10Aug
Se sei curioso e stai imparando di più su come Windows funziona sotto il cofano, allora potresti trovarti a chiedermi quali processi "account" sono in esecuzione quando nessuno è connesso a Windows. Con questo in mente, il post di Q & A di SuperUser di oggi ha le risposte per un lettore curioso.
Today's Question &La sessione di risposta ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di Q & A basato su community.
The Question
SuperUser reader Kunal Chopra vuole sapere quale account è utilizzato da Windows quando nessuno è loggato:
Quando nessuno è collegato a Windows e viene visualizzata la schermata di accesso, quale account utente sono i processi correnti in esecuzione sotto( driver video e audio, sessione di login, software server, controlli di accessibilità, ecc.)?Non può essere un utente o l'utente precedente perché nessuno ha effettuato il login.
E i processi avviati da un utente ma che continuano a essere eseguiti dopo la disconnessione( ad esempio, server HTTP / FTP e altri processi di rete)?Passano all'account SYSTEM?Se una procedura avviata dall'utente viene trasferita all'account SYSTEM, indica una vulnerabilità molto grave. Un tale processo eseguito da quell'utente continua a essere eseguito sotto l'account dell'utente in qualche modo dopo che si sono disconnessi?
È questo il motivo per cui l'hacking SETHC ti permette di usare CMD come SYSTEM?
Quale account è utilizzato da Windows quando nessuno è loggato?
La risposta
SuperUser contributor grawity ha la risposta per noi:
Quando nessuno è collegato a Windows e viene visualizzata la schermata di accesso, quale account utente sono i processi correnti in esecuzione( driver audio e video, sessione di accesso, qualsiasi serversoftware, controlli di accessibilità, ecc.)?
Quasi tutti i driver funzionano in modalità kernel;non hanno bisogno di un account a meno che non avviino i processi dello spazio utente .I driver dello spazio utente vengono eseguiti in SYSTEM.
Per quanto riguarda la sessione di login, sono sicuro che utilizza anche SYSTEM.È possibile visualizzare logonui.exe utilizzando Process Hacker o SysInternals Process Explorer. In effetti, puoi vedere tutto in questo modo.
Come per il software del server, vedere i servizi di Windows di seguito.
Che dire dei processi che sono stati avviati da un utente ma che continuano a essere eseguiti dopo la disconnessione( ad esempio, server HTTP / FTP e altri processi di rete)?Passano all'account SYSTEM?
Esistono tre tipi qui:
- Plain Old Background Processes: questi vengono eseguiti con lo stesso account di chiunque li abbia avviati e non vengono eseguiti dopo la disconnessione. Il processo di disconnessione li uccide tutti. I server HTTP / FTP e altri processi di rete non vengono eseguiti come processi in background regolari. Funzionano come servizi. Processi di servizio Windows
- : questi non vengono avviati direttamente, ma tramite Service Manager. Per impostazione predefinita, i servizi eseguiti come LocalSystem( che isanae dice equivale a SYSTEM) possono avere account dedicati configurati. Certo, praticamente nessuno si preoccupa. Installano semplicemente XAMPP, WampServer o qualche altro software e lo fanno funzionare come SISTEMA( sempre senza patch).Sui recenti sistemi Windows, penso che i servizi possano avere anche i propri SID, ma ancora una volta non ho fatto molte ricerche su questo. Attività pianificate
- : queste vengono avviate dal servizio Task Scheduler in background e vengono sempre eseguite con l'account configurato nell'attività( di solito chi ha creato l'attività).
Se una procedura avviata dall'utente viene trasferita all'account SISTEMA, ciò indica una vulnerabilità molto grave .
Non è una vulnerabilità perché è necessario disporre già dei privilegi di amministratore per installare un servizio. Avere privilegi di amministratore ti consente già di fare praticamente tutto.
Vedi anche: Varie altre non vulnerabilità dello stesso tipo.
Assicurati di leggere il resto di questa discussione interessante tramite il collegamento alla discussione qui sotto!
Hai qualcosa da aggiungere alla spiegazione? Audio disattivato nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.