Který účet systému Windows používá systém, když nikdo není přihlášen?

Pokud jste zvědaví a dozvíte se více o tom, jak systém funguje pod kapotou systému Windows, můžete se zajímat, které aktivní procesy "účtu" jsou spuštěny, když nikdo není přihlášen do systému Windows. S ohledem na to má dnešní příspěvek SuperUser Q & A odpovědi pro zvědavého čtenáře.

Dnešní zasedání Otázky a odpovědi nás přichází s laskavým svolením SuperUser - podřízené rozdělení Stack Exchange, které je založeno na komunitě prostřednictvím skupin webových stránek.

Otázka

Čtečka SuperUser Kunal Chopra chce vědět, který účet používá systém Windows, když nikdo není přihlášen:

Když se nikdo nezapne do systému Windows a nezobrazí se přihlašovací obrazovka, který uživatelský účet jsou právě probíhající procesy (ovladače videa a zvuku, relace přihlášení, jakýkoli serverový software, ovládací prvky pro usnadnění přístupu atd.)? Nemůže být žádný uživatel nebo předchozí uživatel, protože nikdo není přihlášen.

A co procesy, které uživatel spustil, ale nadále běží po odhlášení (například servery HTTP / FTP a další síťové procesy)? Přecházejí na účet SYSTEM? Pokud je proces spuštěný uživatelem přepnut na účet SYSTEM, znamená to velmi vážnou zranitelnost. Spustí se takový proces, který tento uživatel nadále spouští pod účtem tohoto uživatele, jakmile se odhlásí?

To je důvod, proč SETHC hack umožňuje používat CMD jako SYSTEM?

Který účet používá systém Windows, když nikdo není přihlášen?

Odpověď

Příspěvek Grawity přispěvatele SuperUser má pro nás odpověď:

Když se do systému Windows přihlásí nikdo a zobrazí se přihlašovací obrazovka, který uživatelský účet jsou aktuální procesy spuštěné pod (ovladače videa a zvuku, přihlašovací relace, jakýkoli serverový software, ovládací prvky přístupnosti atd.),?

Téměř všechny ovladače běží v režimu jádra; nepotřebují účet, pokud nezačnou uživatelský prostor procesů. Ty uživatelský prostor ovladače běží pod SYSTEM.

Pokud jde o přihlašovací relaci, jsem si jistý, že používá systém také. Příručku logonui.exe můžete vidět pomocí nástroje Process Hacker nebo SysInternals Process Explorer. Ve skutečnosti to všechno vidíte.

Pokud jde o serverový software, podívejte se na služby Windows níže.

A co procesy, které uživatel spustil, ale nadále běží po odhlášení (například servery HTTP / FTP a další síťové procesy)? Přecházejí na účet SYSTÉM?

Tam jsou tři druhy:

1. Obyčejné staré procesy na pozadí: Ty běží pod stejným účtem jako ten, kdo je spustil a po odhlášení neběží. Proces odhlašování je všechny zabije. Servery HTTP / FTP a další síťové procesy nefungují jako běžné procesy na pozadí. Pracují jako služby.
2. Procesy Windows Service: Tyto nejsou spuštěny přímo, ale prostřednictvím Správce služeb. Ve výchozím nastavení služby běží jako LocalSystem (což isanae říká, že je rovnocenný systémem) mohou mít vyhrazené účty nakonfigurovány. Samozřejmě, prakticky nikdo neobtěžuje. Prostě instalují XAMPP, WampServer nebo nějaký jiný software a nechávají jej běžet jako SYSTEM (navždy nezpracovaný). Na nedávných systémech Windows se domnívám, že služby mohou mít také své vlastní SID, ale znovu jsem toho dosud neprodělal.
3. Plánované úlohy: Tyto jsou spuštěny Plánovač úloh v pozadí a vždy spustit pod účtem nakonfigurovaným v úkolu (obvykle ten, kdo vytvořil úkol).

Pokud je proces spuštěný uživatelem přepnut na účet SYSTEM, znamená to velmi vážnou zranitelnost.

Nejde o chybu zabezpečení, protože musíte mít oprávnění správce k instalaci služby. S oprávněním administrátora již můžete prakticky dělat vše.

Viz též: Různé jiné nezranitelnosti stejného druhu.

Nezapomeňte si přečíst zbytek této zajímavé diskuse prostřednictvím odkazu pod odkazem níže!

Musíte něco přidat k vysvětlení? Vyjměte v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.