Windows LocalSystem vs. System

23

/programming/510170/the-difference-between-the-local-system-account-and-the-network-service-accou mówi:

System lokalny: całkowicie zaufane konto, więcej niż konto administratora. Na jednym pudełku nie ma nic, czego to konto nie może zrobić i ma prawo dostępu do sieci jako komputera (wymaga to usługi Active Directory i przyznania uprawnień konta na komputer do czegoś) ”

http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx (Przygotowanie do instalacji SQL Server 2000 (64-bit) - Tworzenie kont usług Windows) mówi:

Lokalne konto systemowe nie wymaga hasła, nie ma praw dostępu do sieci i ogranicza instalację programu SQL Server do interakcji z innymi serwerami ”.

http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx (konto LocalSystem, data kompilacji: 8/5/2010) mówi:

„ Konto LocalSystem jest predefiniowanym kontem lokalnym używanym przez menedżera sterowania usługami. Konto to nie jest rozpoznawane przez podsystem zabezpieczeń , więc nie można podać jego nazwy w wywołaniu funkcji LookupAccountName. Ma szerokie uprawnienia na komputerze lokalnym oraz działa jako komputer w sieci. Jego token zawiera identyfikatory SID NT \ AUTHORITY \ SYSTEM i BUILTIN \ Administrators ; konta te mają dostęp do większości obiektów systemowych. Nazwa konta we wszystkich lokalizacjach to. \ LocalSystem . Nazwa, LocalSystem lub ComputerName Można także użyć \ LocalSystem . To konto nie ma hasła. Jeśli podasz LocalSystem konto w wywołaniu funkcji CreateService, wszelkie podane przez Ciebie informacje o haśle są ignorowane ”

http://technet.microsoft.com/en-us/library/ms143504.aspx (Konfigurowanie kont usług Windows) mówi:

System lokalny to bardzo wysoko uprzywilejowane konto wbudowane. Ma szerokie uprawnienia w systemie lokalnym i działa jako komputer w sieci. > Rzeczywista nazwa konta to „NT AUTHORITY \ SYSTEM”.

Dobrze znane identyfikatory zabezpieczeń w systemach operacyjnych Windows ( http://support.microsoft.com/kb/243330 ) w ogóle nie mają SYSTEMU (tylko „ SYSTEM LOKALNY ”)


Mój system Windows XP Pro SP3 (z konfiguracją MS SQL Server , programistą w grupie roboczej ) ma SYSTEM, ale nie LocalSystem lub „ Local System ”.

PYTANIA:

Czy ktoś może usunąć ten bałagan?

Możliwe jest spalanie godzin po godzinach, dzień po dniu, czytając dokumenty MS, aby zebrać coraz więcej sprzeczności i nieporozumień ...

1) Czy uprawnienia LocalSystem mają dostęp do sieci, czy nie? Jaki jest mechanizm?

2) Czy SYSTEM i LocalSystem (i „System lokalny”) są synonimami?

Dlaczego zostały wprowadzone?

Jakie są różnice między SYSTEMEM a Systemem lokalnym

----------

Aktualizacja 1:

Cześć, sysamin1138!

Twoje odpowiedzi dodają jeszcze więcej zamieszania, jeśli porównasz je z obserwowaną rzeczywistością, na przykład z faktem, że zainstalowany system Windows Fresh lub grupa robocza Windows XP Pro SP3 ma tylko SYSTEM (ale nie LocalSystem).

Sysadmin138 napisał:

  • „Różne zasady bezpieczeństwa dla podobnych problemów, które pozwalają na nieco bardziej szczegółowy projekt bezpieczeństwa. Jedna jest tylko lokalna, druga ma widoczność domeny.”

Czy to zdanie oznacza, że ​​LocalSystem jest dodawany po dołączeniu komputera do domeny?

Czy należy rozumieć, że SYSTEM służy do dostępu „lokalnego” / wewnętrznego i dla grup roboczych (identyfikacja komputera), a LocalSystem do identyfikacji komputera w domenie?

----------

Aktualizacja 2: ta sama grupa robocza Windows XP Pro SP3, jeśli nie określono inaczej

Cześć, Sysadmin1138 , w twojej edycji

„Po prostu w tym przypadku SYSTEM i NT Authority / SYSTEM mają równoważne zdolności”,

w jaki sposób są one (NT Authority / SYSTEM i SYSTEM) powiązane z LocalSystem? Czy nie pomyliłeś jednego z nich z LocalSystem?

Greg Askew,

„Pamiętaj, że jeśli skonfigurujesz usługę do logowania jako. \ LocalSystem, nadal będzie wyglądać jak zalogowany jako NT AUTHORITY \ SYSTEM w Process Explorer lub System w Task Manager”

To jest trochę bliżej. Nie mogę wybrać LocalSystem w ramach premii NTFS / share, listy RunAs. Ale w services.msc usługa „SQL Server (MS SQL SERVER)” -> kliknij dwukrotnie lub rc -> Właściwości ---> zakładka „Logo włączone jako:” ma radiobuttom „Lokalne konto systemowe”. Ta usługa pojawia się następnie w Menedżerze zadań Windows jako SYSTEM

Greg Askew i sysadmin1138 ,

Nigdzie nie pojawia się „NT AUTHORITY” lub dowolny „xxx \” . Wszystkie nazwy kont są oznaczone pojedynczą etykietą. Uwaga: jest to komputer grupy roboczej z systemem Windows XP. Chociaż uruchamiam wystąpienie programu ADAM (tryb aplikacji usługi Active Directory).

