что такое системная учетная запись

Что такое системная учетная запись

Локальная системная учетная запись является мощной учетной записью с полным доступом к компьютеру. Она используется в Microsoft System Center Configuration Manager 2007 для запуска служб и предоставления им контекста безопасности, а также для выполнения многих операций Configuration Manager 2007 на сервере сайта, системах сайта и клиентских компьютерах.

Фактическое имя этой учетной записи: NT AUTHORITY\System.

Локальная системная учетная запись не имеет прав доступа к сети. При необходимости наличия доступа к сети, локальная системная учетная запись использует учетную запись Домен\имя_компьютера$.

С выпуском Windows Server 2003 добавлены два новых встроенных типа учетных записей, сходных с локальной системной учетной записью: учетная запись сетевой службы и учетная запись локальной службы. Дополнительные сведения о том, как Configuration Manager 2007 использует эти записи, см. в разделах О локальной учетной записи в Configuration Manager и Об учетной записи сетевой службы в Configuration Manager. Дополнительные сведения об этих учетных записях см. по адресу http://go.microsoft.com/fwlink/?LinkId=93067.

Функции локальной системной учетной записи

Локальная системная учетная запись по своему существу имеет все необходимые права и разрешения на локальном компьютере. Удаление любого из этих прав или разрешений может привести к прекращению работы Configuration Manager 2007 или операционной системы.

Следующие службы Configuration Manager 2007, если они используются, настроены для входа под локальной системной учетной записью:

Важно!
Изменение параметров по умолчанию службы может помешать правильной работе основных служб. Не поддерживается изменение параметров Тип запуска и Войти в систему как для служб Configuration Manager 2007.

В дополнение к предоставлению контекста безопасности для служб Configuration Manager 2007, локальная системная учетная запись выполняет следующие функции:

Функции компьютера сервера сайта (имя_компьютера$)

Доступ к контейнерам доменных служб Active Directory во время любого типа обнаружения Active Directory

Доступ на чтение к контейнерам, указанным для обнаружения. Если учетная запись компьютера используется в доменах, отличных от доменов, в которых расположен сервер сайта, эта учетная запись должна иметь права пользователя в этих доменах.

Учетная запись должна быть членом по меньшей мере одной группы пользователей домена или локальной группы пользователей в этих доменах.

Доступ к DHCP-серверу для обнаружения сети DHCP

Необходимо быть членом группы пользователей DHCP на DHCP-сервере.

Создание и заполнение контейнера System Management в Active Directory.

Если расширить схему, включить публикацию и предоставить учетной записи имя_компьютера$ полный доступ к контейнеру системы и всем дочерним объектам, в нем может быть автоматически создан контейнер System Management.

Чтобы следовать принципу наименьших прав, вручную создайте контейнер System Management в контейнере системы, вместо того, чтобы разрешать Configuration Manager создавать его. Затем предоставьте учетной записи компьютера сервера сайта полные права для контейнера System Management и всех дочерних объектов.

Доступ к исходным файлам при создании пакетов для распространения программного обеспечения.

Разрешения на чтение и просмотр содержимого папки для всех исходных файлов и каталогов

Обмен данными с родительским и дочерним сайтами.

Разрешения на чтение, запись, выполнение и удаление для папки SMS\Inboxes\Despoolr.box\Receive на сервере сайта назначения

Добавьте учетную запись адреса сайта в группу подключения сайта к сайту на сервере сайта назначения, имеющем соответствующие разрешения для общей папки SMS_Site.

Можно создать и использовать учетную запись адреса сайта, но тогда потребуется вести учетную запись и пароль.

Установка дополнительных сайтов, если создание сайта инициировано с консоли Configuration Manager.

Локальные права администратора на сервере дополнительного сайта

Если на сервере дополнительного сайта запущена программа установки, локальные права администратора для этой учетной записи на сервере дополнительного сайта не требуются.

Установка удаленных систем сайтов

Локальные права администратора на удаленной системе сайта

Если системы сайтов настраиваются в удаленных не доверенных лесах, необходимо использовать учетную запись установки системы сайтов. Дополнительные сведения см. в разделе «Учетная запись установки системы».

Извлечение данных из систем сайтов (если настроено)

Локальные права администратора на удаленной системе сайта

При установке на вкладке Общие параметра Разрешить только инициированные сервером сайта передачи данных из этой системы сайта Configuration Manager извлекает данные из системы сайта, вместо того, чтобы ожидать, когда система сайта принудительно отправит эти данные. Вместо этого, если настроена учетная запись установки системы сайтов, Configuration Manager использует эту учетную запись.

