Jeśli jesteś ciekawy i dowiesz się więcej o tym, jak system Windows działa pod maską, możesz się zastanawiać, w których aktywnych procesach „konta” działają, gdy nikt nie jest zalogowany do systemu Windows. Mając to na uwadze, dzisiejszy post z pytaniami i odpowiedziami dla SuperUser zawiera odpowiedzi dla ciekawskiego czytelnika.
Dzisiejsza sesja pytań i odpowiedzi jest dostępna dzięki uprzejmości SuperUser - części Stack Exchange, grupy witryn internetowych z pytaniami i odpowiedziami.
Pytanie
Czytnik SuperUser Kunal Chopra chce wiedzieć, które konto jest używane przez system Windows, gdy nikt nie jest zalogowany:
Kiedy nikt nie jest zalogowany do systemu Windows i wyświetlany jest ekran logowania, na jakim koncie użytkownika działają bieżące procesy (sterowniki wideo i dźwięku, sesja logowania, oprogramowanie serwera, kontrola dostępności itp.)? Nie może to być żaden użytkownik ani poprzedni użytkownik, ponieważ nikt nie jest zalogowany.
A co z procesami, które zostały uruchomione przez użytkownika, ale nadal działają po wylogowaniu (na przykład serwery HTTP / FTP i inne procesy sieciowe)? Czy przechodzą na konto SYSTEM? Jeśli proces uruchomiony przez użytkownika zostanie przełączony na konto SYSTEM, oznacza to bardzo poważną lukę. Czy taki proces uruchomiony przez tego użytkownika nadal działa na koncie tego użytkownika po jego wylogowaniu?
Czy to dlatego hack SETHC pozwala używać CMD jako SYSTEMU?
Które konto jest używane przez system Windows, gdy nikt nie jest zalogowany?
Odpowiedź
Grawitacja dostawcy SuperUser ma dla nas odpowiedź:
Kiedy nikt nie jest zalogowany do systemu Windows i wyświetlany jest ekran logowania, na jakim koncie użytkownika działają bieżące procesy (sterowniki wideo i dźwięku, sesja logowania, oprogramowanie serwera, kontrola dostępności itp.)?
Prawie wszystkie sterowniki działają w trybie jądra; nie potrzebują konta, chyba że zaczną przestrzeń użytkownika procesy. Te przestrzeń użytkownika sterowniki działają w systemie.
Jeżeli chodzi o sesję logowania, to jestem pewien, że używa ona również SYSTEMU. Możesz zobaczyć logonui.exe używając Process Hacker lub Eksplorator procesów SysInternals . W rzeczywistości możesz zobaczyć wszystko w ten sposób.
Jeśli chodzi o oprogramowanie serwera, zobacz usługi Windows poniżej.
A co z procesami, które zostały uruchomione przez użytkownika, ale nadal działają po wylogowaniu (na przykład serwery HTTP / FTP i inne procesy sieciowe)? Czy przechodzą na konto SYSTEM?
Istnieją trzy rodzaje:
- Zwykłe procesy w tle: są uruchamiane na tym samym koncie, co osoba, która je uruchomiła, i nie działają po wylogowaniu. Proces wylogowania zabija je wszystkie. Serwery HTTP / FTP i inne procesy sieciowe nie działają jako zwykłe procesy w tle. Działają jako usługi.
- Procesy usług systemu Windows: nie są uruchamiane bezpośrednio, ale za pośrednictwem Kierownik serwisu . Domyślnie usługi działają jako LocalSystem (który Isanae mówi równa się SYSTEM) może mieć skonfigurowane dedykowane konta. Oczywiście praktycznie nikt się tym nie przejmuje. Po prostu instalują XAMPP, WampServer lub inne oprogramowanie i pozwalają mu działać jako SYSTEM (na zawsze bez poprawki). Myślę, że w najnowszych systemach Windows usługi mogą również mieć własne identyfikatory SID, ale znowu nie przeprowadziłem jeszcze wielu badań na ten temat.
- Zaplanowane zadania: są uruchamiane przez Usługa harmonogramu zadań w tle i zawsze uruchamiane na koncie skonfigurowanym w zadaniu (zwykle jest to osoba, która utworzyła zadanie).
Jeśli proces uruchomiony przez użytkownika zostanie przełączony na konto SYSTEM, oznacza to bardzo poważną lukę .
To nie jest luka, ponieważ ty musi mieć już uprawnienia administratora zainstalować usługę. Posiadanie uprawnień administratora pozwala już zrobić praktycznie wszystko.
Zobacz też: Różny inne niezabezpieczenia tego samego rodzaju.
Koniecznie przeczytaj resztę tej interesującej dyskusji za pośrednictwem poniższego linku do wątku!
Masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych zaawansowanych technicznie użytkowników Stack Exchange? Sprawdź cały wątek dyskusji tutaj .