Wydaje mi się, że „NT AUTHORITY” pochodzi ze słynnego „podsystemu bezpieczeństwa”, którego nie ma w grupie roboczej (?) Czy „NT Authority” pojawi się, jeśli przyłączę komputer do domeny?

Lista uprawnień NTFS / share ma 2 kolumny:

  • Kolumna „Nazwa (RDN)” z nazwami kont o pojedynczej etykiecie
  • Kolumna „W folderze” posiadająca MyCompName (np. Administrator, administratorzy, ASPNET, SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER itp.) Lub pusta (np. W przypadku ANONIMOWEGO LOGOWANIA, uwierzytelnionych użytkowników, GRUPY CREATOR, SERWISU WŁAŚCICIELA, SIECI , SIECI) SYSTEM itp.).

Te pierwsze mają również synonimy kodowania jako „MyCompName \ xxxx” lub „. \ Xxx” (tj.

  • SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER =
  • = MyCompName \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER
  • =. \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER)

Czy możesz zsynchronizować swoje odpowiedzi w kontekście http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx (SID maszyn i SID domen)?

----------

Aktualizacja 3: ta sama grupa robocza Windows XP Pro SP3, jeśli nie określono inaczej

Cześć, Sysadmin1138 ,

A jak zobaczyć historię edycji? i dereferencji SID?

Przełom! cacls pokazuje „NT Authority \ SYSTEM” ...

Chociaż w przypadku usług wszystko jest odwrotnie: wszystkie usługi są wyświetlane w zakładce „Logowanie”

  • przycisk radiowy „Lokalne konto systemowe”, którego wynikiem jest SYSTEM w WIndowsTaskManager i
  • przycisk radiowy „To konto” -> btn „Przeglądaj ...”, który nie pokazuje konta SYSTEM na liście

Przepraszamy za poświęcony czas, ale nie mogłem jeszcze dostać się do żadnego lokalnego systemu w Windows XP! LocalSystem nie pojawia się nigdzie w XP! ale problem polegający na tym, że wszystkie dokumenty MS występują tylko w systemie lokalnym ...

BTW, http://support.microsoft.com/kb/120929 („Jak używane jest konto systemowe w systemie Windows”) informuje, że SYSTEM służy do wewnętrznego rejestrowania usług na komputerze, a niespodzianka „ZASTOSOWANIE” do wszystkich systemów Windows NT Workstation 3.1 do Windows Server 2003 z wyjątkiem Windows XP (?!).

Czy Windows XP jest jakąś anomalią w linii Windows?

----------

Update4: ta sama grupa robocza Windows XP Pro SP3, jeśli nie określono inaczej

Nie mogłem wykryć żadnego lokalnego systemu (tylko „system lokalny” wymieniony w tekście do przycisku usług LogOn) w systemie Windows XP, chociaż wszystkie dokumenty MS zwykle mieszkają tylko w systemie lokalnym, ale nie w SYSTEMIE. Odpowiedziałem na to pytanie, rozumiejąc dla mnie, że Windows XP jest anomalią / wyjątkiem w systemach operacyjnych Windows z pewnym błędem użyteczności GUI i powinienem zgadywać, jak wyglądałby scenariusz w innym systemie Windows (za pomocą odpowiedzi tutaj) )

Jeśli to nie jest poprawne, możesz udowodnić / podzielić się innym punktem widzenia


Aktualizacja 5: ta sama grupa robocza Windows XP Pro SP3, jeśli nie określono inaczej

Venceremos!

Znalazłem „System lokalny” w Windows XP! Jest pokazany w kolumnie „Zaloguj się jako” w services.msc!

Gennady Vanin Геннадий Ванин
źródło
1
Powiedziałem to już kilka razy. „LocalSystem” to dokładnie to samo, co „NT Authority \ System”. Są synonimami. „System” jest odrębną jednostką, która ma wspólne cechy (generujące zamieszanie).
sysadmin1138
Nie mam „NT Authority \ System” w grupie roboczej Windows XP Pro SP3. Mam tylko „MyCompName \ SYSTEM”
Gennady Vanin Геннадий Ванин
Niestety, mój SYSTEM nie jest kontem komputerowym (nie „MyCompName \ SYSTEM”), który moim zdaniem stanie się „NT Authority \ SYSTEM” po dołączeniu systemu Windows do domeny. Czy jest to synonim LocalSystem przed dołączeniem? I czy ten SYSTEM będzie po dołączeniu „NT Authority \ SYSTEM”?
Gennady Vanin Геннадий Ванин
3
To pytanie jest teraz nieczytelne - czy możesz je skrócić i wyjaśnić? Pomogłoby to przyszłym czytelnikom, jeśli pytanie jest krótkie i proste ^^ +1
Oskar Duveborn

Odpowiedzi:

26

[wytarł dużą odpowiedź, podsumowując dla jasności. Zobacz historię edycji dla obskurnej opowieści.]

