Apakah "NT AUTHORITY \ SYSTEM" adalah pengguna atau grup?

17

Pada Windows pengguna Systemditampilkan dengan simbol kelompok: masukkan deskripsi gambar di sini. (Menggunakan Win32 API LookupAccountSid internal juga mengungkapkan bahwa itu tampaknya menjadi grup SidTypeGroup .)

Di sisi lain proses dapat berjalan system contextseperti di a user context. Juga dokumen Microsoft menggambarkannya sebagai "pengguna sistem" atau "akun sistem", dan bukan sebagai "kelompok sistem".

Apakah pengguna yang untuk tujuan lama ditampilkan sebagai grup?

(Atau itu sesuatu yang Werner Heisenberg akan tertarik?)


Catatan: Apakah pengguna NT AUTHORITY \ SYSTEM? serupa tetapi tidak menjawab pertanyaan mengapa ditampilkan sebagai grup dan berperilaku seperti pengguna.

rawa-goyang
sumber
Ini mungkin menjawab Anda? pertanyaan di sini: superuser.com/questions/471769/…
XsiSec
Anda benar, permintaan maaf saya yang buruk
XsiSec
SID tidak harus salah satu dari mereka, bukan?
user1686

Jawaban:

13

Pertama, token akses mengandung lebih dari pengidentifikasi keamanan (SID) . Kita hanya perlu "Menjalankan sebagai administrator" program untuk melihat di dalam Task Manager bahwa penggunanya adalah diri sendiri dan bukan Administrator, dan keajaiban ini dicapai hanya dengan modifikasi token akses, bukan dengan mengganti SID.

Kedua, NT-AUTHORITY dan SYSTEM bukanlah akun atau grup, terlepas dari apa yang dikatakan berbagai sumber lain (bahkan di dalam Microsoft). SID biasanya memiliki nama yang ditampilkan kapan pun diperlukan. Akun pengguna akan berkontribusi SID sebagai SID utama ke token akses, yang juga akan menentukan nama yang ditampilkan oleh berbagai utilitas. Tetapi token akses dapat berisi SID tambahan, misalnya untuk semua grup yang dimiliki akun pengguna itu. Saat memeriksa izin, Windows akan mencari SID di token akses yang memiliki izin itu.

Beberapa Windows SID terkenal akan memiliki nama yang dilaporkan oleh Windows, meskipun mereka tidak benar-benar milik akun mana pun.

Sebuah Keamanan Identifier didefinisikan oleh Wikipedia sebagai:

pengidentifikasi unik, pengguna yang tidak dapat diubah dari pengguna, grup pengguna, atau kepala keamanan lainnya .

SID bahkan tidak perlu mendefinisikan akun pengguna atau grup. Itu hanya mendefinisikan satu set izin. Artikel Wikipedia di atas menambahkan:

Windows memberikan atau menolak akses dan hak istimewa ke sumber daya berdasarkan daftar kontrol akses (ACL), yang menggunakan SID untuk secara unik mengidentifikasi pengguna dan keanggotaan grup mereka. Ketika pengguna masuk ke komputer, token akses dihasilkan yang berisi SID pengguna dan grup dan tingkat hak istimewa pengguna. Ketika pengguna meminta akses ke sumber daya, token akses diperiksa terhadap ACL untuk mengizinkan atau menolak tindakan tertentu pada objek tertentu.

SID NT-AUTHORITY\SYSTEMdapat ditambahkan ke akun lain. Sebagai contoh, ini dikatakan tentang Akun LocalSystem :

Akun LocalSystem adalah akun lokal yang telah ditentukan yang digunakan oleh manajer kontrol layanan. [...] Tokennya mencakup NT AUTHORITY \ SYSTEM dan BUILTIN \ Administrators SIDs; akun ini memiliki akses ke sebagian besar objek sistem.

Kita sudah dapat melihat dalam teks di atas kebingungan yang berkuasa bahkan dalam dokumentasi Microsoft mengenai SID sistem, yang tidak persis akun atau grup - yang hanya seperangkat izin. Kebingungan ini semakin meluas ke utilitas dan artikel lain, sehingga informasi yang dikembalikan harus diperiksa dengan cermat.

Artikel Microsoft Pengidentifikasi keamanan terkenal di sistem operasi Windows merinci semua SID sistem, beberapa di antaranya saya sertakan di bawah ini:

gambar

Kesimpulan : NT-AUTHORITY \ SYSTEM adalah nama ID Keamanan, yang bukan grup atau akun. Ini ditampilkan di Task Manager sebagai SISTEM ketika itu adalah SID utama dari suatu program. Yang paling saya sebut itu adalah "akun palsu".

harrymc
sumber
1
Anda mengalahkan saya untuk itu teman saya. Saya setengah jalan menulis jawaban yang sama ketika jawaban Anda masuk. Ini adalah penjelasan yang tepat. Itu hanya kumpulan izin dan apakah ditampilkan sebagai grup atau pengguna keduanya salah. Karena sebagian besar alat hanya dapat menampilkan "pengguna atau" grup ", mereka hanya memilih satu atau yang lain. Biasanya grup sebagai WIn32 API menetapkan SidTypeGroup yang sesuai dan itulah sebagian besar aplikasi mendapatkan info dari mereka.
Tonny
Wow! Saya memulai hadiah untuk menghargai jawaban yang ada, dan apa yang terjadi? Jawaban yang lebih baik muncul. :-) Namun satu pertanyaan: Apakah akun LocalSystem juga memiliki SID ("akun") sendiri atau hanya menggunakan SID NT-AUTHORTY \ SYSTEM SID sebagai SID utamanya?
Heinzi
1
@Heinzi: LocalSystem adalah "akun semu" yang lain. Orang dapat melihat ini di tautan yang mengatakan: "Akun ini tidak dikenali oleh subsistem keamanan, jadi Anda tidak dapat menentukan namanya dalam panggilan ke fungsi LookupAccountName".
harrymc
- which are just a set of permissions: apakah yang merujuk ke ID Sistem atau ke akun atau grup ?
René Nyffenegger
@ RenéNyffenegger: Keduanya.
harrymc
7

IMHO pengamatan Anda benar. NT-AUTHORITY\SYSTEMadalah grup, jadi Anda bisa menyebutnya sebagai grup sistem . Grup ini ada sejak Windows NT 4 setidaknya dan telah menjadi grup di sana:

Grup khusus

[...]

Sistem - Sistem operasi.

Ada juga akun yang disebut LocalSystem yang

[...] termasuk NT AUTHORITY \ SYSTEM [...]

sehingga Anda dapat menyebut ini pengguna sistem yang merupakan anggota dari grup SYSTEM.

SysInternals PsGetSid mendukung teori grup untuk SISTEM:

C:\>PsGetsid.exe S-1-5-18

PsGetSid v1.44 - Translates SIDs to names and vice versa
Copyright (C) 1999-2008 Mark Russinovich
Sysinternals - www.sysinternals.com

Account for YOURPCNAMEHERE\S-1-5-18:
Well Known Group: NT-AUTHORITY\SYSTEM

Mengenai awal suatu proses sebagai sebuah kelompok:

Untuk mengelola keamanan, suatu proses mendapat token akses . Token akses hanya mengandung SID. Saya tidak yakin apakah ada tanda centang apakah SID pengguna benar-benar pengguna atau grup. Pada prinsipnya tidak masalah: SID menentukan apa yang dapat diakses. Mungkin artikel CodeProject dapat membantu implementasi

Thomas Weller
sumber