Открыть сервис

Системная учётная запись SYSTEM

Системная учётная запись SYSTEM — это встроенная учётная запись операционных систем семейства Windows NT (включая Windows 2000, XP, Vista, 7, 8, 10, 11 и серверные версии), обладающая наивысшим уровнем привилегий и предназначенная для выполнения критически важных системных процессов, служб и ядра операционной системы. В отличие от учётной записи «Администратор» (Administrator), SYSTEM не является учётной записью пользователя в традиционном понимании — она не имеет пароля, не может быть удалена или заблокирована, и её сеанс работы не отображается в стандартном интерфейсе входа в систему. SYSTEM является частью контекста безопасности, в котором работают многие системные службы, такие как Local Security Authority Subsystem Service (LSASS), Service Control Manager (SCM) и Windows Update.

История и происхождение

Учётная запись SYSTEM появилась в ранних версиях Windows NT (3.1, 1993 год) как часть модели безопасности, разработанной для замены устаревшей системы Windows 9x. Изначально она была задумана как контекст для выполнения процессов ядра и критических служб, работающих до загрузки пользовательского интерфейса. В Windows NT 4.0 (1996) и последующих версиях роль SYSTEM была расширена: она стала использоваться для управления реестром, файловой системой и сетевыми операциями, требующими доступа к защищённым объектам. В Windows Vista (2006) и более новых версиях SYSTEM получила дополнительные привилегии, связанные с контролем учётных записей пользователей (UAC) и защитой целостности системы.

Идентификаторы и атрибуты

В операционных системах Windows учётная запись SYSTEM идентифицируется следующими атрибутами:

  • SID (Security Identifier): S-1-5-18 (локальная система) или S-1-5-18 в доменной среде (встроенная группа SYSTEM).
  • Имя в системе: NT AUTHORITY\SYSTEM (для английских версий) или NT AUTHORITY\СИСТЕМА (для локализованных русских версий).
  • Тип учётной записи: встроенная системная учётная запись (Built-in account), не являющаяся учётной записью пользователя.
  • Привилегии: полный доступ ко всем объектам файловой системы, реестра, процессам, потокам, службам и сетевым ресурсам, за исключением тех, к которым явно запрещён доступ (например, через списки управления доступом, ACL).

Привилегии и возможности

Учётная запись SYSTEM обладает следующими привилегиями, которые недоступны даже учётной записи «Администратор»:

  • SeTcbPrivilege: право выступать в качестве части операционной системы (Trusted Computer Base), что позволяет выполнять операции на уровне ядра.
  • SeDebugPrivilege: право отладки процессов, включая процессы других пользователей и системные процессы.
  • SeTakeOwnershipPrivilege: право становиться владельцем любого объекта (файла, раздела реестра, процесса), даже если доступ явно запрещён.
  • SeBackupPrivilege и SeRestorePrivilege: право на резервное копирование и восстановление файлов независимо от разрешений.
  • SeSystemEnvironmentPrivilege: право изменять параметры энергонезависимой памяти (NVRAM) и системные переменные.
  • SeShutdownPrivilege: право выключать или перезагружать систему.

Эти привилегии позволяют SYSTEM выполнять операции, которые обычный администратор выполнить не может, например, доступ к защищённым процессам (Protected Processes), управление драйверами ядра и изменение системных файлов в реальном времени.

Использование в операционной системе

Системные службы

Большинство системных служб Windows, таких как:

  • Service Control Manager (SCM) — управление запуском и остановкой служб.
  • Windows Update — загрузка и установка обновлений.
  • Cryptographic Servicesуправление сертификатами и шифрованием.
  • Background Intelligent Transfer Service (BITS) — фоновый обмен данными.
  • Windows Defender — антивирусная защита (в Windows 8 и новее).

работают в контексте учётной записи SYSTEM. Это необходимо, чтобы службы могли получить доступ к защищённым ресурсам без вмешательства пользователя.

Ядро и драйверы

Учётная запись SYSTEM используется для выполнения процессов ядра (например, ntoskrnl.exe, hal.dll) и драйверов устройств. Драйверы, работающие в режиме ядра, могут обращаться к SYSTEM для выполнения операций, требующих наивысших привилегий.

Управление реестром

SYSTEM имеет полный доступ к разделам реестра, включая HKEY_LOCAL_MACHINE\SYSTEM и HKEY_LOCAL_MACHINE\SECURITY, которые недоступны обычным администраторам. Это позволяет системе управлять конфигурацией безопасности, политиками и загрузкой.

