10Aug
Als je nieuwsgierig bent en meer wilt weten over hoe Windows onder de motorkap werkt, kun je je afvragen welke actieve actieve processen worden uitgevoerd als niemand is aangemeld bij Windows. Met dat in gedachten heeft de SuperUser Q & A-post van vandaag antwoorden voor een nieuwsgierige lezer.
De vraag van vandaag &Antwoord sessie komt naar ons met dank aan SuperUser-een onderverdeling van Stack Exchange, een community-gestuurde groepering van Q & A-websites.
De vraag
SuperUser-lezer Kunal Chopra wil weten welk account door Windows wordt gebruikt als er niemand is aangemeld:
Wanneer niemand is aangemeld bij Windows en het inlogscherm wordt weergegeven, welk gebruikersaccount de huidige processen zijn die worden uitgevoerd onder( video- en sounddrivers, login-sessie, eventuele serversoftware, toegankelijkheidscontroles, etc.)?Het kan geen gebruiker of de vorige gebruiker zijn omdat niemand is aangemeld.
Hoe zit het met processen die door een gebruiker zijn gestart maar die na het afmelden nog steeds worden uitgevoerd( bijvoorbeeld HTTP / FTP-servers en andere netwerkprocessen)?Schakelen ze over naar het SYSTEM-account? Als een door de gebruiker gestart proces wordt omgeschakeld naar de SYSTEM-account, wijst dit op een zeer ernstige kwetsbaarheid. Wordt zo'n proces dat door die gebruiker wordt uitgevoerd, op een of andere manier nog steeds onder de account van die gebruiker uitgevoerd nadat ze zich hebben afgemeld?
Is dit de reden waarom de SETHC-hack je toestaat om CMD als SYSTEEM te gebruiken?
Welk account wordt door Windows gebruikt wanneer niemand is aangemeld?
Het antwoord
SuperUser contributor grawity heeft het antwoord voor ons:
Wanneer niemand is aangemeld bij Windows en het inlogscherm wordt weergegeven, onder welk gebruikersaccount de huidige processen worden uitgevoerd( video- en geluidstuurprogramma's, login-sessie, elke serversoftware, toegankelijkheidscontrole, etc.)?
Vrijwel alle stuurprogramma's worden in de kernelmodus uitgevoerd;ze hebben geen account nodig, tenzij ze user-space -processen starten. Die -gebruikersruimte--stuurprogramma's worden uitgevoerd onder SYSTEM.
Wat de inlogsessie betreft, ben ik er zeker van dat het ook SYSTEEM gebruikt. U kunt logonui.exe zien met Process Hacker of SysInternals Process Explorer. In feite kun je alles op die manier zien.
Zie voor server-software de onderstaande Windows-services.
Hoe zit het met processen die door een gebruiker zijn gestart maar die na het afmelden nog steeds worden uitgevoerd( bijvoorbeeld HTTP / FTP-servers en andere netwerkprocessen)?Schakelen ze over naar het SYSTEM-account?
Hier zijn er drie soorten:
- Plain Old Background-processen: deze worden uitgevoerd onder dezelfde account als degene die ze heeft gestart en worden niet uitgevoerd na het afmelden. Het afmeldingsproces doodt ze allemaal. HTTP / FTP-servers en andere netwerkprocessen worden niet uitgevoerd als normale achtergrondprocessen. Ze worden als services uitgevoerd.
- Windows serviceprocessen: deze worden niet rechtstreeks gestart, maar via de Service Manager .Standaard kunnen services worden uitgevoerd als LocalSystem( waarvan isanae gelijk staat aan SYSTEM) specifieke accounts kunnen hebben geconfigureerd. Bijna niemand stoort natuurlijk. Ze installeren gewoon XAMPP, WampServer of een andere software en laten het draaien als SYSTEEM( voor altijd niet gepatched).Op recente Windows-systemen denk ik dat services ook hun eigen SID's kunnen hebben, maar nogmaals, ik heb hier nog niet veel onderzoek naar gedaan.
- geplande taken: deze worden op de achtergrond gestart door de Task Scheduler Service en worden altijd uitgevoerd onder het account dat is geconfigureerd in de taak( meestal degene die de taak heeft gemaakt).
Als een door de gebruiker gestart proces is overgeschakeld naar de SYSTEM-account, dan duidt dat op een zeer ernstige kwetsbaarheid .
Het is geen kwetsbaarheid omdat u al beheerdersrechten moet hebben om een service te installeren. Met beheerdersrechten kun je al praktisch alles doen.
Zie ook: Verschillende andere niet-kwetsbaarheden van dezelfde soort.
Lees de rest van deze interessante discussie door via de onderstaande link!
Heeft u iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk de volledige discussiethread hier.
