Пользовательские привилегии процесса

Question

В диспетчере задач есть много разных процессов, которые работают под разными пользователями. И кажется, что они также имеют разные уровни привилегий

LOCAL SERVICE, SYSTEM, NETWORK SERVICE.

Например, если мне нужно запустить какой-нибудь TestApplication.exe в диспетчере процессов в столбце User name напротив TestApplication.exe будет записано моим текущим пользователем, например, Dave . Если я должен сделать сервис из TestApplication.exe и запустить его, User name будет SYSTEM .

1. В чем разница между привилегиями LOCAL SERVICE, SYSTEM, NETWORK SERVICE .
2. SYSTEM Имя пользователя это только для сервисов?
3. Можно ли как-то запустить TestApplication.exe с привилегиями SYSTEM без обслуживания?

Answer 1

Хотя они перечислены в диспетчере задач, они не являются учетными записями, но служат группой привилегий / прав (см. « Безопасность служб и права доступа»).

Учетная запись LocalSystem, также известная как SYSTEM, имеет широкие привилегии на локальном компьютере и действует как компьютер в сети. В большинстве случаев он имеет неограниченные привилегии и используется самой Windows для внутренних целей.

Учетная запись LocalService - это ограниченная учетная запись, эквивалентная по привилегиям обычному пользователю. Службы Windows выполняются по умолчанию под этой учетной записью. Несмотря на "ограниченность", он по-прежнему обладает значительными привилегиями, за исключением сети, где он может предоставлять только анонимные учетные данные.

Учетная запись NetworkService отличается от учетной записи LocalService только возможностью представления учетных данных компьютера в сети. Он используется службами Windows, которым требуется бесплатный доступ к сети.

Можно запустить приложение под учетной записью SYSTEM. Свободный PsExec может запускать любую командную строку как SYSTEM при использовании его параметра -s . При этом следует соблюдать особую осторожность, так как многие функции Windows API будут давать неожиданные результаты под этой псевдо-учетной записью.