Network Service 是 Windows 中的内置帐户,主要运行一些服务,权限与Users相同。它的完整名字是:NT AUTHORITY\NETWORK SERVICE。
NETWORK SERVICE账户概述
NETWORK SERVICE属于Windows诸多安全主体中的一个,用于作为服务用户登录系统,可以访问网络。用户无法通过登录界面正常登录,也无法以此权限正常创建交互式服务来让用户直接操作。以这个账户运行的服务会根据实际环境把访问凭据提交给远程的
计算机。此账户默认没有密码。一般情况下,需要访问网络而不需要管理员权限的服务都是以这个权限运行的。它拥有本机部分权限并以计算机的名义访问网络资源。以NETWORK SERVICE权限运行的程序无法访问内核驱动程序,无法访问除“系统中断”、“System”和“系统空闲处理器百分比”之外的所有进程。该账户可以访问Active Directory,如果是在网络上运行服务,则日志会存在服务器,否则存在本地。这个账户也可以用于启动一些SQL Server的服务。
NETWORK SERVICE账户默认情况下的权限
文件及文件夹权限
完全控制(C:\Windows\ServiceProfiles\NetworkService文件夹及其所有子文件与子文件夹)
拒绝访问(所有“System Volume Information”文件夹及其子文件和子文件夹和所有其他用户配置文件夹)
读取和执行(其他所有文件或文件夹)
用户特权
注:特权分配可以在本地安全策略中更改
注册表权限
完全控制(HKEY_USERS\S-1-5-20项及其子项与值)
读取(其他所有位置,除HKEY_LOCAL_MACHINE\SECURITY和HKEY_LOCAL_MACHINE\SAM\SAM)
进程权限
拒绝访问(所有进程,除“系统中断”、“System”和“系统空闲处理器百分比”)
服务权限
拒绝访问(所有服务)
其他权限
与普通用户相同
NETWORK SERVICE的应用与实例
Network Service 帐户是特别设计的,专用于为应用程序提供访问网络的足够权限,而且在IIS6 中,无需提升权限即可运行 Web 应用程序。这对于
Internet信息服务 安全性来说,是一个特大的消息,因为不存在缓冲溢出,怀有恶意的应用程序无法破译进程标识,或是对应用程序的攻击不能进入System 用户环境。更为重要的一点是,再也不能形成针对System帐户的“后门”,例如,再也无法通过 InProcessIsapiApps 元数据库项利用加载到 Inetinfo 的应用程序。
Network Service 帐户在创建时不仅仅考虑了在 IIS 6 中的应用。它还具有进程标识 W3WP.exe 的绝大部分(并不是全部)权限。如同 ASPNET 用户为了运行ASP.net 应用程序,需要具有 IIS 5 服务器上某些位置的访问权限,进程标识 W3WP.exe 也需要具有类似位置的访问权限,而且还需要一些默认情况下没有指派给内置组的权限。
使用NETWORK SERVICE账户时的注意事项
如果服务不需要管理员权限,但要访问网络或域,就以此权限运行
需要网络的服务可以以此权限进行调试,防止破坏文件
不要把这个账户放在管理员组下,这样会严重破坏安全系统
1.
如果服务不需要管理员权限,但要访问网络或域,就以此权限运行
2.
需要网络的服务可以以此权限进行调试,防止破坏文件
3.
不要把这个账户放在管理员组下,这样会严重破坏安全系统