Создание и настройка базы данных сайта

Членство в группе Sysadmins на сервере SQL Server, если база данных сайта находится на удаленном компьютере.

Необходимо создать имя входа на сервер SQL Server для учетной записи компьютера сервера сайта и добавить его к роли Sysadmins.

Функции компьютера системы сайта (компьютер$)

Предоставление доступа к базе данных сайта для следующих ролей сайта:

Учетная запись компьютера системы сайта автоматически добавляется к соответствующей роли базы данных. Роль базы данных имеет все необходимые права и разрешения.

Можно настроить точку управления, точку обслуживания PXE и точку обнаружения серверов для использования учетной записи подключения базы данных вместо локальной системной учетной записи. Дополнительные сведения см. разделе Об учетной записи подключения базы данных точки управления, Об учетной записи подключения базы данных точки обнаружения серверов или Об учетной записи подключения базы данных точки обслуживания PXE.

Следующие роли сайтов используют учетную запись компьютера$ системы сайта для передачи данных обратно на сервер сайта:

Членство в группе подключения системы сайта к серверу сайта

При настройке систем сайтов в удаленных не доверенных лесах нельзя добавить учетную запись компьютера$ системы сайта в группу подключения системы сайта к серверу сайта, поэтому на вкладке Общие системы сайта необходимо установить Разрешить только инициированные сервером сайта передачи данных из этой системы сайта.

Создание и пароль

Учетная запись создается автоматически, а паролем управляет операционная система.

Расположение учетной записи

Локальная системная учетная запись является локальной учетной записью. Если компьютер является членом домена, учетная запись компьютера$ создается в домене, которому принадлежит компьютер.

Обслуживание учетной записи

Операционная система обслуживает свои собственные учетные записи и пароли. Однако пароль учетной записи компьютера$ может не синхронизироваться с контроллером домена, вследствие чего потребуется восстановить безопасный коммуникационный канал между компьютером-членом и контроллером домена. Дополнительные сведения о сбросе учетных записей компьютера см. в базе знаний Майкрософт по адресу http://go.microsoft.com/fwlink/?LinkId=93062.

Рекомендации по безопасности

Для Configuration Manager 2007 не требуется, чтобы учетная запись каждого компьютера добавлялась в группу администраторов домена. Если учетной записи компьютера требуются права администратора, например, на удаленном сервере сайта, добавьте эту учетную запись в соответствующую локальную группу.

Не удаляйте права и разрешения локальной системной учетной записи. Изменение значений по умолчанию для прав и разрешений может повредить работе операционной системы и приложений.

Минимизируйте использование локальной системной учетной записи на серверах и системах сайтов, не устанавливая другие службы, использующие локальную системную учетную запись. Это гарантирует, что другие процессы не смогут воспользоваться преимуществом расширенных привилегий учетной записи компьютера системы, обращаясь к файлам и данным Configuration Manager 2007 через другие системы.

Настройте сервер SQL Server для запуска с учетной записью пользователя домена вместо локальной системной учетной записи.

Источник

Что такое системная учетная запись

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов России Pyatilistnik.org. В прошлый раз мы с вами разобрали способы выключения компьютера средствами командной строки, в сегодняшней публикации мы рассмотрим задачу, как вызвать cmd от имени системной учетной записи Local System, рассмотрим варианты применения данной задачи. Думаю, что многим коллегам данная статья будет весьма познавательна и каждый найдет применение данному лайвхаку.

Какого назначение системной учетной записи Local System

Системная учетная запись (Local System) – это специальная встроенная, локальная учетная запись, созданная Windows в момент установки, для использования в системе и запуска из под нее различных служб Windows. В Windows огромное количество служб и процессов для своего запуска и работы используют именно системную запись. Посмотреть это можно в оснастке «Службы», которую можно открыть из окна «Выполнить» введя в нем services.msc.

Учетная запись Ststem не отображается среди других учетных записей в диспетчере пользователей, но зато вы ее легко можете увидеть на вкладке «Безопасность» у любого системного диска, файла. куста реестра или папки. По умолчанию для учетной записи «Система (System)» предоставлены права полного доступа.

