system[系統內置安全主體]

SYSTEM的中文意思是系統,在Windows中擁有比管理員更大的許可權,在Windows中主要作為系統服務或進程的運行賬戶。

SYSTEM帳戶介紹

SYSTEM為Windows系統中眾多系統內置安全主體中的一個,在XP及以下版本的作業系統中擁有最高許可權(從Vista開始,微軟分割了SYSTEM用戶的部分許可權,系統檔案控制許可權由TrustedInstaller接管)。用戶不可以通過登錄界面登錄,也無法正常載入桌面、資源管理器、控制臺等常見進程。其實在我們使用Windows時經常遇到這個用戶,例如:用戶登錄界面就是以該賬戶的許可權運行的;在Windows Vista以及之後的系統中的Ctrl+Alt+Delete調出的安全選項界面也是以這個的許可權運行的。在Windows服務或IIS中,它被稱為Local System。此賬戶默認沒有密碼。 在該賬戶訪問網路資源時,作為計算機的域賬戶出現,使用的是空的會話控制。 它的全名是: NT AUTHORITY\SYSTEM。

在Windows啟動過程中,從載入核心到最後的登錄階段中的所有核心和部分服務許可權都是以SYSTEM許可權運行的。它與真人使用的用戶最大區別就是SYSTEM由作業系統自己管理並主要負責核心中的任務,而且它是從內部登錄的,因為許多服務或進程需要從內部登錄,這也是設計這個賬戶的目的。

在使用Windows PE時,默認使用的許可權是SYSTEM + TrustedInstaller許可權,因為在這個環境中SYSTEM是和平常使用的Windows是不同的。

在重新啟動Windows之前,對環境變數所做的更改不會影響以SYSTEM許可權運行的服務。

SYSTEM所屬用戶組

SYSTEM所屬用戶組
組名屬性類型SID備註
Mandatory Label\System Mandatory LevelN/A標籤S-1-16-16384此組作為SYSTEM在系統中的MIC級別
Everyone必需的組, 啟用於默認, 啟用的組已知組S-1-1-0SYSTEM必須在此組下
BUILTIN\Administrators必需的組, 啟用於默認, 啟用的組, 組的所有者別名S-1-5-32-544SYSTEM必須在此組下
BUILTIN\Users啟用於上下文別名S-1-5-32-545SYSTEM在服務中啟動時在此組內
NT AUTHORITY\SERVICE啟用於上下文已知組S-1-5-6SYSTEM在服務中啟動時在此組內
CONSOLE LOGON啟用於上下文已知組S-1-2-1SYSTEM在服務中啟動時在此組內
NT AUTHORITY\Authenticated Users必需的組, 啟用於默認, 啟用的組已知組S-1-5-11SYSTEM必須在此組下
NT AUTHORITY\This Organization啟用於上下文已知組S-1-5-15SYSTEM在服務中啟動時在此組內
NT SERVICE\TrustedInstaller啟用於上下文,組的所有者已知組(見下方)SYSTEM在特殊服務中啟動時在此組內
LOCAL啟用於上下文已知組S-1-2-0SYSTEM在服務中啟動時在此組內
NT SERVICE用戶域下其他大部分安全主體啟用於特殊情況,組的所有者已知組(多個值)SYSTEM運行svchost.exe時出現

表格說明:“ 必需的組”是指帳戶必須被包含在此組內,沒有則可以不在此組內

“啟用的組”是指這個組已被啟用,運行程式時這個組的許可權將會附加在當前帳戶上

“啟用於默認”是指賬戶被設定為默認情況下在此組內

“啟用於特殊情況”是指賬戶只有在特定的環境中才會啟用這個組

“啟用於上下文”是指賬戶由另一個程式指定加入這個組

“組的所有者”是指這個組的所有權由當前帳戶掌控

“標籤”是指賬戶分類

“別名”是指賬戶組是可以包含人為用戶的組

“已知組”是指這個組是內置賬戶組,不可修改

TrustedInstaller的SID: S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464

SYSTEM默認形況下擁有的許可權

檔案與資料夾許可權

完全控制根目錄及以下的所有子檔案與子資料夾(非系統分區)

修改當前資料夾並 完全控制其子檔案與子資料夾(系統分區下的WINDOWS、Program Files和Program Files (x86)資料夾)

讀取、寫入和執行當前資料夾並 完全控制其子檔案與子資料夾(系統分區下的Boot資料夾)

