Se sei curioso e vuoi saperne di più su come funziona Windows sotto il cofano, potresti trovarti a chiederti con quale "account" sono in esecuzione processi attivi quando nessuno è connesso a Windows. Con questo in mente, il post di domande e risposte di SuperUser di oggi ha risposte per un lettore curioso.
La sessione di domande e risposte di oggi ci arriva per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento guidato dalla comunità di siti web di domande e risposte.
La domanda
Il lettore SuperUser Kunal Chopra vuole sapere quale account viene utilizzato da Windows quando nessuno è connesso:
Quando nessuno è connesso a Windows e viene visualizzata la schermata di accesso, con quale account utente sono in esecuzione i processi correnti (driver video e audio, sessione di accesso, software server, controlli di accessibilità, ecc.)? Non può essere nessun utente o l'utente precedente perché nessuno ha effettuato l'accesso.
E i processi che sono stati avviati da un utente ma continuano a essere eseguiti dopo la disconnessione (ad esempio, server HTTP / FTP e altri processi di rete)? Passano all'account SYSTEM? Se un processo avviato dall'utente viene trasferito all'account SYSTEM, ciò indica una vulnerabilità molto grave. Un tale processo eseguito da quell'utente continua a essere eseguito con l'account di quell'utente in qualche modo dopo che si è disconnesso?
È per questo che l'hack SETHC ti consente di utilizzare CMD come SISTEMA?
Quale account viene utilizzato da Windows quando nessuno è connesso?
La risposta
Il collaboratore di SuperUser grawity ha la risposta per noi:
Quando nessuno è connesso a Windows e viene visualizzata la schermata di accesso, con quale account utente sono in esecuzione i processi correnti (driver video e audio, sessione di accesso, software server, controlli di accessibilità, ecc.)?
Quasi tutti i driver vengono eseguiti in modalità kernel; non hanno bisogno di un account a meno che non inizino spazio utente processi. Quelli spazio utente i driver vengono eseguiti in SYSTEM.
Per quanto riguarda la sessione di login, sono sicuro che utilizzi anche SYSTEM. Puoi vedere logonui.exe usando Process Hacker o SysInternals Process Explorer . In effetti, puoi vedere tutto in questo modo.
Per quanto riguarda il software server, vedere i servizi Windows di seguito.
E i processi che sono stati avviati da un utente ma continuano a essere eseguiti dopo la disconnessione (ad esempio, server HTTP / FTP e altri processi di rete)? Passano all'account SYSTEM?
Ci sono tre tipi qui:
- Processi in background normali: vengono eseguiti con lo stesso account di chi li ha avviati e non vengono eseguiti dopo la disconnessione. Il processo di disconnessione li uccide tutti. I server HTTP / FTP e altri processi di rete non vengono eseguiti come normali processi in background. Funzionano come servizi.
- Processi del servizio Windows: non vengono avviati direttamente, ma tramite Responsabile del servizio . Per impostazione predefinita, i servizi vengono eseguiti come LocalSystem (che dice isanae è uguale a SYSTEM) può avere account dedicati configurati. Naturalmente, praticamente nessuno si preoccupa. Installano solo XAMPP, WampServer o qualche altro software e lo lasciano funzionare come SYSTEM (per sempre senza patch). Sui recenti sistemi Windows, penso che anche i servizi possano avere i propri SID, ma ancora una volta non ho ancora fatto molte ricerche su questo.
- Attività pianificate: vengono avviate da Servizio Utilità di pianificazione in background e sempre eseguito con l'account configurato nell'attività (di solito chi ha creato l'attività).
Se un processo avviato dall'utente viene trasferito all'account SYSTEM, ciò indica una vulnerabilità molto grave .
Non è una vulnerabilità perché tu deve già disporre dei privilegi di amministratore per installare un servizio. Avere già i privilegi di amministratore ti consente di fare praticamente tutto.
Guarda anche: Vari altre non vulnerabilità dello stesso tipo.
Assicurati di leggere il resto di questa interessante discussione tramite il collegamento del thread qui sotto!
Hai qualcosa da aggiungere alla spiegazione? Audio disattivato nei commenti. Vuoi leggere altre risposte da altri utenti esperti di tecnologia Stack Exchange? Dai un'occhiata al thread di discussione completo qui .
