- Les comptes utilisateurs et sessions de Windows 10 : le guide COMPLET
- Le contrôle des comptes utilisateurs (UAC) de Windows
- Le profil utilisateur dans Windows 11, Windows 10, 7, 8
- FAQ – compte utilisateur administrateur et standard sur Windows 10 et Windows 11
- Différence entre compte administrateur et utilisateur standard sur Windows
- Les utilisateurs AUTORITE NT
- Comment créer une session invité sur Windows 10
- Comment ajouter un utilisateur administrateur sur Windows 10, 11
- Créer un compte utilisateur non administrateur (utilisateur standard)
- Comment supprimer un utilisateur sur Windows 10
Les utilisateurs AUTORITE NT (NT AUTHORITY en anglais) sont des utilisateurs systèmes intégrés à Windows avec des privilèges plus élevés que celui du compte administrateur.
Il existe plusieurs comptes AUTORITE NT et sont utilisés par Windows pour lancer des processus systèmes ou services Windows.
Cette page donne une description de ces utilisateurs AUTORITE NT, à quoi ils servent et commencer démarrer des programmes avec l’utilisateur AUTORITE NT.
Elle est plutôt destinée aux utilisateurs avancés.
Table des matières
Introduction à l’utilisateur AUTORITE NT
Les utilisateurs AUTORITE NT sont généralement inconnus des utilisateurs Windows, sauf dans le cas de plantage système qui demandent un redémarrage de Windows.
La fenêtre suivante pouvait s’ouvrir du temps du ver Blaster ou après une infection par des rooktits kernel-mode instable – ex : Erreur Autorite NT\SYSTEM services.exe code 203/204
Le message est :
Arrêt du système. Veuillez enregistrer tous les travaux en cours et quitter votre session. Toutes les modifications non enregistrées seront perdues. Cet arrêt a été initié par AUTORITE NT\SYSTEM
puis en dessous, une erreur de service “Appel de procédure distance (RPC)”, un décompte a lieu et l’ordinateur doit redémarrer.
Cette fenêtre est donc lié à des services systèmes, lorsqu’un de ces services devient instable, Windows ne peut continuer de fonctionner et doit redémarrer.
Les comptes AUTORITE NT
Il existe trois comptes AUTORITE NT :
| Nom du compte | Nom du Compte | Privilèges (En plus de ceux des utilisateurs locaux) | Commentaires |
|---|---|---|---|
| NT AUTHORITE\LocalService | Compte de service local | SE_ASSIGNPRIMARYTOKEN_NAME (disabled) SE_AUDIT_NAME (disabled) SE_CHANGE_NOTIFY_NAME (enabled) SE_CREATE_GLOBAL_NAME (enabled) SE_IMPERSONATE_NAME (enabled) SE_INCREASE_QUOTA_NAME (disabled) SE_SHUTDOWN_NAME (disabled) SE_UNDOCK_NAME (disabled) | Un compte limité similaire au compte de service réseau mais qui se connecte au réseau en Anonyme. Ce compte n'a aucun mot de passe. SID: S-1-5-19 Profile : HKEY_USERS\S-1-5-19 |
| NT AUTHORITE\NetworkService | Compte service réseau | SE_ASSIGNPRIMARYTOKEN_NAME (disabled) SE_AUDIT_NAME (disabled) SE_CHANGE_NOTIFY_NAME (enabled) SE_CREATE_GLOBAL_NAME (enabled) SE_IMPERSONATE_NAME (enabled) SE_INCREASE_QUOTA_NAME (disabled) SE_SHUTDOWN_NAME (disabled) SE_UNDOCK_NAME (disabled) | Compte de service limité et beaucoup plus limité que le compte de Service local ou administrateurs mais peut accéder aux réseaux. Ce compte n'a aucun mot de passe. SID: S-1-5-20 Profil : HKEY_USERS\S-1-5-20 |
| AUTHORITE\LocalSystem ou NT AUTHORITY ou \LocalSystem | Compte système Local | SE_ASSIGNPRIMARYTOKEN_NAME (disabled) SE_AUDIT_NAME (enabled) SE_BACKUP_NAME (disabled) SE_CHANGE_NOTIFY_NAME (enabled) SE_CREATE_GLOBAL_NAME (enabled) SE_CREATE_PAGEFILE_NAME (enabled) SE_CREATE_PERMANENT_NAME (enabled) SE_CREATE_TOKEN_NAME (disabled) SE_DEBUG_NAME (enabled) SE_IMPERSONATE_NAME (enabled) SE_INC_BASE_PRIORITY_NAME (enabled) SE_INCREASE_QUOTA_NAME (disabled) SE_LOAD_DRIVER_NAME (disabled) SE_LOCK_MEMORY_NAME (enabled) SE_MANAGE_VOLUME_NAME (disabled) SE_PROF_SINGLE_PROCESS_NAME (enabled) SE_RESTORE_NAME (disabled) SE_SECURITY_NAME (disabled) SE_SHUTDOWN_NAME (disabled) SE_SYSTEM_ENVIRONMENT_NAME (disabled) SE_SYSTEMTIME_NAME (disabled) SE_TAKE_OWNERSHIP_NAME (disabled) SE_TCB_NAME (enabled) SE_UNDOCK_NAME (disabled) | Compte avec les privilèges les plus élevés sur Windows. Ce compte peut accéder aux réseaux comme n'importe quel utilisateur Windows local. Ce compte n'a aucun profil utilisateur. |
Certains utilisateurs AUTORITE NT sont utilisés pour démarrer des services Windows à travers le Service Control Manager (SCM) et possèdent des privilèges limités par rapport aux utilisateurs locaux.
