Local System Account
A conta Local System é uma conta local predefinida usada pelo gerenciador de controle de serviço. Essa conta não é reconhecida pelo subsistema de segurança, portanto, você não pode especificar seu nome em uma chamada para a função LookupAccountName. Possui amplos privilégios no computador local e atua como o computador na rede. Seu token inclui os SIDs NT AUTHORITY\SYSTEM e BUILTIN\Administrators; essas contas têm acesso à maioria dos objetos do sistema. O nome da conta em todas as localidades é .\LocalSystem. O nome, LocalSystem ou ComputerName \LocalSystem também pode ser usado. Esta conta não tem senha. Se você especificar a conta LocalSystem em uma chamada para CreateService ou ChangeServiceConfig função, qualquer informação de senha que você fornecer será ignorada.
Um serviço executado no contexto da conta LocalSystem herda o contexto de segurança do SCM. O SID do usuário é criado a partir do valor SECURITY_LOCAL_SYSTEM_RID. A conta não está associada a nenhuma conta de usuário conectado. Isso tem várias implicações:
- A chave de registro HKEY_CURRENT_USER está associada ao usuário padrão, não ao usuário atual. Para acessar o perfil de outro usuário, personifique o usuário e acesse HKEY_CURRENT_USER.
- O serviço pode abrir a chave de registro HKEY_LOCAL_MACHINE\SECURITY.
- O serviço apresenta as credenciais do computador para servidores remotos.
- Se o serviço abrir uma janela de comando e executar um arquivo em lote, o usuário poderá pressionar CTRL+C para encerrar o arquivo em lote e obter acesso a uma janela de comando com permissões LocalSystem.
A conta LocalSystem tem os seguintes privilégios:
- SE_ASSIGNPRIMARYTOKEN_NAME (desativado)
- SE_AUDIT_NAME (ativado)
- SE_BACKUP_NAME (desativado)
- SE_CHANGE_NOTIFY_NAME (ativado)
- SE_CREATE_GLOBAL_NAME (ativado)
- SE_CREATE_PAGEFILE_NAME (ativado)
- SE_CREATE_PERMANENT_NAME (ativado)
- SE_CREATE_TOKEN_NAME (desativado)
- SE_DEBUG_NAME (ativado)
- SE_IMPERSONATE_NAME (ativado)
- SE_INC_BASE_PRIORITY_NAME (ativado)
- SE_INCREASE_QUOTA_NAME (desativado)
- SE_LOAD_DRIVER_NAME (desativado)
- SE_LOCK_MEMORY_NAME (ativado)
- SE_MANAGE_VOLUME_NAME (desativado)
- SE_PROF_SINGLE_PROCESS_NAME (ativado)
- SE_RESTORE_NAME (desativado)
- SE_SECURITY_NAME (desativado)
- SE_SHUTDOWN_NAME (desativado)
- SE_SYSTEM_ENVIRONMENT_NAME (desativado)
- SE_SYSTEMTIME_NAME (desativado)
- SE_TAKE_OWNERSHIP_NAME (desativado)
- SE_TCB_NAME (ativado)
- SE_UNDOCK_NAME (desativado)
A maioria dos serviços não precisa de um nível de privilégio tão alto. Se o seu serviço não precisar desses privilégios e não for um serviço interativo, considere usar a conta LocalService. Para obter mais informações, consulte Segurança do serviço e direitos de acesso.
Considerações:
Este artigo foi baseado no artigo oficial Microsoft Service User Accounts, para ver o original clique aqui .