Tipos de contas Windows - Local System Account

F.A.Q
1

Local System Account

A conta Local System é uma conta local predefinida usada pelo gerenciador de controle de serviço. Essa conta não é reconhecida pelo subsistema de segurança, portanto, você não pode especificar seu nome em uma chamada para a função LookupAccountName. Possui amplos privilégios no computador local e atua como o computador na rede. Seu token inclui os SIDs NT AUTHORITY\SYSTEM e BUILTIN\Administrators; essas contas têm acesso à maioria dos objetos do sistema. O nome da conta em todas as localidades é .\LocalSystem. O nome, LocalSystem ou ComputerName \LocalSystem também pode ser usado. Esta conta não tem senha. Se você especificar a conta LocalSystem em uma chamada para CreateService ou ChangeServiceConfig função, qualquer informação de senha que você fornecer será ignorada.

Um serviço executado no contexto da conta LocalSystem herda o contexto de segurança do SCM. O SID do usuário é criado a partir do valor SECURITY_LOCAL_SYSTEM_RID. A conta não está associada a nenhuma conta de usuário conectado. Isso tem várias implicações:

  • A chave de registro HKEY_CURRENT_USER está associada ao usuário padrão, não ao usuário atual. Para acessar o perfil de outro usuário, personifique o usuário e acesse HKEY_CURRENT_USER.
  • O serviço pode abrir a chave de registro HKEY_LOCAL_MACHINE\SECURITY.
  • O serviço apresenta as credenciais do computador para servidores remotos.
  • Se o serviço abrir uma janela de comando e executar um arquivo em lote, o usuário poderá pressionar CTRL+C para encerrar o arquivo em lote e obter acesso a uma janela de comando com permissões LocalSystem.

A conta LocalSystem tem os seguintes privilégios:

  • SE_ASSIGNPRIMARYTOKEN_NAME (desativado)
  • SE_AUDIT_NAME (ativado)
  • SE_BACKUP_NAME (desativado)
  • SE_CHANGE_NOTIFY_NAME (ativado)
  • SE_CREATE_GLOBAL_NAME (ativado)
  • SE_CREATE_PAGEFILE_NAME (ativado)
  • SE_CREATE_PERMANENT_NAME (ativado)
  • SE_CREATE_TOKEN_NAME (desativado)
  • SE_DEBUG_NAME (ativado)
  • SE_IMPERSONATE_NAME (ativado)
  • SE_INC_BASE_PRIORITY_NAME (ativado)
  • SE_INCREASE_QUOTA_NAME (desativado)
  • SE_LOAD_DRIVER_NAME (desativado)
  • SE_LOCK_MEMORY_NAME (ativado)
  • SE_MANAGE_VOLUME_NAME (desativado)
  • SE_PROF_SINGLE_PROCESS_NAME (ativado)
  • SE_RESTORE_NAME (desativado)
  • SE_SECURITY_NAME (desativado)
  • SE_SHUTDOWN_NAME (desativado)
  • SE_SYSTEM_ENVIRONMENT_NAME (desativado)
  • SE_SYSTEMTIME_NAME (desativado)
  • SE_TAKE_OWNERSHIP_NAME (desativado)
  • SE_TCB_NAME (ativado)
  • SE_UNDOCK_NAME (desativado)

A maioria dos serviços não precisa de um nível de privilégio tão alto. Se o seu serviço não precisar desses privilégios e não for um serviço interativo, considere usar a conta LocalService. Para obter mais informações, consulte Segurança do serviço e direitos de acesso.

Considerações:

Este artigo foi baseado no artigo oficial Microsoft Service User Accounts, para ver o original clique aqui .