完全控制(系統分區下的其他資料夾或檔案)

用戶特權

Local System默認擁有特權
特權名描述特權狀態
SeAssignPrimaryTokenPrivilege替換一個進程級令牌已禁用
SeLockMemoryPrivilege鎖定記憶體頁已啟用
SeIncreaseQuotaPrivilege為進程調整記憶體配額已禁用
SeTcbPrivilege以作業系統方式執行已啟用
SeSecurityPrivilege管理審核和安全日誌已禁用
SeTakeOwnershipPrivilege取得檔案或其他對象的所有權已禁用
SeLoadDriverPrivilege載入和卸載設備驅動程式已禁用
SeSystemProfilePrivilege配置檔案系統性能已啟用
SeSystemtimePrivilege更改系統時間已禁用
SeProfileSingleProcessPrivilege配置檔案單一進程已啟用
SeIncreaseBasePriorityPrivilege提高計畫優先權已啟用
SeCreatePagefilePrivilege創建一個頁面檔案已啟用
SeCreatePermanentPrivilege創建永久共享對象已啟用
SeBackupPrivilege備份檔案和目錄已禁用
SeRestorePrivilege還原檔案和目錄已禁用
SeShutdownPrivilege關閉系統已禁用
SeDebugPrivilege調試程式已啟用
SeAuditPrivilege生成安全審核已啟用
SeSystemEnvironmentPrivilege修改固件環境值已禁用
SeChangeNotifyPrivilege繞過遍歷檢查已啟用
SeUndockPrivilege從擴展塢上取下計算機已禁用
SeManageVolumePrivilege執行卷維護任務已禁用
SeImpersonatePrivilege身份驗證後模擬客戶端已啟用
SeCreateGlobalPrivilege創建全局對象已啟用
SeIncreaseWorkingSetPrivilege增加進程工作集已啟用
SeTimeZonePrivilege更改時區已啟用
SeCreateSymbolicLinkPrivilege創建符號連結已啟用
SeDelegateSessionUserImpersonatePrivilege獲取同一會話中另一個用戶的模擬令牌已啟用
SYSTEM用戶特權(按字母順序排列) SYSTEM用戶特權(按字母順序排列)

註:特權分配可以在本地安全策略中更改

註冊表許可權

SYSTEM註冊表許可權 SYSTEM註冊表許可權

完全控制(所有原始註冊表項)

進程許可權

完全控制(所有系統核心級進程)

同步(其他某些非系統進程)

結束進程(其他某些非系統進程)

SYSTEM進程許可權 SYSTEM進程許可權

沒有指定(部分svchost.exe)

服務許可權

完全控制(所有核心服務)

特殊(其他服務)

SYSTEM服務許可權 SYSTEM服務許可權

特殊(Service Control Manager)

令牌句柄許可權

SYSTEM令牌許可權 SYSTEM令牌許可權

完全控制(所有進程的令牌(token))

執行緒句柄許可權

SYSTEM執行緒許可權 SYSTEM執行緒許可權

完全控制(所有執行緒)

事件句柄許可權

SYSTEM事件許可權 SYSTEM事件許可權

完全控制(所有事件)

Window Stations句柄許可權

完全控制(所有登錄用戶的Window Stations)

特殊(多數後台服務的Window Stations)

沒有指定(部分svchost.exe的Window Stations)

SYSTEM Window Stations許可權 SYSTEM Window Stations許可權

Mutant句柄許可權

完全控制(所有系統進程的Mutant)

拒絕訪問(部分進程的Mutant)

SYSTEM mutant許可權 SYSTEM mutant許可權

Job句柄許可權

SYSTEM Job 許可權 SYSTEM Job 許可權

特殊(所有Job)

Directory句柄許可權

SYSTEM Directory 許可權 SYSTEM Directory 許可權

完全控制(所有Directory)

日誌許可權

完全控制(所有日誌)

其他許可權

其他許可權與管理員相同

概括

SYSTEM可以

控制大部分檔案,即使無法更改的也可以取得所有權以控制。

擁有比管理員更多的用戶特權

控制某些管理員無法訪問的註冊表內容

安裝作業系統和組件(例如硬體驅動程式、系統服務等等)

安裝 Service Packs 和 Windows Packs

升級或修復作業系統

配置關鍵作業系統參數(例如密碼策略、訪問控制、審核策略、核心模式驅動程式配置等)

獲取已經不能訪問的檔案的所有權

管理安全和審核日誌

備份和還原系統

控制比管理員還多的句柄、進程

對Windows作業系統核心具有不受限制的控制

1.

