Обліковий запис LocalSystem

Обліковий запис LocalSystem

Служба, яка запускається в контексті облікового записуLocalSystem, успадковує контекст безпекиДиспетчера управління службами (SCM). Ідентифікатор безпеки користувача (S &<<>>SECURITY_LOCAL_SYSTEM_RID. Обліковий запис не пов'язується з обліковим записом будь-якого користувача, який розпочав роботу. Він має кілька значень:

  • Ключ реєструHKEY_CURRENT_USERпов'язаний із стандартним користувачем, а не поточним користувачем. Щоб звернутися до профілю іншого користувача, імітуйте цього користувача та зверніться доHKEY_CURRENT_USER.
  • Служба може відкрити ключ реєструHKEY_LOCAL_MACHINE\SECURITY.
  • Служба представляє мандат комп'ютера для віддаленого сервера.
  • Якщо служба відкриває командне вікно (на екрані дисплея) і запускає командний файл, користувач повинен натиснутиCTRL+C, щоб закінчити роботу командного файлу та отримати доступ до вікна команди з привілеямиLocalSystem.

Обліковий записLocalSystemмає такі привілеї:

  • SE_ASSIGNPRIMARYTOKEN_NAME
  • SE_AUDIT_NAME
  • SE_BACKUP_NAME
  • SE_CHANGE_NOTIFY_NAME
  • SE_CREATE_PAGEFILE_NAME
  • SE_CREATE_PERMANENT_NAME
  • SE_CREATE_TOKEN_NAME
  • SE_DEBUG_NAME
  • SE_INC_BASE_PRIORITY_NAME
  • SE_INCREASE_QUOTA_NAME
  • SE_LOAD_DRIVER_NAME
  • SE_LOCK_MEMORY_NAME
  • SE_PROF_SINGLE_PROCESS_NAME
  • SE_RESTORE_NAME
  • SE_SECURITY_NAME
  • SE_SHUTDOWN_NAME
  • SE_SYSTEM_ENVIRONMENT_NAME
  • SE_SYSTEM_PROFILE_NAME
  • SE_SYSTEMTIME_NAME
  • SE_TAKE_OWNERSHIP_NAME
  • SE_TCB_NAME
  • SE_UNDOCK_NAME

Більшість служб не потребує такого високого рівня привілею. Якщо ваша служба не потребує цих привілеїв, і це не діалогова служба, розгляньте використанняоблікового запису LocalServiceабооблікового запису NetworkService. Додаткову інформацію див. у статтіЗахист служби та права доступу.

Windows NT:Служба має обмеження доступу до мережних ресурсів, типу спільно використовуваних ресурсів і каналів, тому що вона не має мандата і має приєднатися до використання порожньої сесії. Наступний ключ реєстру включає значенняNullSessionPipesіNullSessionShares, які використовуються, щоб визначити канали і спільно використовувані ресурси, з якими можуть з'єднатися порожні сесії:

Альтернативно, Ви можете додати значенняRestrictNullSessAccessдо ключа і встановити його в 0, щоб дозволити всім порожнім сесіям звертатися до всіх каналів та спільно використовуваних ресурсів, створених на цьому комп'ютері.