La cuenta del SISTEMA es una pseudo cuenta similar, pero no idéntica, a root en Linux. Las dos diferencias principales son que (a) la cuenta del SISTEMA es una cuenta de servicio y, por lo tanto, no tiene un perfil de usuario, y (b) el modelo de permisos de Windows todavía aplica las ACL de tal manera que pueden existir objetos a los que el SISTEMA no puede acceder directamente (aunque Todavía puede otorgar un privilegio a un token y obtener acceso de esa manera).
La cuenta del SISTEMA es el nivel de privilegio más alto en el modelo de usuario de Windows. Existe para proporcionar propiedad a los objetos que se crean antes de que un usuario normal inicie sesión, como el Subsistema de Autoridad de Seguridad Local (LSASS) y el Subsistema de Administración de Sesiones (SMSS).
Para responder a sus preguntas directamente:
El subsistema de seguridad no reconoce la cuenta. ¿Qué significa?
Se es reconocido por el subsistema de seguridad, pero no existe estrictamente como usuario. Es un principio más que un usuario. Este concepto es un poco confuso, pero piénselo de esta manera: la computadora en sí no es un usuario, por lo que si le diera una cuenta de usuario a la computadora en sí, ¿sigue siendo realmente un usuario?
Quiero saber si esta cuenta tiene un nombre de perfil en Windows 7,8,8.1, etc.
No, no tiene un perfil. Esto también se aplica a otras cuentas de servicio, como SERVICIO LOCAL y SERVICIO DE RED. El caso especial de las cuentas de servicio local (incluido el SISTEMA) es que no existen fuera de la máquina a la que están conectadas, por lo que no forman parte del dominio. Puede tener cuentas de servicio de dominio, pero existen como parte de AD en lugar de cuentas en una máquina.
¿Por qué no podemos iniciar sesión en esa cuenta? ¿Por qué la cuenta no está asociada con ninguna cuenta de usuario que ha iniciado sesión?
La cuenta del SISTEMA es una cuenta de servicio, no una cuenta de usuario. No tiene un perfil de usuario asociado, por lo que no puede iniciar sesión con él. Simplemente está ahí para facilitar el funcionamiento del sistema por encima del nivel de usuario. Por ejemplo, los servicios asociados con los controladores deben ejecutarse en el momento del inicio, antes de que el usuario inicie sesión, por lo que se ejecutan como SISTEMA para que el proceso se ejecute durante el inicio y tengan los privilegios necesarios para comunicarse con los controladores (generalmente a través de IRP).
Si hacemos algo en la cuenta del SISTEMA, como cambiar el nombre de un archivo, se registra en el administrador de eventos
No más que cualquier otra cuenta. De hecho, puede habilitar la auditoría y otros registros como parte de las funciones de auditoría de su sistema de archivos o como parte de la política de seguridad local (o grupal), pero esto también se aplica a cualquier otra cuenta.
¿Esta cuenta tiene una contraseña? o nombre de usuario?
El nombre de usuario es solo SISTEMA. La pregunta de si tiene una contraseña o no es complicada. La respuesta simple es no, pero eso no cuenta la historia completa. Tiene algo que se llama evidencia , que es un término usado en el modelo de seguridad de Windows para indicar cualquier forma de identificación de datos que demuestre que usted es quien dice ser. Esto no es tan claro como las contraseñas o los certificados, sino que se extiende a elementos como los tokens de seguridad adjuntos a subprocesos o procesos. Como tal, no tiene una contraseña en el sentido de que podría escribir algo e iniciar sesión en ella, pero tiene pruebas que demuestran que es la cuenta del SISTEMA para evitar que un proceso local se haga pasar por ella.
Casi todo el mundo sabe que podemos ejecutar el Explorador de Windows en la cuenta del SISTEMA y explorar el perfil del SISTEMA, pero cuando lo hice, a menudo tengo dificultades como eliminar, cambiar el nombre, etc. ¿por qué?
Lo importante que se debe recordar aquí es que un proceso puede ejecutarse como SISTEMA, pero aún tiene controladores para los objetos que existen en una sesión diferente. Tenga en cuenta que las sesiones no son lo mismo que los usuarios, son objetos de contenedor que se crean instancias para los usuarios cuando inician sesión. De forma predeterminada, los servicios se ejecutan en la sesión null , que no puede ver. Cuando ejecuta Explorer como SYSTEM en su propia sesión, sus controles de ventana existen en la sesión actual en la que inició sesión, pero son propiedad de SYSTEM. La distinción importante es que usted no es dueño de ese proceso o de sus manejadores, pero usted posee la sesión en la que existe la ventana.
En cuanto a por qué tuvo problemas para eliminar y cambiar el nombre, no estoy seguro. No he intentado ejecutar explorer como SYSTEM en 8.1, pero en XP y Win7 funcionó bien. Sugeriría probar cmd o algo similar en lugar de Explorer.
Mi consejo sería leer las secciones de modelos de seguridad del libro Windows Internals de Mark Russinovich, que tienen explicaciones muy detalladas sobre cómo funciona todo esto.