Nt authority system что за пользователь

Учетная запись LocalSystem

Учетная запись LocalSystem — это предопределенная локальная учетная запись, используемая диспетчером управления службами. Эта учетная запись не распознается подсистемой безопасности, поэтому вы не можете указать ее имя в вызове функции LookupAccountName . Он имеет обширные привилегии на локальном компьютере и действует как компьютер в сети. Его токен включает идентификаторы БЕЗОПАСНОСТИ NT AUTHORITY\SYSTEM и BUILTIN\Administrators; эти учетные записи имеют доступ к большинству системных объектов. Имя учетной записи во всех языковых стандартах — .\LocalSystem. Также можно использовать имя LocalSystem или ComputerName\LocalSystem. У этой учетной записи нет пароля. Если указать учетную запись LocalSystem в вызове функции CreateService или ChangeServiceConfig , все указанные сведения о пароле игнорируются.

Служба, запущенная в контексте учетной записи LocalSystem, наследует контекст безопасности SCM. Идентификатор безопасности пользователя создается на основе значения SECURITY_LOCAL_SYSTEM_RID . Учетная запись не связана с учетной записью пользователя, выполнившего вход. Эта особенность имеет несколько разных применений.

• Раздел реестра , HKEY_CURRENT_USER , связан с пользователем по умолчанию, а не с текущим пользователем. Чтобы получить доступ к профилю другого пользователя, олицетворите его, а затем получите доступ к HKEY_CURRENT_USER.
• Служба может открыть раздел реестра HKEY_LOCAL_MACHINE\SECURITY.
• Служба предоставляет учетные данные компьютера удаленным серверам.
• Если служба открывает командное окно и запускает пакетный файл, пользователь может нажать клавиши CTRL+C, чтобы завершить пакетный файл и получить доступ к командному окну с разрешениями LocalSystem.

Учетная запись LocalSystem имеет следующие привилегии:

• SE_ASSIGNPRIMARYTOKEN_NAME (отключено)
• SE_AUDIT_NAME (включено)
• SE_BACKUP_NAME (отключено)
• SE_CHANGE_NOTIFY_NAME (включено)
• SE_CREATE_GLOBAL_NAME (включено)
• SE_CREATE_PAGEFILE_NAME (включено)
• SE_CREATE_PERMANENT_NAME (включено)
• SE_CREATE_TOKEN_NAME (отключено)
• SE_DEBUG_NAME (включено)
• SE_IMPERSONATE_NAME (включено)
• SE_INC_BASE_PRIORITY_NAME (включено)
• SE_INCREASE_QUOTA_NAME (отключено)
• SE_LOAD_DRIVER_NAME (отключено)
• SE_LOCK_MEMORY_NAME (включено)
• SE_MANAGE_VOLUME_NAME (отключено)
• SE_PROF_SINGLE_PROCESS_NAME (включено)
• SE_RESTORE_NAME (отключено)
• SE_SECURITY_NAME (отключено)
• SE_SHUTDOWN_NAME (отключено)
• SE_SYSTEM_ENVIRONMENT_NAME (отключено)
• SE_SYSTEMTIME_NAME (отключено)
• SE_TAKE_OWNERSHIP_NAME (отключено)
• SE_TCB_NAME (включено)
• SE_UNDOCK_NAME (отключено)

Большинству служб не требуется такой высокий уровень привилегий. Если вашей службе не требуются эти привилегии и она не является интерактивной службой, рассмотрите возможность использования учетной записи LocalService или NetworkService. Дополнительные сведения см. в разделе Service Security and Access Rights.

Nt authority system что за пользователь

Учетная запись LocalSystem

Учетная запись LocalSystem — предопределенная локальная учетная запись, используемая диспетчером управления службами. Эта учетная запись не распознается подсистемой обеспечения безопасности. Она имеет обширные привилегии на локальном компьютере и действует как компьютер в сети. Его маркер права доступа включает в себя идентификаторы безопасности (SID) NT AUTHORITY\SYSTEM и BUILTIN\Administrator s ; эти учетные записи имеют доступ к большинству системных объектов. Имя учетной записи во всех местах действия — «.\LocalSystem«. Название, «LocalSystem» или » ComputerName \LocalSystem» может также использоваться. Эта учетная запись не имеет пароля. Если Вы определяете учетную запись как LocalSystem при вызове к функции CreateService, любая информация о пароле, которую Вы предоставляете, игнорируется.

• Ключ реестра HKEY_CURRENT_USER связан с пользователем по умолчанию, а не текущим пользователем. Чтобы обратиться к профилю другого пользователя, имитируйте этого пользователя, а затем обратитесь к HKEY_CURRENT_USER.
• Служба может открыть ключ реестра HKEY_LOCAL_MACHINE\SECURITY .
• Служба представляет мандат компьютера для удаленного сервера.
• Если служба открывает командное окно (на экране дисплея) и запускает командный файл, пользователь должен нажать CTRL+C, чтобы закончить работу командного файла и получить доступ к окну команды с привилегиями LocalSystem .

Учетная запись LocalSystem имеет следующие привилегии:

• SE_ASSIGNPRIMARYTOKEN_NAME
• SE_AUDIT_NAME
• SE_BACKUP_NAME
• SE_CHANGE_NOTIFY_NAME
• SE_CREATE_PAGEFILE_NAME
• SE_CREATE_PERMANENT_NAME
• SE_CREATE_TOKEN_NAME
• SE_DEBUG_NAME
• SE_INC_BASE_PRIORITY_NAME
• SE_INCREASE_QUOTA_NAME
• SE_LOAD_DRIVER_NAME
• SE_LOCK_MEMORY_NAME
• SE_PROF_SINGLE_PROCESS_NAME
• SE_RESTORE_NAME
• SE_SECURITY_NAME
• SE_SHUTDOWN_NAME
• SE_SYSTEM_ENVIRONMENT_NAME
• SE_SYSTEM_PROFILE_NAME
• SE_SYSTEMTIME_NAME
• SE_TAKE_OWNERSHIP_NAME
• SE_TCB_NAME
• SE_UNDOCK_NAME

Большинство служб не нуждается в таком высоком уровне привилегии. Если ваша служба не нуждается в этих привилегиях, и это не диалоговая служба, рассмотрите использование учетной записи LocalService или учетной записи NetworkService. Дополнительную информацию смотри в статье Защита службы и права доступа.

Windows NT: Служба имеет ограничение доступа к сетевым ресурсам, типа совместно используемых ресурсов и каналов, потому что она не имеет мандата и должна присоединится к использованию пустой сессии. Следующий ключ реестра включает в себя значения NullSessionPipes и NullSessionShares , которые используются, чтобы определить каналы и совместно используемые ресурсы, с которыми могут соединиться пустые сессии:

HKEY_LOCAL_MACHINE\SYSTEM
CurrentControlSet
Services
LanmanServer
Parameters

Альтернативно, Вы можете добавить значение RestrictNullSessAccess к ключу и установить его в 0, чтобы позволить всем пустым сессиям обращаться ко всем каналам и совместно используемым ресурсам, созданным на этом компьютере.

Назад в оглавление

На главную страницу

Nt authority system что за пользователь

В свойствах системы>Профили пользователей существует профиль «NT AUTHORITY\SYSTEM» и есть его папка в Documents and Settings-«SYSTEM», но в списке локальных пользователей и групп такого пользователя нет. Кроме того этот пользователь первым входит в систему и в процессе работы компьютера постоянно выходит из системы (код 538). Проверка автозагрузки и на всякую нечисть показывает на отсутсвие вредоносных программ. Система Windows 2000. Может кто знает, это случайно созданный профиль или кто-то создал удаленное управление?

Оглавление

• Откуда взялся пользователь System?, Vaso Petrovich, 15:07 , 12-Июн-05, (1)
  • Откуда взялся пользователь System?, Softman, 06:51 , 14-Июн-05, (2)
    • Откуда взялся пользователь System?, allez, 08:22 , 14-Июн-05, (3)
      • Откуда взялся пользователь System?, Softman, 09:06 , 14-Июн-05, (4)

      Сообщения по теме

      >В свойствах системы>Профили пользователей существует профиль «NT AUTHORITY\SYSTEM» и есть его папка в Documents and Settings-«SYSTEM», но в списке локальных пользователей и групп такого пользователя нет. Кроме того этот пользователь первым входит в систему и в процессе работы компьютера постоянно выходит из системы (код 538). Проверка автозагрузки и на всякую нечисть показывает на отсутсвие вредоносных программ. Система Windows 2000. Может кто знает, это случайно созданный профиль или кто-то создал удаленное управление?