Служба, которая запускается в контексте учетной записи LocalSystem, наследует контекст обеспечения безопасности Диспетчера управления службами (SCM). Пользовательский идентификатор безопасности (SID) создается из значения SECURITY_LOCAL_SYSTEM_RID. Учетная запись не связывается с учетной записью любого пользователя, который начал работу. Она имеет несколько значений:

Привилегии LocalSystem

Сценарии вызова командной строки из под System

Давайте приведу интересную задачку по нашей теме. Предположим у вас есть доменная среда Active Directory. Вы с помощью инструмента групповой политики или SCCM развернули специализированное ПО, под названием StaffCop, или что-то другое. В момент развертывания или последующей настройки вы задали так, что пользователь даже при наличии прав локального администратора в своей системе не может останавливать службу и менять ее тип запуска, вопрос может ли локальный администратор это поправить и выключить службу?

Способы вызвать командную строку от имени системы

Я очень давно занимаюсь системным администрированием и уяснил давно принцип, если у вас есть права локального администратора, то вы можете все. Обойти любые ограничения и политики. Напоминаю. что я для тестирования развернул агента StaffCop, это такая программа для слежки, которую используют всякие шарашкины конторы. Агент по умолчанию запрещает выключение службы и изменение ее типа. Выглядит, это вот таким образом. Служба работает, имеет имя StaffCop Scheduler, но вот сделать с ней ничего не получается, все не активно.

Для того, чтобы вызвать cmd от имени системы, вам необходимо скачать замечательный набор утилит PSTools, а конкретно нам будет нужна утилита PsExec.exe или PsExec64.exe. Если вы мой постоянный читатель, то вы помните, что я их использовал, чтобы удаленно включить RDP доступ на сервере. Скачать сборник PSTools можно с официального сайта по ссылке ниже, или же у меня с сайта.

Далее вам необходимо распаковать zip архив, в результате чего будет вот такой список утилит.

Теперь когда подготовительный этап готов, то можно продолжать. Откройте обязательно командную строку от имени администратора и введите команду:

Мой пример: cd C:\Дистрибутивы\PSTools

Командой dir я проверил, что это та папка и я вижу нужные мне утилиты PsExec.exe или PsExec64.exe.

Последним шагом мы текущее окно командной строки из под текущего пользователя перезапустим от имени Local System. Пишем:

В итоге я вижу, что у меня открылось новое окно командной строки и оно уже работает в контексте «C:\Windows\system32>«, это и означает учетную запись Local System (Системная учетная запись)

Теперь давайте из под нее попробуем остановить нашу службу StaffCop Scheduler. Для этого есть ряд команд:

Далее вам необходимо изменить тип запуска и поменять с автоматического на отключена. Для этого пишем команду:

Как видим все успешно отработало. Если посмотреть оснастку «Службы», то видим вот такую картину.

Так, что имея права локального администратора и утилиту PsExec.exe, можно делать что угодно. Надеюсь, что вы теперь будите чаще вызывать окно командной строки от имени учетной записи системы. Давайте с вами напишем небольшой батник, который будет из ярлыка вызывать cmd от имени Local System. Создадим тестовый файл, поменяем ему сразу расширение с txt на cmd и откроем его текстовым редактором. Пропишем код:

Щелкаем по файлу правым кликом и выбираем пункт «Запуск от имени администратора». В результате чего у вас сразу будет запущено окно cmd с правами учетной записи SYSTEM. Проверить, это можно введя команду whoami. Ответ NT AUTORITY\СИСТЕМА.

Если нужно запустить удаленно командную строку от имени NT AUTORITY\СИСТЕМА, то выполните такую конструкцию

Источник

Системная учетная запись

Системная учетная запись

Как можно заметить из приведенного выше способа взлома, стандартной системной учетной записью можно воспользоваться для получения прав администратора. Это происходит потому, что такая запись имеет в чем-то даже больше прав, чем учетная запись администратора, и, как правило, администраторы компьютера не ограничивают учетную запись системы (а в основном просто не замечают угрозы этой записи). При рассмотрении групповых политик вы узнали, что настройки интерфейса Internet Explorer также записываются в ветвь реестра от имени учетной записи системы (от имени процесса WINLOGON.EXE). Это тоже довольно сложно понять. Если групповые политики может редактировать только администратор, то почему необходимо использовать процесс WINLOGON.EXE? Здесь также, кстати, скрывается возможность взлома — получение прав администратора или изменение любых элементов реестра и файловой системы компьютера с помощью процесса WINLOGON.EXE, запущенного от имени системы. Все дело в возможности импортирования настроек конфигурации браузера, программ на вкладке Программы или настроек ограничений в INF-файлах каталога %systemroot%system32GroupPolicyUserMicrosoftIEAKBRANDING с помощью элемента групповой политики Настройка Internet Explorer. Ведь если добавить в данные INF-файлы свои действия, например редактирование ветвей реестра или добавление/удаление объектов файловой системы, то при следующем доступе к политике Настройка Internet Explorer все добавленные вами строки будут выполнены от имени системы.

