Windows LocalSystem vs.Sistema

23

/programming/510170/the-difference-between-the-local-system-account-and-the-network-service-accou dice:

Sistema local: cuenta completamente confiable, más que la cuenta de administrador. "No hay nada en una sola casilla que esta cuenta no pueda hacer y tiene derecho a acceder a la red como la máquina (esto requiere Active Directory y otorgarle permisos a la cuenta de la máquina para algo")

http://msdn.microsoft.com/en-us/library/aa274606(SQL.80).aspx (Preparación para instalar SQL Server 2000 (64 bits) - Creación de cuentas de servicio de Windows) dice:

"La cuenta del sistema local no requiere una contraseña, no tiene derechos de acceso a la red y restringe la instalación de su servidor SQL de interactuar con otros servidores " .

http://msdn.microsoft.com/en-us/library/ms684190(v=VS.85).aspx (Cuenta de sistema local, fecha de compilación: 5/8/2010) dice:

"La cuenta LocalSystem es una cuenta local predefinida utilizada por el administrador de control de servicios. Esta cuenta no es reconocida por el subsistema de seguridad , por lo que no puede especificar su nombre en una llamada a la función LookupAccountName. Tiene amplios privilegios en la computadora local y actúa como la computadora en la red. Su token incluye los SID NT AUTHORITY \ SYSTEM y BUILTIN \ Administrators ; estas cuentas tienen acceso a la mayoría de los objetos del sistema. El nombre de la cuenta en todos los entornos locales es. \ LocalSystem . El nombre, LocalSystem o ComputerName \ LocalSystem también se puede utilizar. Esta cuenta no tiene una contraseña. Si especifica LocalSystem cuenta en una llamada a la función CreateService, cualquier información de contraseña que proporcione se ignora "

http://technet.microsoft.com/en-us/library/ms143504.aspx (Configuración de cuentas de servicio de Windows) dice:

Sistema local es una cuenta integrada con privilegios muy altos. Tiene amplios privilegios en el sistema local y actúa como la computadora en la red. > El nombre real de la cuenta es "NT AUTHORITY \ SYSTEM".

Los identificadores de seguridad conocidos en los sistemas operativos Windows ( http://support.microsoft.com/kb/243330 ) no tienen ningún SISTEMA (sino solo " SISTEMA LOCAL ")

Mi Windows XP Pro SP3 (con configuración de MS SQL Server , máquina de desarrollo en grupo de trabajo ) tiene SISTEMA pero no LocalSystem o " Sistema local ".

PREGUNTAS

¿Alguien puede limpiar este desastre?

Es posible grabar horas tras horas, día tras día leyendo documentos de MS solo para recopilar más y más contradicciones y malentendidos ...

1) ¿Tiene LocalSystem derechos para acceder a la red o no? ¿Cuál es el mecanismo?

2) ¿Son sinónimos el SISTEMA y el Sistema local (y el "Sistema local")?

¿Por qué se han introducido?

¿Cuáles son las diferencias entre SYSTEM y Sistema local?

----------

Actualización1:

Hola sysamin1138!

Sus respuestas agregan aún más confusión si las compara con la realidad observada, por ejemplo, al hecho de que Fresh instaló o el grupo de trabajo Windows XP Pro SP3 solo tiene SISTEMA (pero no LocalSystem).

Sysadmin138 escribió:

  • "Diferentes principios de seguridad para problemas similares, que permiten un poco de granularidad en su diseño de seguridad. Uno es solo local, el otro tiene visibilidad de dominio".

¿Significa esta frase que LocalSystem se agrega al unir la computadora al dominio?

¿Debe entenderse que SYSTEM es para acceso "local" / interno y de grupo de trabajo (identificación de computadora) y LocalSystem para identificación de computadora en dominio?

----------

Actualización2: mismo grupo de trabajo Windows XP Pro SP3 si no se especifica lo contrario

Hola, Sysadmin1138 , en tu edición

"Es solo que en ese caso SYSTEM y NT Authority / SYSTEM son equivalentes en capacidad",

¿Cómo se relacionan (Autoridad NT / SISTEMA y SISTEMA) con LocalSystem? ¿No cometiste un error con LocalSystem?

