Разница между учетной записью "Local System" и учетной записью "Network Service"?

Question

Разница между учетной записью "Local System" и учетной записью "Network Service"?

Я написал службу Windows, которая порождает отдельный процесс. Этот процесс создает COM-объект. Если служба работает под учетной записью "Локальная система", все работает нормально, но если служба работает под учетной записью "Сетевая служба", запускается внешний процесс, но ему не удается создать объект COM. Ошибка, возвращаемая при создании COM-объекта, не является стандартной ошибкой COM (я думаю, что она специфична для создаваемого COM-объекта).

Итак, как мне определить, как различаются две учетные записи, "Локальная система" и "Сетевая служба"? Эти встроенные учетные записи кажутся очень загадочными, и никто не знает о них много.

450

windows security

Источник

user2768 04 фев '09 в 05:30

1 ответ

Решение

Другие вопросы по тегам windows security

user44656 04 фев '09 в 05:55 2009-02-04 05:55 · Accepted Answer · 2009-02-04 05:55

Поскольку функциональность стандартных учетных записей так сильно путается, я постараюсь быстро их отключить.

Сначала фактические счета:

Учетная записьLocalService (предпочтительно)
Ограниченная учетная запись службы, очень похожая на сетевую службу и предназначенная для запуска стандартных служб с минимальными правами доступа. Однако, в отличие от сетевой службы, он ~~не имеет доступа к сети, так как машина~~ обращается к сети как анонимный пользователь.
- Название: NT AUTHORITY\LocalService
- У учетной записи нет пароля (любая предоставленная вами информация о пароле игнорируется)
- HKCU представляет учетную запись пользователя LocalService
- имеет минимальные привилегии на локальном компьютере
- представляет анонимные учетные данные в сети
- SID: S-1-5-19
- имеет собственный профиль в разделе реестра HKEY_USERS (HKEY_USERS\S-1-5-19)
Учетная записьNetwork Service
Ограниченная учетная запись службы, предназначенная для запуска стандартных привилегированных служб. Эта учетная запись гораздо более ограничена, чем локальная система (или даже администратор), но все еще имеет право доступа к сети как к машине (см. Предостережение выше).
- NT AUTHORITY\NetworkService
- У учетной записи нет пароля (любая предоставленная вами информация о пароле игнорируется)
- HKCU представляет учетную запись пользователя Network Service
- имеет минимальные привилегии на локальном компьютере
- представляет учетные данные компьютера (например, MANGO$) к удаленным серверам
- SID: S-1-5-20
- имеет собственный профиль в разделе реестра HKEY_USERS (HKEY_USERS\S-1-5-20)
- Если вы пытаетесь запланировать задачу, используя ее, введите NETWORK SERVICE в диалог выбора пользователя или группы
Учетная записьLocalSystem (опасно, не используйте!)
Полностью доверенная учетная запись, в большей степени, чем учетная запись администратора. В одном блоке нет ничего, что эта учетная запись не может сделать, и она имеет право доступа к сети как машина (для этого требуется Active Directory и предоставление разрешений учетной записи машины для чего-либо)
- Название: .\LocalSystem (можно также использовать LocalSystem или же ComputerName\LocalSystem)
- У учетной записи нет пароля (любая предоставленная вами информация о пароле игнорируется)
- SID: S-1-5-18
- не имеет собственного профиля (HKCU представляет пользователя по умолчанию)
- имеет широкие привилегии на локальном компьютере
- представляет учетные данные компьютера (например, MANGO$) к удаленным серверам

Выше, когда речь идет о доступе к сети, это относится исключительно к SPNEGO (Negotiate), NTLM и Kerberos, а не к какому-либо другому механизму аутентификации. Например, обработка выполняется как LocalService все еще может получить доступ к интернету.

Общая проблема с запуском стандартной стандартной учетной записи состоит в том, что если вы изменяете какое-либо из разрешений по умолчанию, вы расширяете набор функций, которые может выполнять эта учетная запись. Поэтому, если вы предоставляете DBO базе данных, ваша служба, работающая как локальная или сетевая служба, может получить доступ не только к этой базе данных, но и ко всем остальным, работающим от имени этих учетных записей. Если каждый разработчик сделает это, у компьютера будет служебная учетная запись, у которой есть разрешения на выполнение практически чего угодно (точнее, надмножества всех различных дополнительных привилегий, предоставляемых этой учетной записи).

С точки зрения безопасности всегда предпочтительнее работать в качестве своей собственной учетной записи службы, которая обладает именно теми разрешениями, которые вам необходимы, чтобы делать то, что делает ваша служба, и ничего более. Однако стоимость такого подхода заключается в настройке учетной записи службы и управлении паролем. Это балансирование, которым должно управлять каждое приложение.

В вашем конкретном случае проблема, которую вы, вероятно, видите, заключается в том, что активация DCOM или COM+ ограничена данным набором учетных записей. В Windows XP SP2, Windows Server 2003 и более поздних версиях разрешение на активацию было значительно ограничено. Вам следует использовать оснастку MMC "Службы компонентов", чтобы проверить ваш конкретный COM-объект и увидеть разрешения на активацию. Если у вас нет доступа к сети в качестве учетной записи компьютера, вам следует серьезно рассмотреть возможность использования локальной службы (а не локальной системы, которая в основном является операционной системой).

В Windows Server 2003 вы не можете запустить запланированное задание как

NT_AUTHORITY\LocalService (он же локальная учетная запись службы) или
NT AUTHORITY\NetworkService (он же учетная запись сетевой службы).

Эта возможность была добавлена только в Task Scheduler 2.0, который существует только в Windows Vista/Windows Server 2008 и более поздних версиях.

Служба работает как NetworkService представляет учетные данные компьютера в сети. Это означает, что если ваш компьютер назывался mango, это будет представлять как учетную запись машины MANGO$: