A diferença entre SYSTEM e administradores não é de segurança, mas de segurança. É principalmente para evitar que as pessoas acidentalmente destruam arquivos importantes e chaves de registro. (Talvez também proteja contra malware não sofisticado, mas esse não é o objetivo principal aqui - os administradores podem fazer qualquer coisa se tentarem o suficiente.)
Os serviços do sistema são executados como SYSTEM porque essa conta é especificamente designada para uso por itens que não estão vinculados a um usuário específico. A conta SYSTEM também tem um privilégio especial - SeTcbPrivilege ou Atuar como parte do sistema operacional - que permite criar tokens de logon para qualquer usuário sem saber sua senha. Os administradores não têm esse privilégio por padrão (embora possam atribuí-lo a eles mesmos), porque não há razão para eles tirarem proveito disso - eles instalam aplicativos para gerenciar essas coisas. (Eles poderiam escrever seus próprios aplicativos para aproveitar esses poderes, no entanto.)
Você também mencionou a capacidade de alguns programas de não serem encerrados. Estes são chamados de processos protegidos e não podem ser terminados por qualquer processo do modo de usuário, nem mesmo por coisas executadas como SYSTEM . A proteção é imposta pelo kernel para impedir que os vírus adulterem programas antivírus.