Le compte System

groupe. On peut définir des permissions
NTFS pour le compte System,
mais on ne peut lui attribuer aucun
droit utilisateur.

Le compte System est puissant. On
ne peut pas lui dénier le droit de changer
des permissions. Autrement dit, si
vous limitez les permissions du
compte System, il peut rétablir les permissions
par défaut. Microsoft a voulu
qu’il en soit ainsi pour garantir un bon
fonctionnement de l’OS. Sur une installation
Win2K par défaut, le compte
System a libre accès à  tous les fichiers
d’un volume NTFS. Si des intrus peuvent exploiter un service Windows
fonctionnant sous le compte System,
ils peuvent lancer d’autres processus
ou accéder à  des fichiers sous le
contexte System. Un tel accès fait du
compte System une cible de choix
pour d’éventuels intrus.

Microsoft recommande de ne pas
enlever les permissions compte
System d’un fichier mais, dans certains cas, cette façon de faire atténuera la
vulnérabilité Win2K qui permet aux intrus
de lancer des processus sous le
contexte System. L’une de ces vulnérabilités
était le débordement du buffer
.Printer que le Microsoft Security
Bulletin MS01-023 (Unchecked Buffer
in ISAPI Extension Could Enable
Compromise of IIS 5.0 Server) mentionne.
Par conséquent, il faudra parfois limiter les fichiers auxquels le
compte System peut accéder.