读书笔记摘抄新闻资讯network service
Network Service 是 Windows 中的内置帐户,主要运行一些服务,许可权与Users相同。它的完整名字是:NT AUTHORITY\NETWORK SERVICE。
基本介绍
- 中文名:网路服务
- 外文名:NETWORK SERVICE
- 作业系统:Windows
- 所属用户域:NT AUTHORITY
- 可登录:不能
- 管理员特权:没有
- 可修改:不能
- SID:S-1-5-20
NETWORK SERVICE账户概述
NETWORK SERVICE属于Windows诸多安全主体中的一个,用于作为服务用户登录系统,可以访问网路。用户无法通过登录界面正常登录,也无法以此许可权正常创建互动式服务来让用户直接操作。以这个账户运行的服务会根据实际环境把访问凭据提交给远程的计算机。此账户默认没有密码。一般情况下,需要访问网路而不需要管理员许可权的服务都是以这个许可权运行的。它拥有本机部分许可权并以计算机的名义访问网路资源。以NETWORK SERVICE许可权运行的程式无法访问核心驱动程式,无法访问除“系统中断”、“System”和“系统空闲处理器百分比”之外的所有进程。该账户可以访问Active Directory,如果是在网路上运行服务,则日誌会存在伺服器,否则存在本地。这个账户也可以用于启动一些 SQL Server的服务。
NETWORK SERVICE账户默认情况下的许可权
档案及资料夹许可权
完全控制(C:\Windows\ServiceProfiles\NetworkService资料夹及其所有子档案与子资料夹)
拒绝访问(所有“System Volume Information”资料夹及其子档案和子资料夹和所有其他用户配置资料夹)
读取和执行(其他所有档案或资料夹)
用户特权
特权名 | 描述 | 特权状态 |
SeAssignPrimaryTokenPrivilege | 替换一个进程级令牌 | 已禁用 |
SeIncreaseQuotaPrivilege | 为进程调整记忆体配额 | 已禁用 |
SeShutdownPrivilege | 关闭系统 | 已禁用 |
SeAuditPrivilege | 生成安全审核 | 已禁用 |
SeChangeNotifyPrivilege | 绕过遍历检查 | 已启用 |
SeUndockPrivilege | 从扩展坞上取下计算机 | 已禁用 |
SeImpersonatePrivilege | 身份验证后模拟客户端 | 已启用 |
SeCreateGlobalPrivilege | 创建全局对象 | 已启用 |
SeIncreaseWorkingSetPrivilege | 增加进程工作集 | 已禁用 |
SeTimeZonePrivilege | 更改时区 | 已禁用 |
注:特权分配可以在本地安全策略中更改
注册表许可权
完全控制(HKEY_USERS\S-1-5-20项及其子项与值)
读取(其他所有位置,除HKEY_LOCAL_MACHINE\SECURITY和HKEY_LOCAL_MACHINE\SAM\SAM)
进程许可权
拒绝访问(所有进程,除“系统中断”、“System”和“系统空闲处理器百分比”)
服务许可权
拒绝访问(所有服务)
其他许可权
与普通用户相同
NETWORK SERVICE的套用与实例
Network Service 帐户是特别设计的,专用于为应用程式提供访问网路的足够许可权,而且在IIS6 中,无需提升许可权即可运行 Web 应用程式。这对于 IIS 安全性来说,是一个特大的讯息,因为不存在缓冲溢出,怀有恶意的应用程式无法破译进程标识,或是对应用程式的攻击不能进入 System 用户环境。更为重要的一点是,再也不能形成针对System帐户的“后门”,例如,再也无法通过 InProcessIsapiApps 元资料库项利用载入到 Inetinfo 的应用程式。
Network Service 帐户在创建时不仅仅考虑了在 IIS 6 中的套用。它还具有进程标识 W3WP.exe 的绝大部分(并不是全部)许可权。如同 ASPNET 用户为了运行 ASP.net 应用程式,需要具有 IIS 5 伺服器上某些位置的访问许可权,进程标识 W3WP.exe 也需要具有类似位置的访问许可权,而且还需要一些默认情况下没有指派给内置组的许可权。
使用NETWORK SERVICE账户时的注意事项
- 如果服务不需要管理员许可权,但要访问网路或域,就以此许可权运行
- 需要网路的服务可以以此许可权进行调试,防止破坏档案
- 不要把这个账户放在管理员组下,这样会严重破坏安全系统