system
系統內置安全主體
SYSTEM的中文意思是系統,在Windows中擁有比管理員更大的許可權,在Windows中主要作為系統服務或進程的運行賬戶。
SYSTEM為Windows系統中眾多系統內置安全主體中的一個,在XP及以下版本的操作系統中擁有最高許可權(從Vista開始,微軟分割了SYSTEM用戶的部分許可權,系統文件控制許可權由TrustedInstaller接管)。用戶不可以通過登錄界面登錄,也無法正常載入桌面、資源管理器、控制面板等常見進程。其實在我們使用Windows時經常遇到這個用戶,例如:用戶登錄界面就是以該賬戶的許可權運行的;在Windows Vista以及之後的系統中的Ctrl+Alt+Delete調出的安全選項界面也是以這個的許可權運行的。在Windows服務或IIS中,它被稱為Local System。此賬戶默認沒有密碼。在該賬戶訪問網路資源時,作為計算機的域賬戶出現,使用的是空的會話控制。它的全名是: NT AUTHORITY\SYSTEM。
在Windows啟動過程中,從載入內核到最後的登錄階段中的所有內核和部分服務許可權都是以SYSTEM許可權運行的。它與真人使用的用戶最大區別就是SYSTEM由操作系統自己管理並主要負責內核中的任務,而且它是從內部登錄的,因為許多服務或進程需要從內部登錄,這也是設計這個賬戶的目的。
在使用Windows PE時,默認使用的許可權是SYSTEM + TrustedInstaller許可權,因為在這個環境中SYSTEM是和平常使用的Windows是不同的。
在重新啟動Windows之前,對環境變數所做的更改不會影響以SYSTEM許可權運行的服務。
| SYSTEM所屬用戶組 | ||||
|---|---|---|---|---|
| 組名 | 屬性 | 類型 | SID | 備註 |
| Mandatory Label\System Mandatory Level | N/A | 標籤 | S-1-16-16384 | 此組作為SYSTEM在系統中的MIC級別 |
| Everyone | 必需的組, 啟用於默認, 啟用的組 | 已知組 | S-1-1-0 | SYSTEM必須在此組下 |
| BUILTIN\Administrators | 必需的組, 啟用於默認, 啟用的組, 組的所有者 | 別名 | S-1-5-32-544 | SYSTEM必須在此組下 |
| BUILTIN\Users | 啟用於上下文 | 別名 | S-1-5-32-545 | SYSTEM在服務中啟動時在此組內 |
| NT AUTHORITY\SERVICE | 啟用於上下文 | 已知組 | S-1-5-6 | SYSTEM在服務中啟動時在此組內 |
| CONSOLE LOGON | 啟用於上下文 | 已知組 | S-1-2-1 | SYSTEM在服務中啟動時在此組內 |
| NT AUTHORITY\Authenticated Users | 必需的組, 啟用於默認, 啟用的組 | 已知組 | S-1-5-11 | SYSTEM必須在此組下 |
| NT AUTHORITY\This Organization | 啟用於上下文 | 已知組 | S-1-5-15 | SYSTEM在服務中啟動時在此組內 |
| NT SERVICE\TrustedInstaller | 啟用於上下文,組的所有者 | 已知組 | (見下方) | SYSTEM在特殊服務中啟動時在此組內 |
| LOCAL | 啟用於上下文 | 已知組 | S-1-2-0 | SYSTEM在服務中啟動時在此組內 |
| NT SERVICE用戶域下其他大部分安全主體 | 啟用於特殊情況,組的所有者 | 已知組 | (多個值) | SYSTEM運行svchost.exe時出現 |
表格說明:“必需的組”是指帳戶必須被包含在此組內,沒有則可以不在此組內
“啟用的組”是指這個組已被啟用,運行程序時這個組的許可權將會附加在當前帳戶上
“啟用於默認”是指賬戶被設定為默認情況下在此組內
“啟用於特殊情況”是指賬戶只有在特定的環境中才會啟用這個組
“啟用於上下文”是指賬戶由另一個程序指定加入這個組
“組的所有者”是指這個組的所有權由當前帳戶掌控
“標籤”是指賬戶分類
“別名”是指賬戶組是可以包含人為用戶的組
“已知組”是指這個組是內置賬戶組,不可修改
TrustedInstaller的SID: S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464
完全控制根目錄及以下的所有子文件與子文件夾(非系統分區)
修改當前文件夾並 完全控制其子文件與子文件夾(系統分區下的WINDOWS、Program Files和Program Files (x86)文件夾)
