Pregunta ¿Cuál es el problema principal que existe con la cuenta del sistema local? [cerrado]


En nuestra documentación del producto está escrito que

Si sus medidas de seguridad locales lo requieren, puede cambiar la cuenta de usuario y la contraseña bajo la cual se ejecutan los servicios principales del Servidor.

Debe tener privilegios de administrador para cambiar la cuenta de servicio.

Tenga en cuenta que los servicios principales del Servidor no pueden ejecutarse utilizando la cuenta del sistema local.

Entonces, ¿cuál es el problema con esa cuenta? Cuando hice una búsqueda, llegué a saber que LocalSystem el servicio puede hacer cosas que derribarían todo el sistema o dañarían todo el sistema.

¿Ese es el verdadero problema?

¿Dónde podemos ver esa cuenta?

Creo que el nombre real de la cuenta es NT AUTHORITY \ System.


1


origen


la cuenta del sistema es el núcleo completo de Windows. existe en un nivel superior a "administrador" y nunca debe ser utilizado por nadie más que los servicios del sistema real. Si 'administrador' es el equivalente a 'raíz', entonces 'sistema' es el oficial de RR.HH. que contrató 'administrador'.
¿A qué te refieres con los servicios del sistema real?
desplegar el administrador de tareas, "mostrar procesos de todos los usuarios". Verás qué se está ejecutando en el sistema. Cosas como 'lsass', 'wininit', 'winlogon', etc. Todos los procesos que, si se cancelan, bloquearán inmediatamente su sistema.
Si está ejecutando su propio código en la cuenta de 'sistema', será mejor que esté MUY seguro de que es un código a prueba de balas. El sistema tiene COMPLETAMENTE acceso a TODO en Windows, y usted puede trivialmente matar la caja con una simple dirección de memoria incorrecta. No hay protecciones cuando se ejecuta en SISTEMA.
@Marc B: no más que otras aplicaciones (AFAIK) ... se trata más de permisos predeterminados que cualquier otra cosa. - William Hilsum


Respuestas:


El sistema local es uno de los pocos integrados en grupos.

Todo lo que se ejecuta como sistema tiene completo control local sobre su computadora y puede hacer cualquier cosa / todo lo que quieran.

Entonces en cuanto a sus preguntas (creo).

Q: Cuando hice una búsqueda, llegué a saber que el servicio LocalSystem puede hacer cosas que derribarían todo el sistema o dañarían todo el sistema. ¿Ese es el verdadero problema?

A: Como dije, los procesos bajo el sistema pueden hacer prácticamente todo lo que quieran. Los procesos habituales que se ejecutan en esta cuenta incluyen AV, Firewall y otros programas similares. Tiene mucha potencia y solo debe usarse cuando sea necesario.

Q:¿Dónde podemos ver esa cuenta? Creo que el nombre real de la cuenta es NT AUTHORITY \ System.

A: Es una cuenta administrada por el sistema, no puede verla como tal y sería una mala idea si pudiera ... Si realmente quiere hacerlo, tome una copia de c:\windows\system32\osk.exe y luego copia c:\windows\explorer.exe a c:\windows\system32\osk.exe.

Vaya a la pantalla de inicio de sesión (que se ejecuta como sistema, ¡así que debe entender el poder de esta cuenta!), Luego haga clic en el control de accesibilidades (el ícono de círculo en la esquina inferior izquierda) e inicie el teclado en pantalla.

¡Ahora tendrá una instancia de explorador ejecutándose como un sistema que tiene control total sobre todo!


4



Truco interesante con osk.exe. - Daniel Beck♦
psexec -desi cmd es mas facil - grawity
Es simple de decir, pero en realidad no es verdad. Local System hace no tener "control total sobre todo". No tiene credenciales de red (más allá de la cuenta de la máquina), por ejemplo. Y las ACL que niegan el acceso funcionarán igual que para otras cuentas. Windows NT no es Unix. No tiene cuentas especiales por las que deja de realizar todas las comprobaciones de seguridad, y eso puede "hacer todo" por lo tanto. Los peligros de Local System es que tiene acceso a los procesos del sistema que se ejecutan bajo esa cuenta, acceso al SAM y el privilegio TCB. No confundamos a las personas con hipérboles. - JdeBP
@jdeBP Bueno, control total sobre todo "local por defecto" ... 3 palabras adicionales, pero, en el contexto de la pregunta, ¡estaba tratando de mantenerlo simple! - William Hilsum
Simplificar hasta el punto de la incorrección solo causará confusión. Que diga "control total" es un buen ejemplo. Eso tiene un significado específico en Windows NT, y es no el caso que Local System tiene control total incluso si uno solo está considerando recursos locales. Desde Windows NT 6.0, Local System no ha tenido acceso de control total a los archivos ejecutables del sistema operativo, por ejemplo. Ahi esta no cuenta en Windows NT que elude los controles de seguridad y tiene acceso completo a todo. No es Unix. - JdeBP