Greg Askew,

"Tenga en cuenta que si configura un servicio para iniciar sesión como. \ LocalSystem, seguirá apareciendo como iniciado sesión como NT AUTHORITY \ SYSTEM en Process Explorer o System en Task Manager"

Esto es un poco más cerca. No puedo elegir LocalSystem en los permisos NTFS / share, en la lista RunAs. Pero en services.msc, el servicio "SQL Server (MS SQL SERVER)" -> haga doble clic o rc -> Propiedades ---> pestaña "Logotipo activado como:" tiene radiobottom "Cuenta del sistema local". Este servicio aparece en el Administrador de tareas de Windows como SISTEMA

Greg Askew y sysadmin1138 ,

"NT AUTHORITY" o cualquier "xxx \" no aparece en ningún lado. Todos los nombres de cuenta tienen una sola etiqueta. Tenga en cuenta que es una computadora de grupo de trabajo de Windows XP. Aunque ejecuto una instancia de ADAM (Modo de aplicación de Active Directory).

Supongo que "NT AUTHORITY" es de ese famoso "subsistema de seguridad" que está ausente en el grupo de trabajo (?) ¿Aparecería "NT Authority" si uniera la computadora a un dominio?

La lista de permisos NTFS / share tiene 2 columnas:

  • Columna "Nombre (RDN)" con nombres de cuenta de etiqueta única
  • Columna "En carpeta" que tiene MyCompName (p. Ej., Para Administrador, Administradores, ASPNET, SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER, etc.) o en blanco (p. Ej., Para LOGON ANÓNIMO, Usuarios autenticados, CREATOR GROUP, CREAtOR OWNER, NETWORKING SERVICES, SISTEMA , etc.).

Los primeros también tienen sinónimos para codificar como "MyCompName \ xxxx" o ". \ Xxx" (es decir

  • SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER =
  • = MyCompName \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER
  • =. \ SQLServerReportServerUser $ MyCompName $ MSRS10_50.MSSQLSERVER)

¿Puede sincronizar sus respuestas en el contexto de http://blogs.msdn.com/aaron_margosis/archive/2009/11/05/machine-sids-and-domain-sids.aspx (SID de máquina y SID de dominio)?

----------

Actualización 3: mismo grupo de trabajo Windows XP Pro SP3 si no se especifica lo contrario

Hola, Sysadmin1138 ,

¿Y cómo ver el historial de edición? y desreferencia SID?

¡Penetración! cacls muestra "NT Authority \ SYSTEM" ...

Aunque para los servicios todo es viceversa: todos los servicios se muestran en la pestaña "Iniciar sesión"

  • el botón de radio "Cuenta del sistema local" que da como resultado SYSTEM en WIndowsTaskManager y
  • el botón de radio "Esta cuenta" -> btn "Examinar ..." que no muestra la cuenta del SISTEMA en la lista

¡Perdón por su tiempo, pero aún no pude acceder a ningún LocalSystem en Windows XP! ¡LocalSystem no aparece en ningún lugar de XP! pero el problema de que todos los documentos de MS solo residen en LocalSystem ...

Por cierto, http://support.microsoft.com/kb/120929 ("Cómo se usa la cuenta del sistema en Windows") dice que SYSTEM es para el registro interno de servicios de la computadora, y sorpresa-sorpresa "SE APLICA A" todo Windows desde NT Workstation 3.1 a Windows Server 2003 excepto Windows XP (?!).

¿Es Windows XP alguna anomalía en la línea de Windows?

----------

Actualización 4: mismo grupo de trabajo Windows XP Pro SP3 si no se especifica lo contrario

No pude detectar ningún LocalSystem (solo "sistema local" mencionado en el texto para el botón de radio de LogOn de servicios) en Windows XP, aunque todos los documentos de MS generalmente se alojan en LocalSystem solamente pero no SYSTEM. Marqué esta pregunta como respondida después de haber entendido para mí que Windows XP es una anomalía / excepción en sistemas operativos Windows que tienen algún error de usabilidad de GUI y debo adivinar cómo habría aparecido un escenario en otro Windows (con la ayuda de las respuestas aquí) )

Si no es correcto, tenga la libertad de probar / compartir otro punto de vista

Actualización 5: mismo grupo de trabajo Windows XP Pro SP3 si no se especifica lo contrario

Venceremos!

¡Encontré "Sistema local" en Windows XP! Se muestra en la columna "Iniciar sesión como" en services.msc!

windows  sql-server  network-share  workgroup 
Gennady Vanin Геннадий Ванин
fuente
1
Ya lo he dicho varias veces. "LocalSystem" es exactamente lo mismo que "NT Authority \ System". Son sinónimos El "sistema" es una entidad separada que comparte algunas características (que generan confusión).
sysadmin1138
No tengo "NT Authority \ System" en el grupo de trabajo Windows XP Pro SP3. Solo tengo "MyCompName \ SYSTEM"
Gennady Vanin Геннадий Ванин
Lo siento, mi SISTEMA no es una cuenta de computadora (no "MyCompName \ SYSTEM"), que creo que se convertirá en "NT Authority \ SYSTEM" al unirse al dominio de Windows. ¿Es sinónimo de LocalSystem antes de unirse? ¿Y este SISTEMA será "NT Authority \ SYSTEM" después de unirse?
Gennady Vanin Геннадий Ванин
3
Esta pregunta ahora es ilegible, ¿podría acortarla y aclararla?
Ayudaría a

Respuestas:

26

[borró la respuesta grande, resumiendo para mayor claridad. Ver edición-historia para sórdido cuento.]

Hay un único SID conocido para el sistema local. Es S-1-5-18, como encontraste en ese artículo de KB. Este SID devuelve varios nombres cuando se le pide que se desreferencia. El comando de línea de comandos 'cacls' (XP) muestra esto como " NT Authority\SYSTEM". El comando de línea de comandos 'icacls' (Vista / Win7) también muestra esto como " NT Authority\SYSTEM". Las herramientas GUI en el Explorador de Windows muestran esto como " SYSTEM". Cuando configura un servicio para que se ejecute, se muestra como " Local System".

Tres nombres, un SID.

En los grupos de trabajo, el SID solo tiene un significado en la estación de trabajo local. Al acceder a otra estación de trabajo, el SID no se transfiere solo al nombre. El 'Sistema local' no puede acceder a ningún otro sistema.

En dominios, la ID relativa es lo que permite el acceso de la cuenta de la máquina a los recursos que no son locales para esa máquina. Esta es la ID almacenada en Active Directory, y es utilizada como principio de seguridad por todas las máquinas conectadas al dominio. Esta identificación no es S-1-5-18. Tiene la forma de S-1-5-21 [domainSID] - [random].

La configuración de un servicio como "Servicio local" le dice al servicio que inicie sesión localmente en la estación de trabajo como S-1-5-18. No tendrá credenciales de dominio de ningún tipo.

La configuración de un servicio como "Servicio de red" o "NT Authority \ NetworkService" le dice al servicio que inicie sesión en el dominio como la cuenta de dominio de esa máquina, y tendrá acceso a los recursos del dominio. El Configurador de servicios de Windows XP no tiene la capacidad de seleccionar "Servicio de red" como tipo de inicio de sesión. El programa de instalación de SQL podría.

El "Servicio de red" puede hacer todo lo que el "Sistema local" puede hacer, así como acceder a los recursos del Dominio.

"Servicio de red" no tiene sentido en un contexto de grupo de trabajo.

En breve:

NT Authority\System= Local System= SYSTEM=S-1-5-18

Si necesita su servicio para acceder a recursos que no se encuentran en esa máquina, debe:

  • Configurarlo como un servicio utilizando un usuario de inicio de sesión dedicado
  • Configurarlo como un Servicio utilizando "Servicio de red" y pertenecer a un dominio
sysadmin1138
fuente
1
En realidad, el Servicio de red es una cuenta con pocos privilegios. No tiene los mismos privilegios que el sistema local. Además, en un dominio, el Sistema local tiene el mismo acceso a los recursos del dominio que el Servicio de red, es decir, puede iniciar sesión con la cuenta de la computadora.
Harry Johnston
¿Cómo es que la variable ambiental% USERNAME% para este usuario es el nombre de la computadora seguido de un signo de dólar "$"?
rory.ap
@ rory.ap Según la antigua convención que data de Windows NT, si no antes, las cuentas ocultas (y los archivos compartidos) tienen un sufijo de signo de dólar. Y por oculto quiero decir que no aparece en algunas herramientas de visualización.
sysadmin1138
3

"La mayoría de los servicios se ejecutan en el contexto de seguridad de la cuenta del sistema local (a veces se muestra como SYSTEM y otras como LocalSystem)".

"... La cuenta del sistema local es la misma cuenta en la que se ejecutan los componentes principales del sistema operativo en modo de usuario de Windows, incluido el Administrador de sesión (smss.exe), el proceso del subsistema de Windows (csrss.exe), el proceso de la Autoridad de seguridad local ( lsass.exe) y el proceso de inicio de sesión (winlogon.exe) ".

"... Desde una perspectiva de seguridad, la cuenta del sistema local es extremadamente poderosa, más poderosa que cualquier dominio o cuenta local".

- Windows Internals, 5a edición (página 288 - 289).

Tenga en cuenta que si configura un servicio para iniciar sesión como. \ LocalSystem, seguirá apareciendo como iniciado sesión como NT AUTHORITY \ SYSTEM en Process Explorer o System en Task Manager.

En Windows 7, un servicio configurado para Iniciar sesión como: Cuenta "Sistema local" tiene el Nombre de usuario "SISTEMA" en la pestaña Procesos del Administrador de tareas.

Greg Askew
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.