Istnieje jeden dobrze znany identyfikator SID dla systemu lokalnego. Jest to S-1-5-18, jak można znaleźć w tym artykule KB. Ten identyfikator SID zwraca wiele nazw, gdy zostanie poproszony o usunięcie danych. Polecenie wiersza polecenia „cacls” (XP) pokazuje to jako „ NT Authority\SYSTEM”. Polecenie wiersza polecenia „icacls” (Vista / Win7) pokazuje to również jako „ NT Authority\SYSTEM”. Narzędzia GUI w Eksploratorze Windows pokazują to jako „ SYSTEM”. Podczas konfigurowania usługi do uruchomienia jest ona wyświetlana jako „ Local System”.

Trzy nazwiska, jeden SID.

W grupach roboczych identyfikator SID ma znaczenie tylko na lokalnej stacji roboczej. Podczas uzyskiwania dostępu do innej stacji roboczej identyfikator SID nie jest przesyłany tylko nazwą. „System lokalny” nie ma dostępu do żadnych innych systemów.

W domenach identyfikator względny umożliwia dostęp konta komputera do zasobów, które nie są lokalne dla tego jednego komputera. Jest to identyfikator przechowywany w usłudze Active Directory i jest stosowany jako zasada bezpieczeństwa na wszystkich komputerach podłączonych do domeny. Ten identyfikator to nie S-1-5-18. Ma on postać S-1-5-21 [domainSID] - [losowy].

Skonfigurowanie usługi jako „Usługi lokalnej” nakazuje lokalnemu zalogowanie się na stacji roboczej jako S-1-5-18. Nie będzie miał żadnych poświadczeń domeny.

Skonfigurowanie usługi jako „Usługa sieciowa” lub „NT Authority \ NetworkService” nakazuje usłudze zalogowanie się do domeny jako konto domeny tego komputera i będzie mieć dostęp do zasobów domeny. Konfigurator usług systemu Windows XP nie ma możliwości wybrania „Usługa sieciowa” jako typu logowania. Program instalacyjny SQL może.

„Usługa sieciowa” może zrobić wszystko, co „System lokalny”, jak również uzyskać dostęp do zasobów domeny.

„Usługa sieciowa” nie ma znaczenia w kontekście grupy roboczej.

W skrócie:

NT Authority\System= Local System= SYSTEM=S-1-5-18

Jeśli potrzebujesz swojej usługi, aby uzyskać dostęp do zasobów nie znajdujących się na tym komputerze, musisz:

  • Skonfiguruj go jako usługę przy użyciu dedykowanego użytkownika logowania
  • Skonfiguruj go jako usługę za pomocą „usługi sieciowej” i należy do domeny
sysadmin1138
źródło
1
W rzeczywistości usługa sieciowa jest kontem o niskim poziomie uprawnień. Nie ma takich samych uprawnień jak system lokalny. Ponadto w domenie system lokalny ma taki sam dostęp do zasobów domeny jak usługa sieciowa, tzn. Może zalogować się przy użyciu konta komputera.
Harry Johnston,
Dlaczego zmienna środowiskowa% USERNAME% dla tego użytkownika to nazwa komputera, po której następuje znak dolara „$”?
rory.ap
@ rory.ap Zgodnie ze starożytną konwencją sięgającą Windows NT, jeśli nie wcześniej, ukryte konta (i udziały plików) mają sufiks znaku dolara. I przez ukryty mam na myśli, że nie pojawia się w niektórych narzędziach do wyświetlania.
sysadmin1138
3

„Większość usług działa w kontekście bezpieczeństwa lokalnego konta systemowego (czasami wyświetlanego jako SYSTEM, a innym razem jako LocalSystem).”

„... Lokalne konto systemowe to to samo konto, na którym działają podstawowe komponenty systemu operacyjnego Windows w trybie użytkownika, w tym Menedżer sesji (smss.exe), proces podsystemu Windows (csrss.exe), proces Local Security Authority ( lsass.exe) i proces logowania (winlogon.exe). ”

„... Z punktu widzenia bezpieczeństwa lokalne konto systemowe jest niezwykle potężne - potężniejsze niż jakakolwiek domena lub konto lokalne”.

- Windows Wewnętrzne, wydanie 5 (strona 288 - 289).

Należy pamiętać, że jeśli skonfigurujesz usługę do logowania jako. \ LocalSystem, nadal będzie wyglądać jak zalogowany jako NT AUTHORITY \ SYSTEM w Process Explorer lub System w Task Manager.

W systemie Windows 7 usługa ustawiona na Logowanie jako: Konto „System lokalny” ma nazwę użytkownika „SYSTEM” na karcie Procesy Menedżera zadań.

Greg Askew
źródło