SYSTEM帳戶介紹
SYSTEM為Windows系統中眾多系統內置安全主體中的一個,在XP及以下版本的作業系統中擁有最高許可權(從Vista開始,微軟分割了SYSTEM用戶的部分許可權,系統檔案控制許可權由TrustedInstaller接管)。用戶不可以通過登錄界面登錄,也無法正常載入桌面、資源管理器、控制臺等常見進程。其實在我們使用Windows時經常遇到這個用戶,例如:用戶登錄界面就是以該賬戶的許可權運行的;在Windows Vista以及之後的系統中的Ctrl+Alt+Delete調出的安全選項界面也是以這個的許可權運行的。在Windows服務或IIS中,它被稱為Local System。此賬戶默認沒有密碼。 在該賬戶訪問網路資源時,作為計算機的域賬戶出現,使用的是空的會話控制。 它的全名是: NT AUTHORITY\SYSTEM。
在Windows啟動過程中,從載入核心到最後的登錄階段中的所有核心和部分服務許可權都是以SYSTEM許可權運行的。它與真人使用的用戶最大區別就是SYSTEM由作業系統自己管理並主要負責核心中的任務,而且它是從內部登錄的,因為許多服務或進程需要從內部登錄,這也是設計這個賬戶的目的。
在使用Windows PE時,默認使用的許可權是SYSTEM + TrustedInstaller許可權,因為在這個環境中SYSTEM是和平常使用的Windows是不同的。
在重新啟動Windows之前,對環境變數所做的更改不會影響以SYSTEM許可權運行的服務。
SYSTEM所屬用戶組
組名 | 屬性 | 類型 | SID | 備註 |
Mandatory Label\System Mandatory Level | N/A | 標籤 | S-1-16-16384 | 此組作為SYSTEM在系統中的MIC級別 |
Everyone | 必需的組, 啟用於默認, 啟用的組 | 已知組 | S-1-1-0 | SYSTEM必須在此組下 |
BUILTIN\Administrators | 必需的組, 啟用於默認, 啟用的組, 組的所有者 | 別名 | S-1-5-32-544 | SYSTEM必須在此組下 |
BUILTIN\Users | 啟用於上下文 | 別名 | S-1-5-32-545 | SYSTEM在服務中啟動時在此組內 |
NT AUTHORITY\SERVICE | 啟用於上下文 | 已知組 | S-1-5-6 | SYSTEM在服務中啟動時在此組內 |
CONSOLE LOGON | 啟用於上下文 | 已知組 | S-1-2-1 | SYSTEM在服務中啟動時在此組內 |
NT AUTHORITY\Authenticated Users | 必需的組, 啟用於默認, 啟用的組 | 已知組 | S-1-5-11 | SYSTEM必須在此組下 |
NT AUTHORITY\This Organization | 啟用於上下文 | 已知組 | S-1-5-15 | SYSTEM在服務中啟動時在此組內 |
NT SERVICE\TrustedInstaller | 啟用於上下文,組的所有者 | 已知組 | (見下方) | SYSTEM在特殊服務中啟動時在此組內 |
LOCAL | 啟用於上下文 | 已知組 | S-1-2-0 | SYSTEM在服務中啟動時在此組內 |
NT SERVICE用戶域下其他大部分安全主體 | 啟用於特殊情況,組的所有者 | 已知組 | (多個值) | SYSTEM運行svchost.exe時出現 |
表格說明:“ 必需的組”是指帳戶必須被包含在此組內,沒有則可以不在此組內
“啟用的組”是指這個組已被啟用,運行程式時這個組的許可權將會附加在當前帳戶上
“啟用於默認”是指賬戶被設定為默認情況下在此組內
“啟用於特殊情況”是指賬戶只有在特定的環境中才會啟用這個組
“啟用於上下文”是指賬戶由另一個程式指定加入這個組
“組的所有者”是指這個組的所有權由當前帳戶掌控
“標籤”是指賬戶分類
“別名”是指賬戶組是可以包含人為用戶的組
“已知組”是指這個組是內置賬戶組,不可修改
TrustedInstaller的SID: S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464
SYSTEM默認形況下擁有的許可權
檔案與資料夾許可權
完全控制根目錄及以下的所有子檔案與子資料夾(非系統分區)
修改當前資料夾並 完全控制其子檔案與子資料夾(系統分區下的WINDOWS、Program Files和Program Files (x86)資料夾)
