Pokud jste zvědaví a dozvíte se více o tom, jak Windows funguje pod kapotou, možná vás zajímá, pod kterým „účtem“ běží aktivní procesy, když do Windows není nikdo přihlášen. S ohledem na to má dnešní příspěvek SuperUser Q&A odpovědi pro zvědavého čtenáře.
Dnešní relace Otázky a odpovědi k nám přichází s laskavým svolením SuperUser - členění Stack Exchange, komunitního seskupení webů otázek a odpovědí.
Otázka
Čtečka SuperUser Kunal Chopra chce vědět, který účet používá Windows, když není nikdo přihlášen:
Pokud do systému Windows není nikdo přihlášen a zobrazí se přihlašovací obrazovka, pod kterým uživatelským účtem jsou spuštěny aktuální procesy (ovladače videa a zvuku, relace přihlášení, jakýkoli serverový software, ovládací prvky přístupnosti atd.)? Nemůže to být žádný uživatel ani předchozí uživatel, protože nikdo není přihlášen.
A co procesy, které byly spuštěny uživatelem, ale běží i po odhlášení (například servery HTTP / FTP a další síťové procesy)? Přepnou na účet SYSTEM? Pokud je proces spuštěný uživatelem přepnut na účet SYSTEM, znamená to velmi závažnou chybu zabezpečení. Pokračuje takový proces spuštěný daným uživatelem pod jeho účtem nějak i po jeho odhlášení?
Z tohoto důvodu vám hack SETHC umožňuje používat CMD jako SYSTÉM?
Který účet používá Windows, když nikdo není přihlášen?
Odpověď
Přispěvatel SuperUser má pro nás odpověď:
Pokud do systému Windows není nikdo přihlášen a zobrazí se přihlašovací obrazovka, pod kterým uživatelským účtem jsou spuštěny aktuální procesy (ovladače videa a zvuku, relace přihlášení, jakýkoli serverový software, ovládací prvky přístupnosti atd.)?
Téměř všechny ovladače běží v režimu jádra; nepotřebují účet, pokud nezačnou uživatelský prostor procesy. Ty uživatelský prostor ovladače běží pod SYSTÉMEM.
Pokud jde o relaci přihlášení, jsem si jistý, že také používá SYSTÉM. Můžete vidět logonui.exe pomocí Procesní hacker nebo Průzkumník procesu SysInternals . Ve skutečnosti můžete vidět všechno tímto způsobem.
Pokud jde o serverový software, viz služby Windows níže.
A co procesy, které byly spuštěny uživatelem, ale běží i po odhlášení (například servery HTTP / FTP a další síťové procesy)? Přepnou na účet SYSTEM?
Existují tři druhy:
- Prosté staré procesy na pozadí: Tyto běží pod stejným účtem jako kdokoli, kdo je spustil, a nespustí se po odhlášení. Proces odhlášení je všechny zabije. Servery HTTP / FTP a další síťové procesy nefungují jako běžné procesy na pozadí. Fungují jako služby.
- Procesy služby Windows: Tyto procesy se nespouštějí přímo, ale prostřednictvím služby Windows Manažer služeb . Ve výchozím nastavení jsou služby spuštěny jako LocalSystem (což říká Isanae equals SYSTEM) může mít nakonfigurované vyhrazené účty. Samozřejmě to prakticky nikdo neobtěžuje. Stačí nainstalovat XAMPP, WampServer nebo nějaký jiný software a nechat jej běžet jako SYSTÉM (navždy neopravený). V nedávných systémech Windows si myslím, že služby mohou mít také své vlastní SID, ale opět jsem o tom ještě neprovedl velký průzkum.
- Naplánované úkoly: Tyto úlohy spouští Služba plánovače úloh na pozadí a vždy běžet pod účtem nakonfigurovaným v úkolu (obvykle ten, kdo úkol vytvořil).
Pokud je proces spuštěný uživatelem přepnut na účet SYSTEM, znamená to velmi závažnou chybu zabezpečení .
Nejde o zranitelnost, protože ty již musí mít oprávnění správce k instalaci služby. Již oprávnění správce vám umožní dělat prakticky všechno.
Viz také: Rozličný jiné nezranitelnosti stejného druhu.
Nezapomeňte si přečíst zbytek této zajímavé diskuse prostřednictvím odkazu na vlákno níže!
Máte co dodat k vysvětlení? Zvuk v komentářích. Chcete si přečíst více odpovědí od ostatních technicky zdatných uživatelů Stack Exchange? Podívejte se na celé diskusní vlákno zde .