Enfin AUTHORITE\LocalSystem lui possède des privilèges supplémentaires par rapport à un compte administrateur de Windows.
C’est l’utilisateur avec les privilèges les plus élevés sur Windows.
Dans la liste des services Windows, on retrouve à droite Système Local, Services Local ou Service Réseau.
Le mode de connexion du service, avec le nom d’utilisateur et mot de passe.
Exemple utilisation du privilège AUTORITE/NT
Sur Process Hacker, on voit clairement les utilisateurs NT AUTORITE et les services Windows démarrés avec mais aussi ceux démarrés avec le compte local (ici John).
Enfin, tout en haut les processus systèmes Windows smss.exe, csrss.exe, wininit.exe, services.exe et svchost démarrés avec AUTHORITE\LocalSystem
Les mots de passe sont stockés dans des sous-clés de HKLM\SECURITY\Policy\Secrets (non visible avec regedit) de la base de registre de Windows.
Depuis le gestionnaire de tâches de Windows, il n’est pas possible de tuer les processus AUTHORITE\SYSTEM puisque votre utilisateur a moins de privilèges que ce dernier.
C’est aussi pour cela que les antivirus sont lancés en tant que AUTHORITE\SYSTEM pour se protéger des terminaisons provenant de logiciels malveillants; mais aussi tenter d’avoir des privilèges plus élevés pour pouvoir les manipuler (tuer le processus etc).
Exemple Avast! :
Si par magie, vous parvenez à tuer un des processus système Windows smss.exe, csrss.exe, wininit.exe, services.exe et svchost
Cela peut provoquer l’erreur mentionné en introduction ou un plantage type BSOD.
Sur Windows 10, le code d’arrêt est CRITICAL_PROCESS_DIED :
Sur Windows 7, un BSOD STOP 0x000000F4 :
Exécuter une application en AUTORITE NT
Il est possible d’exécuter des applications en AUTORITE NT\SYSTEM afin d’obtenir les privilèges les plus élevés.
Process Hacker ou PSExec permet cela (psexec -i -s cmd.exe)
Avec Process Hacker
Sur Process Hacker, il faut utiliser le menu Menu Run As pour pouvoir lancer une application en AUTORITE/NT.
Remplissez le nom de la commande (ici cmd.exe pour l’invite de commandes, vous pouvez lancer explorer.exe si vous le souhaitez).
User Name, saisissez NT AUTHORITY\SYSTEM
La commande cmd.exe est bien exécuté avec l’utilisateur Système.
Vous pouvez vérifier avec Process Hacker dans la liste.
Cela ne permet pas forcément de supprimer des fichiers verrouillés par Windows.
Vous pouvez vous reporter à ce tuto pour les suppressions de fichiers difficiles : Comment supprimer un fichier insupprimable
Comme le montre ci-dessous, une fenêtre cmd.exe exécuté en NT AUTORITE\SYSTEM qui se prend des Accès refusé.
PowerRun
PowerRun est une application qui permet d’exécuter une application en système AUTORITE/NT.
Pour plus d’informations, suivre l’article : Accès refusé sur un dossier ou fichier : La méthode PowerRun
Liens
- Les utilisateurs et sessions Windows : le guide COMPLET
- Compte local VS compte Microsoft
- Comment créer un utilisateur sur Windows 10
- Comment ajouter un utilisateur administrateur sur Windows 10
- netplwiz : créer, supprimer les comptes utilisateurs Windows
- Comment supprimer un utilisateur sur Windows 10
- Comment changer le mot de passe d’un utilisateur Windows 10
- Comment créer une session invité sur Windows 10
- Profils utilisateurs dans Windows
- FAQ – compte utilisateur administrateur et standard sur Windows 10 et Windows 11
- Je n’arrive pas à ouvrir de session Windows 10 : comment faire ?
- Déverrouiller Windows 10 sans mot de passe
- Supprimer le mot de passe de Windows 10 pour démarrer sans mot de passe
- Comment activer le compte administrateur intégré sur Windows 10
- Comment créer un compte local (Non Microsoft) sur Windows 10 ou Windows 11
- Retrouver mot de passe Windows perdu ou oublié
- Réinitialiser le mot de passe perdu ou oublié sur Windows 10
- Comment supprimer le mot de passe après la mise en veille sur Windows 10
- Comment supprimer compte administrateur intégré Windows 11, 10