10Aug
Pokud jste zvědaví a dozvíte se více o tom, jak funguje systém Windows pod kapotou, může se stát, že se divíte, které aktivní účty jsou spuštěny, když nikdo není přihlášen do systému Windows. S ohledem na to má dnešní příspěvek SuperUser Q & A odpovědi pro zvědavého čtenáře.
dnešní otázka &Odpověď na zasedání se k nám dostala s laskavým svolením SuperUser - podřízenou výměnou Stack Exchange, skupině webů Q & A založených na komunitě.
Otázka
Reader SuperUser Kunal Chopra chce vědět, který účet používá systém Windows, když nikdo není přihlášen:
Když se nikdo přihlásí do systému Windows a nezobrazí se přihlašovací obrazovka, který uživatelský účet jsou aktuální procesy spuštěné pod( video & zvukové ovladače, přihlašovací relace, jakýkoli serverový software, ovládací prvky pro usnadnění přístupu atd.)?Nemůže být žádný uživatel nebo předchozí uživatel, protože nikdo není přihlášen.
A co procesy, které uživatel spustil, ale nadále běží po odhlášení( například servery HTTP / FTP a další síťové procesy)?Přecházejí na účet SYSTEM?Pokud je proces spuštěný uživatelem přepnut na účet SYSTEM, znamená to velmi vážnou zranitelnost. Spouští se takový proces, který se nadále spouští pod tímto uživatelským účtem po odhlášení?
Z tohoto důvodu vám SETHC hack umožňuje používat CMD jako SYSTEM?
Který účet používá systém Windows, když nikdo není přihlášen?
Response
SuperUser Grawity přispěvatel má odpověď:
Když se nikdo přihlásí do systému Windows a nezobrazí se přihlašovací obrazovka, který uživatelský účet jsou aktuální procesy spuštěné pod( video a zvukové ovladače, relace přihlášení, libovolný serversoftware, ovládací prvky pro usnadnění přístupu atd.)?
Téměř všechny ovladače běží v režimu jádra;nepotřebují účet, dokud nezahájí procesy .Ovladače běží pod SYSTEM.
Pokud jde o přihlašovací relaci, jsem si jistý, že používá systém také.Pomocí programu Process Hacker nebo SysInternals Process Explorer můžete zobrazit soubor logonui.exe. Ve skutečnosti to všechno vidíte.
Pokud jde o serverový software, podívejte se na služby Windows níže.
A co procesy, které uživatel spustil, ale nadále běží po odhlášení( například servery HTTP / FTP a další síťové procesy)?Přecházejí na účet SYSTEM?
Existují tři druhy:
- Obyčejné staré procesy na pozadí: Ty běží pod stejným účtem jako ten, kdo je spustil a po odhlášení neběží.Proces odhlášení zabil všechny. Servery HTTP / FTP a další síťové procesy nefungují jako běžné procesy na pozadí.Pracují jako služby.
- Servisní procesy Windows: Tyto nejsou spuštěny přímo, ale prostřednictvím Správce služby .Ve výchozím nastavení služby spouštěné jako LocalSystem( což isanae říká, že se rovná systému) mohou mít vyhrazené účty nakonfigurovány. Samozřejmě, že se prakticky nikdo neobtěžuje. Prostě instalují XAMPP, WampServer nebo nějaký jiný software a nechávají jej fungovat jako SYSTEM( navždy nezpracovaný).Na nedávných systémech Windows se domnívám, že služby mohou mít také své vlastní SID, ale znovu jsem toho dosud ještě neprotestoval.
- Plánované úlohy: Tyto jsou spuštěny úloh Plánovač služby v pozadí a vždy spustit pod účtem nakonfigurován v úkolu( obvykle ten, kdo vytvořil úkol).
Pokud je proces spuštěný uživatelem přepnut na účet SYSTEM, znamená to velmi vážnou zranitelnost .
Nejedná se o chybu zabezpečení, protože musíte mít oprávnění správce k instalaci služby. S oprávněním administrátora již můžete prakticky dělat vše.
Podobně: Různé jiné nezranitelnosti stejného druhu.
Ujistěte se, že si přečtete zbytek této zajímavé diskuse prostřednictvím odkazu pod záhlaví níže!
Musíte něco přidat k vysvětlení?Zní to v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.