讀取、寫入和執行當前文件夾並 完全控制其子文件與子文件夾(系統分區下的Boot文件夾)
完全控制(系統分區下的其他文件夾或文件)
| Local System默認擁有特權 | ||
|---|---|---|
| 特權名 | 描述 | 特權狀態 |
| SeAssignPrimaryTokenPrivilege | 替換一個進程級令牌 | 已禁用 |
| SeLockMemoryPrivilege | 鎖定內存頁 | 已啟用 |
| SeIncreaseQuotaPrivilege | 為進程調整內存配額 | 已禁用 |
| SeTcbPrivilege | 以操作系統方式執行 | 已啟用 |
| SeSecurityPrivilege | 管理審核和安全日誌 | 已禁用 |
| SeTakeOwnershipPrivilege | 取得文件或其他對象的所有權 | 已禁用 |
| SeLoadDriverPrivilege | 載入和卸載設備驅動程序 | 已禁用 |
| SeSystemProfilePrivilege | 配置文件系統性能 | 已啟用 |
| SeSystemtimePrivilege | 更改系統時間 | 已禁用 |
| SeProfileSingleProcessPrivilege | 配置文件單一進程 | 已啟用 |
| SeIncreaseBasePriorityPrivilege | 提高計劃優先順序 | 已啟用 |
| SeCreatePagefilePrivilege | 創建一個頁面文件 | 已啟用 |
| SeCreatePermanentPrivilege | 創建永久共享對象 | 已啟用 |
| SeBackupPrivilege | 備份文件和目錄 | 已禁用 |
| SeRestorePrivilege | 還原文件和目錄 | 已禁用 |
| SeShutdownPrivilege | 關閉系統 | 已禁用 |
| SeDebugPrivilege | 調試程序 | 已啟用 |
| SeAuditPrivilege | 生成安全審核 | 已啟用 |
| SeSystemEnvironmentPrivilege | 修改固件環境值 | 已禁用 |
| SeChangeNotifyPrivilege | 繞過遍歷檢查 | 已啟用 |
| SeUndockPrivilege | 從擴展塢上取下計算機 | 已禁用 |
| SeManageVolumePrivilege | 執行卷維護任務 | 已禁用 |
| SeImpersonatePrivilege | 身份驗證后模擬客戶端 | 已啟用 |
| SeCreateGlobalPrivilege | 創建全局對象 | 已啟用 |
| SeIncreaseWorkingSetPrivilege | 增加進程工作集 | 已啟用 |
| SeTimeZonePrivilege | 更改時區 | 已啟用 |
| SeCreateSymbolicLinkPrivilege | 創建符號鏈接 | 已啟用 |
| SeDelegateSessionUserImpersonatePrivilege | 獲取同一會話中另一個用戶的模擬令牌 | 已啟用 |
註:特權分配可以在本地安全策略中更改
SYSTEM註冊表許可權
完全控制(所有系統內核級進程)
同步(其他某些非系統進程)
結束進程(其他某些非系統進程)
SYSTEM進程許可權
完全控制(所有核心服務)
特殊(其他服務)
SYSTEM服務許可權
SYSTEM令牌許可權
SYSTEM線程許可權
SYSTEM事件許可權
完全控制(所有登錄用戶的Window Stations)
特殊(多數後台服務的Window Stations)
沒有指定(部分svchost.exe的Window Stations)
SYSTEM Window Stations許可權
完全控制(所有系統進程的Mutant)
拒絕訪問(部分進程的Mutant)
SYSTEM mutant許可權
SYSTEM Job 許可權
SYSTEM Directory 許可權
完全控制(所有日誌)
其他許可權與管理員相同
SYSTEM可以
控制大部分文件,即使無法更改的也可以取得所有權以控制。
擁有比管理員更多的用戶特權
控制某些管理員無法訪問的註冊表內容
安裝操作系統和組件(例如硬體驅動程序、系統服務等等)
安裝 Service Packs 和 Windows Packs
升級或修復操作系統
配置關鍵操作系統參數(例如密碼策略、訪問控制、審核策略、內核模式驅動程序配置等)
獲取已經不能訪問的文件的所有權
管理安全和審核日誌
備份和還原系統
控制比管理員還多的句柄、進程
對Windows操作系統核心具有不受限制的控制
1.