Единственным, что по умолчанию делает невозможным выполнение данного метода взлома, является запрет на работу с консолью Групповая политика, а также редактирование импортируемых INF-файлов для пользователей с учетными записями, отличными от группы Администраторы. Именно поэтому категорически запрещено изменять настройки доступа к каталогу %systemroot%system32GroupPolicyUser и его содержимому. Хотя и это только вершина айсберга, ведь неизвестно, как процесс WINLOGON.EXE создает INF-файлы. Может быть, можно подобрать такое значение параметра реестра (который он записывает в INF-файл), которое будет вызывать неправильную запись в INF-файл значения параметра реестра? Например, чтобы на основе значения параметра реестра в INF-файле создавалось не только значение этого параметра, но и новая строка, выполняющая произвольный код? Например, после некоторых экспериментов получилось создать в INF-файле «мусор», то есть произвольный текст после значения параметра, который не обрабатывается. А можно ли как-нибудь записать в одну строчку INF-файла две команды? Или указать в значении параметра реестра какой-либо специальный символ (ведь реестр поддерживает Unicode), который при обработке процессом WINLOGON.EXE или INF-файлом будет интерпретироваться как переход на другую строку? Надеюсь, программисты Microsoft могут с уверенностью ответить отрицательно на все эти вопросы, иначе перед нами очередной потенциальный способ выполнения любых операций с реестром и файловой системой Windows XP от имени системы. Причем этим способом смогут воспользоваться представители не только группы Опытные пользователи, но и группы Пользователи.

Другим интересным вопросом является озвучивание системных событий. Как оказывается, озвучивание события также выполняется процессом WINLOGON.EXE. При этом путь к музыкальному файлу для озвучивания события хранится в ветви реестра, доступной для редактирования любым пользователям. Здесь также возникают вопросы. А нельзя ли вместо озвучивания музыкального файла выполнить какой-нибудь произвольный код? Или вместе с музыкальным файлом? Или, например, указать путь к ярлыку музыкального файла, а этот ярлык, в свою очередь, будет ссылаться на музыкальный файл, доступ к которому вам как пользователю был запрещен. Да здесь, собственно, и ярлык не нужен, как оказывается, так можно прослушать даже тот файл, доступ к которому вам был полностью запрещен, но вы точно знаете, где этот файл находится. Как это сделать? Все музыкальные файлы для озвучивания событий описаны в ветви реестра HKEY_CURRENT_USERAppEventsSchemesApps. Например, параметр (По умолчанию) ветви реестра HKEY_CURRENT_USERAppEventsSchemesApps.DefaultSystemHand. Current определяет путь к файлу, который будет проигрываться процессом WINLOGON.EXE при возникновении критической ошибки. Другими словами, вы можете указать здесь путь к любому музыкальному файлу, а потом, например, просто ввести в диалоге Запуск программы любую строку, не ассоциированную с программой, например символ b. Скорее всего, система не найдет программы с названием b. exe, а значит, произойдет событие критической ошибки и будет воспроизведен необходимый вам файл.

Конечно, прослушивать запрещенные файлы смешно (если только на них не записана конфиденциальная информация), но что, если поискать системную службу, которая откроет для вас любой файл? Или, например, запишет свои данные в файл, путь к которому вы укажете? Например, в файл, доступ к которому вам запрещен, но который вы хотите повредить.

Именно по приведенным выше причинам я и опасаюсь программ и служб, запущенных от имени системы. Ведь даже сама Microsoft говорит о том, что нужно использовать как можно меньше учетных записей с административными правами, но почему-то забывает о системной учетной записи, которая также имеет административные права. А ведь сейчас каждая мало-мальски нужная служба, установленная на компьютере, хочет работать с правами системы, даже если эти права ей совершенно не нужны. При этом неизвестно, насколько эта служба устойчива к взлому. А по теории вероятности, чем больше в системе таких служб, тем больше шансов на взлом такой системы.

Интересна также сама необходимость учетной записи системы с полными правами. Например, зачем службам такие возможности, как изменение ACL объектов или создание учетных записей администраторов? Зачем тому же WINLOGON.EXE такие возможности? Намного безопасней будет создать несколько ограниченных учетных записей системы, выполняющих только определенные задачи, которые могут понадобиться той или иной службе.

Читайте также

Глава 3 Онлайновая системная документация

Глава 3 Онлайновая системная документация Web-сайт, посвященный этой книге и доступный по адресу http://ladweb.net, содержит дополнения к тексту книги, детальную информацию по темам, выходящим за рамки книги, и ссылки на дополнительные сведения в

Системная защита пути доступа SMAPP

Системная защита пути доступа SMAPP В прошлом пользователи AS/400 были вынуждены мириться с долгим временем перезагрузки после аварийной остановки: пути доступа[ 54 ], открытые для обновления файла, должны были быть построены заново. Вспомните, что в главе 5 мы упомянули

5.12.1 Системная функция pipе

5.12.1 Системная функция pipе Синтаксис вызова функции создания канала:pipe(fdptr);где fdptr — указатель на массив из двух целых переменных, в котором будут храниться два дескриптора файла для чтения из канала и для записи в канал. Поскольку ядро реализует каналы внутри файловой

Что такое учетная запись пользователя

Что такое учетная запись пользователя При регистрации нового пользователя в какой-либо компьютерной системе, будь то платежная система или почтовый ящик в Интернете, всегда создается учетная запись (аккаунт), т. е. набор данных об этом пользователе. Структура аккаунта

Запись

Запись Вставьте чистый компакт-диск для однократной или многократной записи в привод компакт-дисков. Щелкните мышью на кнопке Запись, расположенной на панели задач проигрывателя (рис. 3.23). Для записи компакт-диска можно составить свой список, а можно воспользоваться

R.1.2 Запись синтаксиса

R.1.2 Запись синтаксиса В записи синтаксиса языка в этом руководстве синтаксические понятия обозначаются курсивом, а литеральные слова и символы шрифтом постоянной ширины. Варианты перечисляются на отдельных строках, за исключением тех немногих случаев, когда длинный

Запись макросов

Запись макросов К счастью, записывать макросы так же просто, как ложиться в постель. Тем более, что я собираюсь разложить здесь вам все по полочкам. Запуск средства записи макросов Запустить средство записи макросов можно одним из следующих способов.* Выбрать из меню

Запись команд

Запись команд После начала записи вам не придется предпринимать никаких специальных действий, чтобы записать нужные вам команды в макрос. Нужно просто использовать команды приложения самым обычным способом. Все, что вы будете делать,- и выбор команд из меню, и

Запись макроса

Запись макроса Когда подготовительная работа завершена, переходите к записи макроса. После того как вы закроете окна назначения макроса кнопке панели быстрого доступа или клавишам, программа перейдет в режим записи макроса. Указатель при этом примет вид а кнопка в

7.6. Системная статистика

7.6. Системная статистика Два элемента файловой системы /proc содержат полезную статистическую информацию. В файле /proc/loadavg находятся данные о загруженности системы. Первые три показателя — это число активных задач (выполняющихся процессов) за последние 1, 5 и 15 минут.

6.1. Учетная запись root

6.1. Учетная запись root В Windows мы привыкли, что нам разрешено все. Конечно, не всегда, но в большинстве случаев именно так. В Linux все иначе — максимальными полномочиями обладает только пользователь root. Система полностью подвластна этому пользователю. Внимание! Всегда думайте

Глава 7 Системная информация и реестр Windows

Глава 7 Системная информация и реестр Windows • Системная информация• Системное время• РеестрВозникала ли у вас необходимость программно определить текущее состояние компьютера или узнать какие-нибудь сведения об операционной системе? Можно только удивляться, как

7.1. Системная информация

7.1. Системная информация Начнем с несложных примеров, позволяющих получить информацию об операционной системе, установленном на компьютере оборудовании и такие сведения реального времени, как загрузка памяти компьютера, состояние питания и т. д.Версия операционной

Системная переменная для задания имени пути.

Системная переменная для задания имени пути. PGP использует несколько специальных файлов для своих целей, таких, как ваши стандартные каталоги ключей «pubring.pgp» и «secring.pgp», файл начального числа для генерации случайных чисел «randseed.bin», файл конфигурации PGP «config.txt» и файл перевода

Просмотр и запись

Просмотр и запись Познакомившись со списком программ, пришло время освоить остальные возможности Digital TV – сдвиг во времени, запись видео в файл и другие.Прежде всего рассмотрим функцию сдвига во времени, так как она будет использоваться довольно часто. Допустим,

Источник