10Aug
Si tiene curiosidad y está aprendiendo más acerca de cómo funciona Windows bajo el capó, entonces puede que se pregunte qué procesos activos de "cuenta" se están ejecutando cuando nadie inicia sesión en Windows. Con esto en mente, la publicación SuperUser Q & A de hoy tiene respuestas para un lector curioso.
Pregunta de hoy &La sesión de respuesta nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación de sitios web Q & A dirigida por la comunidad.
El lector de SuperUser
de preguntas Kunal Chopra desea saber qué cuenta usa Windows cuando nadie está conectado:
Cuando nadie inicia sesión en Windows y aparece la pantalla de inicio de sesión, ¿con qué cuenta de usuario se están ejecutando los procesos actuales?controladores de sonido y video, sesión de inicio de sesión, cualquier software de servidor, controles de accesibilidad, etc.)?No puede ser ningún usuario o el usuario anterior porque nadie ha iniciado sesión.
¿Qué sucede con los procesos que un usuario ha iniciado pero continúa ejecutando después de cerrar la sesión( por ejemplo, servidores HTTP / FTP y otros procesos de red)?¿Se cambian a la cuenta del SISTEMA?Si un proceso iniciado por el usuario se cambia a la cuenta del SISTEMA, eso indica una vulnerabilidad muy grave.¿Ese proceso ejecutado por ese usuario continúa ejecutándose bajo la cuenta de ese usuario de alguna manera después de que se haya desconectado?
¿Es por esto que el hack SETHC le permite usar CMD como SISTEMA?
¿Qué cuenta usa Windows cuando nadie está conectado?
La respuesta
SuperUser contribuidor grawity tiene la respuesta para nosotros:
Cuando nadie está conectado a Windows y se muestra la pantalla de inicio de sesión, ¿qué cuenta de usuario son los procesos actuales que se ejecutan en( video y sonido controladores, sesión de inicio de sesión, cualquier servidorsoftware, controles de accesibilidad, etc.)?
Casi todos los controladores se ejecutan en modo kernel;no necesitan una cuenta a menos que comiencen los procesos de espacio de usuario .Esos controladores de espacio de usuario se ejecutan en SISTEMA.
Con respecto a la sesión de inicio de sesión, estoy seguro de que también usa SYSTEM.Puede ver logonui.exe usando Process Hacker o SysInternals Process Explorer. De hecho, puedes ver todo de esa manera.
En cuanto al software del servidor, vea los servicios de Windows a continuación.
¿Qué ocurre con los procesos que un usuario ha iniciado pero que continúan ejecutándose después de cerrar la sesión( por ejemplo, servidores HTTP / FTP y otros procesos de red)?¿Se cambian a la cuenta del SISTEMA?
Hay tres tipos aquí:
- Procesos de fondo antiguo: se ejecutan bajo la misma cuenta que quien los inició y no se ejecutan después de cerrar la sesión. El proceso de cierre de sesión los mata a todos. Los servidores HTTP / FTP y otros procesos de red no se ejecutan como procesos de fondo regulares. Se ejecutan como servicios. Procesos de servicio
- de Windows: estos no se inician directamente, sino a través del Service Manager .De manera predeterminada, los servicios que se ejecutan como LocalSystem( que es igual a SYSTEM) pueden tener cuentas dedicadas configuradas. Por supuesto, prácticamente nadie molesta. Simplemente instalan XAMPP, WampServer o algún otro software y lo dejan funcionar como SISTEMA( sin parche para siempre).En los sistemas recientes de Windows, creo que los servicios también pueden tener sus propios SID, pero una vez más no he investigado mucho sobre esto.
- Tareas programadas: son lanzadas por el Task Scheduler Service en segundo plano y siempre se ejecutan bajo la cuenta configurada en la tarea( generalmente quien creó la tarea).
Si un proceso iniciado por el usuario se cambia a la cuenta SYSTEM, eso indica una vulnerabilidad muy grave .
No es una vulnerabilidad porque ya debe tener privilegios de administrador para instalar un servicio. Tener privilegios de administrador ya te permite hacer prácticamente todo.
Vea también: Varias otras vulnerabilidades del mismo tipo.
¡Asegúrate de leer el resto de esta interesante discusión a través del enlace de la secuencia de abajo!
¿Tiene algo que agregar a la explicación? Suena apagado en los comentarios.¿Desea leer más respuestas de otros usuarios de Stack Exchange expertos en tecnología? Mira el hilo de discusión completo aquí.
