NETWORK SERVICE属于
Windows诸多安全主体中的一个,用于作为
服务用户登录系统,可以访问网络。用户无法通过
登录界面正常登录,也无法以此权限正常创建交互式服务来让用户直接操作。以这个账户运行的服务会根据实际环境把访问凭据提交给远程的计算机。此账户默认没有密码。一般情况下,需要访问网络而不需要管理员权限的服务都是以这个权限运行的。它拥有本机部分权限并以计算机的名义访问网络资源。
以NETWORK SERVICE权限运行的程序无法访问内核
驱动程序,无法访问除“
系统中断”、“
System”和“系统空闲处理器百分比”之外的所有进程。该账户可以访问Active Directory,如果是在网络上运行服务,则日志会存在服务器,否则存在本地。这个账户也可以用于启动一些
SQL Server的服务。
拒绝访问(所有“
System Volume Information”文件夹及其子文件和子文件夹和所有其他用户配置文件夹)
Network Service 帐户是特别设计的,专用于为应用程序提供访问网络的足够权限,而且在
IIS6 中,无需提升权限即可运行 Web 应用程序。这对于 IIS 安全性来说,是一个特大的消息,因为不存在缓冲溢出,怀有恶意的应用程序无法破译进程标识,或是对应用程序的攻击不能进入 System 用户环境。更为重要的一点是,再也不能形成针对
System帐户的“后门”,例如,再也无法通过 InProcessIsapiApps 元数据库项利用加载到 Inetinfo 的应用程序。
Network Service 帐户在创建时不仅仅考虑了在 IIS 6 中的应用。它还具有进程标识 W3WP.exe 的绝大部分(并不是全部)权限。如同 ASPNET 用户为了运行 ASP.net 应用程序,需要具有 IIS 5 服务器上某些位置的访问权限,进程标识 W3WP.exe 也需要具有类似位置的访问权限,而且还需要一些默认情况下没有指派给内置组的权限。