10Aug
Wenn Sie neugierig sind und mehr darüber erfahren, wie Windows unter der Haube arbeitet, fragen Sie sich vielleicht, welche "account" aktiven Prozesse ausgeführt werden, wenn niemand bei Windows angemeldet ist. In diesem Sinne hat der heutige SuperUser Q & A-Beitrag Antworten für einen neugierigen Leser.
Heutige Frage &Die Antwortsitzung kommt dank SuperUser, einer Unterteilung von Stack Exchange, einer Community-gesteuerten Gruppierung von Q & A-Websites, zu uns.
Die Frage
SuperUser-Leser Kunal Chopra möchte wissen, welches Konto von Windows verwendet wird, wenn niemand angemeldet ist:
Wenn niemand bei Windows angemeldet ist und der Anmeldebildschirm angezeigt wird, unter welchem Benutzerkonto laufen die aktuellen Prozesse( Video- und Soundtreiber, Anmeldesitzung, Server-Software, Bedienungshilfen usw.)?Es kann kein Benutzer oder der vorherige Benutzer sein, da niemand angemeldet ist.
Was ist mit Prozessen, die von einem Benutzer gestartet wurden, aber nach dem Abmelden weiter ausgeführt werden( z. B. HTTP / FTP-Server und andere Netzwerkprozesse)?Wechseln sie zum Konto SYSTEM?Wenn ein vom Benutzer gestarteter Prozess auf das Konto SYSTEM umgestellt wird, weist dies auf eine sehr schwerwiegende Sicherheitsanfälligkeit hin. Läuft ein solcher Prozess, der von diesem Benutzer ausgeführt wird, unter dem Konto dieses Benutzers, nachdem er sich abgemeldet hat?
Aus diesem Grund erlaubt der SETHC-Hack, CMD als SYSTEM zu verwenden?
Welches Konto wird von Windows verwendet, wenn niemand eingeloggt ist?
Der Antwort
SuperUser Contributor grawity hat die Antwort für uns:
Wenn niemand bei Windows angemeldet ist und der Anmeldebildschirm angezeigt wird, unter welchem Benutzerkonto laufen die aktuellen Prozesse( Video- & Soundtreiber, Anmeldesitzung, beliebiger ServerSoftware, Bedienungshilfen usw.)
Fast alle Treiber laufen im Kernel-Modus;Sie benötigen kein Konto, es sei denn, sie starten ---Prozesse. Diese -User-Space--Treiber werden unter SYSTEM ausgeführt.
In Bezug auf die Login-Sitzung bin ich mir sicher, dass es auch SYSTEM verwendet. Sie können logonui.exe mit Process Hacker oder SysInternals Process Explorer anzeigen. In der Tat können Sie alles so sehen.
Bezüglich Server-Software, siehe Windows-Dienste unten.
Was ist mit Prozessen, die von einem Benutzer gestartet wurden, aber nach dem Abmelden weiterlaufen( z. B. HTTP / FTP-Server und andere Netzwerkprozesse)?Wechseln sie zum Konto SYSTEM?
Es gibt drei Arten hier:
- Plain Old Background Prozesse: Diese laufen unter dem gleichen Account wie derjenige, der sie gestartet hat und läuft nicht nach dem Abmelden. Der Abmeldeprozess tötet sie alle. HTTP / FTP-Server und andere Netzwerkprozesse werden nicht als normale Hintergrundprozesse ausgeführt. Sie laufen als Dienste.
- Windows Service Prozesse: Diese werden nicht direkt gestartet, sondern über den Service Manager .Standardmäßig können Dienste, die als LocalSystem ausgeführt werden( wobei isanae sagt, dass sie gleich SYSTEM ist), dedizierte Konten konfiguriert haben. Natürlich stört sich praktisch niemand. Sie installieren einfach XAMPP, WampServer oder eine andere Software und lassen sie als SYSTEM laufen( für immer ohne Patch).Auf neueren Windows-Systemen denke ich, dass Dienste auch ihre eigenen SIDs haben können, aber ich habe noch nicht viel darüber geforscht. Geplante
- -Tasks: Diese werden vom -Taskplaner-Dienst im Hintergrund gestartet und laufen immer unter dem in der Task konfigurierten Account( normalerweise derjenige, der die Task erstellt hat).
Wenn ein vom Benutzer gestarteter Prozess auf das Konto SYSTEM umgestellt wird, weist dies auf eine sehr schwerwiegende Sicherheitslücke hin.
Es handelt sich nicht um eine Sicherheitslücke, da Sie bereits über Administratorrechte verfügen müssen, um einen Dienst zu installieren. Mit Administratorrechten können Sie praktisch alles machen.
Siehe auch: Verschiedene andere Nicht-Schwachstellen der gleichen Art.
Lies dir den Rest dieser interessanten Diskussion durch den folgenden Thread-Link durch!
Haben Sie etwas zur Erklärung hinzuzufügen? Ton in den Kommentaren ab. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange Benutzern lesen? Sehen Sie sich den vollständigen Diskussionsfaden hier an.