Bagikan melalui

Akun LocalSystem

  • Artikel

Akun LocalSystem adalah akun lokal yang telah ditentukan sebelumnya yang digunakan oleh manajer kontrol layanan. Akun ini tidak dikenali oleh subsistem keamanan, sehingga Anda tidak dapat menentukan namanya dalam panggilan ke fungsi LookupAccountName . Ini memiliki hak istimewa yang luas di komputer lokal, dan bertindak sebagai komputer di jaringan. Tokennya mencakup SID NT AUTHORITY\SYSTEM dan BUILTIN\Administrators; akun-akun ini memiliki akses ke sebagian besar objek sistem. Nama akun di semua lokal adalah .\LocalSystem. Nama, LocalSystem atau ComputerName\LocalSystem juga dapat digunakan. Akun ini tidak memiliki kata sandi. Jika Anda menentukan akun LocalSystem dalam panggilan ke fungsi CreateService atau ChangeServiceConfig , informasi kata sandi apa pun yang Anda berikan diabaikan.

Layanan yang berjalan dalam konteks akun LocalSystem mewarisi konteks keamanan SCM. SID pengguna dibuat dari nilai SECURITY_LOCAL_SYSTEM_RID . Akun tidak terkait dengan akun pengguna yang masuk. Ini memiliki beberapa implikasi:

  • Kunci registri HKEY_CURRENT_USER dikaitkan dengan pengguna default, bukan pengguna saat ini. Untuk mengakses profil pengguna lain, beri nama pengguna, lalu akses HKEY_CURRENT_USER.
  • Layanan ini dapat membuka kunci registri HKEY_LOCAL_MACHINE\SECURITY.
  • Layanan ini menyajikan kredensial komputer ke server jarak jauh.
  • Jika layanan membuka jendela perintah dan menjalankan file batch, pengguna dapat menekan CTRL+C untuk mengakhiri file batch dan mendapatkan akses ke jendela perintah dengan izin LocalSystem.

Akun LocalSystem memiliki hak istimewa berikut:

  • SE_ASSIGNPRIMARYTOKEN_NAME (dinonaktifkan)
  • SE_AUDIT_NAME (diaktifkan)
  • SE_BACKUP_NAME (dinonaktifkan)
  • SE_CHANGE_NOTIFY_NAME (diaktifkan)
  • SE_CREATE_GLOBAL_NAME (diaktifkan)
  • SE_CREATE_PAGEFILE_NAME (diaktifkan)
  • SE_CREATE_PERMANENT_NAME (diaktifkan)
  • SE_CREATE_TOKEN_NAME (dinonaktifkan)
  • SE_DEBUG_NAME (diaktifkan)
  • SE_IMPERSONATE_NAME (diaktifkan)
  • SE_INC_BASE_PRIORITY_NAME (diaktifkan)
  • SE_INCREASE_QUOTA_NAME (dinonaktifkan)
  • SE_LOAD_DRIVER_NAME (dinonaktifkan)
  • SE_LOCK_MEMORY_NAME (diaktifkan)
  • SE_MANAGE_VOLUME_NAME (dinonaktifkan)
  • SE_PROF_SINGLE_PROCESS_NAME (diaktifkan)
  • SE_RESTORE_NAME (dinonaktifkan)
  • SE_SECURITY_NAME (dinonaktifkan)
  • SE_SHUTDOWN_NAME (dinonaktifkan)
  • SE_SYSTEM_ENVIRONMENT_NAME (dinonaktifkan)
  • SE_SYSTEMTIME_NAME (dinonaktifkan)
  • SE_TAKE_OWNERSHIP_NAME (dinonaktifkan)
  • SE_TCB_NAME (diaktifkan)
  • SE_UNDOCK_NAME (dinonaktifkan)

Sebagian besar layanan tidak memerlukan tingkat hak istimewa yang tinggi. Jika layanan Anda tidak memerlukan hak istimewa ini, dan ini bukan layanan interaktif, pertimbangkan untuk menggunakan akun LocalService atau akun NetworkService. Untuk informasi selengkapnya, lihat Keamanan Layanan dan Hak Akses.