為在這個環境中SYSTEM是和平常使用的Windows是不同的。
SYSTEM賬户是系統中唯一一個跨越Session(會話)訪問其他用户的桌面句柄的賬户。同時它也能夠訪問WinSta0窗口站下的“Winlogon”、“Disconnected”桌面,而“Winlogon”桌面就是登錄界面。由於“Winlogon”桌面只有SYSTEM能夠訪問,因此登錄界面必須要用SYSTEM權限運行。
[2]
system所屬用户組
組名 | 屬性 | 類型 | SID | 備註 |
|---|---|---|---|---|
Mandatory Label\System Mandatory Level | N/A | 標籤 | S-1-16-16384 | 此組作為SYSTEM在系統中的MIC級別 |
Everyone | 必需的組, 啓用於默認, 啓用的組 | 已知組 | S-1-1-0 | SYSTEM必須在此組下 |
BUILTIN\Administrators | 必需的組, 啓用於默認, 啓用的組, 組的所有者 | 別名 | S-1-5-32-544 | SYSTEM必須在此組下 |
BUILTIN\Users | 啓用於上下文 | 別名 | S-1-5-32-545 | SYSTEM在服務中啓動時在此組內 |
NT AUTHORITY\SERVICE | 啓用於上下文 | 已知組 | S-1-5-6 | SYSTEM在服務中啓動時在此組內 |
CONSOLE LOGON | 啓用於上下文 | 已知組 | S-1-2-1 | SYSTEM在服務中啓動時在此組內 |
NT AUTHORITY\Authenticated Users | 必需的組, 啓用於默認, 啓用的組 | 已知組 | S-1-5-11 | SYSTEM必須在此組下 |
NT AUTHORITY\This Organization | 啓用於上下文 | 已知組 | S-1-5-15 | SYSTEM在服務中啓動時在此組內 |
NT SERVICE\TrustedInstaller | 啓用於上下文,組的所有者 | 已知組 | (見下方) | SYSTEM在特殊服務中啓動時在此組內 |
LOCAL | 啓用於上下文 | 已知組 | S-1-2-0 | SYSTEM在服務中啓動時在此組內 |
NT SERVICE用户域下其他大部分安全主體 | 啓用於特殊情況,組的所有者 | 已知組 | (多個值) | SYSTEM啓動Unrestricted或Restricted服務時出現 |
表格説明:“必需的組”是指帳户必須被包含在此組內,沒有則可以不在此組內
“啓用的組”是指這個組已被啓用,運行程序時這個組的權限將會附加在當前帳户上
“啓用於默認”是指賬户被設定為默認情況下在此組內
“啓用於特殊情況”是指賬户只有在特定的環境中才會啓用這個組
“啓用於上下文”是指賬户由另一個程序指定加入這個組
“組的所有者”是指這個組的所有權由當前帳户掌控
“標籤”是指賬户分類
“別名”是指賬户組是可以包含人為用户的組
“已知組”是指這個組是內置賬户組,不可修改
TrustedInstaller的SID: S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464
system擁有權限
文件與文件夾權限
完全控制根目錄及以下的所有子文件與子文件夾(非系統分區)
修改當前文件夾並完全控制其子文件與子文件夾(系統分區下的WINDOWS、Program Files和Program Files (x86)文件夾)
讀取、寫入和執行當前文件夾並完全控制其子文件與子文件夾(系統分區下的Boot文件夾)
完全控制(系統分區下的其他文件夾或文件)
用户特權
特權名 | 描述 | 特權狀態 |
SeAssignPrimaryTokenPrivilege | 替換一個進程級令牌 | 已禁用 |
SeLockMemoryPrivilege | 鎖定內存頁 | 已啓用 |
SeIncreaseQuotaPrivilege | 為進程調整內存配額 | 已禁用 |
SeTcbPrivilege | 以操作系統方式執行 | 已啓用 |
SeSecurityPrivilege | 管理審核和安全日誌 | 已禁用 |
SeTakeOwnershipPrivilege | 取得文件或其他對象的所有權 | 已禁用 |
SeLoadDriverPrivilege | 加載和卸載設備驅動程序 | 已禁用 |
SeSystemProfilePrivilege | 配置文件系統性能 | 已啓用 |
SeSystemtimePrivilege | 更改系統時間 | 已禁用 |
SeProfileSingleProcessPrivilege | 配置文件單一進程 | 已啓用 |
SeIncreaseBasePriorityPrivilege | 提高計劃優先級 | 已啓用 |
SeCreatePagefilePrivilege | 創建一個頁面文件 | 已啓用 |
SeCreatePermanentPrivilege | 創建永久共享對象 | 已啓用 |
SeBackupPrivilege | 備份文件和目錄 | 已禁用 |
SeRestorePrivilege | 還原文件和目錄 | 已禁用 |
SeShutdownPrivilege | 關閉系統 | 已禁用 |
SeDebugPrivilege | 已啓用 | |
SeAuditPrivilege | 生成安全審核 | 已啓用 |
SeSystemEnvironmentPrivilege | 修改固件環境值 | 已禁用 |
SeChangeNotifyPrivilege | 繞過遍歷檢查 | 已啓用 |
