10Aug
Si vous êtes curieux et que vous en savez plus sur le fonctionnement de Windows, vous pouvez vous demander quels sont les processus actifs du "compte" en cours d'exécution lorsque personne n'est connecté à Windows. Dans cet esprit, SuperUser Q & A post d'aujourd'hui a des réponses pour un lecteur curieux.
Question d'aujourd'hui &La session de réponse nous est offerte par SuperUser, une subdivision de Stack Exchange, un regroupement communautaire de sites Web Q & A.
La question Lecteur
SuperUser Kunal Chopra veut savoir quel compte est utilisé par Windows lorsque personne n'est connecté:
Lorsque personne n'est connecté à Windows et que l'écran de connexion est affiché, quels sont les processus en cours( pilotes audio et vidéo, session de connexion, tout logiciel serveur, contrôles d'accessibilité, etc.)?Il ne peut s'agir d'aucun utilisateur ou de l'utilisateur précédent, car personne n'est connecté.
Qu'en est-il des processus démarrés par un utilisateur mais qui continuent à s'exécuter après la déconnexion( par exemple, serveurs HTTP / FTP et autres processus réseau)?Est-ce qu'ils basculent sur le compte SYSTEM?Si un processus démarré par l'utilisateur est basculé vers le compte SYSTEM, cela indique une vulnérabilité très sérieuse. Un tel processus exécuté par cet utilisateur continue-t-il à s'exécuter sous le compte de cet utilisateur après la déconnexion?
Est-ce la raison pour laquelle le hack SETHC vous permet d'utiliser CMD en tant que SYSTEM?
Quel compte est utilisé par Windows lorsque personne n'est connecté?
La réponse
SuperUser contributeur grawity a la réponse pour nous:
Lorsque personne n'est connecté à Windows et l'écran de connexion est affiché, quel compte d'utilisateur sont les processus en cours sous( pilotes audio & vidéo, session de connexion, n'importe quel serveurlogiciels, contrôles d'accessibilité, etc.)?
Presque tous les pilotes s'exécutent en mode noyau;ils n'ont pas besoin de compte sauf s'ils démarrent les processus de l'espace utilisateur .Les pilotes de l'espace utilisateur s'exécutent sous SYSTEM.
En ce qui concerne la session de connexion, je suis sûr qu'il utilise aussi SYSTEM.Vous pouvez voir logonui.exe en utilisant Process Hacker ou SysInternals Process Explorer. En fait, vous pouvez tout voir de cette façon.
Pour les logiciels serveur, voir les services Windows ci-dessous.
Qu'en est-il des processus qui ont été démarrés par un utilisateur mais continuent à s'exécuter après la déconnexion( par exemple, les serveurs HTTP / FTP et d'autres processus de mise en réseau)?Est-ce qu'ils basculent sur le compte SYSTEM?
Il y a trois types ici:
- Plain Old Background Processus: Ceux-ci s'exécutent sous le même compte que ceux qui les ont démarrés et ne s'exécutent pas après la déconnexion. Le processus de déconnexion les tue tous. Les serveurs HTTP / FTP et autres processus de mise en réseau ne s'exécutent pas en tant que processus d'arrière-plan réguliers. Ils fonctionnent comme des services.
- Processus de service Windows: Ils ne sont pas lancés directement, mais via le Service Manager .Par défaut, les services s'exécutent en tant que LocalSystem( dont isanae dit égal à SYSTEM) peut avoir des comptes dédiés configurés. Bien sûr, pratiquement personne ne dérange. Ils installent simplement XAMPP, WampServer ou un autre logiciel et le laissent fonctionner en tant que SYSTEM( pour toujours non corrigé).Sur les systèmes Windows récents, je pense que les services peuvent également avoir leurs propres SID, mais encore une fois, je n'ai pas encore fait beaucoup de recherches à ce sujet. Tâches planifiées
- : elles sont lancées en arrière-plan par le service Task Scheduler Service et sont toujours exécutées sous le compte configuré dans la tâche( généralement celui qui a créé la tâche).
Si un processus démarré par l'utilisateur est basculé sur le compte SYSTEM, cela indique une vulnérabilité très sérieuse .
Ce n'est pas une vulnérabilité, car vous devez déjà avoir des privilèges d'administrateur pour installer un service. Avoir les privilèges d'administrateur vous permet déjà de faire pratiquement tout.
Voir aussi: Diverses autres non-vulnérabilités du même genre.
Assurez-vous de lire le reste de cette discussion intéressante via le lien ci-dessous!
Avoir quelque chose à ajouter à l'explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d'autres utilisateurs de Stack Exchange? Découvrez le fil de discussion complet ici.