Nt authority система что за пользователь
Добрый день.
Антивирусное ПО (Kaspersky Endpoint Security 10 для Windows) в системе мониторинга (KSC10) статистика "наиболее заражающее пользователи" NT AUTHORITY\система более 4 тыс алертов за сутки
пример:
UDS:DangerousObject.Multi.Generic 13 ноября 2017 г. 9:39:03 C:\Windows\31779272.exe неизвестно Результат: Удалено: UDS:DangerousObject.Multi.Generic Пользователь: NT AUTHORITY\система (Системный пользователь) Объект: C:\Windows\31779272.exe
UDS:DangerousObject.Multi.Generic 13 ноября 2017 г. 9:16:56 C:\Windows\33089992.exe неизвестно Результат: Удалено: UDS:DangerousObject.Multi.Generic Пользователь: NT AUTHORITY\система (Системный пользователь) Объект: C:\Windows\33089992.exe
Есть ли какая то возможно ограничить использование учётной записи NT AUTHORITY\система? Сеть доменная.
Ответы
Скорее всего, это у вас компьютеры кто-то по сети заражает: подключается по сети с правами администратора и копирует туда тело вируса (скорее всего, чтобы запустить его либо как службу, либо через WMI). Вариантов заражения тут два: либо производится подключение с правами администратора с заражённой машины, либо через использование уязвимости.
Чтобы найти, кто и откуда это делает по первому варианту, надо анализировать журнал событий безопасность на том компьютере, откуда пришло сообщение тревоги непосредственно перед (в промежутке порядка минуты, полагаю, может больше) временем возникновения тревоги: в событии успешного входа в систему будет указано под какими учётными данными произошло подключение, а если повезёт — то и с какого компьютера. Если подключение производится под учётными данными локального администратора, то, скорее всего, у локального администратора слабый пароль или одинаковый пароль на всех компьютерах. В таком случае поменяйте пароли на сложные и уникальные.
А по поводу использования уязвимостей (прищнаком чего будет отсутствие вхоодо по сети) нужно начать с того, что установить все обновления безопасности на все подверженные атакам компьютеры. Если не поможет (что вряд ли), то придётся анализировать сетевой трафик, чтобы установить источник атаки.
Nt authority система что за пользователь
NT AUTHORITY — диспетчер безопасности во встроенном домене безопасности Windows, который существует в каждой системе Windows.
Цитата:
| Для чего тебе? Я хотел отключить в 2000. Это вшито в систему, нужно патчить. |
Недавно появились следуюшщие папки в Documents and Settings:
LocalService.NT AUTHORITY
NetworkService.NT AUTHORITY
Почему образовались такие папки с окончанием NT AUTHORITY? Почему не используются стандартные — LocalService и NetworkService?
NT NTHORITY \SYSTEM — это пользователь или группа?
В Windows пользовательская System отображается с символом группы:
,
(Использование внутреннего Win32 API LookupAccountSid также показывает, что это, похоже, группа SidTypeGroup.)
С другой стороны, процессы могут выполняться в system context как в user context . Также документы Microsoft описывают его как «системный пользователь» или «системная учетная запись», а не как «системная группа».
Это пользователь, который для каких-либо устаревших целей отображается как группа?
(Или это было бы интересно для Вернера Гейзенберга ?)
Примечание. Что такое пользователь NT AUTHORITY\SYSTEM? похож, но не отвечает на вопрос, почему он отображается как группа и ведет себя как пользователь.
2 ответа 2
Во-первых, токен доступа содержит гораздо больше, чем идентификатор безопасности (SID). Нужно только «запустить от имени администратора» программу, чтобы увидеть в диспетчере задач, что ее пользователь является самим собой, а не администратором, и это чудо достигается просто путем изменения токена доступа, а не путем замены SID.
Во-вторых, NT-AUTHORITY и SYSTEM не являются ни учетными записями, ни группами, несмотря на то, что говорят различные другие источники (даже внутри Microsoft). У SID обычно есть имя, которое отображается при необходимости. Учетная запись пользователя будет предоставлять свой SID в качестве основного SID для маркера доступа, который также будет определять имя, отображаемое различными утилитами. Но маркер доступа может содержать дополнительные SID, например, для всех групп, к которым принадлежит эта учетная запись пользователя. При проверке разрешений Windows будет искать любой SID в маркере доступа, который имеет это разрешение.
