Question Est-ce que "NT AUTHORITY \ SYSTEM" est un utilisateur ou un groupe?


Dans Windows, l'utilisateur System est affiché avec le symbole du groupe: enter image description here. (Utilisation de l'API Win32 interne LookupAccountSid révèle également qu'il semble être un groupe SidTypeGroup.)

D'autre part, les processus peuvent s'exécuter dans le system context comme dans un user context. Les documents Microsoft le décrivent également comme "utilisateur système" ou "compte système" et non comme "groupe système".

Est-ce un utilisateur destiné à des fins héritées affiché en tant que groupe?

(Ou est-ce quelque chose Werner Heisenberg aurait été intéressé par?)


Remarque: Qu'est-ce que l'utilisateur NT AUTHORITY \ SYSTEM? est similaire mais ne répond pas à la question de savoir pourquoi il est affiché en tant que groupe et se comporte comme un utilisateur.


12
2018-04-19 12:24


origine


Cela peut-être répondre à votre? question ici: superuser.com/questions/471769/ - XsiSec
Tu as raison ma mauvaise excuse - XsiSec
Les SID ne doivent pas être l'une de celles-ci, n'est-ce pas? - grawity


Réponses:


Premier, jeton d'accès contient beaucoup plus que le identifiant de sécurité (SID). Il suffit de "Exécuter en tant qu'administrateur" un programme pour voir dans le gestionnaire de tâches que son utilisateur est soi-même et non Administrateur, et ce miracle est réalisé simplement par la modification du jeton d'accès, pas en remplaçant le SID.

Deuxièmement, NT-AUTHORITY et SYSTEM ne sont ni des comptes ni des groupes, malgré ce que disent diverses autres sources (même au sein de Microsoft). Un SID a généralement un nom qui s'affiche chaque fois que nécessaire. Un compte d'utilisateur contribuera son SID en tant que principal SID au jeton d'accès, qui déterminera également le nom affiché par divers utilitaires. Mais le jeton d'accès peut contenir des SID supplémentaires, par exemple pour tous les groupes à qui appartient ce compte d'utilisateur. Lors de la vérification des autorisations, Windows Recherchez tout SID dans le jeton d'accès qui dispose de cette autorisation.

Certains noms SID Windows connus auront des noms signalés par Windows, bien qu'ils n'appartiennent à aucun compte.

UNE Identifiant de sécurité est défini par Wikipedia comme:

un identifiant unique et immuable d'un utilisateur, groupe d'utilisateurs ou    autre principal de sécurité.

Le SID n'a même pas besoin de définir un compte d'utilisateur ou un groupe. Il définit simplement un ensemble d'autorisations. L'article de Wikipedia ci-dessus ajoute:

Windows accorde ou refuse l'accès et les privilèges aux ressources basées sur   les listes de contrôle d'accès (ACL), qui utilisent des SID pour identifier de manière unique les utilisateurs   et leur appartenance à un groupe. Lorsqu'un utilisateur se connecte à un ordinateur, un   le jeton d'accès est généré et contient les SID utilisateur et groupe et l'utilisateur   niveau de privilège. Lorsqu'un utilisateur demande l'accès à une ressource, l'accès   le jeton est vérifié par rapport à la liste de contrôle d'accès pour autoriser ou refuser une action particulière   sur un objet particulier.

Le SID de NT-AUTHORITY\SYSTEM peut être ajouté à d'autres comptes. Par exemple, on parle de la Compte LocalSystem:

Le compte LocalSystem est un compte local prédéfini utilisé par le   responsable du contrôle de service. [...] Son jeton comprend   les SID NT AUTHORITY \ SYSTEM et BUILTIN \ Administrators;   ces comptes avoir accès à la plupart des objets système.

On peut déjà voir dans le texte ci-dessus la confusion qui règne même dans Documentation Microsoft relative aux SID système, qui ne sont pas exactement des comptes ni des groupes - qui ne sont qu’un ensemble d’autorisations. Cette confusion s’étend à d’autres utilitaires et articles, donc tout les informations retournées doivent être soigneusement examinées.

L'article de Microsoft Identificateurs de sécurité connus dans les systèmes d'exploitation Windows détaille tous les SID du système, dont certains sont inclus ci-dessous:

image

Conclusion: NT-AUTHORITY \ SYSTEM est le nom d'un ID de sécurité, qui n'est ni un groupe ni un compte. Il est affiché dans le Gestionnaire des tâches en tant que SYSTEM lorsqu'il s'agit du SID principal d'un programme. Le plus que j'appellerais c'est "un pseudo-compte".


8
2018-06-05 10:21



Tu m'as battu mon ami. J'étais à mi-chemin en écrivant une réponse similaire quand votre réponse est entrée. C'est l'explication correcte. Il ne s'agit que d'une collection d'autorisations et de son affichage en tant que groupe ou utilisateur. Comme la plupart des outils ne peuvent afficher que "user" ou "group", ils choisissent simplement l'un ou l'autre. Habituellement, le groupe comme l'API WIn32 définit SidTypeGroup en conséquence et la plupart des applications obtiennent leurs informations. - Tonny
Hou la la! Je commence une prime pour récompenser une réponse existante, et que se passe-t-il? Une meilleure réponse apparaît. :-) Une question cependant: le compte LocalSystem a-t-il aussi son propre SID ("compte") ou utilise-t-il simplement le SID NT-AUTHORTY \ SYSTEM comme SID principal? - Heinzi
@ Heinzi: LocalSystem est un autre "pseudo compte". On peut le voir dans le lien qui dit: "Ce compte n'est pas reconnu par le sous-système de sécurité, vous ne pouvez donc pas spécifier son nom dans un appel à la fonction LookupAccountName". - harrymc


IMHO votre observation est correcte. NT-AUTHORITY\SYSTEM est un groupe, vous pouvez donc vous y référer en tant que système groupe. Ce groupe existe depuis Windows NT 4 au moins et a déjà été un groupe là-bas:

Groupes spéciaux

[...]

Système - Le système d'exploitation.

Il y a aussi un compte appelé Système local lequel

[...] inclut le NT AUTHORITY \ SYSTEM [...]

afin que vous puissiez appeler cela le système utilisateur qui est membre du groupe SYSTEM.

SysInternals PsGetSid soutient la théorie des groupes pour SYSTEM:

C:\>PsGetsid.exe S-1-5-18

PsGetSid v1.44 - Translates SIDs to names and vice versa
Copyright (C) 1999-2008 Mark Russinovich
Sysinternals - www.sysinternals.com

Account for YOURPCNAMEHERE\S-1-5-18:
Well Known Group: NT-AUTHORITY\SYSTEM

En ce qui concerne le début d'un processus en tant que groupe:

Pour gérer la sécurité, un processus obtient un jeton d'accès. Le jeton d'accès contient uniquement des SID. Je ne suis pas sûr qu'il y ait une vérification pour savoir si le SID de l'utilisateur est réellement un utilisateur ou un groupe. En principe, cela n'aurait pas d'importance: le SID définit ce qui peut être consulté. Peut-être le Article CodeProject peut aider à la mise en œuvre


7
2018-04-19 13:46