讀取、寫入和執行當前資料夾並 完全控制其子檔案與子資料夾(系統分區下的Boot資料夾)
完全控制(系統分區下的其他資料夾或檔案)
用戶特權
特權名 | 描述 | 特權狀態 |
SeAssignPrimaryTokenPrivilege | 替換一個進程級令牌 | 已禁用 |
SeLockMemoryPrivilege | 鎖定記憶體頁 | 已啟用 |
SeIncreaseQuotaPrivilege | 為進程調整記憶體配額 | 已禁用 |
SeTcbPrivilege | 以作業系統方式執行 | 已啟用 |
SeSecurityPrivilege | 管理審核和安全日誌 | 已禁用 |
SeTakeOwnershipPrivilege | 取得檔案或其他對象的所有權 | 已禁用 |
SeLoadDriverPrivilege | 載入和卸載設備驅動程式 | 已禁用 |
SeSystemProfilePrivilege | 配置檔案系統性能 | 已啟用 |
SeSystemtimePrivilege | 更改系統時間 | 已禁用 |
SeProfileSingleProcessPrivilege | 配置檔案單一進程 | 已啟用 |
SeIncreaseBasePriorityPrivilege | 提高計畫優先權 | 已啟用 |
SeCreatePagefilePrivilege | 創建一個頁面檔案 | 已啟用 |
SeCreatePermanentPrivilege | 創建永久共享對象 | 已啟用 |
SeBackupPrivilege | 備份檔案和目錄 | 已禁用 |
SeRestorePrivilege | 還原檔案和目錄 | 已禁用 |
SeShutdownPrivilege | 關閉系統 | 已禁用 |
SeDebugPrivilege | 調試程式 | 已啟用 |
SeAuditPrivilege | 生成安全審核 | 已啟用 |
SeSystemEnvironmentPrivilege | 修改固件環境值 | 已禁用 |
SeChangeNotifyPrivilege | 繞過遍歷檢查 | 已啟用 |
SeUndockPrivilege | 從擴展塢上取下計算機 | 已禁用 |
SeManageVolumePrivilege | 執行卷維護任務 | 已禁用 |
SeImpersonatePrivilege | 身份驗證後模擬客戶端 | 已啟用 |
SeCreateGlobalPrivilege | 創建全局對象 | 已啟用 |
SeIncreaseWorkingSetPrivilege | 增加進程工作集 | 已啟用 |
SeTimeZonePrivilege | 更改時區 | 已啟用 |
SeCreateSymbolicLinkPrivilege | 創建符號連結 | 已啟用 |
SeDelegateSessionUserImpersonatePrivilege | 獲取同一會話中另一個用戶的模擬令牌 | 已啟用 |
註:特權分配可以在本地安全策略中更改
註冊表許可權
完全控制(所有原始註冊表項)
進程許可權
完全控制(所有系統核心級進程)
同步(其他某些非系統進程)
結束進程(其他某些非系統進程)
沒有指定(部分svchost.exe)
服務許可權
完全控制(所有核心服務)
特殊(其他服務)
特殊(Service Control Manager)
令牌句柄許可權
完全控制(所有進程的令牌(token))
執行緒句柄許可權
完全控制(所有執行緒)
事件句柄許可權
完全控制(所有事件)
Window Stations句柄許可權
完全控制(所有登錄用戶的Window Stations)
特殊(多數後台服務的Window Stations)
沒有指定(部分svchost.exe的Window Stations)
Mutant句柄許可權
完全控制(所有系統進程的Mutant)
拒絕訪問(部分進程的Mutant)
Job句柄許可權
特殊(所有Job)
Directory句柄許可權
完全控制(所有Directory)
日誌許可權
完全控制(所有日誌)
其他許可權
其他許可權與管理員相同
概括
SYSTEM可以
控制大部分檔案,即使無法更改的也可以取得所有權以控制。
擁有比管理員更多的用戶特權
控制某些管理員無法訪問的註冊表內容
安裝作業系統和組件(例如硬體驅動程式、系統服務等等)
