Network Service 是 Windows 中的內置帳戶,主要運行一些服務,權限與Users相同。它的完整名字是:NT AUTHORITY\NETWORK SERVICE。
NETWORK SERVICE賬戶概述
NETWORK SERVICE屬于Windows諸多安全主體中的一個,用于作為服務用戶登錄系統,可以訪問網絡。用戶無法通過登錄界面正常登錄,也無法以此權限正常創建交互式服務來讓用戶直接操作。以這個賬戶運行的服務會根據實際環境把訪問憑據提交給遠程的計算機。此賬戶默認沒有密碼。一般情況下,需要訪問網絡而不需要管理員權限的服務都是以這個權限運行的。它擁有本機部分權限并以計算機的名義訪問網絡資源。以NETWORK SERVICE權限運行的程序無法訪問內核驅動程序,無法訪問除“系統中斷”、“System”和“系統空閑處理器百分比”之外的所有進程。該賬戶可以訪問Active Directory,如果是在網絡上運行服務,則日志會存在服務器,否則存在本地。這個賬戶也可以用于啟動一些SQL Server的服務。
NETWORK SERVICE賬戶默認情況下的權限
文件及文件夾權限
完全控制(C:\Windows\ServiceProfiles\NetworkService文件夾及其所有子文件與子文件夾)
拒絕訪問(所有“System Volume Information”文件夾及其子文件和子文件夾和所有其他用戶配置文件夾)
讀取和執行(其他所有文件或文件夾)
用戶特權
注:特權分配可以在本地安全策略中更改
注冊表權限
完全控制(HKEY_USERS\S-1-5-20項及其子項與值)
讀取(其他所有位置,除HKEY_LOCAL_MACHINE\SECURITY和HKEY_LOCAL_MACHINE\SAM\SAM)
進程權限
拒絕訪問(所有進程,除“系統中斷”、“System”和“系統空閑處理器百分比”)
服務權限
拒絕訪問(所有服務)
其他權限
與普通用戶相同
NETWORK SERVICE的應用與實例
Network Service 帳戶是特別設計的,專用于為應用程序提供訪問網絡的足夠權限,而且在IIS6 中,無需提升權限即可運行 Web 應用程序。這對于 Internet信息服務 安全性來說,是一個特大的消息,因為不存在緩沖溢出,懷有惡意的應用程序無法破譯進程標識,或是對應用程序的攻擊不能進入System 用戶環境。更為重要的一點是,再也不能形成針對System帳戶的“后門”,例如,再也無法通過 InProcessIsapiApps 元數據庫項利用加載到 Inetinfo 的應用程序。
Network Service 帳戶在創建時不僅僅考慮了在 IIS 6 中的應用。它還具有進程標識 W3WP.exe 的絕大部分(并不是全部)權限。如同 ASPNET 用戶為了運行ASP.net 應用程序,需要具有 IIS 5 服務器上某些位置的訪問權限,進程標識 W3WP.exe 也需要具有類似位置的訪問權限,而且還需要一些默認情況下沒有指派給內置組的權限。
使用NETWORK SERVICE賬戶時的注意事項
如果服務不需要管理員權限,但要訪問網絡或域,就以此權限運行
需要網絡的服務可以以此權限進行調試,防止破壞文件
不要把這個賬戶放在管理員組下,這樣會嚴重破壞安全系統
1.
如果服務不需要管理員權限,但要訪問網絡或域,就以此權限運行
2.
需要網絡的服務可以以此權限進行調試,防止破壞文件
3.
不要把這個賬戶放在管理員組下,這樣會嚴重破壞安全系統
參考資料 >
NetworkService Account.Windows Dev Center.2019-02-10
Local Service, Local System or Network Service?.Microsoft SQL Server.2019-03-15