Поделиться через


Учетная запись LocalSystem

Учетная запись LocalSystem — это предопределенная локальная учетная запись, используемая диспетчером управления службами. Эта учетная запись не распознается подсистемой безопасности, поэтому вы не можете указать ее имя в вызове функции LookupAccountName . Он имеет обширные привилегии на локальном компьютере и действует как компьютер в сети. Его токен включает идентификаторы БЕЗОПАСНОСТИ NT AUTHORITY\SYSTEM и BUILTIN\Administrators; эти учетные записи имеют доступ к большинству системных объектов. Имя учетной записи во всех языковых стандартах — .\LocalSystem. Также можно использовать имя LocalSystem или ComputerName\LocalSystem. У этой учетной записи нет пароля. Если указать учетную запись LocalSystem в вызове функции CreateService или ChangeServiceConfig , все указанные сведения о пароле игнорируются.

Служба, запущенная в контексте учетной записи LocalSystem, наследует контекст безопасности SCM. Идентификатор безопасности пользователя создается на основе значения SECURITY_LOCAL_SYSTEM_RID . Учетная запись не связана с учетной записью пользователя, выполнившего вход. Эта особенность имеет несколько разных применений.

  • Раздел реестра , HKEY_CURRENT_USER , связан с пользователем по умолчанию, а не с текущим пользователем. Чтобы получить доступ к профилю другого пользователя, олицетворите его, а затем получите доступ к HKEY_CURRENT_USER.
  • Служба может открыть раздел реестра HKEY_LOCAL_MACHINE\SECURITY.
  • Служба предоставляет учетные данные компьютера удаленным серверам.
  • Если служба открывает командное окно и запускает пакетный файл, пользователь может нажать клавиши CTRL+C, чтобы завершить пакетный файл и получить доступ к командному окну с разрешениями LocalSystem.

Учетная запись LocalSystem имеет следующие привилегии:

  • SE_ASSIGNPRIMARYTOKEN_NAME (отключено)
  • SE_AUDIT_NAME (включено)
  • SE_BACKUP_NAME (отключено)
  • SE_CHANGE_NOTIFY_NAME (включено)
  • SE_CREATE_GLOBAL_NAME (включено)
  • SE_CREATE_PAGEFILE_NAME (включено)
  • SE_CREATE_PERMANENT_NAME (включено)
  • SE_CREATE_TOKEN_NAME (отключено)
  • SE_DEBUG_NAME (включено)
  • SE_IMPERSONATE_NAME (включено)
  • SE_INC_BASE_PRIORITY_NAME (включено)
  • SE_INCREASE_QUOTA_NAME (отключено)
  • SE_LOAD_DRIVER_NAME (отключено)
  • SE_LOCK_MEMORY_NAME (включено)
  • SE_MANAGE_VOLUME_NAME (отключено)
  • SE_PROF_SINGLE_PROCESS_NAME (включено)
  • SE_RESTORE_NAME (отключено)
  • SE_SECURITY_NAME (отключено)
  • SE_SHUTDOWN_NAME (отключено)
  • SE_SYSTEM_ENVIRONMENT_NAME (отключено)
  • SE_SYSTEMTIME_NAME (отключено)
  • SE_TAKE_OWNERSHIP_NAME (отключено)
  • SE_TCB_NAME (включено)
  • SE_UNDOCK_NAME (отключено)

Большинству служб не требуется такой высокий уровень привилегий. Если вашей службе не требуются эти привилегии и она не является интерактивной службой, рассмотрите возможность использования учетной записи LocalService или NetworkService. Дополнительные сведения см. в разделе Service Security and Access Rights.