控制大部分檔案,即使無法更改的也可以取得所有權以控制。

2.

擁有比管理員更多的用戶特權

3.

控制某些管理員無法訪問的註冊表內容

4.

安裝作業系統和組件(例如硬體驅動程式、系統服務等等)

5.

安裝 Service Packs 和 Windows Packs

6.

升級或修復作業系統

7.

配置關鍵作業系統參數(例如密碼策略、訪問控制、審核策略、核心模式驅動程式配置等)

8.

獲取已經不能訪問的檔案的所有權

9.

管理安全和審核日誌

10.

備份和還原系統

11.

控制比管理員還多的句柄、進程

12.

對Windows作業系統核心具有不受限制的控制

為什麼要獲取SYSTEM許可權

強行刪除惡意程式

強行結束惡意進程

修改一些註冊表項

這和獲取ROOT許可權是一樣的

1.

強行刪除惡意程式

2.

強行結束惡意進程

3.

修改一些註冊表項

這和獲取ROOT許可權是一樣的

獲取SYSTEM許可權的方法

在桌面上新建一個記事本文檔,複製以下內容到記事本,並修改檔案後綴名為BAT或CMD

sc Create SuperCMD binPath= "cmd /K start" type= own type= interact

sc start SuperCMD

以管理員身份運行保存的BAT或CMD檔案,過一會螢幕上方會彈出一個互動式服務的對話框,選擇第一個選項就可以使用SYSTEM許可權的命令提示符來對系統進行操作(現有部分Windows 7可以使用,Windows 8及以上版本尚不明確)

使用第三方工具NSudo、Psexec來實現提權

使用管理員特權,在C:\WINDOWS\System32目錄下用cmd.exe替換Narrator.exe、osk.exe、Magnify.exe中的任意一個(這三個檔案分別代表“講述人”、“螢幕鍵盤”、“放大鏡”),在登錄界面中的左下角“輕鬆使用”按鈕中打開就可以使用SYSTEM許可權的命令提示符來對系統進行操作。

1.

在桌面上新建一個記事本文檔,複製以下內容到記事本,並修改檔案後綴名為BAT或CMD

sc Create SuperCMD binPath= "cmd /K start" type= own type= interact

sc start SuperCMD

以管理員身份運行保存的BAT或CMD檔案,過一會螢幕上方會彈出一個互動式服務的對話框,選擇第一個選項就可以使用SYSTEM許可權的命令提示符來對系統進行操作(現有部分Windows 7可以使用,Windows 8及以上版本尚不明確)

2.

使用第三方工具NSudo、Psexec來實現提權

3.

使用管理員特權,在C:\WINDOWS\System32目錄下用cmd.exe替換Narrator.exe、osk.exe、Magnify.exe中的任意一個(這三個檔案分別代表“講述人”、“螢幕鍵盤”、“放大鏡”),在登錄界面中的左下角“輕鬆使用”按鈕中打開就可以使用SYSTEM許可權的命令提示符來對系統進行操作。

SYSTEM的缺陷

1. 所有進程必須以管理員身份運行,且沒有UAC警告

2. 無法正常使用一些管理功能

3. 不受檔案安全許可權限制,導致某些新型病毒可以隨意修改、加密你的檔案或是一些硬體的設定

4. 以這個賬戶運行的進程和以TrustedInstaller許可權運行的進程的帳戶ID是一樣的

使用SYSTEM賬戶時的注意事項

以此許可權進行人工操作時:

1. 不要隨意運行沒有可信來源的程式,因為這些程式內可能含有病毒

2. 使用時最好不要上網,因為此時所有的腳本都是以管理員許可權運行

3. 如果你是在登錄界面執行,不要打開資源管理器,這可能會使你的電腦變卡

以此許可權運行服務時:

如果服務來源不明,最好不要用Local System運行

除非服務需要管理員許可權,否則請使用Local Service或Network Service運行

新創建的服務需要在此許可權下運行時一定要先進行測試,否則可能會破壞電腦或是域中的內容

1.

如果服務來源不明,最好不要用Local System運行

2.

除非服務需要管理員許可權,否則請使用Local Service或Network Service運行

3.

新創建的服務需要在此許可權下運行時一定要先進行測試,否則可能會破壞電腦或是域中的內容

相關詞條

熱門詞條

聯絡我們