system(系統內置安全主體)

本詞條是多義詞,共7個義項
更多義項 ▼ 收起列表 ▲

SYSTEM的中文意思是系統,在Windows中擁有比管理員更大的許可權,在Windows中主要作為系統服務或進程的運行賬戶。

基本介紹

  • 中文名:系統
  • 外文名:SYSTEM
  • 作業系統:Windows
  • 所屬用戶域:NT AUTHORITY
  • 可登錄:不能 
  • 管理員特權:強制擁有
  • 可修改:不能
  • SID:S-1-5-18
SYSTEM帳戶介紹,SYSTEM所屬用戶組,SYSTEM默認形況下擁有的許可權,檔案與資料夾許可權,用戶特權,註冊表許可權,進程許可權,服務許可權,令牌句柄許可權,執行緒句柄許可權,事件句柄許可權,Window Stations句柄許可權,Mutant句柄許可權,Job句柄許可權,Directory句柄許可權,日誌許可權,其他許可權,概括,為什麼要獲取SYSTEM許可權,獲取SYSTEM許可權的方法,SYSTEM的缺陷,使用SYSTEM賬戶時的注意事項,

SYSTEM帳戶介紹

SYSTEM為Windows系統中眾多系統內置安全主體中的一個,在XP及以下版本的作業系統中擁有最高許可權(從Vista開始,微軟分割了SYSTEM用戶的部分許可權,系統檔案控制許可權由TrustedInstaller接管)。用戶不可以通過登錄界面登錄,也無法正常載入桌面資源管理器控制臺等常見進程。其實在我們使用Windows時經常遇到這個用戶,例如:用戶登錄界面就是以該賬戶的許可權運行的;在Windows Vista以及之後的系統中的Ctrl+Alt+Delete調出的安全選項界面也是以這個的許可權運行的。在Windows服務或IIS中,它被稱為Local System。此賬戶默認沒有密碼。在該賬戶訪問網路資源時,作為計算機的域賬戶出現,使用的是空的會話控制。它的全名是: NT AUTHORITY\SYSTEM。
在Windows啟動過程中,從載入核心到最後的登錄階段中的所有核心和部分服務許可權都是以SYSTEM許可權運行的。它與真人使用的用戶最大區別就是SYSTEM由作業系統自己管理並主要負責核心中的任務,而且它是從內部登錄的,因為許多服務或進程需要從內部登錄,這也是設計這個賬戶的目的。
在使用Windows PE時,默認使用的許可權是SYSTEM + TrustedInstaller許可權,因為在這個環境中SYSTEM是和平常使用的Windows是不同的。
在重新啟動Windows之前,對環境變數所做的更改不會影響以SYSTEM許可權運行的服務。
SYSTEM賬戶是系統中唯一一個跨越Session(會話)訪問其他用戶的桌面句柄的賬戶。

SYSTEM所屬用戶組

SYSTEM所屬用戶組
組名屬性類型SID備註
Mandatory Label\System Mandatory Level
N/A
標籤
S-1-16-16384
此組作為SYSTEM在系統中的MIC級別
Everyone
必需的組, 啟用於默認, 啟用的組
已知組
S-1-1-0
SYSTEM必須在此組下
BUILTIN\Administrators
必需的組, 啟用於默認, 啟用的組, 組的所有者
別名
S-1-5-32-544
SYSTEM必須在此組下
BUILTIN\Users
啟用於上下文
別名
S-1-5-32-545
SYSTEM在服務中啟動時在此組內
NT AUTHORITY\SERVICE
啟用於上下文
已知組
S-1-5-6
SYSTEM在服務中啟動時在此組內
CONSOLE LOGON
啟用於上下文
已知組
S-1-2-1
SYSTEM在服務中啟動時在此組內
NT AUTHORITY\Authenticated Users
必需的組, 啟用於默認, 啟用的組
已知組
S-1-5-11
SYSTEM必須在此組下
NT AUTHORITY\This Organization
啟用於上下文
已知組
S-1-5-15
SYSTEM在服務中啟動時在此組內
NT SERVICE\TrustedInstaller
啟用於上下文,組的所有者
已知組
(見下方)
SYSTEM在特殊服務中啟動時在此組內
LOCAL
啟用於上下文
已知組
S-1-2-0
SYSTEM在服務中啟動時在此組內
NT SERVICE用戶域下其他大部分安全主體
啟用於特殊情況,組的所有者
已知組
(多個值)
SYSTEM運行svchost.exe時出現
表格說明:“必需的組”是指帳戶必須被包含在此組內,沒有則可以不在此組內
“啟用的組”是指這個組已被啟用,運行程式時這個組的許可權將會附加在當前帳戶上
“啟用於默認”是指賬戶被設定為默認情況下在此組內
“啟用於特殊情況”是指賬戶只有在特定的環境中才會啟用這個組
“啟用於上下文”是指賬戶由另一個程式指定加入這個組
“組的所有者”是指這個組的所有權由當前帳戶掌控
“標籤”是指賬戶分類
“別名”是指賬戶組是可以包含人為用戶的組
“已知組”是指這個組是內置賬戶組,不可修改
TrustedInstaller的SID: S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464

SYSTEM默認形況下擁有的許可權

檔案與資料夾許可權

完全控制根目錄及以下的所有子檔案與子資料夾(非系統分區)
修改當前資料夾並完全控制其子檔案與子資料夾(系統分區下的WINDOWS、Program Files和Program Files (x86)資料夾)
讀取、寫入和執行當前資料夾並完全控制其子檔案與子資料夾(系統分區下的Boot資料夾)
完全控制(系統分區下的其他資料夾或檔案)

用戶特權

Local System默認擁有特權
特權名
描述
特權狀態
SeAssignPrimaryTokenPrivilege
替換一個進程級令牌
已禁用
SeLockMemoryPrivilege
鎖定記憶體頁
已啟用
SeIncreaseQuotaPrivilege
為進程調整記憶體配額
已禁用
SeTcbPrivilege
作業系統方式執行
已啟用
SeSecurityPrivilege
管理審核和安全日誌
已禁用
SeTakeOwnershipPrivilege
取得檔案或其他對象的所有權
已禁用
SeLoadDriverPrivilege
載入和卸載設備驅動程式
已禁用
SeSystemProfilePrivilege
配置檔案系統性能
已啟用
SeSystemtimePrivilege
更改系統時間
已禁用
SeProfileSingleProcessPrivilege
配置檔案單一進程
已啟用
SeIncreaseBasePriorityPrivilege
提高計畫優先權
已啟用
SeCreatePagefilePrivilege
創建一個頁面檔案
已啟用
SeCreatePermanentPrivilege
創建永久共享對象
已啟用
SeBackupPrivilege
備份檔案和目錄
已禁用
SeRestorePrivilege
還原檔案和目錄
已禁用
SeShutdownPrivilege
關閉系統
已禁用
SeDebugPrivilege
已啟用
SeAuditPrivilege
生成安全審核
已啟用
SeSystemEnvironmentPrivilege
修改固件環境值
已禁用
SeChangeNotifyPrivilege
繞過遍歷檢查
已啟用
SeUndockPrivilege
擴展塢上取下計算機
已禁用
SeManageVolumePrivilege
執行卷維護任務
已禁用
SeImpersonatePrivilege
身份驗證後模擬客戶端
已啟用
SeCreateGlobalPrivilege
創建全局對象
已啟用
SeIncreaseWorkingSetPrivilege
增加進程工作集
已啟用
SeTimeZonePrivilege
更改時區
已啟用
SeCreateSymbolicLinkPrivilege
已啟用
SeDelegateSessionUserImpersonatePrivilege
獲取同一會話中另一個用戶的模擬令牌
已啟用
註:特權分配可以在本地安全策略中更改
SYSTEM用戶特權(按字母順序排列)SYSTEM用戶特權(按字母順序排列)

註冊表許可權

完全控制(所有原始註冊表項)

進程許可權

完全控制(所有系統核心級進程)
同步(其他某些非系統進程)
結束進程(其他某些非系統進程)
沒有指定(部分svchost.exe

服務許可權

完全控制(所有核心服務
特殊(其他服務)
特殊(Service Control Manager)

令牌句柄許可權

完全控制(所有進程的令牌(token))

執行緒句柄許可權

完全控制(所有執行緒

事件句柄許可權

完全控制(所有事件

Window Stations句柄許可權

完全控制(所有登錄用戶的Window Stations)
特殊(多數後台服務的Window Stations)
沒有指定(部分svchost.exe的Window Stations)

Mutant句柄許可權

完全控制(所有系統進程的Mutant)
拒絕訪問(部分進程的Mutant)

Job句柄許可權

特殊(所有Job)

Directory句柄許可權

完全控制(所有Directory

日誌許可權

完全控制(所有日誌)

其他許可權

其他許可權與管理員相同

概括

SYSTEM可以
  1. 控制大部分檔案,即使無法更改的也可以取得所有權以控制。
  2. 擁有比管理員更多的用戶特權
  3. 控制某些管理員無法訪問的註冊表內容
  4. 安裝作業系統和組件(例如硬體驅動程式、系統服務等等)
  5. 安裝 Service Packs 和 Windows Packs
  6. 升級或修復作業系統
  7. 配置關鍵作業系統參數(例如密碼策略、訪問控制、審核策略、核心模式驅動程式配置等)
  8. 獲取已經不能訪問的檔案的所有權
  9. 管理安全和審核日誌
  10. 備份和還原系統
  11. 控制比管理員還多的句柄、進程
  12. 對Windows作業系統核心具有不受限制的控制

為什麼要獲取SYSTEM許可權

  1. 強行刪除惡意程式
  2. 強行結束惡意進程
  3. 修改一些註冊表
    這和獲取ROOT許可權是一樣的

獲取SYSTEM許可權的方法

  1. 在桌面上新建一個記事本文檔,複製以下內容到記事本,並修改檔案後綴名為BAT或CMD
    sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
    sc start SuperCMD
    以管理員身份運行保存的BAT或CMD檔案,過一會螢幕上方會彈出一個互動式服務的對話框,選擇第一個選項就可以使用SYSTEM許可權的命令提示符來對系統進行操作(現有部分Windows 7可以使用,Windows 8及以上版本尚不明確)
  2. 使用第三方工具NSudo、Psexec來實現提權
  3. 使用管理員特權,在C:\WINDOWS\System32目錄下用cmd.exe替換Narrator.exe、osk.exe、Magnify.exe中的任意一個(這三個檔案分別代表“講述人”、“螢幕鍵盤”、“放大鏡”),在登錄界面中的左下角“輕鬆使用”按鈕中打開就可以使用SYSTEM許可權的命令提示符來對系統進行操作。

SYSTEM的缺陷

1. 所有進程必須以管理員身份運行,且沒有UAC警告
2. 無法正常使用一些管理功能
3. 不受檔案安全許可權限制,導致某些新型病毒可以隨意修改、加密你的檔案或是一些硬體的設定
4. 以這個賬戶運行的進程和以TrustedInstaller許可權運行的進程的帳戶ID是一樣的

使用SYSTEM賬戶時的注意事項

以此許可權進行人工操作時:
1. 不要隨意運行沒有可信來源的程式,因為這些程式內可能含有病毒
2. 使用時最好不要上網,因為此時所有的腳本都是以管理員許可權運行
3. 如果你是在登錄界面執行,不要打開資源管理器,這可能會使你的電腦變卡
以此許可權運行服務時:
  1. 如果服務來源不明,最好不要用Local System運行
  2. 除非服務需要管理員許可權,否則請使用Local ServiceNetwork Service運行
  3. 新創建的服務需要在此許可權下運行時一定要先進行測試,否則可能會破壞電腦或是中的內容

相關詞條

熱門詞條

聯絡我們