Jeśli jesteś ciekawy i dowiadujesz się więcej o tym, jak działa system Windows pod maską, możesz się zastanawiać, które aktywne procesy "konta" działają, gdy nikt nie jest zalogowany do systemu Windows. Mając to na uwadze, dzisiejszy post pytań i odpowiedzi dla SuperUser zawiera odpowiedzi dla ciekawskiego czytelnika.
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, społecznościowego forum z pytaniami i odpowiedziami.
Czytnik SuperUser Kunal Chopra chce wiedzieć, które konto jest używane przez system Windows, gdy nikt nie jest zalogowany:
Gdy nikt nie jest zalogowany do systemu Windows i wyświetlany jest ekran logowania, na którym koncie użytkownika znajdują się bieżące procesy uruchomione w ramach (sterowniki wideo i dźwięku, sesja logowania, oprogramowanie serwera, kontrola dostępu itp.)? Nie może to być żaden użytkownik ani poprzedni użytkownik, ponieważ nikt nie jest zalogowany.
A co z procesami, które zostały uruchomione przez użytkownika, ale nadal działają po wylogowaniu (na przykład serwery HTTP / FTP i inne procesy sieciowe)? Czy przełączają się na konto SYSTEM? Jeśli proces uruchamiany przez użytkownika zostanie przełączony na konto SYSTEM, oznacza to bardzo poważną lukę. Czy taki proces uruchamiany przez tego użytkownika nadal działa w ramach konta tego użytkownika po jego wylogowaniu?
Czy dlatego hak SETHC pozwala używać CMD jako SYSTEM?
Którego konta używa system Windows, gdy nikt nie jest zalogowany?
Nadawca SuperUser ma dla nas odpowiedź:
Gdy nikt nie jest zalogowany do systemu Windows i wyświetlany jest ekran logowania, na którym koncie użytkownika znajdują się bieżące procesy uruchomione w ramach (sterowniki wideo i dźwięku, sesja logowania, oprogramowanie serwera, kontrola dostępu itp.)?
Prawie wszystkie sterowniki działają w trybie jądra; nie potrzebują konta, chyba że zaczną przestrzeń użytkownika procesy. Te przestrzeń użytkownika sterowniki działają w SYSTEMIE.
Jeśli chodzi o sesję logowania, jestem pewien, że używa ona również SYSTEM. Możesz zobaczyć logonui.exe za pomocą Process Hacker lub SysInternals Process Explorer. W rzeczywistości wszystko można zobaczyć w ten sposób.
Jeśli chodzi o oprogramowanie serwera, zobacz Usługi systemu Windows poniżej.
A co z procesami, które zostały uruchomione przez użytkownika, ale nadal działają po wylogowaniu (na przykład serwery HTTP / FTP i inne procesy sieciowe)? Czy przełączają się na konto SYSTEM?
Istnieją trzy rodzaje:
- Zwykłe stare procesy w tle: działają one pod tym samym kontem, co każdy, kto je uruchomił i nie działają po wylogowaniu. Proces wylogowywania zabija ich wszystkich. Serwery HTTP / FTP i inne procesy sieciowe nie działają jako zwykłe procesy działające w tle. Działają jako usługi.
- Procesy usług Windows: nie są uruchamiane bezpośrednio, ale za pośrednictwem Kierownik serwisu. Domyślnie usługi działają jako LocalSystem (który isanae mówi, że SYSTEM) może mieć skonfigurowane dedykowane konta. Oczywiście, praktycznie nikt nie zawraca sobie głowy. Po prostu instalują XAMPP, WampServer lub inne oprogramowanie i pozwalają działać jako SYSTEM (na zawsze niezarejestrowany). W ostatnich systemach Windows uważam, że usługi mogą mieć również własne identyfikatory SID, ale jeszcze nie przeprowadziłem zbyt wielu badań na ten temat.
- Zaplanowane zadania: są uruchamiane przez Usługa Task Scheduler w tle i zawsze działa pod kontem skonfigurowanym w zadaniu (zwykle kto utworzył zadanie).
Jeśli proces uruchamiany przez użytkownika zostanie przełączony na konto SYSTEM, oznacza to bardzo poważną lukę.
Nie jest to usterka, ponieważ musisz już mieć uprawnienia administratora, aby zainstalować usługę. Posiadanie uprawnień administratora pozwala już robić praktycznie wszystko.
Zobacz też: Różne inne słabe punkty tego samego rodzaju.
Przeczytaj całą resztę tej ciekawej dyskusji za pomocą poniższego linku do wątku!
Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.