network service【network service】Network Service 是 Windows 中的内置帐户,主要运行一些服务,许可权与Users相同 。它的完整名字是:NT AUTHORITY\NETWORK SERVICE 。
基本介绍中文名:网路服务
外文名:NETWORK SERVICE
作业系统:Windows
所属用户域:NT AUTHORITY
可登录:不能
管理员特权:没有
可修改:不能
SID:S-1-5-20
NETWORK SERVICE账户概述NETWORK SERVICE属于Windows诸多安全主体中的一个,用于作为服务用户登录系统,可以访问网路 。用户无法通过登录界面正常登录,也无法以此许可权正常创建互动式服务来让用户直接操作 。以这个账户运行的服务会根据实际环境把访问凭据提交给远程的计算机 。此账户默认没有密码 。一般情况下,需要访问网路而不需要管理员许可权的服务都是以这个许可权运行的 。它拥有本机部分许可权并以计算机的名义访问网路资源 。以NETWORK SERVICE许可权运行的程式无法访问核心驱动程式,无法访问除“系统中断”、“System”和“系统空闲处理器百分比”之外的所有进程 。该账户可以访问Active Directory,如果是在网路上运行服务,则日誌会存在伺服器,否则存在本地 。这个账户也可以用于启动一些 SQL Server的服务 。NETWORK SERVICE账户默认情况下的许可权档案及资料夹许可权完全控制(C:\Windows\ServiceProfiles\NetworkService资料夹及其所有子档案与子资料夹)拒绝访问(所有“System Volume Information”资料夹及其子档案和子资料夹和所有其他用户配置资料夹)读取和执行(其他所有档案或资料夹)用户特权
特权名描述特权状态SeAssignPrimaryTokenPrivilege替换一个进程级令牌已禁用SeIncreaseQuotaPrivilege为进程调整记忆体配额已禁用SeShutdownPrivilege关闭系统已禁用SeAuditPrivilege生成安全审核已禁用SeChangeNotifyPrivilege绕过遍历检查已启用SeUndockPrivilege从扩展坞上取下计算机已禁用SeImpersonatePrivilege身份验证后模拟客户端已启用SeCreateGlobalPrivilege创建全局对象已启用SeIncreaseWorkingSetPrivilege增加进程工作集已禁用SeTimeZonePrivilege更改时区已禁用注:特权分配可以在本地安全策略中更改注册表许可权完全控制(HKEY_USERS\S-1-5-20项及其子项与值)读取(其他所有位置,除HKEY_LOCAL_MACHINE\SECURITY和HKEY_LOCAL_MACHINE\SAM\SAM)进程许可权拒绝访问(所有进程,除“系统中断”、“System”和“系统空闲处理器百分比”)服务许可权拒绝访问(所有服务)其他许可权与普通用户相同NETWORK SERVICE的套用与实例Network Service 帐户是特别设计的,专用于为应用程式提供访问网路的足够许可权,而且在IIS6 中,无需提升许可权即可运行 Web 应用程式 。这对于 IIS 安全性来说,是一个特大的讯息,因为不存在缓冲溢出,怀有恶意的应用程式无法破译进程标识,或是对应用程式的攻击不能进入 System 用户环境 。更为重要的一点是,再也不能形成针对System帐户的“后门”,例如,再也无法通过 InProcessIsapiApps 元资料库项利用载入到 Inetinfo 的应用程式 。Network Service 帐户在创建时不仅仅考虑了在 IIS 6 中的套用 。它还具有进程标识 W3WP.exe 的绝大部分(并不是全部)许可权 。如同 ASPNET 用户为了运行 ASP.net 应用程式,需要具有 IIS 5 伺服器上某些位置的访问许可权,进程标识 W3WP.exe 也需要具有类似位置的访问许可权,而且还需要一些默认情况下没有指派给内置组的许可权 。使用NETWORK SERVICE账户时的注意事项
如果服务不需要管理员许可权,但要访问网路或域,就以此许可权运行
