Hvis du er nysgjerrig og lærer mer om hvordan Windows fungerer under panseret, kan det hende du lurer på hvilke “konto” -aktive prosesser som kjører under når ingen er logget på Windows. Med det i tankene har dagens SuperUser-spørsmål og svar svar for en nysgjerrig leser.
Dagens spørsmål og svar-økt kommer til oss med tillatelse fra SuperUser - en underavdeling av Stack Exchange, en samfunnsdrevet gruppe av spørsmål og svar-nettsteder.
Spørsmålet
SuperUser-leser Kunal Chopra vil vite hvilken konto som brukes av Windows når ingen er pålogget:
Når ingen er logget på Windows og påloggingsskjermen vises, hvilken brukerkonto kjører nåværende prosesser (video- og lyddrivere, påloggingsøkt, serverprogramvare, tilgjengelighetskontroller osv.)? Det kan ikke være noen bruker eller forrige bruker fordi ingen er logget på.
Hva med prosesser som er startet av en bruker, men som fortsetter å kjøre etter avlogging (for eksempel HTTP / FTP-servere og andre nettverksprosesser)? Bytter de til SYSTEM-kontoen? Hvis en brukerstartet prosess blir byttet til SYSTEM-kontoen, indikerer det en veldig alvorlig sårbarhet. Fortsetter en slik prosess som kjøres av brukeren under den brukerens konto på en eller annen måte etter at de har logget av?
Er dette grunnen til at SETHC-hacket lar deg bruke CMD som SYSTEM?
Hvilken konto brukes av Windows når ingen er pålogget?
Svaret
SuperUser bidragsyter grawity har svaret for oss:
Når ingen er logget på Windows og påloggingsskjermen vises, hvilken brukerkonto kjører nåværende prosesser (video- og lyddrivere, påloggingsøkt, serverprogramvare, tilgjengelighetskontroller osv.)?
Nesten alle drivere kjører i kjernemodus; de trenger ikke en konto med mindre de starter brukerrom prosesser. De brukerrom drivere kjører under SYSTEM.
Når det gjelder påloggingsøkten, er jeg sikker på at den også bruker SYSTEM. Du kan se logonui.exe ved hjelp av Process Hacker eller SysInternals Process Explorer . Faktisk kan du se alt på den måten.
Når det gjelder serverprogramvare, se Windows-tjenester nedenfor.
Hva med prosesser som er startet av en bruker, men som fortsetter å kjøre etter avlogging (for eksempel HTTP / FTP-servere og andre nettverksprosesser)? Bytter de til SYSTEM-kontoen?
Det er tre typer her:
- Vanlige gamle bakgrunnsprosesser: Disse kjøres under samme konto som den som startet dem, og kjører ikke etter avlogging. Avloggingsprosessen dreper dem alle. HTTP / FTP-servere og andre nettverksprosesser kjører ikke som vanlige bakgrunnsprosesser. De kjører som tjenester.
- Windows-tjenesteprosesser: Disse lanseres ikke direkte, men via Serviceleder . Som standard kjører tjenester som LocalSystem (som sier isanae er lik SYSTEM) kan konfigurere dedikerte kontoer. Selvfølgelig plager praktisk talt ingen. De installerer bare XAMPP, WampServer eller annen programvare og lar den kjøre som SYSTEM (for alltid upatchet). På de siste Windows-systemene tror jeg tjenester også kan ha sine egne SID-er, men igjen har jeg ikke gjort mye research på dette ennå.
- Planlagte oppgaver: Disse lanseres av Task Scheduler Service i bakgrunnen og kjør alltid under kontoen som er konfigurert i oppgaven (vanligvis den som opprettet oppgaven).
Hvis en brukerstartet prosess blir byttet til SYSTEM-kontoen, indikerer det en veldig alvorlig sårbarhet .
Det er ikke en sårbarhet fordi du må allerede ha administratorrettigheter for å installere en tjeneste. Å ha administratorrettigheter lar deg allerede gjøre praktisk talt alt.
Se også: Diverse andre ikke-sårbarheter av samme slag.
Sørg for å lese gjennom resten av denne interessante diskusjonen via trådlenken nedenfor!
Har du noe å legge til forklaringen? Lyd av i kommentarene. Vil du lese flere svar fra andre teknologikyndige Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her .
