10Aug
Ja jums ir interesanti un uzzināt vairāk par to, kā Windows darbojas zem pārsega, tad jūs varat uzzināt, kādi "aktīvā procesa" konti darbojas, kad neviens nav pieteicies sistēmā Windows. Paturot to prātā, šodienas SuperUser Q & amai ir atbildes par ziņkārīgo lasītāju.
šodienas jautājums &Atbildes sesija mums priecājas par SuperUser - Stack Exchange, kas ir kopienas un Q & A tīmekļa vietņu grupa.
Jautājums
SuperUser nolasītājs Kunal Chopra vēlas uzzināt, kurš konts tiek izmantots sistēmā Windows, ja neviens nav pieteicies:
Ja neviens netiek pierakstīts sistēmā Windows un tiek parādīts ekrānā žurnāls, kurš lietotāja konts ir pašreizējie procesi, kas darbojas zem( video un skaņas draiveri, pieteikšanās sesija, jebkura servera programmatūra, pieejamības vadība utt.)?Tā nevar būt jebkurš lietotājs vai iepriekšējais lietotājs, jo neviens nav pieteicies.
Kā par procesiem, ko ir uzsācis lietotājs, bet turpina darboties pēc atteikšanās( piemēram, HTTP / FTP serveri un citi tīkla procesi)?Vai viņi pāriet uz SYSTEM kontu? Ja lietotāja uzsāktais process tiek pārslēgts uz SYSTEM kontu, tas norāda uz ļoti nopietnu ievainojamību. Vai šāda lietotāja veiktais process turpina darboties šī lietotāja kontā kaut kā pēc tam, kad tas ir izrakstījies?
Vai šī iemesla dēļ SETHC kapacitāte ļauj jums izmantot CMD kā SYSTEM?
Kuru kontu Windows izmanto, ja neviens nav pieteicies?
Atbilde
SuperUser atbildētājam gravitātei mums ir atbilde:
Ja neviens nav pieteicies sistēmā Windows un ekrānā tiek parādīts žurnāla logs, kāds lietotāja konts ir pašreizējie procesi, kas darbojas zem( video un audio draiveri, login sesija, jebkurš serverisprogrammatūra, pieejamības kontrole utt.)?
Gandrīz visi draiveri darbojas kodola režīmā;viņiem nav nepieciešams konts, ja vien viņi neizmanto lietotāja telpas procesus.Šie lietotāja-telpas draiveri darbojas saskaņā ar SYSTEM.
Attiecībā uz pieteikšanās sesiju esmu pārliecināts, ka tas arī izmanto SYSTEM.Jūs varat redzēt logonui.exe, izmantojot Process Hacker vai SysInternals Process Explorer. Faktiski jūs varat visu redzēt šādā veidā.
Attiecībā uz servera programmatūru skatiet tālāk sniegtos Windows pakalpojumus.
Kā par procesiem, ko ir sākusi lietotājs, bet turpina darboties pēc izrakstīšanās( piemēram, HTTP / FTP serveri un citi tīkla procesi)?Vai viņi pāriet uz SYSTEM kontu?
Šeit ir trīs veidi:
- Vienkārši vecie fona procesi: tie darbojas ar tādu pašu kontu, kā tiem, kas tos uzsāka un nedarbojas pēc iziešanas. Atteikšanās process visus tos nogalina. HTTP / FTP serveri un citi tīkla procesi nedarbojas kā regulāri fona procesi. Viņi darbojas kā pakalpojumi.
- Windows servisa procesi: tie netiek palaisti tieši, bet gan izmantojot pakalpojumu menedžeri .Pēc noklusējuma pakalpojumi darbojas kā LocalSystem( kas isanae saka, ka ir vienāds SYSTEM), var būt konfigurēti speciāli konti. Protams, praktiski neviens neuztraucas. Viņi vienkārši instalē XAMPP, WampServer vai kādu citu programmatūru, un ļaujiet tai darboties kā SYSTEM( pastāvīgi neatbrīvota).Attiecībā uz nesenajām Windows sistēmām es domāju, ka pakalpojumiem var būt arī savi SID, bet atkal es par to vēl neesmu izdarījusi daudz pētījumu.
- Plānotie uzdevumi: tos palaiž uzdevumu plānotāja pakalpojums fonā un vienmēr darbojas saskaņā ar kontu, kas konfigurēts uzdevumā( parasti tas, kurš izveidoja uzdevumu).
Ja lietotāja uzsāktais process tiek pārslēgts uz SYSTEM kontu, tas norāda uz ļoti nopietnu ievainojamību.
Tas nav neaizsargāts, jo jums jau ir administratora tiesības instalēt pakalpojumu. Ar administratora privilēģijām jūs jau varat praktiski visu darīt.
Skatiet arī: Dažādi citi tāda paša veida neaizsargātie elementi.
Pārliecinieties, ka esat izlasījis pārējo šo interesanto diskusiju, izmantojot saiti zemāk!
Vai kaut kas jāpievieno paskaidrojumam? Skatieties komentāros. Vēlaties lasīt citas atbildes no citiem tehnoloģiju savvy Stack Exchange lietotājiem?Šeit skatiet pilnu diskusiju pavedienu.