控制大部分文件,即使無法更改的也可以取得所有權以控制。
2.
擁有比管理員更多的用戶特權
3.
控制某些管理員無法訪問的註冊表內容
4.
安裝操作系統和組件(例如硬體驅動程序、系統服務等等)
5.
安裝 Service Packs 和 Windows Packs
6.
升級或修復操作系統
7.
配置關鍵操作系統參數(例如密碼策略、訪問控制、審核策略、內核模式驅動程序配置等)
8.
獲取已經不能訪問的文件的所有權
9.
管理安全和審核日誌
10.
備份和還原系統
11.
控制比管理員還多的句柄、進程
12.
對Windows操作系統核心具有不受限制的控制
強行刪除惡意程序
強行結束惡意進程
修改一些註冊表項
這和獲取ROOT許可權是一樣的
1.
強行刪除惡意程序
2.
強行結束惡意進程
3.
修改一些註冊表項
這和獲取ROOT許可權是一樣的
在桌面上新建一個記事本文檔,複製以下內容到記事本,並修改文件後綴名為BAT或CMD
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
sc start SuperCMD
以管理員身份運行保存的BAT或CMD文件,過一會屏幕上方會彈出一個互動式服務的對話框,選擇第一個選項就可以使用SYSTEM許可權的命令提示符來對系統進行操作(現有部分Windows 7可以使用,Windows 8及以上版本尚不明確)
使用第三方工具NSudo、Psexec來實現提權
使用管理員特權,在C:\WINDOWS\System32目錄下用cmd.exe替換Narrator.exe、osk.exe、Magnify.exe中的任意一個(這三個文件分別代表“講述人”、“屏幕鍵盤”、“放大鏡”),在登錄界面中的左下角“輕鬆使用”按鈕中打開就可以使用SYSTEM許可權的命令提示符來對系統進行操作。
1.
在桌面上新建一個記事本文檔,複製以下內容到記事本,並修改文件後綴名為BAT或CMD
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
sc start SuperCMD
以管理員身份運行保存的BAT或CMD文件,過一會屏幕上方會彈出一個互動式服務的對話框,選擇第一個選項就可以使用SYSTEM許可權的命令提示符來對系統進行操作(現有部分Windows 7可以使用,Windows 8及以上版本尚不明確)
2.
使用第三方工具NSudo、Psexec來實現提權
3.
使用管理員特權,在C:\WINDOWS\System32目錄下用cmd.exe替換Narrator.exe、osk.exe、Magnify.exe中的任意一個(這三個文件分別代表“講述人”、“屏幕鍵盤”、“放大鏡”),在登錄界面中的左下角“輕鬆使用”按鈕中打開就可以使用SYSTEM許可權的命令提示符來對系統進行操作。
1. 所有進程必須以管理員身份運行,且沒有UAC警告
2. 無法正常使用一些管理功能
3. 不受文件安全許可權限制,導致某些新型病毒可以隨意修改、加密你的文件或是一些硬體的設置
4. 以這個賬戶運行的進程和以TrustedInstaller許可權運行的進程的帳戶ID是一樣的
以此許可權進行人工操作時:
1. 不要隨意運行沒有可信來源的程序,因為這些程序內可能含有病毒
2. 使用時最好不要上網,因為此時所有的腳本都是以管理員許可權運行
3. 如果你是在登錄界面執行,不要打開資源管理器,這可能會使你的電腦變卡
以此許可權運行服務時:
如果服務來源不明,最好不要用Local System運行
除非服務需要管理員許可權,否則請使用Local Service或Network Service運行
新創建的服務需要在此許可權下運行時一定要先進行測試,否則可能會破壞電腦或是域中的內容
1.
如果服務來源不明,最好不要用Local System運行
2.
除非服務需要管理員許可權,否則請使用Local Service或Network Service運行
3.
新創建的服務需要在此許可權下運行時一定要先進行測試,否則可能會破壞電腦或是域中的內容
基本信息
- 中文名
- 系統
- 外文名
- system
- 所屬用戶域
- NT AUTHORITY
- 操作系統
- Windows
- SID
- S-1-5-18
- 管理員特權
- 強制擁有
- 可互動式登錄
- 不能
- 可修改
- 不能