Hvis du er nysgerrig og lærer mere om, hvordan Windows fungerer under emhætten, kan du måske undre dig over, hvilke “konto” aktive processer der kører, når ingen er logget ind i Windows. Med dette i tankerne har dagens SuperUser Q&A-indlæg svar til en nysgerrig læser.
Dagens spørgsmål og svar-session kommer til os med tilladelse fra SuperUser - en underinddeling af Stack Exchange, en community-driven gruppe af Q&A websteder.
Spørgsmålet
SuperUser-læser Kunal Chopra vil vide, hvilken konto der bruges af Windows, når ingen er logget ind:
Når ingen er logget ind på Windows, og login-skærmen vises, hvilken brugerkonto kører de aktuelle processer under (video- og lyddrivere, login-session, enhver serversoftware, tilgængelighedskontrol osv.)? Det kan ikke være nogen bruger eller den tidligere bruger, fordi ingen er logget ind.
Hvad med processer, der er startet af en bruger, men som fortsætter med at køre efter aflogning (f.eks. HTTP / FTP-servere og andre netværksprocesser)? Skifter de til SYSTEM-kontoen? Hvis en brugerstartet proces skiftes til SYSTEM-kontoen, indikerer det en meget alvorlig sårbarhed. Fortsætter en sådan proces, der køres af den bruger, under brugerens konto på en eller anden måde, efter at de er logget af?
Er det grunden til, at SETHC-hacket giver dig mulighed for at bruge CMD som SYSTEM?
Hvilken konto bruges af Windows, når ingen er logget ind?
Svaret
SuperUser-bidragydergravity har svaret til os:
Når ingen er logget ind på Windows, og login-skærmen vises, hvilken brugerkonto kører de aktuelle processer under (video- og lyddrivere, login-session, enhver serversoftware, tilgængelighedskontrol osv.)?
Næsten alle drivere kører i kernetilstand; de har ikke brug for en konto, medmindre de starter bruger-plads processer. De der bruger-plads drivers run under SYSTEM.
Med hensyn til login-sessionen er jeg sikker på, at den også bruger SYSTEM. Du kan se logonui.exe ved hjælp af Process Hacker eller SysInternals Process Explorer . Faktisk kan du se alt på den måde.
Hvad angår serversoftware, se Windows-tjenester nedenfor.
Hvad med processer, der er startet af en bruger, men som fortsætter med at køre efter aflogning (f.eks. HTTP / FTP-servere og andre netværksprocesser)? Skifter de til SYSTEM-kontoen?
Der er tre slags her:
- Almindelige gamle baggrundsprocesser: Disse kører under den samme konto som den, der startede dem, og kører ikke efter aflogning. Logoff-processen dræber dem alle. HTTP / FTP-servere og andre netværksprocesser kører ikke som almindelige baggrundsprocesser. De kører som tjenester.
- Windows-serviceprocesser: Disse lanceres ikke direkte, men via Servicechef . Som standard kører tjenester som LocalSystem (hvilket siger isanae er lig med SYSTEM) kan der er konfigureret dedikerede konti. Naturligvis generer næsten ingen. De installerer bare XAMPP, WampServer eller anden software og lader det køre som SYSTEM (for evigt ikke pakket). På de seneste Windows-systemer tror jeg, at tjenester også kan have deres egne SID'er, men igen har jeg ikke undersøgt meget om dette endnu.
- Planlagte opgaver: Disse lanceres af Task Scheduler Service i baggrunden og kør altid under den konto, der er konfigureret i opgaven (normalt den, der oprettede opgaven).
Hvis en brugerstartet proces skiftes til SYSTEM-kontoen, indikerer det en meget alvorlig sårbarhed .
Det er ikke en sårbarhed, fordi du skal allerede have administratorrettigheder for at installere en tjeneste. At have administratorrettigheder lader dig allerede gøre næsten alt.
Se også: Forskellige andre ikke-sårbarheder af samme slags.
Sørg for at læse resten af denne interessante diskussion via trådlinket nedenfor!
Har du noget at tilføje til forklaringen? Lyd fra i kommentarerne. Vil du læse flere svar fra andre teknisk kyndige Stack Exchange-brugere? Tjek den fulde diskussionstråd her .
