10Aug
Ha kíváncsi vagy, és többet megtudni arról, hogyan működik a Windows a motorháztető alatt, akkor előfordulhat, hogy feltűnik, hogy melyik "számlázás" aktív folyamatok futnak, amikor senki nem jelentkezett be a Windowsba. Ennek tudatában a mai SuperUser Q & A bejegyzésre válaszol egy kíváncsi olvasó.
A mai kérdés &A válaszüzenet a SuperUser - a Stack Exchange megosztottságának köszönhetően - a Q & A webhelyek közösségi szintű csoportosítása.
Kérdés
SuperUser olvasó Kunal Chopra szeretné tudni, hogy melyik fiókot használják a Windows, amikor senki nem jelentkezett be:
Amikor senki nem jelentkezett be a Windowsba, és a bejelentkezési képernyő megjelenik, melyik felhasználói fiók az aktuális folyamatok alatt fut( video- és hang-illesztőprogramok, bejelentkezési munkamenet, bármely kiszolgálószoftver, akadálymentesítési vezérlők stb.)?Nem lehet egyetlen felhasználó sem az előző felhasználó, mert senki nem jelentkezett be
Mi a helyzet a felhasználók által indított folyamatokkal, de a bejelentkezést követően továbbra is futnak( például HTTP / FTP szerverek és egyéb hálózati folyamatok)?Átkerülnek a SYSTEM fiókba? Ha egy felhasználó által indított folyamat átkerül a SYSTEM fiókba, akkor ez nagyon súlyos biztonsági rést jelez. Az ilyen felhasználó által futtatott folyamat továbbra is a felhasználó fiókjában fut, miután kijelentkeztek?
Ez az oka annak, hogy a SETHC hack lehetővé teszi a CMD használatát SYSTEM-ként?
Melyik fiókot használja a Windows, amikor senki nem jelentkezett be?
A válasz
A SuperUser-hozzájáruló grawity a számunkra adott válasz:
Ha senki nem jelentkezett be a Windows rendszerbe, és a naplózási képernyő jelenik meg, akkor melyik felhasználói fiók fut az aktuális folyamatok alatt( video- és hangvezérlők, bejelentkezési munkamenet, bármely szerverszoftverek, hozzáférhetőségi ellenőrzések stb.)?
Majdnem minden meghajtó fut a kernel módban;nincs szükségük fiókra, csak akkor indítanak el felhasználói terület folyamatokat. Az felhasználói tér illesztőprogramjai a SYSTEM alatt futnak.
Ami a bejelentkezési munkamenetet illeti, biztos vagyok benne, hogy a SYSTEM-ot is használja. A logonui.exe programot a Process Hacker vagy a SysInternals Process Explorer segítségével is megtekintheti. Tény, hogy mindent így lát.
A kiszolgálószoftverekkel kapcsolatban lásd az alábbi Windows szolgáltatásokat.
Mi a helyzet a felhasználók által elindított folyamatokkal, de a bejelentkezést követően továbbra is futnak( például HTTP / FTP-kiszolgálók és egyéb hálózati folyamatok)?Átkerülnek a SYSTEM fiókba?
Háromféle van itt:
- Régi háttérfolyamatok: Ezek ugyanabban a fiókban futnak, mint azok, akik elindították őket, és nem futnak le a bejelentkezés után. Az elfaxolási folyamat megöli őket. A HTTP / FTP szerverek és más hálózati folyamatok nem rendszeres háttérfolyamatokként működnek. Szolgáltatásként működnek.
- Windows szolgáltatási folyamatok: ezeket nem közvetlenül indítják el, hanem az szervizmenedzser segítségével. Alapértelmezés szerint a LocalSystem-ként futó szolgáltatások( amely az ISANAE szerint a SYSTEM-nak felel meg) dedikált fiókok konfigurálhatók. Természetesen gyakorlatilag senki sem zavarja. Csak telepítik az XAMPP-t, a WampServert, vagy valamilyen más szoftvert, és hagyják, hogy SYSTEM-ként működjenek( örökre unpatched).A legfrissebb Windows rendszereken azt gondolom, hogy a szolgáltatásoknak is megvan a saját SID-eik, de még nem tettem még sok kutatást erről.
- Ütemezett feladatok: Ezek az Task Scheduler Service indítanak a háttérben, és mindig futnak a feladatban beállított fiók alatt( általában bárki, aki létrehozta a feladatot).
Ha egy felhasználó által indított folyamat átkerül a SYSTEM fiókra, akkor ez egy nagyon súlyos biztonsági rést jelez.
Nem sérülékenység, hiszen a szolgáltatás telepítéséhez rendszergazdai jogosultságokkal kell rendelkeznie. Rendszergazdai jogosultságokkal már gyakorlatilag mindent megtehetsz.
Lásd még: Különböző egyéb nem sebezhetőségek ugyanolyan típusúak.
Olvassa el az érdekes beszélgetés többi részét az alábbi linken keresztül!
Van valami a magyarázathoz? Hangzik ki a megjegyzésekben. Szeretne többet válaszolni a többi technikus-tudós Stack Exchange felhasználóiról? Nézze meg a teljes vitafonalat itt.