Les utilisateurs AUTORITE NT

Les utilisateurs AUTORITE NT (NT AUTHORITY en anglais) sont des utilisateurs systèmes intégrés à Windows avec des privilèges plus élevés que celui du compte administrateur.
Il existe plusieurs comptes AUTORITE NT et sont utilisés par Windows pour lancer des processus systèmes ou services Windows.
Cette page donne une description de ces utilisateurs AUTORITE NT, à quoi ils servent et commencer démarrer des programmes avec l’utilisateur AUTORITE NT.

Elle est plutôt destinée aux utilisateurs avancés.

Introduction

Les utilisateurs AUTORITE NT sont généralement inconnus des utilisateurs Windows, sauf dans le cas de plantage système qui demandent un redémarrage de Windows.
La fenêtre suivante pouvait s’ouvrir du temps du ver Blaster ou après une infection par des rooktits kernel-mode instable – ex : Erreur Autorite NT\SYSTEM services.exe code 203/204

Le message est :

Arrêt du système. Veuillez enregistrer tous les travaux en cours et quitter votre session. Toutes les modifications non enregistrées seront perdues. Cet arrêt a été initié par AUTORITE NT\SYSTEM

puis en dessous, une erreur de service « Appel de procédure distance (RPC) », un décompte a lieu et l’ordinateur doit redémarrer.

Cette fenêtre est donc lié à des services systèmes, lorsqu’un de ces services devient instable, Windows ne peut continuer de fonctionner et doit redémarrer.

Les comptes AUTORITE NT

Il existe trois comptes AUTORITE NT :

Nom du compteNom du ComptePrivilèges
(En plus de ceux des utilisateurs locaux)
Commentaires
NT AUTHORITE\LocalServiceCompte de service localSE_ASSIGNPRIMARYTOKEN_NAME (disabled)
SE_AUDIT_NAME (disabled)
SE_CHANGE_NOTIFY_NAME (enabled)
SE_CREATE_GLOBAL_NAME (enabled)
SE_IMPERSONATE_NAME (enabled)
SE_INCREASE_QUOTA_NAME (disabled)
SE_SHUTDOWN_NAME (disabled)
SE_UNDOCK_NAME (disabled)
Un compte limité similaire au compte de service réseau mais qui se connecte au réseau en Anonyme.

Ce compte n'a aucun mot de passe.
SID: S-1-5-19
Profile : HKEY_USERS\S-1-5-19
NT AUTHORITE\NetworkServiceCompte service réseauSE_ASSIGNPRIMARYTOKEN_NAME (disabled)
SE_AUDIT_NAME (disabled)
SE_CHANGE_NOTIFY_NAME (enabled)
SE_CREATE_GLOBAL_NAME (enabled)
SE_IMPERSONATE_NAME (enabled)
SE_INCREASE_QUOTA_NAME (disabled)
SE_SHUTDOWN_NAME (disabled)
SE_UNDOCK_NAME (disabled)
Compte de service limité et beaucoup plus limité que le compte de Service local ou administrateurs mais peut accéder aux réseaux.

Ce compte n'a aucun mot de passe.
SID: S-1-5-20
Profil : HKEY_USERS\S-1-5-20
AUTHORITE\LocalSystem ou NT AUTHORITY
ou \LocalSystem
Compte système LocalSE_ASSIGNPRIMARYTOKEN_NAME (disabled)
SE_AUDIT_NAME (enabled)
SE_BACKUP_NAME (disabled)
SE_CHANGE_NOTIFY_NAME (enabled)
SE_CREATE_GLOBAL_NAME (enabled)
SE_CREATE_PAGEFILE_NAME (enabled)
SE_CREATE_PERMANENT_NAME (enabled)
SE_CREATE_TOKEN_NAME (disabled)
SE_DEBUG_NAME (enabled)
SE_IMPERSONATE_NAME (enabled)
SE_INC_BASE_PRIORITY_NAME (enabled)
SE_INCREASE_QUOTA_NAME (disabled)
SE_LOAD_DRIVER_NAME (disabled)
SE_LOCK_MEMORY_NAME (enabled)
SE_MANAGE_VOLUME_NAME (disabled)
SE_PROF_SINGLE_PROCESS_NAME (enabled)
SE_RESTORE_NAME (disabled)
SE_SECURITY_NAME (disabled)
SE_SHUTDOWN_NAME (disabled)
SE_SYSTEM_ENVIRONMENT_NAME (disabled)
SE_SYSTEMTIME_NAME (disabled)
SE_TAKE_OWNERSHIP_NAME (disabled)
SE_TCB_NAME (enabled)
SE_UNDOCK_NAME (disabled)
Compte avec les privilèges les plus élevés sur Windows.
Ce compte peut accéder aux réseaux comme n'importe quel utilisateur Windows local.

