root vs administrateur vs SYSTEM

14

En comparant les différentes distributions Linux avec les logiciels Windows, quelle est la différence fondamentale en termes de niveaux d'accès avec les comptes administratifs ?

J'ai toujours pensé que le compte Administrateur de Windows était l' équivalent du compte racine Unix . Mais qu'en est-il de SYSTEM ? Ce n'est pas un compte d'utilisateur normal, mais en faisant diverses astuces, vous pouvez obtenir un shell comme ça, mais a-t-il vraiment des autorisations plus importantes que le compte Administrateur?

Brian
la source

Réponses:

13

La principale différence entre l'administrateur et SYSTEM est que l'administrateur est un compte réel (par exemple, il a un mot de passe) alors que SYSTEM ne l'est pas. (À proprement parler, SYSTEM est un "principal de sécurité".)

Une différence pratique est que, si l'ordinateur est joint à un domaine, les processus exécutés en tant que SYSTEM peuvent accéder aux serveurs de domaine dans le contexte du compte de domaine de l'ordinateur. Les processus exécutés en tant qu'administrateur n'ont pas accès aux ordinateurs du domaine, sauf si le mot de passe correspond ou si des informations d'identification alternatives sont explicitement fournies.

Il est possible pour un fichier, un répertoire, une clé de registre ou un autre objet sécurisable d'accorder uniquement l'accès au SYSTÈME et non à l'administrateur. Cependant, je ne connais aucun exemple sur une installation par défaut de Windows. Modifier: j'ai oublié la clé SAM, contenant les informations du compte local. Cela a un contrôle total accordé uniquement à SYSTEM, le groupe Administrateurs n'ayant ni accès en lecture ni en écriture. Kreemoweet a également souligné que Vista a un certain nombre d'autres exemples.

Bien sûr, l'administrateur peut de toute façon remplacer toutes les autorisations.

Il existe un ou deux cas spéciaux bizarres. Par exemple, la fonction WTSQueryUserToken permet à un programme d'obtenir un jeton d'accès qui peut être utilisé pour lancer un nouveau processus dans le contexte d'un utilisateur connecté spécifié. Cette fonction ne peut être utilisée que par des processus qui s'exécutent en tant que SYSTEM, et non par des processus s'exécutant en tant qu'administrateur.

Harry Johnston
la source
1
Sous Vista, les listes de contrôle d'accès par défaut sur d'innombrables clés de registre et fichiers réservent un contrôle total au système ou à TrustedInstaller. Les dossiers \ winsxs \ et system32 \ drivers \ en sont deux. Les propriétés de sécurité de nombreuses clés de registre ne peuvent même pas être consultées par les administrateurs.
kreemoweet
@kreemoweet: Intéressant. Je n'ai pas grand-chose à voir avec Vista. Dans Windows 7, les autorisations sur les dossiers winsxs et drivers sont les mêmes pour les administrateurs que pour SYSTEM. (Ce qui est vraiment étrange, bien sûr, c'est que les autorisations sont explicitement accordées pour SYSTEM; c'est redondant, car le jeton SYSTEM inclut toujours le groupe Administrateurs.)
Harry Johnston
4

Root sous Linux est équivalent à l'administrateur et au système de Windows.

Vous voyez, vous pouvez légitimement vous connecter à Linux en tant que root sur de nombreuses distributions. Vous ne pouvez pas vraiment faire cela avec Windows en utilisant le compte système. Root exécute également tous les services sur l'ordinateur par défaut comme le fait le système pour Windows. Vous vous connectez à Windows en tant qu'administrateur mais les services ne s'exécutent pas sous celui-ci, sauf indication contraire.

Kevin Shoaf
la source
+1. Les deux comptes dans les fenêtres sont comme les deux faces d'une même pièce.
Xyon