Aracılığıyla paylaş

LocalSystem Hesabı

  • Makale

LocalSystem hesabı, hizmet denetim yöneticisi tarafından kullanılan önceden tanımlanmış bir yerel hesaptır. Bu hesap güvenlik alt sistemi tarafından tanınmadığından, LookupAccountName işlevine yapılan bir çağrıda adını belirtemezsiniz. Yerel bilgisayarda kapsamlı ayrıcalıklara sahiptir ve ağdaki bilgisayar olarak görev yapar. Belirteci NT AUTHORITY\SYSTEM ve BUILTIN\Administrators SID'lerini içerir; bu hesapların çoğu sistem nesnesine erişimi vardır. Tüm yerel ayarlardaki hesabın adı .\LocalSystem şeklindedir. Name, LocalSystem veya ComputerName\LocalSystem da kullanılabilir. Bu hesabın parolası yok. CreateService veya ChangeServiceConfigişlevibir çağrıda LocalSystem hesabını belirtirseniz, sağladığınız tüm parola bilgileri yoksayılır.

LocalSystem hesabı bağlamında çalışan bir hizmet, SCM'nin güvenlik bağlamını devralır. Kullanıcı SID'i SECURITY_LOCAL_SYSTEM_RID değerinden oluşturulur. Hesap, oturum açmış hiçbir kullanıcı hesabıyla ilişkilendirilmemiş. Bunun çeşitli etkileri vardır:

  • Kayıt defteri anahtarı HKEY_CURRENT_USER, geçerli kullanıcıyla değil, varsayılan kullanıcıyla ilişkilendirilir. Başka bir kullanıcının profiline erişmek için kullanıcının kimliğine bürün ve HKEY_CURRENT_USERerişin.
  • Hizmet, HKEY_LOCAL_MACHINE\SECURITYkayıt defteri anahtarını açabilir.
  • Hizmet, bilgisayarın kimlik bilgilerini uzak sunuculara sunar.
  • Hizmet bir komut penceresi açar ve bir toplu iş dosyası çalıştırırsa, kullanıcı toplu iş dosyasını sonlandırmak ve LocalSystem izinleriyle bir komut penceresine erişim kazanmak için CTRL+C tuşlarına basabilir.

LocalSystem hesabı aşağıdaki ayrıcalıklara sahiptir:

  • SE_ASSIGNPRIMARYTOKEN_NAME (devre dışı)
  • SE_AUDIT_NAME (etkin)
  • SE_BACKUP_NAME (devre dışı)
  • SE_CHANGE_NOTIFY_NAME (etkin)
  • SE_CREATE_GLOBAL_NAME (etkin)
  • SE_CREATE_PAGEFILE_NAME (etkin)
  • SE_CREATE_PERMANENT_NAME (etkin)
  • SE_CREATE_TOKEN_NAME (devre dışı)
  • SE_DEBUG_NAME (etkin)
  • SE_IMPERSONATE_NAME (etkin)
  • SE_INC_BASE_PRIORITY_NAME (etkin)
  • SE_INCREASE_QUOTA_NAME (devre dışı)
  • SE_LOAD_DRIVER_NAME (devre dışı)
  • SE_LOCK_MEMORY_NAME (etkin)
  • SE_MANAGE_VOLUME_NAME (devre dışı)
  • SE_PROF_SINGLE_PROCESS_NAME (etkin)
  • SE_RESTORE_NAME (devre dışı)
  • SE_SECURITY_NAME (devre dışı)
  • SE_SHUTDOWN_NAME (devre dışı)
  • SE_SYSTEM_ENVIRONMENT_NAME (devre dışı)
  • SE_SYSTEMTIME_NAME (devre dışı)
  • SE_TAKE_OWNERSHIP_NAME (devre dışı)
  • SE_TCB_NAME (etkin)
  • SE_UNDOCK_NAME (devre dışı)

Çoğu hizmetin bu kadar yüksek bir ayrıcalık düzeyine ihtiyacı yoktur. Hizmetinizin bu ayrıcalıklara ihtiyacı yoksa ve etkileşimli bir hizmet değilse, LocalService hesabını veya NetworkService hesabınıkullanmayı göz önünde bulundurun. Daha fazla bilgi için bkz. Hizmet Güvenliği ve Erişim Hakları.