L'account SYSTEM è uno pseudo-account simile, ma non identico, a root
su Linux. Le due differenze principali sono che (a) l'account SYSTEM è un account di servizio, e quindi non ha un profilo utente, e (b) il modello di permessi di Windows applica ancora gli ACL in modo che possano esistere oggetti a cui SYSTEM non può accedere direttamente (sebbene può ancora concedere un privilegio a un token e ottenere l'accesso in questo modo).
L'account SYSTEM è il livello di privilegi più alto nel modello utente di Windows. Esiste per fornire la proprietà agli oggetti creati prima che un utente normale acceda, come il sottosistema di autorità di sicurezza locale (LSASS) e il sottosistema di gestione della sessione (SMSS).
Per rispondere direttamente alle tue domande:
The account is not recognised by security subsystem what does it mean?
È è riconosciuto dal sottosistema di sicurezza, ma non esiste rigorosamente come utente. È un principio piuttosto che un utente. Questo concetto è un po 'confuso, ma pensalo in questo modo: il computer stesso non è un utente, quindi se dovessi dare al computer stesso un account utente, è ancora veramente un utente?
I want to Know if this account has a profile name on windows 7,8,8.1 etc
No, non ha un profilo. Questo vale anche per altri account di servizio, come LOCAL SERVICE e NETWORK SERVICE. Il caso speciale per gli account di servizio local (incluso SYSTEM) è che non esistono al di fuori della macchina a cui sono collegati, quindi non fanno parte del dominio. Puoi avere account di servizio di dominio, ma questi esistono come parte di Active Directory piuttosto che account su una macchina.
why can't we login into that account,why is the account not associated with any logged in user account?
L'account SYSTEM è un account di servizio, non un account utente. Non ha alcun profilo utente associato, quindi non puoi accedere con esso. È semplicemente lì per facilitare il funzionamento del sistema sopra il livello utente. Ad esempio, i servizi associati ai driver devono essere eseguiti al momento dell'avvio, prima che l'utente effettui l'accesso, in modo che vengano eseguiti come SYSTEM al fine di eseguire il processo all'avvio e disporre dei privilegi necessari per comunicare con i driver (generalmente tramite IRP).
if we do anything under SYSTEM account like rename a file is it logged in event manager
Non più di qualsiasi altro account. È possibile infatti abilitare il controllo e altre registrazioni come parte delle funzionalità di controllo del filesystem o come parte della politica di sicurezza locale (o di gruppo), ma questo vale anche per qualsiasi altro account.
Does this account has a password? or username?
Il nome utente è solo SYSTEM. La domanda se abbia o meno una password è complicata. La semplice risposta è no, ma questo non racconta tutta la storia. Ha qualcosa chiamato evidence , che è un termine usato nel modello di sicurezza di Windows per indicare qualsiasi forma di identificazione dei dati che dimostra che sei tu chi dici di essere. Questo non è così chiaro come solo password o certificati, ma si estende a cose come token di sicurezza collegati a thread o processi. In quanto tale, non ha una password nel senso che è possibile digitare qualcosa e accedere a esso, ma ha prove che dimostrano che è l'account SYSTEM al fine di impedire a un processo locale di impersonarlo.
Almost Everyone knows that we can run windows explorer under SYSTEM account and explore the SYSTEM profile but when i did it i often have difficulty like deleting ,renaming etc why?
La cosa importante da ricordare qui è che un processo può essere eseguito come SYSTEM ma ha ancora handle per gli oggetti che esistono in una sessione diversa. Tieni presente che le sessioni non sono le stesse degli utenti: sono oggetti contenitore creati per gli utenti quando accedono. Per impostazione predefinita, i servizi vengono eseguiti nella sessione null , che non è possibile visualizzare. Quando si esegue Explorer come SYSTEM nella propria sessione, i relativi handle di finestra sono presenti nella sessione corrente a cui si è effettuato l'accesso, ma sono di proprietà di SYSTEM. L'importante distinzione è che tu non possiedi quel processo o i suoi handle, ma tu possiedi la sessione in cui esiste la finestra.
Per quanto riguarda il motivo per cui hai avuto problemi con l'eliminazione e la ridenominazione, non sono sicuro. Non ho provato a eseguire explorer come SYSTEM in 8.1, ma in XP e Win7 funzionava perfettamente. Ti suggerisco di provare cmd
o qualcosa di simile piuttosto che Explorer.
Il mio consiglio sarebbe di leggere le sezioni del modello di sicurezza del libro Windows Internals di Mark Russinovich, che ha delle spiegazioni davvero approfondite su come funziona tutto questo.