10Aug
Jos olet utelias ja saat lisätietoja siitä, miten Windows toimii hoodin alla, saatat joutua miettimään, mitä "aktiivisten" prosessien käynnissä on, kun kukaan ei ole kirjautunut Windowsiin. Tämän vuoksi tämän päivän SuperUser Q & A -postilla on vastauksia utelias lukijaan.
Päivän kysymys &Vastausistunto tulee meille kohteliaasti SuperUser-osastoon Stack Exchange, yhteisöllinen ryhmittely Q & A verkkosivuilla.
Kysymys
SuperUser-lukija Kunal Chopra haluaa tietää, mitä tiliä Windows käyttää, kun kukaan ei ole kirjautunut sisään:
Kun kukaan ei ole kirjautunut Windowsiin ja näyttöön tulee kirjautumisnäyttö, mikä käyttäjätunnus ovat nykyiset käynnissä olevat prosessit( video- ja ääniohjaimet, kirjautumisistunto, kaikki palvelinohjelmistot, esteettömyyskontrollit jne.)?Se ei voi olla mikään käyttäjä tai edellinen käyttäjä, koska kukaan ei ole kirjautunut sisään.
Mitä prosesseja, jotka on käynnistetty käyttäjällä mutta jotka jatkuvat sen jälkeen, kun kirjaudutaan ulos( esimerkiksi HTTP / FTP-palvelimet ja muut verkotusprosessit)?Siirtyvätkö ne SYSTEM-tiliin? Jos käyttäjän aloittama prosessi siirretään SYSTEM-tiliin, se merkitsee erittäin vakavaa haavoittuvuutta. Pitääkö kyseinen käyttäjä suorittaa tällaisen prosessin edelleen kyseisen käyttäjän tilin alla jollakin tavalla, kun hän on kirjautunut ulos?
Siksi SETHC-hakkeri mahdollistaa CMD: n käytön SYSTEM: nä?
Mikä tili Windows käyttää, kun kukaan ei ole kirjautunut sisään?
Vastaus
SuperUser -operaattorin grawitylle on meille vastaus:
Kun kukaan ei ole kirjautunut Windowsiin ja näyttöön tulee kirjautumisnäyttö, mikä käyttäjätunnus ovat käynnissä olevat prosessit( video- ja ääniohjaimet, kirjautumisistunto, kaikki palvelimetohjelmistot, esteettömyyden valvonta jne.)?
Lähes kaikki ajurit toimivat ytimen tilassa;he eivät tarvitse tiliä, elleivät he alkaneet -käyttäjän tilaa -prosesseja. -käyttäjätunnukset -ajurit toimivat SYSTEM-järjestelmässä.
Sisäänkirjautumisistuntoon liittyen olen varma, että se käyttää myös SYSTEM-järjestelmää.Näet logonui.exe-sovelluksen käyttämällä Process Hacker tai SysInternals Process Explorer. Itse asiassa näet kaiken tämän tavoin.
Katso palvelinohjelmistoja alla olevista Windows-palveluista.
Entä prosessit, jotka ovat käynnistyneet käyttäjän toimesta, mutta jotka jatkuvat käynnistyksen jälkeen( esimerkiksi HTTP / FTP-palvelimet ja muut verkotusprosessit)?Siirtyvätkö ne SYSTEM-tiliin?
Tässä on kolme lajia:
- Aikaisemmat taustaprosessit: Nämä toimivat samalla tilillä kuin kukaan, joka on aloittanut ne ja jota ei käytetä kirjautumisen jälkeen. Ilmoitusprosessi tappaa ne kaikki. HTTP / FTP-palvelimet ja muut verkkopalveluprosessit eivät toimi tavallisina taustaprosesseina. Ne toimivat palveluina.
- Windows-palveluprosessit: Näitä ei käynnistetä suoraan, mutta -palvelupäällikön kautta. Oletusarvoisesti palvelut, jotka toimivat LocalSystem-järjestelmänä( joka isanae tarkoittaa yhtä kuin SYSTEM), voi olla omistettu tilejä konfiguroituina. Tietenkään lähes kukaan ei kiinnosta. He vain asentavat XAMPP: n, WampServerin tai jonkin muun ohjelmiston ja antavat sen toimivan JÄRJESTELMÄSSÄ( ikuisesti tyhjänä).Hiljattain Windows-järjestelmissä mielestäni palveluilla voi olla omat SID-tunnuksensa, mutta en ole vielä tehnyt vielä paljon tutkimusta.
- Ajoitetut tehtävät: Nämä käynnistetään : n Task Scheduler Service -ohjelmassa taustalla ja ne toimivat aina tehtävässä määritetyn tilan alla( tavallisesti joka on luonut tehtävän).
Jos käyttäjän aloittama prosessi siirretään SYSTEM-tiliin, se osoittaa erittäin vakavan haavoittuvuuden .
Tämä ei ole haavoittuvuus, koska sinulla on jo järjestelmänvalvojan oikeudet asentaa palvelu. Järjestelmänvalvojan oikeudet antavat jo käytännössä kaiken.
Katso myös: Erilaiset muut samankaltaiset haavoittuvuudet.
Muista lukea läpi tämän mielenkiintoisen keskustelun alla olevan linkin kautta!
Onko sinulla jotain lisättävä selitykseen? Kuulkaa kommentit. Haluatko lukea lisää vastauksia muilta tech-tajuilta Stack Exchange-käyttäjiltä?Katso koko keskusteluketju täältä.