      форумом ошибся?

      >>форумом ошибся?
      >читать разучился?

      Форумом никто не ошибся: opennet.ru не декларируется как сайт «только для UNIX».
      Основная направленность, конечно, юниксовая, но это не значит, что с вопросами
      по другим операционным системам сюда нельзя обращаться.

      А вам, Softman, если лень было поискать, следует зайти сюда: http://punto.ru/meta.php?engine=6&search_type=0&text=system+localsystem+windows
      Если вам лень искать в списке, то в нем есть эта ссылка (третья сверху): http://www.osp.ru/win2000/2002/07/046.htm
      А если уж лень настолько сильна, что не позволяет найти нужный фрагмент в тексте, то вот вам цитата из него:
      ================================================================
      Учетная запись System

      Встроенная учетная запись System, иногда именуемая LocalSystem, используется операционной системой в основном для запуска служб Windows. Учетная запись System отсутствует в списке Local Users and Groups, и ее нельзя удалить из базы безопасности машины. Учетную запись, входящую в группу Administrators, нельзя присоединить ни к одной другой группе. Ей можно назначить разрешения NTFS, но не права пользователей.

      Возможности учетной записи System очень велики. Ее нельзя лишить права изменять разрешения. Другими словами, если администратор попытается ограничить права учетной записи System, то она вернется к стандартным настройкам. Таким образом, обеспечивается корректное функционирование операционной системы. Если Windows 2000 установлена в режиме, заданном по умолчанию, то учетная запись System имеет полный доступ к каждому файлу на томе NTFS. Если взломщик овладеет службой Windows, работающей с учетной записью System, он сможет запускать другие процессы и обращаться к файлам в контексте System. Именно поэтому учетная запись System и стала излюбленной мишенью взломщиков.

      Обычно разработчики Microsoft не рекомендуют снимать с файла разрешения для учетной записи System, но в некоторых случаях такой прием мешает взломщикам запускать процессы в контексте System. Один из примеров — переполнение буфера .Printer, упоминаемое в бюллетене Microsoft Security Bulletin MS01-023 (Unchecked Buffer in ISAPI Extension Could Enable Compromise of IIS 5.0 Server). Поэтому иногда полезно ограничить число файлов, к которым можно обращаться из учетной записи System.
      ================================================================

      >Форумом никто не ошибся: opennet.ru не декларируется как сайт «только для UNIX».

      Ребята, давайте жить дружно!
      Вопрос заключался в том, что в системе завелся некий пользователь, который постоянно выходит из системы. По этому вопросу МНОГО ссылок, но ответа в них не нашлось. Этот форум показался мне достаточно профессиональным. Поэтому и не обратил внимание на «Unix-форум».
      Спасибо за ссылку на статью, она оказалась достаточно интересна. Все-таки с соседями полезно пообщаться.

      Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
      Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

      Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

      Nt authority system что за пользователь

      Сообщения: 147
      Благодарности: 1

      Добрый день.Периодически в эвентах файлового сервера выскакиевает сообщение аудита:» Системой обнаружено, что пользователь NT AUTHORITY\SYSTEM попытался сохранить файл D:\Files\Doc\Игорь\HITLERBANNED.avi в папке D:\Files на сервере BARS-SERVER. Этот файл соответствует параметрам группы файлов «Файлы аудио и видео», которая запрещена на данном компьютере»
      Каким образом можно убитть данного зверя и как выйти на его след ) ?

      Сообщения: 5706
      Благодарности: 1113

      Конфигурация компьютера
      Процессор: AMD Athlon(TM)II X2 215 2.7Gh
      HDD: Seagate 500G
      Видеокарта: ATI Radeon HD 4650 (RV730)
      Монитор: ACER
      ОС: WindWindows 7 Ultimate 64
      Прочее: Антивирь отсутствует

      djeff, Здравствуйте.
      Выложите логи в соответствии с этими инструкциями.

      ——-
      Мягкий и пушистый — если не гладить против шерсти.

      Вам помог совет? Нажмите на ссылку Полезное сообщение .

      Похожие публикации:

      1. Webkit css что это
      2. Как в сводной таблице посчитать количество уникальных значений
      3. Как перевернуть текст в автокаде
      4. Как установить onedrive на windows 10