Системная учётная запись SYSTEM
Системная учётная запись SYSTEM — это встроенная учётная запись операционных систем семейства Windows NT (включая Windows 2000, XP, Vista, 7, 8, 10, 11 и серверные версии), обладающая наивысшим уровнем привилегий и предназначенная для выполнения критически важных системных процессов, служб и ядра операционной системы. В отличие от учётной записи «Администратор» (Administrator), SYSTEM не является учётной записью пользователя в традиционном понимании — она не имеет пароля, не может быть удалена или заблокирована, и её сеанс работы не отображается в стандартном интерфейсе входа в систему. SYSTEM является частью контекста безопасности, в котором работают многие системные службы, такие как Local Security Authority Subsystem Service (LSASS), Service Control Manager (SCM) и Windows Update.
История и происхождение
Учётная запись SYSTEM появилась в ранних версиях Windows NT (3.1, 1993 год) как часть модели безопасности, разработанной для замены устаревшей системы Windows 9x. Изначально она была задумана как контекст для выполнения процессов ядра и критических служб, работающих до загрузки пользовательского интерфейса. В Windows NT 4.0 (1996) и последующих версиях роль SYSTEM была расширена: она стала использоваться для управления реестром, файловой системой и сетевыми операциями, требующими доступа к защищённым объектам. В Windows Vista (2006) и более новых версиях SYSTEM получила дополнительные привилегии, связанные с контролем учётных записей пользователей (UAC) и защитой целостности системы.
Идентификаторы и атрибуты
В операционных системах Windows учётная запись SYSTEM идентифицируется следующими атрибутами:
- SID (Security Identifier):
S-1-5-18(локальная система) илиS-1-5-18в доменной среде (встроенная группа SYSTEM). - Имя в системе:
NT AUTHORITY\SYSTEM(для английских версий) илиNT AUTHORITY\СИСТЕМА(для локализованных русских версий). - Тип учётной записи: встроенная системная учётная запись (Built-in account), не являющаяся учётной записью пользователя.
- Привилегии: полный доступ ко всем объектам файловой системы, реестра, процессам, потокам, службам и сетевым ресурсам, за исключением тех, к которым явно запрещён доступ (например, через списки управления доступом, ACL).
Привилегии и возможности
Учётная запись SYSTEM обладает следующими привилегиями, которые недоступны даже учётной записи «Администратор»:
- SeTcbPrivilege: право выступать в качестве части операционной системы (Trusted Computer Base), что позволяет выполнять операции на уровне ядра.
- SeDebugPrivilege: право отладки процессов, включая процессы других пользователей и системные процессы.
- SeTakeOwnershipPrivilege: право становиться владельцем любого объекта (файла, раздела реестра, процесса), даже если доступ явно запрещён.
- SeBackupPrivilege и SeRestorePrivilege: право на резервное копирование и восстановление файлов независимо от разрешений.
- SeSystemEnvironmentPrivilege: право изменять параметры энергонезависимой памяти (NVRAM) и системные переменные.
- SeShutdownPrivilege: право выключать или перезагружать систему.
Эти привилегии позволяют SYSTEM выполнять операции, которые обычный администратор выполнить не может, например, доступ к защищённым процессам (Protected Processes), управление драйверами ядра и изменение системных файлов в реальном времени.
Использование в операционной системе
Системные службы
Большинство системных служб Windows, таких как:
- Service Control Manager (SCM) — управление запуском и остановкой служб.
- Windows Update — загрузка и установка обновлений.
- Cryptographic Services — управление сертификатами и шифрованием.
- Background Intelligent Transfer Service (BITS) — фоновый обмен данными.
- Windows Defender — антивирусная защита (в Windows 8 и новее).
работают в контексте учётной записи SYSTEM. Это необходимо, чтобы службы могли получить доступ к защищённым ресурсам без вмешательства пользователя.
Ядро и драйверы
Учётная запись SYSTEM используется для выполнения процессов ядра (например, ntoskrnl.exe, hal.dll) и драйверов устройств. Драйверы, работающие в режиме ядра, могут обращаться к SYSTEM для выполнения операций, требующих наивысших привилегий.
Управление реестром
SYSTEM имеет полный доступ к разделам реестра, включая HKEY_LOCAL_MACHINE\SYSTEM и HKEY_LOCAL_MACHINE\SECURITY, которые недоступны обычным администраторам. Это позволяет системе управлять конфигурацией безопасности, политиками и загрузкой.
