Qu'est-ce que “NT AUTHORITY” et “NT SERVICE”?

Je peux trouver de nombreuses informations sur ce qui est "NT AUTHORITY" " slash " quelque chose ". Pareil pour "NT SERVICE". Mais pas pour la partie avant la barre oblique. Je les rencontre de temps en temps dans mon travail. Je pourrais recevoir de la documentation avec, par exemple, les administrateurs de domaine, qui incluent parfois des utilisateurs de ces 2 "emplacements" (NT AUTHORITY \ SYSTEM ou NT SERVICE \ MSSQLSERVER). Donc, je comprends qu'ils sont une sorte d'utilisateurs standard.

Donc, j'aimerais vraiment comprendre quelle est cette chose fondamentale avant la barre oblique. Est-il en quelque sorte connecté à Windows NT, parce que cela ne semble pas être le cas? Que diable avec ces lettres "NT"? Est-ce que l'autorité et le service sont du même niveau?

Si vous êtes prêt à jouer un peu rapidement avec les définitions, NT_AUTHORITY fait essentiellement référence au système d’exploitation Windows lui-même. Ou peut-être que "les choses que l'OS autorise en votre nom".

(Au début, NT signifiait Nouvelle technologie, une version du système d’exploitation destinée généralement aux entreprises. Elle contrastait avec les noyaux Windows 9.x moins stricts et moins sécurisés utilisés dans Windows 98, 98 et les versions antérieures. À partir de Windows 2000, le différentes versions ont été combinées sur une version basée sur Windows NT 4. Celles-ci ont finalement évolué vers Windows Vista, 7, 8.x et bientôt 10.

Le jeton "NT" est essentiellement un jeton hérité des temps anciens. Vous pouvez penser à cela comme à un substitut de Windows lui-même. Plus officiellement, il est le parent d'un ensemble d'utilisateurs du service qui gèrent les tâches en arrière-plan et les opérations de maintenance.

Les jetons situés à droite de la barre oblique font référence à des "utilisateurs" de services internes individuels du système d'exploitation. Par exemple, NT AUTHORITY \ SYSTEM gère les services système, NT AUTHORITY \ LOCAL SERVICE effectue des services locaux, NT AUTHORITY \ NETWORK SERVICE désigne des services de réseau, etc. Plus de fond peut être trouvé dans ce fil et sur divers emplacements de MSDN . Une utilisation créative de votre moteur de recherche préféré peut vous aider à trouver encore plus.

Essentiellement, la même chose s’exécute au nom d’un service, c’est-à-dire un utilitaire exécuté en arrière-plan. (Le service BITS, par exemple, télécharge les mises à jour en arrière-plan.) Un très grand nombre de services sont exécutés et le jeton NT_SERVICE est utilisé pour les distinguer des autres éléments. Voici un article qui entre dans des détails un peu plus techniques. (Je ne désactiverais aucun service à moins que vous ne sachiez précisément à quoi il sert, cependant. C'est un bon moyen de gâcher des choses.)

Une explication plus technique:

Dans les listes de contrôle d'accès (ACL) Windows, les autorisations sont appliquées aux dépositaires - utilisateurs, groupes ou autres entités de sécurité.

Les trustees sont identifiés de manière unique par les SID , qui sont des chaînes commençant parS-1- et pouvant être formatés en tant que chaînes lisibles par l'homme telles que NT AUTHORITY\SYSTEMpour S-1-5-18.

Celui qui a conçu cette conception pour Windows NT visait à la rendre plutôt polyvalente :

Il existe des identificateurs de sécurité universels bien connus, qui ont un sens sur tous les systèmes sécurisés utilisant ce modèle de sécurité, y compris les systèmes d'exploitation autres que Windows . De plus, il existe des identificateurs de sécurité bien connus qui ne sont significatifs que sur les systèmes Windows.

Ils sont venus avec quelques autorités universelles, comme SECURITY_WORLD_SID_AUTHORITY( S-1-0) qui ne produit qu'un seul SID S-1-1-0signifiant "Tout le monde"; mais la majorité des SID utilisés commencent par S-1-5- le préfixe de "l'autorité NT", utilisé pour produire les SID dans les systèmes d'exploitation basés sur NT (c'est-à-dire toutes les versions modernes de Windows ).

Vous pouvez supposer à ce stade que les SID commençant par S-1-5-...s'affichent NT AUTHORITY\, mais ce n'est pas le cas - de nombreuses sous-branches ont leur propre préfixe sous la forme lisible par l'homme:

• S-1-5-21-domainID-est destiné aux domaines ActiveDirectory personnalisés ( MYDOMAIN\...)
• S-1-5-32est BUILTIN\(par exemple BUILTIN\Adminitratorspour -544)
• S-1-5-80-serviceHash est pour NT SERVICE\(service name)

Les SID connus qui ne sont pas regroupés sous un autre nom sont parfois affichés avec le NT AUTHORITY\préfixe, par exemple:

• NT AUTHORITY \ LocalService ( S-1-5-19; également affiché simplement par "SERVICE LOCAL") "est un compte local prédéfini utilisé par le gestionnaire de contrôle du service .. possède des privilèges minimum sur l'ordinateur local et présente des informations d'identification anonymes sur le réseau"
• NT AUTHORITY \ NetworkService ( S-1-5-20; également affiché simplement par "SERVICE RÉSEAU") "est un compte local prédéfini utilisé par le gestionnaire de contrôle des services .. dispose des privilèges minimum sur l'ordinateur local et agit en tant qu'ordinateur sur le réseau ."
• NT AUTHORITY\SYSTEM(simplement aussi "SYSTEM", étroitement lié au compte LocalSystem) - voir "NT AUTHORITY \ SYSTEM" est-il un utilisateur ou un groupe? .

Donc, le nom "NT AUTHORITY" est un artefact de l'extrême généralité du sous-système de sécurité utilisé dans Windows, qui n'a pas de signification utile si ce n'est "nous n'avons pas créé de groupe plus spécifique".

NT SERVICE\( S-1-5-80-...) est le préfixe utilisé pour "comptes virtuels" . Lorsque vous spécifiez le compte pour exécuter un service nommé MyService en tant que, vous pouvez entrer "NT SERVICE \ MyService" sans mot de passe. Il s'exécutera dans un contexte de sécurité distinct pour lequel vous pouvez configurer des autorisations ailleurs.