Windows : Comptes

By : Li_in
Windows Forensique

LocalSystem

(dangerous, don’t use!)

Le compte LocalSystem est un compte générique spécial sur les systèmes d’exploitation Windows qui est utilisé pour exécuter des services et des processus qui ont besoin de privilèges élevés pour accéder aux ressources du système. Ce compte a des privilèges élevés sur l’ensemble du système et il est utilisé principalement par les services et les processus système pour effectuer des tâches spécifiques. Il n’y a rien que ce compte ne puisse faire et il a le droit d’accéder au réseau en tant que machine. C’est le compte le plus puissant sur une instance locale de Windows. Il fait partie du groupe NT Authority\SYSTEM.

La plupart des services de niveau système (services Windows) et certains services tiers sont exécutés dans ce compte. Vous n’avez pas à vous en préoccuper.

Outre LocalSystem, il existe deux comptes système plus largement utilisés : LocalService et NetworkService. Ce sont des comptes intégrés avec des privilèges moindres.

  • SID : S-1-5-18
  • Nom : .\LocalSystem (peut également utiliser ComputerName\LocalSystem)
  • Profil: Le compte n’a pas de mot de passe et n’a pas de profil propre
  • HKCU: représente l’utilisateur par défaut)
  • Privilèges: Possède des privilèges étendus sur l’ordinateur local
  • Identification réseau: Présente les informations d’identification de l’ordinateur aux serveurs distants sur le réseau.

LocalService

(preferred)

Compte de service limité destiné à exécuter les services standards avec des privilèges restreints. Il est utilisé pour exécuter des services qui n’ont pas besoin d’accéder aux ressources du réseau et qui n’ont pas besoin de privilèges élevés sur l’ensemble du système. Contrairement au NetworkService, il accède au réseau en tant qu’utilisateur anonyme.

  • SID: S-1-5-19
  • Nom: NT AUTHORITY\LocalService
  • Profil: Le compte n’a pas de mot de passe et a son propre profil utilisateur sous la clé de registre HKEY_USERS (HKEY_USERS\S-1-5-19)
  • HKCU: représente le compte LocalService
  • Privilèges: Possède des privilèges restreints sur l’ordinateur local
  • Identification réseau: Se présente en tant qu’anonymous sur le réseau

NetworkService

Compte de service limité destiné à exécuter des services standards avec des privilèges restreints. Il est utilisé pour exécuter des services qui ont besoin d’accéder aux ressources du réseau. Il a le droit d’accéder au réseau en tant que machine.

  • SID: S-1-5-20
  • Nom: NT AUTHORITY\NetworkService
  • Profil: Le compte n’a pas de mot de passe et a son propre profil utilisateur sous la clé de registre HKEY_USERS (HKEY_USERS\S-1-5-20)
  • HKCU: représente le compte NetworkService
  • Privilèges: Possède des privilèges restreints sur l’ordinateur local
  • Identification réseau: Présente les informations d’identification de l’ordinateur aux serveurs distants sur le réseau.