SYSTEM的中文意思是系統,在Windows中擁有比管理員更大的許可權,在Windows中主要作為系統服務或進程的運行賬戶。
基本介紹
- 中文名:系統
- 外文名:SYSTEM
- 作業系統:Windows
- 所屬用戶域:NT AUTHORITY
- 可登錄:不能
- 管理員特權:強制擁有
- 可修改:不能
- SID:S-1-5-18
SYSTEM帳戶介紹
SYSTEM所屬用戶組
組名 | 屬性 | 類型 | SID | 備註 |
---|---|---|---|---|
Mandatory Label\System Mandatory Level | N/A | 標籤 | S-1-16-16384 | 此組作為SYSTEM在系統中的MIC級別 |
Everyone | 必需的組, 啟用於默認, 啟用的組 | 已知組 | S-1-1-0 | SYSTEM必須在此組下 |
BUILTIN\Administrators | 必需的組, 啟用於默認, 啟用的組, 組的所有者 | 別名 | S-1-5-32-544 | SYSTEM必須在此組下 |
BUILTIN\Users | 啟用於上下文 | 別名 | S-1-5-32-545 | SYSTEM在服務中啟動時在此組內 |
NT AUTHORITY\SERVICE | 啟用於上下文 | 已知組 | S-1-5-6 | SYSTEM在服務中啟動時在此組內 |
CONSOLE LOGON | 啟用於上下文 | 已知組 | S-1-2-1 | SYSTEM在服務中啟動時在此組內 |
NT AUTHORITY\Authenticated Users | 必需的組, 啟用於默認, 啟用的組 | 已知組 | S-1-5-11 | SYSTEM必須在此組下 |
NT AUTHORITY\This Organization | 啟用於上下文 | 已知組 | S-1-5-15 | SYSTEM在服務中啟動時在此組內 |
NT SERVICE\TrustedInstaller | 啟用於上下文,組的所有者 | 已知組 | (見下方) | SYSTEM在特殊服務中啟動時在此組內 |
LOCAL | 啟用於上下文 | 已知組 | S-1-2-0 | SYSTEM在服務中啟動時在此組內 |
NT SERVICE用戶域下其他大部分安全主體 | 啟用於特殊情況,組的所有者 | 已知組 | (多個值) | SYSTEM運行svchost.exe時出現 |
SYSTEM默認形況下擁有的許可權
檔案與資料夾許可權
用戶特權
特權名 | 描述 | 特權狀態 |
SeAssignPrimaryTokenPrivilege | 替換一個進程級令牌 | 已禁用 |
SeLockMemoryPrivilege | 鎖定記憶體頁 | 已啟用 |
SeIncreaseQuotaPrivilege | 為進程調整記憶體配額 | 已禁用 |
SeTcbPrivilege | 以作業系統方式執行 | 已啟用 |
SeSecurityPrivilege | 管理審核和安全日誌 | 已禁用 |
SeTakeOwnershipPrivilege | 取得檔案或其他對象的所有權 | 已禁用 |
SeLoadDriverPrivilege | 載入和卸載設備驅動程式 | 已禁用 |
SeSystemProfilePrivilege | 配置檔案系統性能 | 已啟用 |
SeSystemtimePrivilege | 更改系統時間 | 已禁用 |
SeProfileSingleProcessPrivilege | 配置檔案單一進程 | 已啟用 |
SeIncreaseBasePriorityPrivilege | 提高計畫優先權 | 已啟用 |
SeCreatePagefilePrivilege | 創建一個頁面檔案 | 已啟用 |
SeCreatePermanentPrivilege | 創建永久共享對象 | 已啟用 |
SeBackupPrivilege | 備份檔案和目錄 | 已禁用 |
SeRestorePrivilege | 還原檔案和目錄 | 已禁用 |
SeShutdownPrivilege | 關閉系統 | 已禁用 |
SeDebugPrivilege | 已啟用 | |
SeAuditPrivilege | 生成安全審核 | 已啟用 |
SeSystemEnvironmentPrivilege | 修改固件環境值 | 已禁用 |
SeChangeNotifyPrivilege | 繞過遍歷檢查 | 已啟用 |
SeUndockPrivilege | 從擴展塢上取下計算機 | 已禁用 |
SeManageVolumePrivilege | 執行卷維護任務 | 已禁用 |
SeImpersonatePrivilege | 身份驗證後模擬客戶端 | 已啟用 |
SeCreateGlobalPrivilege | 創建全局對象 | 已啟用 |
SeIncreaseWorkingSetPrivilege | 增加進程工作集 | 已啟用 |
SeTimeZonePrivilege | 更改時區 | 已啟用 |
SeCreateSymbolicLinkPrivilege | 創建符號連結 | 已啟用 |
SeDelegateSessionUserImpersonatePrivilege | 獲取同一會話中另一個用戶的模擬令牌 | 已啟用 |
註冊表許可權
進程許可權
服務許可權
令牌句柄許可權
執行緒句柄許可權
事件句柄許可權
Window Stations句柄許可權
Mutant句柄許可權
Job句柄許可權
Directory句柄許可權
日誌許可權
其他許可權
概括
- 控制大部分檔案,即使無法更改的也可以取得所有權以控制。
- 擁有比管理員更多的用戶特權
- 控制某些管理員無法訪問的註冊表內容
- 安裝作業系統和組件(例如硬體驅動程式、系統服務等等)
- 安裝 Service Packs 和 Windows Packs
- 升級或修復作業系統
- 配置關鍵作業系統參數(例如密碼策略、訪問控制、審核策略、核心模式驅動程式配置等)
- 獲取已經不能訪問的檔案的所有權
- 管理安全和審核日誌
- 備份和還原系統
- 控制比管理員還多的句柄、進程
- 對Windows作業系統核心具有不受限制的控制
為什麼要獲取SYSTEM許可權
獲取SYSTEM許可權的方法
- 在桌面上新建一個記事本文檔,複製以下內容到記事本,並修改檔案後綴名為BAT或CMD
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
sc start SuperCMD
以管理員身份運行保存的BAT或CMD檔案,過一會螢幕上方會彈出一個互動式服務的對話框,選擇第一個選項就可以使用SYSTEM許可權的命令提示符來對系統進行操作(現有部分Windows 7可以使用,Windows 8及以上版本尚不明確) - 使用第三方工具NSudo、Psexec來實現提權
SYSTEM的缺陷
使用SYSTEM賬戶時的注意事項
- 如果服務來源不明,最好不要用Local System運行
- 除非服務需要管理員許可權,否則請使用Local Service或Network Service運行
- 新創建的服務需要在此許可權下運行時一定要先進行測試,否則可能會破壞電腦或是域中的內容