Ktorý účet systému Windows používa systém, keď nikto nie je prihlásený?

Ak ste zvedaví a dozvedeli sa viac o tom, ako funguje systém Windows pod kapotou, môžete zistiť, či sú spustené aktívne procesy v účte, keď nikto nie je prihlásený do systému Windows. S ohľadom na to má dnešný príspevok SuperUser Q & A odpovede pre zvedavého čitateľa.

Dnešná relácia otázok a odpovedí sa k nám pridelí zdvorilosťou SuperUser - podskupiny Stack Exchange, zoskupenia webových stránok typu Q & A.

Otázka

Čítačka SuperUser Kunal Chopra chce vedieť, ktorý účet používa systém Windows, keď nikto nie je prihlásený:

Keď sa nikto neprihlási do systému Windows a nezobrazí sa obrazovka prihlásenia, aký užívateľský účet sú súčasné procesy spúšťané pod (ovládače videa a zvuku, relácia prihlásenia, akýkoľvek serverový softvér, ovládacie prvky prístupnosti atď.)? Nemôže to byť žiadny užívateľ alebo predchádzajúci používateľ, pretože nikto nie je prihlásený.

A čo procesy, ktoré spustili používatelia, ale naďalej bežia po odhlásení (napríklad servery HTTP / FTP a iné sieťové procesy)? Prepínajú sa na účet SYSTÉM? Ak je proces spustený používateľom prepnutý na účet SYSTEM, znamená to veľmi vážnu zraniteľnosť. Spravuje takýto proces ten používateľ, aj keď sa odhlásil, aj naďalej bežať pod týmto používateľským účtom?

To je dôvod, prečo SETHC hack umožňuje používať CMD ako SYSTEM?

Ktorý účet používa systém Windows, keď nikto nie je prihlásený?

Odpoveď

Pripomienka SuperUser prispieva k nám:

Keď sa nikto neprihlási do systému Windows a nezobrazí sa obrazovka prihlásenia, ktorý užívateľský účet sú súčasné procesy spúšťané pod (ovládače videa a zvuku, relácia prihlásenia, akýkoľvek serverový softvér, ovládacie prvky prístupnosti atď.),?

Takmer všetky ovládače bežia v režime jadra; nepotrebujú účet, pokiaľ sa nezačnú user-space procesy. tí, user-space ovládače v systéme SYSTEM.

Pokiaľ ide o prihlasovacie relácie, som si istý, že používa aj SYSTEM. Môžete vidieť logonui.exe pomocou Process Hacker alebo SysInternals Process Explorer. V skutočnosti to všetko vidíte.

Pokiaľ ide o serverový softvér, pozrite nižšie služby Windows.

A čo procesy, ktoré spustili používatelia, ale naďalej bežia po odhlásení (napríklad servery HTTP / FTP a iné sieťové procesy)? Prepnú na účet SYSTÉM?

Existujú tri druhy:

1. Procesy s jednoduchým starým pozadím: tieto sa spúšťajú pod rovnakým účtom ako ten, kto ich začal, a po odhlásení sa nespúšťajú. Proces odhlásenia ich zabije. Servery HTTP / FTP a iné sieťové procesy nefungujú ako bežné procesy na pozadí. Pracujú ako služby.
2. Procesy služieb systému Windows: Nie sú spustené priamo, ale prostredníctvom služby Vedúci služby. Služba predvolene funguje ako LocalSystem (ktorá sa rovná SYSTEMS) a môže mať nakonfigurované vyhradené účty. Samozrejme, prakticky nikto neobťažuje. Jednoducho inštalujú XAMPP, WampServer alebo nejaký iný softvér a nechajú ho bežať ako SYSTEM (navždy nezapísaný). Na najnovších systémoch Windows si myslím, že služby môžu mať aj svoje vlastné SID, ale opäť som o tom ešte neurobil dosť výskumu.
3. Plánované úlohy: Tieto sú spustené Služba Plánovač úloh v pozadí a vždy spustiť pod účtom nakonfigurovaným v úlohe (zvyčajne ten, kto vytvoril úlohu).

Ak je proces spustený používateľom prepnutý na účet SYSTEM, znamená to veľmi vážnu zraniteľnosť.

Nie je to zraniteľnosť, pretože musíte mať oprávnenia správcu na inštaláciu služby. Právo administrátora vám už umožňuje prakticky všetko.

Pozri tiež: Rôzne iné nezraniteľnosti rovnakého druhu.

Nezabudnite si prečítať zvyšok tejto zaujímavej diskusie prostredníctvom nižšie uvedeného odkazu na vlákno!

Máte niečo doplniť vysvetlenie? Znie to v komentároch. Chcete sa dozvedieť viac odpovedí od iných používateľov technickej úrovne Stack Exchange? Pozrite sa na celý diskusný príspevok tu.