Jos olet utelias ja opit lisää siitä, miten Windows toimii konepellin alla, saatat huomata itsesi miettivän, minkä "tilin" aktiiviset prosessit ovat käynnissä, kun kukaan ei ole kirjautunut Windowsiin. Tässä mielessä tämän päivän SuperUser Q & A -viestissä on vastauksia utelias lukijalle.
Tämän päivän Kysymys- ja vastausistunto tulee meille SuperUser-yhteisöstään, joka on Stack Exchangen osasto.
Kysymys
SuperUser-lukija Kunal Chopra haluaa tietää, mitä tiliä Windows käyttää, kun kukaan ei ole kirjautunut sisään:
Kun kukaan ei ole kirjautunut Windowsiin ja kirjautumisnäyttö tulee näkyviin, mikä käyttäjätili on käynnissä olevat prosessit (video- ja ääniohjaimet, sisäänkirjautumisistunto, mikä tahansa palvelinohjelmisto, esteettömyyden hallinta jne.) Se ei voi olla kukaan käyttäjä tai edellinen käyttäjä, koska kukaan ei ole kirjautunut sisään.
Entä prosessit, jotka käyttäjä on aloittanut, mutta jotka jatkavat toimintaa kirjautumisen jälkeen (esimerkiksi HTTP / FTP-palvelimet ja muut verkkoprosessit)? Vaihdetaanko he SYSTEM-tilille? Jos käyttäjän käynnistämä prosessi vaihdetaan SYSTEM-tilille, se tarkoittaa erittäin vakavaa haavoittuvuutta. Jatkooko kyseisen käyttäjän suorittama tällainen prosessi jollakin tavalla kirjautumisen jälkeen?
Siksi SETHC-hakkeroinnin avulla voit käyttää CMD: tä JÄRJESTELMÄNÄ?
Mitä tiliä Windows käyttää, kun kukaan ei ole kirjautunut sisään?
Vastaus
SuperUser-avustajan grawitylla on vastaus meille:
Kun kukaan ei ole kirjautunut Windowsiin ja kirjautumisnäyttö tulee näkyviin, mikä käyttäjätili on käynnissä olevat prosessit (video- ja ääniohjaimet, sisäänkirjautumisistunto, mikä tahansa palvelinohjelmisto, esteettömyyden hallinta jne.)
Lähes kaikki ohjaimet toimivat ytintilassa; he eivät tarvitse tiliä, elleivät he aloita käyttäjä-tila prosessit. Nuo käyttäjä-tila kuljettajat ajavat SYSTEM-järjestelmän alla.
Sisäänkirjautumisistunnon osalta olen varma, että se käyttää myös SYSTEM-järjestelmää. Voit nähdä logonui.exe-tiedoston Prosessi hakkeri tai SysInternals Process Explorer . Itse asiassa voit nähdä kaiken tällä tavalla.
Palvelinohjelmistojen osalta katso alla olevat Windows-palvelut.
Entä prosessit, jotka käyttäjä on aloittanut, mutta jotka jatkavat toimintaa kirjautumisen jälkeen (esimerkiksi HTTP / FTP-palvelimet ja muut verkkoprosessit)? Vaihdetaanko he SYSTEM-tilille?
Täällä on kolme erilaista:
- Tavalliset vanhat taustaprosessit: Nämä suoritetaan samalla tilillä kuin kuka aloitti ne eivätkä käynnisty kirjautumisen jälkeen. Kirjautumisprosessi tappaa heidät kaikki. HTTP / FTP-palvelimet ja muut verkkoprosessit eivät toimi normaalina taustaprosessina. Ne toimivat palveluina.
- Windows-palveluprosessit: Niitä ei käynnistetä suoraan, vaan Palvelupäällikkö . Oletusarvoisesti palvelut toimivat nimellä LocalSystem (mikä isanae sanoo sama kuin SYSTEM) voi määrittää omat tilit. Tietysti käytännössä kukaan ei häiritse. He vain asentavat XAMPP: n, WampServerin tai jonkin muun ohjelmiston ja antavat sen toimia SYSTEM: nä (ikuisesti unpatched). Viimeaikaisissa Windows-järjestelmissä mielestäni palveluilla voi olla myös omat SID-tunnuksensa, mutta en ole vielä tehnyt asiasta paljon tutkimusta.
- Ajoitetut tehtävät: Tehtävien ajoituspalvelu taustalla ja aja aina tehtävässä määritetyn tilin alla (yleensä kuka tahansa tehtävän luonut).
Jos käyttäjän käynnistämä prosessi vaihdetaan SYSTEM-tilille, se tarkoittaa erittäin vakavaa haavoittuvuutta .
Se ei ole haavoittuvuus, koska sinä on jo oltava järjestelmänvalvojan oikeudet palvelun asentamiseksi. Jos sinulla on järjestelmänvalvojan oikeudet, voit tehdä kaiken käytännössä.
Katso myös: Eri muut ei-heikkoudet samanlaisia.
Muista lukea loput tästä mielenkiintoisesta keskustelusta alla olevan linkkilinkin kautta!
Onko sinulla jotain lisättävää selitykseen? Ääni pois kommenteista. Haluatko lukea lisää vastauksia muilta teknisesti taitavilta Stack Exchangen käyttäjiltä? Katso koko keskusteluketju täältä .