Ce compte n'a aucun profil utilisateur.

Certains utilisateurs AUTORITE NT sont utilisés pour démarrer des services Windows à travers le Service Control Manager (SCM) et possèdent des privilèges limités par rapport aux utilisateurs locaux.
Enfin AUTHORITE\LocalSystem lui possède des privilèges supplémentaires par rapport à un compte administrateur de Windows.
C’est l’utilisateur avec les privilèges les plus élevés sur Windows.

Dans la liste des services Windows, on retrouve à droite Système Local, Services Local ou Service Réseau.

Le mode de connexion du service, avec le nom d’utilisateur et mot de passe.

Sur Process Hacker, on voit clairement les utilisateurs NT AUTORITE et les services Windows démarrés avec mais aussi ceux démarrés avec le compte local (ici John).
Enfin, tout en haut les processus systèmes Windows smss.exe, csrss.exe, wininit.exe, services.exe et svchost démarrés avec  AUTHORITE\LocalSystem

Les mots de passe sont stockés dans des sous-clés de HKLM\SECURITY\Policy\Secrets (non visible avec regedit) de la base de registre de Windows.

Depuis le gestionnaire de tâches de Windows, il n’est pas possible de tuer les processus AUTHORITE\SYSTEM puisque votre utilisateur a moins de privilèges que ce dernier.

C’est aussi pour cela que les antivirus sont lancés en tant que AUTHORITE\SYSTEM pour se protéger des terminaisons provenant de logiciels malveillants; mais aussi tenter d’avoir des privilèges plus élevés pour pouvoir les manipuler (tuer le processus etc).
Exemple Avast! :

Si par magie, vous parvenez à tuer un des processus système Windows smss.exe, csrss.exe, wininit.exe, services.exe et svchost
Cela peut provoquer l’erreur mentionné en introduction ou un plantage type BSOD.

Sur Windows 10, le code d’arrêt est CRITICAL_PROCESS_DIED :

Sur Windows 7, un BSOD STOP 0x000000F4 :

Lancer une application AUTORITE NT

Il est possible d’exécuter des applications en AUTORITE NT\SYSTEM afin d’obtenir les privilèges les plus élevés.
Process Hacker ou PSExec permet cela (psexec -i -s cmd.exe)

Sur Process Hacker :

Menu Run As..

Remplissez le nom de la commande (ici cmd.exe pour l’invite de commandes, vous pouvez lancer explorer.exe si vous le souhaitez).
User Name, saisissez NT AUTHORITY\SYSTEM

La commande cmd.exe est bien exécuté avec l’utilisateur Système.
Vous pouvez vérifier avec Process Hacker dans la liste.

Cela ne permet pas forcément de supprimer des fichiers verrouillés par Windows.
Vous pouvez vous reporter à ce tuto pour les suppressions de fichiers difficiles : Comment supprimer un fichier insupprimable
Comme le montre ci-dessous, une fenêtre cmd.exe exécuté en NT AUTORITE\SYSTEM qui se prend des Accès refusé.

Liens

Tous les tutoriels liés au compte administrateur et utilisateur de Windows :

(Visité 999 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet