10Aug
Ako ste znatiželjni i saznate više o tome kako Windows radi pod kapuljačom, možda ćete se zapitati koji se "aktivni" računi "računa" pokreću kada nitko nije prijavljen u sustav Windows. Imajući to na umu, današnji SuperUser Q & A post ima odgovore za znatiželjnog čitatelja.
Današnje pitanje &Sesija odgovora nam dolazi zahvaljujući SuperUseru - podjele Stack Exchange-a, grupiranjem zajednice Q & A web stranica.
Pitanje
SuperUser čitač Kunal Chopra želi znati koji račun koristi Windows kad nitko nije prijavljen:
Kad nitko nije prijavljen u Windows i zaslon za prijavu je prikazan, koji korisnički račun su trenutni procesi trčanje pod( video i audio vozača, sesija prijave, bilo koji poslužiteljski softver, kontrola pristupačnosti itd.)?Ne može biti niti jedan korisnik niti prethodni korisnik jer nitko nije prijavljen.
Što je s procesima koje je pokrenuo korisnik, ali i dalje se pokreću nakon odjavljivanja( na primjer, HTTP / FTP poslužitelji i drugi procesi umrežavanja)?Prebacuju li se na račun SUSTAVA?Ako je postupak pokrenut korisnikom prebačen na račun SUSTAVA, to označava vrlo ozbiljnu ranjivost. Da li se taj proces koji pokreće taj korisnik i dalje izvodi na računu tog korisnika nekako nakon što se odjavljuju?
Zbog toga SETHC hack omogućuje vam korištenje CMD-a kao sustava?
Koji račun koristi Windows kada nitko nije prijavljen?
Odgovor
SuperUser contributor grawity ima odgovor za nas:
Kada se netko ne prijavljuje u Windows i prikaže se zaslon za prijavu, koji su korisnički računi trenutni procesi koji se pokreću pod( video i vozači zvuka, sesija prijave, bilo koji poslužiteljsoftver, kontrole pristupačnosti itd.)?
Gotovo svi vozači rade u kernel modu;oni ne trebaju račun ako ne pokrene korisničko-prostorni proces. Ti korisnički prostor vozači pokreću se pod SYSTEM.
Što se tiče prijave za prijavu, siguran sam da koristi i SUSTAV.Logonui.exe možete vidjeti pomoću Process Hacker ili SysInternals Process Explorer. U stvari, sve tako možete vidjeti.
Što se tiče poslužiteljskog softvera, pogledajte Windows usluge u nastavku.
Što je s procesima koje je pokrenuo korisnik, ali se nastavljaju prikazivati nakon odjavljivanja( na primjer, HTTP / FTP poslužitelji i drugi procesi umrežavanja)?Prebacuju li se na račun SUSTAVA?
Ovdje postoje tri vrste:
- Procesi starih stanja: oni se pokreću pod istim računom kao i oni koji su ih pokrenuli i ne pokreću nakon odjavljivanja. Postupak uklanjanja ih sve uništava. HTTP / FTP poslužitelji i drugi procesi umrežavanja ne funkcioniraju kao redoviti pozadinski procesi. Oni rade kao usluge.
- Windows servisni procesi: Ovo se ne pokreće izravno, već putem Service Manager .Prema zadanim postavkama, usluge koje se pokreću kao LocalSystem( što je isanae kaže jednako SUSTAV) mogu imati konfigurirane račune. Naravno, praktički nitko ne smeta. Instaliraju samo XAMPP, WampServer ili neki drugi softver i pustite ga da radi kao SUSTAV( zauvijek unpatched).Na nedavnim Windows sustavima, mislim da usluge također mogu imati svoje vlastite SID-ove, ali opet nisam učinio mnogo istraživanja o tome još.
- Zakazane zadaće: Ovo je pokrenuto Task Scheduler Service u pozadini i uvijek se pokreće pod računom konfiguriranim u zadatku( obično tko je stvorio zadatak).
Ako je postupak pokrenut korisnikom prebačen na račun SUSTAVA, to označava vrlo ozbiljnu ranjivost .
To nije ranjivost jer već morate imati administratorske ovlasti za instaliranje usluge. Imajući administratorske ovlasti već vam omogućuje praktički sve.
Vidi također: Razne druge ne-ranjivosti iste vrste.
Obavezno pročitajte ostatak ove zanimljive rasprave putem veze niti u nastavku!
Imate li nešto za objašnjenje? Zvuči u komentarima.Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.