Dans Windows , l'utilisateur System
est affiché avec le symbole du groupe:
.
(L'utilisation de l'API Win32 interne, LookupAccountSid, révèle également qu'il semble s'agir d'un groupe SidTypeGroup .)
D'autre part, les processus peuvent s'exécuter de la system context
même manière dans un fichier user context
. De plus, les documents Microsoft le décrivent comme "utilisateur système" ou "compte système" et non comme "groupe système".
Est-ce un utilisateur qui est à des fins héritées affiché en tant que groupe?
(Ou est-ce quelque chose qui aurait intéressé Werner Heisenberg ?)
Remarque: Qu'est-ce que l'utilisateur NT AUTHORITY \ SYSTEM? est similaire mais ne répond pas à la question pourquoi il est affiché en tant que groupe et se comporte comme un utilisateur.
la source
Réponses:
Tout d'abord, le jeton d'accès contient beaucoup plus que l' identificateur de sécurité (SID) . Il suffit de "Exécuter en tant qu'administrateur" un programme pour voir dans le Gestionnaire des tâches que son utilisateur est soi-même et non pas un administrateur. Ce miracle se produit simplement en modifiant le jeton d'accès, et non en remplaçant le SID.
Deuxièmement, NT-AUTHORITY et SYSTEM ne sont ni des comptes ni des groupes, malgré ce que disent diverses autres sources (même au sein de Microsoft). Un SID a généralement un nom qui est affiché chaque fois que nécessaire. Un compte d'utilisateur contribuera son identifiant SID en tant qu'identificateur principal au jeton d'accès, qui déterminera également le nom affiché par divers utilitaires. Mais le jeton d'accès peut contenir des SID supplémentaires, par exemple pour tous les groupes auxquels appartient ce compte d'utilisateur. Lors de la vérification des autorisations, Windows recherchera tout SID dans le jeton d'accès disposant de cette autorisation.
Certains noms SID Windows connus auront des noms rapportés par Windows, bien qu'ils n'appartiennent pas à un compte.
Un identifiant de sécurité est défini par Wikipedia comme suit:
Le SID n'a même pas besoin de définir un compte d'utilisateur ou un groupe. Il définit simplement un ensemble d'autorisations. L'article de Wikipedia ci-dessus ajoute:
Le SID de
NT-AUTHORITY\SYSTEM
peut être ajouté à d'autres comptes. Par exemple, ceci est dit à propos du compte LocalSystem :On peut déjà voir dans le texte ci-dessus la confusion qui règne même dans la documentation Microsoft en ce qui concerne les SID du système, qui ne sont pas exactement des comptes ni des groupes - qui ne sont qu'un ensemble d'autorisations. Cette confusion s'étend également à d'autres utilitaires et articles, de sorte que toute information retournée doit être soigneusement examinée.
L'article de Microsoft sur les identificateurs de sécurité connus dans les systèmes d'exploitation Windows répertorie tous les identificateurs de sécurité système (SID), dont certains sont inclus ci-dessous:
Conclusion : NT-AUTHORITY \ SYSTEM est le nom d'un ID de sécurité, qui n'est ni un groupe ni un compte. Il est affiché dans le Gestionnaire des tâches en tant que SYSTÈME s'il s'agit du SID principal d'un programme. J'appellerais tout au plus "un pseudo compte".
la source
- which are just a set of permissions
: le qui fait référence aux ID système ou aux comptes ou groupes ?IMHO votre observation est correcte.
NT-AUTHORITY\SYSTEM
est un groupe, vous pouvez donc vous y référer en tant que groupe de systèmes . Ce groupe existe depuis Windows NT 4 au moins et y a déjà fait partie:Il existe également un compte appelé LocalSystem qui
vous pouvez donc appeler cet utilisateur le système membre du groupe SYSTEM.
SysInternals PsGetSid prend en charge la théorie des groupes pour SYSTEM:
Concernant le début d'un processus en groupe:
Pour gérer la sécurité, un processus obtient un jeton d'accès . Le jeton d'accès contient uniquement des SID. Je ne suis pas sûr s'il y a une vérification si le SID de l'utilisateur est vraiment un utilisateur ou un groupe. En principe, cela n'aurait pas d'importance: le SID définit ce qui peut être consulté. Peut-être que l' article CodeProject peut aider à la mise en œuvre
la source