Сетевые операции

Службы, работающие от имени SYSTEM, могут выполнять сетевые операции с учётной записью компьютера (Machine Account), что позволяет им аутентифицироваться в домене Active Directory без ввода пароля.

Отличие от учётной записи «Администратор»

ПараметрУчётная запись SYSTEMУчётная запись «Администратор»
SIDS-1-5-18S-1-5-21-...-500 (встроенный администратор)
ПарольОтсутствуетМожет быть задан (по умолчанию пустой в некоторых версиях)
УдалениеНевозможноВозможно (но не рекомендуется)
Отображение в интерфейсеНе отображается в экране входаОтображается (если не отключён)
ПривилегииМаксимальные (включая ядро)Высокие, но ограниченные UAC и ACL
ИспользованиеТолько для системных процессовДля административных задач пользователя

Безопасность и риски

Вредоносное использование

Учётная запись SYSTEM является привлекательной целью для злоумышленников, так как получение доступа к ней даёт полный контроль над системой. Вредоносные программы (например, руткиты, трояны) могут пытаться:

  • Повысить свои привилегии до SYSTEM через уязвимости (например, через службы, работающие от имени SYSTEM, или через процессы с высокими привилегиями).
  • Внедрить код в процессы, работающие от имени SYSTEM (например, lsass.exe, svchost.exe).
  • Использовать SYSTEM для сокрытия своей активности (например, через манипуляции с реестром или файловой системой).

Защита

Операционная система принимает меры для защиты учётной записи SYSTEM:

  • Защищённые процессы (Protected Processes): начиная с Windows Vista, некоторые процессы (например, csrss.exe, smss.exe) работают в защищённом режиме, доступ к которым ограничен даже для SYSTEM.
  • Контроль учётных записей (UAC): UAC не влияет на SYSTEM, но ограничивает администраторов, что снижает риск случайного повышения привилегий.
  • Списки управления доступом (ACL): доступ к объектам, связанным с SYSTEM, может быть ограничен даже для самой SYSTEM (например, к некоторым разделам реестра).

Уязвимости

Исторически известны уязвимости, позволяющие повысить привилегии до SYSTEM:

  • MS08-067: уязвимость в службе Server, позволявшая удалённо выполнить код от имени SYSTEM.
  • CVE-2019-0708 (BlueKeep): уязвимость в службе Remote Desktop Services, позволявшая выполнить код от имени SYSTEM.
  • CVE-2021-34527 (PrintNightmare): уязвимость в службе печати, позволявшая локально повысить привилегии до SYSTEM.

Доступ к учётной записи SYSTEM

Через командную строку

Администраторы могут запустить процесс от имени SYSTEM с помощью утилит:

  • PsExec из пакета Sysinternals: PsExec -i -s cmd.exe
  • SC.exe: sc create MyService binPath= "cmd.exe /c ..." type= own start= auto (создание службы, работающей от имени SYSTEM).
  • Запланированные задачи: создание задачи с учётной записью SYSTEM через планировщик задач.

Через реестр

Изменение параметров служб в реестре (раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services) может позволить запустить процесс от имени SYSTEM, но требует прав администратора.

Ограничения

Прямой вход в систему от имени SYSTEM невозможен, так как учётная запись не имеет пароля и не отображается в интерфейсе входа. Попытки установить пароль для SYSTEM (через реестр или утилиты) могут привести к нестабильности системы.

Интересные факты

  • Учётная запись SYSTEM не имеет домашнего каталога или профиля пользователя, так как не предназначена для интерактивного использования.
  • В Windows 10 и 11 учётная запись SYSTEM используется для работы подсистемы Windows Subsystem for Linux (WSL), если она запущена от имени системы.
  • В некоторых версиях Windows (например, Windows XP) учётная запись SYSTEM могла быть использована для автоматического входа в систему при определённых настройках, что создавало риски безопасности.
  • Учётная запись SYSTEM не может быть отключена через оснастку «Локальные пользователи и группы» — она отображается только в списке встроенных учётных записей.

Источники

  • Microsoft Docs: «LocalSystem Account» (документация по учётной записи LocalSystem, аналогу SYSTEM в Windows).
  • Microsoft Security Response Center: описания уязвимостей, связанных с повышением привилегий до SYSTEM.
  • Sysinternals: документация по утилите PsExec.
  • Windows Internals, 7th Edition (Pavel Yosifovich, Mark Russinovich, David Solomon, Alex Ionescu).
  • MSDN: «Service Security and Access Rights» (раздел о привилегиях учётной записи SYSTEM).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →