LOCAL SERVICE是windows中的內置賬戶,許可權比普通用戶(Users)更小,在Windows中主要作為系統服務或進程的運行賬戶。它的全名是:NT AUTHORITY\LOCAL SERVICE。
基本介紹
- 中文名:本地服務
- 外文名:LOCAL SERVICE
- 作業系統:Windows
- 所屬用戶域:NT AUTHORITY
- 可登錄:不能
- 管理員特權:沒有
- 可修改:不能
- SID:S-1-5-19
LOCAL SERVICE賬戶概述,LOCAL SERVICE賬戶默認情況下的許可權,檔案及資料夾許可權,用戶特權,註冊表許可權,進程許可權,服務許可權,其他許可權,使用LOCAL SERVICE賬戶時的注意事項,
LOCAL SERVICE賬戶概述
LOCAL SERVICE屬於Windows諸多安全主體中的一個,用於作為服務用戶登錄系統,可以訪問網路,擁有本機最少許可權。此賬戶默認沒有密碼。一般情況下,不需要訪問網路而不需要管理員許可權的服務都是以這個許可權運行的 。用戶無法通過登錄界面正常登錄,也無法以此許可權正常創建互動式服務來讓用戶直接操作。它是預設的擁有最小許可權的本地賬戶,並在網路憑證中具有匿名的身份。以LOCAL SERVICE許可權運行的程式無法訪問核心驅動程式,無法訪問除“系統中斷”、“System”和“系統空閒處理器百分比”之外的所有進程。注意:以這個帳戶許可權運行的服務無法訪問Active Directory中的數據,只能訪問本地電腦的數據。以這個許可權運行的服務的日誌會存在本地計算機。該賬戶不可以運行SQLServer中的服務。
訪問Active Directory時拒絕訪問
運行PowerShell時大部分功能都無法訪問
訪問Active Directory時拒絕訪問運行PowerShell時大部分功能都無法訪問LOCAL SERVICE賬戶默認情況下的許可權
檔案及資料夾許可權
完全控制(C:\Windows\ServiceProfiles\LocalService資料夾及其所有子檔案與子資料夾)
拒絕訪問(所有“System Volume Information”資料夾及其子檔案和子資料夾和所有其他用戶配置資料夾)
讀取和執行(其他所有檔案或資料夾)
用戶特權
特權名 | 描述 | 特權狀態 |
SeAssignPrimaryTokenPrivilege | 替換一個進程級令牌 | 已禁用 |
SeIncreaseQuotaPrivilege | 為進程調整記憶體配額 | 已禁用 |
SeSystemProfilePrivilege | 配置檔案系統性能 | 已禁用 |
SeSystemtimePrivilege | 更改系統時間 | 已啟用 |
SeAuditPrivilege | 生成安全審核 | 已禁用 |
SeChangeNotifyPrivilege | 繞過遍歷檢查 | 已啟用 |
SeImpersonatePrivilege | 身份驗證後模擬客戶端 | 已啟用 |
SeCreateGlobalPrivilege | 創建全局對象 | 已啟用 |
註:特權分配可以在本地安全策略中更改
註冊表許可權
完全控制(HKEY_USERS\S-1-5-19項及其子項與值)
讀取(其他所有位置,除HKEY_LOCAL_MACHINE\SECURITY和HKEY_LOCAL_MACHINE\SAM\SAM)
進程許可權
拒絕訪問(所有進程,除“系統中斷”、“System”和“系統空閒處理器百分比”)
無法訪問任務管理器
無法訪問任務管理器服務許可權
拒絕訪問(所有服務)
訪問“服務”控制管理器資料庫時拒絕訪問
訪問“服務”控制管理器資料庫時拒絕訪問其他許可權
與普通用戶相同,但無法訪問Active Directory
使用LOCAL SERVICE賬戶時的注意事項
- 如果服務不需要管理員許可權,且訪問網路或域不是必須的,就以此許可權運行
- 不一定需要網路的服務可以以此許可權進行調試,防止破壞檔案
- 不要把這個賬戶放在管理員組下,這樣會嚴重破壞安全系統