Некоторые известные Windows SID будут иметь имена, сообщаемые Windows, хотя на самом деле они не принадлежат какой-либо учетной записи.
уникальный неизменный идентификатор пользователя, группы пользователей или другого участника безопасности.
SID не должен даже определять учетную запись пользователя или группу. Он просто определяет набор разрешений. Приведенная выше статья в Википедии добавляет:
Windows предоставляет или запрещает доступ и привилегии к ресурсам на основе списков контроля доступа (ACL), которые используют SID для уникальной идентификации пользователей и их членства в группах. Когда пользователь входит в компьютер, создается токен доступа, который содержит SID пользователя и группы и уровень привилегий пользователя. Когда пользователь запрашивает доступ к ресурсу, токен доступа сравнивается с ACL, чтобы разрешить или запретить конкретное действие с конкретным объектом.
SID NT-AUTHORITY\SYSTEM может быть добавлен к другим учетным записям. Например, это сказано об учетной записи LocalSystem:
Учетная запись LocalSystem является предопределенной локальной учетной записью, используемой диспетчером управления службами. [. ] Его токен включает идентификаторы NT AUTHORITY\SYSTEM и BUILTIN\Administrators; эти учетные записи имеют доступ к большинству системных объектов.
В приведенном выше тексте уже можно увидеть путаницу, которая царит даже в документации Microsoft относительно системных идентификаторов безопасности, которые не являются ни точными учетными записями, ни группами, а представляют собой просто набор разрешений. Эта путаница распространяется и на другие утилиты и статьи, поэтому любая возвращенная информация должна быть тщательно изучена.
В статье Microsoft « Известные идентификаторы безопасности в операционных системах Windows» подробно описаны все системные идентификаторы безопасности, некоторые из которых я приведу ниже:
Вывод: NT-AUTHORITY\SYSTEM — это имя идентификатора безопасности, который не является ни группой, ни учетной записью. Он отображается в диспетчере задач как СИСТЕМА, когда он является основным SID программы. Максимум, что я бы назвал, это «псевдо-счет».
Nt authority система что за пользователь
Признаками заражения компьютера являются:
Наличие файлов "MSBLAST.EXE", "TEEKIDS.EXE" или "PENIS32.EXE" в системном каталоге Windows (обычно WINDOWS\SYSTEM32\)
Внезапная перезагрузка компьютера после соединения с интернетом каждые несколько минут
Многочисленные сбои в работе программ Word, Excel и Outlook
Сообщения об ошибках, вызванных файлом "SVCHOST.EXE"
Появление на экране окна с сообщением об ошибке (RPC Service Failing)
Инструкция по диагностике и удалению вируса W32.Blaster.Worm или LoveSun.
Заражению подвержены операционные системы Windows NT 4.0, Windows 2000, Windows XP и Windows Server 2003. Компьютеры с установленной Windows 2000 начинают нестабильно работать. В случае с Windows XP активность вируса будет приводить к постоянным перезагрузкам. Вирус не приводит у потере данных.
Признаки заражения компьютера вирусом LoveSun:
1. Откройте диспетчер задач нажатием клавиш Ctrl+Alt+Del. В списке процессов есть msblast.
2. В каталоге Windows, в папке system32 есть файл msblast.exe. Можно искать поиском файлов в компьютере.
3. Откройте меню «Пуск», выберите пункт «Выполнить», наберите «regedit» и нажмите Enter. В ключе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run запись "windows auto update"="msblast.exe" есть запись "windows auto update"="msblast.exe".
Способы борьбы с вирусом:
1. Скачайте с сайта Symantec утилиту, которая проверит ваш компьютер на наличие вируса Blaster и удалит его. Утилита находится по адресу: http://securityresponse.symantec.com. r/FixBlast.exe
2. Удалить вирус можно вручную:
a. Завершите процесс msblast в Диспетчере задач.
b. Удалите из реестра ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run запись "windows auto update"="msblast.exe".
c. Удалите из из папки %WinDir%\system32 файл msblast.exe.
Если Ваш компьютер не был заражён или Вы уже удалили вирус вам необходимо предотвратить возможность проникновения вируса на Ваш компьютер и установить заплатку с сайта Microsoft.