Se você está curioso para saber mais sobre como o Windows funciona nos bastidores, talvez se pergunte em qual “conta” os processos ativos estão sendo executados quando ninguém está conectado ao Windows. Com isso em mente, a postagem de perguntas e respostas do superusuário de hoje tem respostas para um leitor curioso.
A sessão de perguntas e respostas de hoje chega até nós como cortesia do SuperUser - uma subdivisão do Stack Exchange, um grupo de sites de perguntas e respostas voltado para a comunidade
A questão
O leitor de superusuário Kunal Chopra quer saber qual conta é usada pelo Windows quando ninguém está conectado:
Quando ninguém está conectado ao Windows e a tela de login é exibida, em qual conta de usuário os processos atuais estão sendo executados (drivers de vídeo e som, sessão de login, qualquer software de servidor, controles de acessibilidade, etc.)? Não pode ser qualquer usuário ou o usuário anterior porque ninguém está conectado.
E os processos que foram iniciados por um usuário, mas continuam a ser executados após o logoff (por exemplo, servidores HTTP / FTP e outros processos de rede)? Eles mudam para a conta SYSTEM? Se um processo iniciado pelo usuário for alternado para a conta SYSTEM, isso indica uma vulnerabilidade muito séria. Esse processo executado por esse usuário continua a ser executado na conta desse usuário de alguma forma depois que ele faz logoff?
É por isso que o hack SETHC permite que você use o CMD como SISTEMA?
Qual conta é usada pelo Windows quando ninguém está conectado?
A resposta
Grawity, contribuidor do SuperUser, tem a resposta para nós:
Quando ninguém está conectado ao Windows e a tela de login é exibida, em qual conta de usuário os processos atuais estão sendo executados (drivers de vídeo e som, sessão de login, qualquer software de servidor, controles de acessibilidade, etc.)?
Quase todos os drivers são executados no modo kernel; eles não precisam de uma conta a menos que comecem espaço do usuário processos. Essa espaço do usuário drivers executados em SYSTEM.
No que diz respeito à sessão de login, tenho certeza que usa SYSTEM também. Você pode ver o logonui.exe usando Hacker de processo ou SysInternals Process Explorer . Na verdade, você pode ver tudo dessa forma.
Quanto ao software de servidor, consulte os serviços do Windows abaixo.
E os processos que foram iniciados por um usuário, mas continuam a ser executados após o logoff (por exemplo, servidores HTTP / FTP e outros processos de rede)? Eles mudam para a conta SYSTEM?
Existem três tipos aqui:
- Processos simples em segundo plano: eles são executados na mesma conta de quem os iniciou e não são executados após o logoff. O processo de logoff mata todos eles. Os servidores HTTP / FTP e outros processos de rede não são executados como processos regulares em segundo plano. Eles funcionam como serviços.
- Processos de serviço do Windows: não são iniciados diretamente, mas por meio do Gerente de Serviços . Por padrão, os serviços são executados como LocalSystem (que isanae diz é igual a SYSTEM) pode ter contas dedicadas configuradas. Claro, praticamente ninguém se incomoda. Eles apenas instalam o XAMPP, WampServer ou algum outro software e o deixam rodar como SYSTEM (para sempre sem patch). Em sistemas Windows recentes, acho que os serviços também podem ter seus próprios SIDs, mas, novamente, não fiz muita pesquisa sobre isso ainda.
- Tarefas agendadas: são iniciadas pelo Serviço Agendador de Tarefas em segundo plano e sempre executado na conta configurada na tarefa (geralmente quem criou a tarefa).
Se um processo iniciado pelo usuário for alternado para a conta SYSTEM, isso indica uma vulnerabilidade muito séria .
Não é uma vulnerabilidade porque você já deve ter privilégios de administrador para instalar um serviço. Ter privilégios de administrador já permite fazer praticamente tudo.
Veja também: Vários outras não vulnerabilidades do mesmo tipo.
Certifique-se de ler o resto desta discussão interessante através do link do tópico abaixo!
Tem algo a acrescentar à explicação? Som desligado nos comentários. Quer ler mais respostas de outros usuários do Stack Exchange com experiência em tecnologia? Confira o tópico de discussão completo aqui .