Сетевые операции
Службы, работающие от имени SYSTEM, могут выполнять сетевые операции с учётной записью компьютера (Machine Account), что позволяет им аутентифицироваться в домене Active Directory без ввода пароля.
Отличие от учётной записи «Администратор»
| Параметр | Учётная запись SYSTEM | Учётная запись «Администратор» |
|---|---|---|
| SID | S-1-5-18 | S-1-5-21-...-500 (встроенный администратор) |
| Пароль | Отсутствует | Может быть задан (по умолчанию пустой в некоторых версиях) |
| Удаление | Невозможно | Возможно (но не рекомендуется) |
| Отображение в интерфейсе | Не отображается в экране входа | Отображается (если не отключён) |
| Привилегии | Максимальные (включая ядро) | Высокие, но ограниченные UAC и ACL |
| Использование | Только для системных процессов | Для административных задач пользователя |
Безопасность и риски
Вредоносное использование
Учётная запись SYSTEM является привлекательной целью для злоумышленников, так как получение доступа к ней даёт полный контроль над системой. Вредоносные программы (например, руткиты, трояны) могут пытаться:
- Повысить свои привилегии до SYSTEM через уязвимости (например, через службы, работающие от имени SYSTEM, или через процессы с высокими привилегиями).
- Внедрить код в процессы, работающие от имени SYSTEM (например,
lsass.exe,svchost.exe). - Использовать SYSTEM для сокрытия своей активности (например, через манипуляции с реестром или файловой системой).
Защита
Операционная система принимает меры для защиты учётной записи SYSTEM:
- Защищённые процессы (Protected Processes): начиная с Windows Vista, некоторые процессы (например,
csrss.exe,smss.exe) работают в защищённом режиме, доступ к которым ограничен даже для SYSTEM. - Контроль учётных записей (UAC): UAC не влияет на SYSTEM, но ограничивает администраторов, что снижает риск случайного повышения привилегий.
- Списки управления доступом (ACL): доступ к объектам, связанным с SYSTEM, может быть ограничен даже для самой SYSTEM (например, к некоторым разделам реестра).
Уязвимости
Исторически известны уязвимости, позволяющие повысить привилегии до SYSTEM:
- MS08-067: уязвимость в службе Server, позволявшая удалённо выполнить код от имени SYSTEM.
- CVE-2019-0708 (BlueKeep): уязвимость в службе Remote Desktop Services, позволявшая выполнить код от имени SYSTEM.
- CVE-2021-34527 (PrintNightmare): уязвимость в службе печати, позволявшая локально повысить привилегии до SYSTEM.
Доступ к учётной записи SYSTEM
Через командную строку
Администраторы могут запустить процесс от имени SYSTEM с помощью утилит:
- PsExec из пакета Sysinternals:
PsExec -i -s cmd.exe - SC.exe:
sc create MyService binPath= "cmd.exe /c ..." type= own start= auto(создание службы, работающей от имени SYSTEM). - Запланированные задачи: создание задачи с учётной записью
SYSTEMчерез планировщик задач.
Через реестр
Изменение параметров служб в реестре (раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services) может позволить запустить процесс от имени SYSTEM, но требует прав администратора.
Ограничения
Прямой вход в систему от имени SYSTEM невозможен, так как учётная запись не имеет пароля и не отображается в интерфейсе входа. Попытки установить пароль для SYSTEM (через реестр или утилиты) могут привести к нестабильности системы.
Интересные факты
- Учётная запись SYSTEM не имеет домашнего каталога или профиля пользователя, так как не предназначена для интерактивного использования.
- В Windows 10 и 11 учётная запись SYSTEM используется для работы подсистемы Windows Subsystem for Linux (WSL), если она запущена от имени системы.
- В некоторых версиях Windows (например, Windows XP) учётная запись SYSTEM могла быть использована для автоматического входа в систему при определённых настройках, что создавало риски безопасности.
- Учётная запись SYSTEM не может быть отключена через оснастку «Локальные пользователи и группы» — она отображается только в списке встроенных учётных записей.
Источники
- Microsoft Docs: «LocalSystem Account» (документация по учётной записи LocalSystem, аналогу SYSTEM в Windows).
- Microsoft Security Response Center: описания уязвимостей, связанных с повышением привилегий до SYSTEM.
- Sysinternals: документация по утилите PsExec.
- Windows Internals, 7th Edition (Pavel Yosifovich, Mark Russinovich, David Solomon, Alex Ionescu).
- MSDN: «Service Security and Access Rights» (раздел о привилегиях учётной записи SYSTEM).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →