什么是 System 权限?
-
定义: SYSTEM(全称“NT AUTHORITY\SYSTEM”)是一个内置账户,代表操作系统本身。它由系统使用,无法通过常规方式登录。
-
作用: SYSTEM 账户运行关键系统服务和进程,确保操作系统正常运行,同时拥有对系统资源的广泛访问权限。
-
SID: 其安全标识符(SID)为 S-1-5-18。
System 权限的具体能力
SYSTEM 的权限极高,默认包括:
-
文件和文件夹管理:
-
默认权限:
-
对所有文件和文件夹有完全控制权(读取、写入、修改、删除),包括系统文件夹(如 C:\Windows)。
-
可以更改文件的所有权和权限。
-
-
限制:
- 受 TrustedInstaller 的额外保护限制,无法直接修改某些系统文件,除非接管所有权。
-
-
系统配置:
-
可以修改注册表、启动或停止服务、管理硬件。
-
控制系统的所有方面,包括内核级操作。
-
-
软件和进程:
- 可以运行任何程序,终止任何进程(包括用户进程)。
-
网络访问:
- 以本地计算机的凭据(DOMAIN\ComputerName$)访问网络资源。
-
特权:
- 拥有几乎所有特权,如 SeDebugPrivilege(调试程序)、SeTakeOwnershipPrivilege(接管所有权)等。
与 Administrators、TrustedInstaller 和其他账户的关系
-
与 Administrators 的对比:
-
Administrators: 高级用户组,权限接近 SYSTEM,但需 UAC 提升,且无法直接运行系统服务。
-
SYSTEM: 系统级账户,权限更高,无需交互。
-
-
与 TrustedInstaller 的对比:
-
TrustedInstaller: 保护系统文件,拥有最高所有权。
-
SYSTEM: 权限广泛,但默认无法修改 TrustedInstaller 保护的文件,需接管所有权。
-
-
与 Local Service/Network Service 的对比:
-
Local Service/Network Service: 低权限服务账户。
Local Service/Network Service: 低权限服务账户。 -
SYSTEM: 高权限系统账户。
-
-
与 Users 的对比:
-
Users: 标准用户权限最低。
-
SYSTEM: 权限最高。
-
System 权限的特点
-
默认账户: 系统内置,无法删除或登录。
-
高权限: 拥有对系统的几乎完全控制,仅受 TrustedInstaller 的部分限制。
-
非交互性: 用于后台进程和服务,不支持用户交互。
如何管理 System 权限?
-
查看使用情况:
-
任务管理器(taskmgr)→ 进程 → 显示以 SYSTEM 运行的进程(如 svchost.exe)。
-
服务管理(services.msc)→ 查看以 SYSTEM 运行的服务。
-
-
检查权限:
- 右键文件/文件夹 → 属性 → 安全选项卡 → 查看 SYSTEM 的权限(通常为完全控制)。
-
模拟 SYSTEM:
-
使用工具(如 PsExec)以 SYSTEM 身份运行命令:
- 命令行:psexec -i -s cmd(打开 SYSTEM 权限的命令提示符)。
-
-
调整权限:
-
一般无需手动调整,SYSTEM 默认拥有必要权限。
-
若需限制,可通过服务账户更换(如改为 Network Service)。
-
实际应用场景
-
系统服务: Windows Update、Task Scheduler 以 SYSTEM 运行。
系统服务 : Windows Update、Task Scheduler 以 SYSTEM 运行。 -
驱动管理: 安装和运行设备驱动程序。
-
故障恢复: 以 SYSTEM 权限修复受保护文件。
注意事项
-
权限极高: SYSTEM 可被恶意软件利用,需保护系统安全。
-
与 TrustedInstaller 的冲突: 修改系统文件需接管 TrustedInstaller 的所有权。
-
谨慎使用: 以 SYSTEM 身份运行命令时,避免意外破坏系统。
总结
System 权限是 Windows 中最高级别的权限之一,由 SYSTEM 账户承载,用于运行核心服务和进程。它拥有对系统的完全控制权,仅受 TrustedInstaller 对特定文件的保护限制,高于 Administrators、Local Service 和 Network Service。SYSTEM 是系统内置账户,无法登录,通过服务和进程管理,适用于操作系统核心功能