安裝 Service Packs 和 Windows Packs
升級或修復作業系統
配置關鍵作業系統參數(例如密碼策略、訪問控制、審核策略、核心模式驅動程式配置等)
獲取已經不能訪問的檔案的所有權
管理安全和審核日誌
備份和還原系統
控制比管理員還多的句柄、進程
對Windows作業系統核心具有不受限制的控制
1.控制大部分檔案,即使無法更改的也可以取得所有權以控制。
2.擁有比管理員更多的用戶特權
3.控制某些管理員無法訪問的註冊表內容
4.安裝作業系統和組件(例如硬體驅動程式、系統服務等等)
5.安裝 Service Packs 和 Windows Packs
6.升級或修復作業系統
7.配置關鍵作業系統參數(例如密碼策略、訪問控制、審核策略、核心模式驅動程式配置等)
8.獲取已經不能訪問的檔案的所有權
9.管理安全和審核日誌
10.備份和還原系統
11.控制比管理員還多的句柄、進程
12.對Windows作業系統核心具有不受限制的控制
為什麼要獲取SYSTEM許可權
強行刪除惡意程式
強行結束惡意進程
修改一些註冊表項
這和獲取ROOT許可權是一樣的
1.強行刪除惡意程式
2.強行結束惡意進程
3.修改一些註冊表項
這和獲取ROOT許可權是一樣的
獲取SYSTEM許可權的方法
在桌面上新建一個記事本文檔,複製以下內容到記事本,並修改檔案後綴名為BAT或CMD
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
sc start SuperCMD
以管理員身份運行保存的BAT或CMD檔案,過一會螢幕上方會彈出一個互動式服務的對話框,選擇第一個選項就可以使用SYSTEM許可權的命令提示符來對系統進行操作(現有部分Windows 7可以使用,Windows 8及以上版本尚不明確)
使用第三方工具NSudo、Psexec來實現提權
使用管理員特權,在C:\WINDOWS\System32目錄下用cmd.exe替換Narrator.exe、osk.exe、Magnify.exe中的任意一個(這三個檔案分別代表“講述人”、“螢幕鍵盤”、“放大鏡”),在登錄界面中的左下角“輕鬆使用”按鈕中打開就可以使用SYSTEM許可權的命令提示符來對系統進行操作。
1.在桌面上新建一個記事本文檔,複製以下內容到記事本,並修改檔案後綴名為BAT或CMD
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
sc start SuperCMD
以管理員身份運行保存的BAT或CMD檔案,過一會螢幕上方會彈出一個互動式服務的對話框,選擇第一個選項就可以使用SYSTEM許可權的命令提示符來對系統進行操作(現有部分Windows 7可以使用,Windows 8及以上版本尚不明確)
2.使用第三方工具NSudo、Psexec來實現提權
3.使用管理員特權,在C:\WINDOWS\System32目錄下用cmd.exe替換Narrator.exe、osk.exe、Magnify.exe中的任意一個(這三個檔案分別代表“講述人”、“螢幕鍵盤”、“放大鏡”),在登錄界面中的左下角“輕鬆使用”按鈕中打開就可以使用SYSTEM許可權的命令提示符來對系統進行操作。
SYSTEM的缺陷
1. 所有進程必須以管理員身份運行,且沒有UAC警告
2. 無法正常使用一些管理功能
3. 不受檔案安全許可權限制,導致某些新型病毒可以隨意修改、加密你的檔案或是一些硬體的設定
4. 以這個賬戶運行的進程和以TrustedInstaller許可權運行的進程的帳戶ID是一樣的
使用SYSTEM賬戶時的注意事項
以此許可權進行人工操作時:
1. 不要隨意運行沒有可信來源的程式,因為這些程式內可能含有病毒
2. 使用時最好不要上網,因為此時所有的腳本都是以管理員許可權運行
3. 如果你是在登錄界面執行,不要打開資源管理器,這可能會使你的電腦變卡
以此許可權運行服務時:
如果服務來源不明,最好不要用Local System運行
除非服務需要管理員許可權,否則請使用Local Service或Network Service運行
新創建的服務需要在此許可權下運行時一定要先進行測試,否則可能會破壞電腦或是域中的內容
1.如果服務來源不明,最好不要用Local System運行
2.除非服務需要管理員許可權,否則請使用Local Service或Network Service運行
3.新創建的服務需要在此許可權下運行時一定要先進行測試,否則可能會破壞電腦或是域中的內容