SeUndockPrivilege | 從擴展塢上取下計算機 | 已禁用 |
SeManageVolumePrivilege | 執行卷維護任務 | 已禁用 |
SeImpersonatePrivilege | 身份驗證後模擬客户端 | 已啓用 |
SeCreateGlobalPrivilege | 創建全局對象 | 已啓用 |
SeIncreaseWorkingSetPrivilege | 增加進程工作集 | 已啓用 |
SeTimeZonePrivilege | 更改時區 | 已啓用 |
SeCreateSymbolicLinkPrivilege | 創建符號鏈接 | 已啓用 |
SeDelegateSessionUserImpersonatePrivilege | 獲取同一會話中另一個用户的模擬令牌 | 已啓用 |
SYSTEM用户特權(按字母順序排列)
註冊表權限
完全控制(大部分原始註冊表項)
讀取(某些由TrustedInstaller控制的註冊表項)
進程權限
完全控制(所有系統內核級進程)
同步(其他某些非系統進程)
結束進程(其他某些非系統進程)
SYSTEM進程權限(8張)
服務權限
完全控制(所有核心服務)
特殊(其他服務)
特殊(Service Control Manager)
令牌句柄權限
SYSTEM令牌權限(3張)
線程句柄權限
SYSTEM線程權限(3張)
事件句柄權限
SYSTEM事件權限(3張)
窗口站句柄權限
完全控制(所有登錄用户的窗口站)
特殊(多數後台服務的窗口站)
沒有指定(部分svchost.exe的窗口站)
Mutant句柄權限
完全控制(所有系統進程的Mutant)
拒絕訪問(部分進程的Mutant)
作業句柄權限
SYSTEM Job 權限(3張)
Directory句柄權限
SYSTEM Directory 權限(3張)
日誌權限
完全控制(所有日誌)
其他權限
概括
SYSTEM可以
- 控制大部分文件,即使無法更改的也可以取得所有權以控制。
- 擁有比管理員更多的用户特權
- 控制某些管理員無法訪問的註冊表內容
- 安裝操作系統和組件(例如硬件驅動程序、系統服務等等)
- 安裝 Service Packs 和 Windows Packs
- 升級或修復操作系統
- 配置關鍵操作系統參數(例如密碼策略、訪問控制、審核策略、內核模式驅動程序配置等)
- 獲取已經不能訪問的文件的所有權
- 管理安全和審核日誌
- 備份和還原系統
- 控制比管理員還多的句柄、進程
- 對Windows操作系統核心具有不受限制的控制
system獲取權限
為什麼獲取SYSTEM權限
獲取SYSTEM權限的方法
- 在桌面上新建一個記事本文檔,複製以下內容到記事本,並修改文件後綴名為BAT或CMDsc Create SuperCMD binPath= "cmd /K start" type= own type= interactsc start SuperCMD以管理員身份運行保存的BAT或CMD文件,過一會屏幕上方會彈出一個交互式服務的對話框,選擇第一個選項就可以使用SYSTEM權限的命令提示符來對系統進行操作(現有部分Windows 7可以使用,Windows 8及以上版本尚不明確)
- 使用第三方工具NSudo、Psexec來實現提權
system系統缺陷
2. 無法正常使用一些管理功能
3. 不受文件安全權限限制,導致某些新型病毒可以隨意修改、加密你的文件或是一些硬件的設置
system注意事項
以此權限進行人工操作時:
2. 使用時最好不要上網,因為此時所有的腳本都是以管理員權限運行
[7]
3. 如果你是在登錄界面執行,不要打開資源管理器,這可能會使你的電腦變卡
- 如果服務來源不明,最好不要用Local System運行
- 除非服務需要管理員權限,否則請使用Local Service或Network Service運行
- 新創建的服務需要在此權限下運行時一定要先進行測試,否則可能會破壞電腦或是域中的內容
- 參考資料
-
- 1. Local System vs.Network Service vs. Local Service and TFS Service Accounts .Automation Planet[引用日期2019-02-05]
- 2. LocalSystem Account .Windows Dev Center[引用日期2019-02-05]
- 3. How the System account is used in Windows .Microsoft Support[引用日期2019-02-14]
- 4. Audit logon events .Microsoft Docs.2017-04-19[引用日期2020-03-16]
- 5. Changes that you make to environment variables do not affect services that run under the Local System account until you restart Windows .Microsoft Support[引用日期2019-02-14]
- 6. Windows NT service running in LocalSystem account context .TechGenix[引用日期2019-02-05]
- 7. Using the LocalSystem Account as a Service Logon Account .Windows Dev Center[引用日期2019-02-05]
