Kateri račun Windows uporablja sistem, ko nihče ni prijavljen?

Če ste radovedni in spoznavate, kako operacijski sistem Windows deluje pod napetostjo, se boste morda spraševali, pod katerimi »aktivnimi procesi« se izvajajo, ko nihče ni prijavljen v Windows. S tem v mislih ima današnji SuperUser Q & A odgovor za radovednega bralca.

Današnja seja vprašanj in odgovorov prihaja z namenom SuperUser-a, ki je del skupine Stack Exchange, ki temelji na skupnostih spletnih mest za vprašanja in odgovore.

Vprašanje

Bralnik SuperUser Kunal Chopra želi vedeti, kateri račun uporablja Windows, ko nihče ni prijavljen:

Ko nihče ni prijavljen v Windows in se prikaže zaslon za prijavo, v katerem uporabniškem računu se izvajajo trenutni procesi (video in zvočni gonilniki, seja za prijavo, katera koli strežniška programska oprema, kontrole dostopnosti itd.)? Ne more biti noben uporabnik ali prejšnji uporabnik, ker nihče ni prijavljen.

Kaj pa procesi, ki jih je zagnal uporabnik, vendar se nadaljujejo po odjavi (na primer strežniki HTTP / FTP in drugi omrežni procesi)? Ali preidejo na račun SYSTEM? Če je postopek, ki ga je začel uporabnik, preklopljen na račun SYSTEM, to kaže na zelo resno ranljivost. Ali takšen postopek, ki ga izvaja ta uporabnik, še naprej teče pod tem uporabniškim računom, potem ko so se odjavili?

Ali je to razlog, da vam SETHC hack omogoča uporabo CMD kot SISTEMA?

Kateri račun uporablja Windows, ko nihče ni prijavljen?

Odgovor

Odzivnik SuperUser je odgovoren za nas:

Ko nihče ni prijavljen v sistem Windows in se prikaže zaslon za prijavo, v katerem uporabniškem računu se izvajajo trenutni procesi (video in zvočni gonilniki, seja za prijavo, katera koli strežniška programska oprema, nadzor dostopnosti itd.)?

Skoraj vsi gonilniki se izvajajo v načinu jedra; ne potrebujejo računa, če ne začnejo prostora uporabnika procesov. Tisti prostora uporabnika vozniki se izvajajo v sistemu SYSTEM.

V zvezi s prijavo sem prepričan, da uporablja tudi SISTEM. Ogledate si lahko logonui.exe z uporabo Process Hacker ali SysInternals Process Explorer. Pravzaprav lahko vse vidiš na ta način.

V zvezi s strežniško programsko opremo si oglejte spodnje storitve Windows.

Kaj pa procesi, ki jih je zagnal uporabnik, vendar se nadaljujejo po odjavi (na primer strežniki HTTP / FTP in drugi omrežni procesi)? Ali preklopijo na račun SYSTEM?

Tu so tri vrste:

1. Običajni stari procesi v ozadju: Ti se izvajajo pod istim računom kot kdorkoli, ki jih je zagnal in ne tečejo po odjavi. Proces odjave jih vse ubije. Strežniki HTTP / FTP in drugi omrežni procesi se ne izvajajo kot običajni procesi v ozadju. Delujejo kot storitve.
2. Windows servisni procesi: Ti se ne zaženejo neposredno, ampak preko Upravitelj storitev. Storitve se privzeto izvajajo kot LocalSystem (za katerega isanae pravi, da je enako SYSTEM), lahko imajo namenske račune konfigurirane. Seveda praktično nihče ne moti. Pravkar namestijo XAMPP, WampServer ali kakšno drugo programsko opremo in jo pustijo, da deluje kot SYSTEM (za vedno nepovrnjena). Na nedavnih sistemih Windows menim, da imajo lahko storitve tudi svoje lastne SID, vendar o tem še nisem opravil veliko raziskav.
3. Razporejena opravila: Te se zaženejo s strani Storitev načrtovalca opravil v ozadju in se vedno izvaja v računu, ki je konfiguriran v opravilu (običajno tisti, ki je ustvaril nalogo).

Če je postopek, ki ga je začel uporabnik, preklopljen na račun SYSTEM, to kaže na zelo resno ranljivost.

To ni ranljivost, ker morate za namestitev storitve že imeti skrbniške pravice. Če imate skrbniške pravice, vam to že omogoča praktično vse.

Poglej tudi: Različne druge ranljivosti iste vrste.

Preverite preostalo zanimivo razpravo preko spodnje povezave!

Imate kaj dodati pojasnilu? Zvok v komentarjih. Želite prebrati več odgovorov drugih uporabnikov tehnologije Stack Exchange? Oglejte si celotno nit razprave tukaj.