10Aug
Se você é curioso e aprende mais sobre como o Windows opera sob o capô, então você pode se perguntar se os processos ativos da "conta" estão sendo executados quando ninguém está logado no Windows. Com isso em mente, o super-usuário Q & A de um post tem respostas para um leitor curioso.
Today's Question &A sessão de atendimento chega a cortesia do SuperUser - uma subdivisão do Stack Exchange, um agrupamento comunitário de sites Q & A.
A pergunta
Leitor de superutilizador Kunal Chopra quer saber qual conta é usada pelo Windows quando ninguém está logado:
Quando ninguém está logado no Windows e a tela de logon é exibida, qual conta de usuário são os processos atuais em execução( Drivers de vídeo e som, sessão de login, qualquer software de servidor, controles de acessibilidade, etc.)?Não pode ser nenhum usuário ou usuário anterior porque ninguém está logado.
O que sobre os processos iniciados por um usuário, mas continuam a ser executados após o logon( por exemplo, servidores HTTP / FTP e outros processos de rede)?Eles passam para a conta SYSTEM?Se um processo iniciado pelo usuário for trocado para a conta SYSTEM, isso indica uma vulnerabilidade muito séria. Esse processo executado por esse usuário continua a ser executado sob a conta desse usuário de alguma forma depois de terem desconectado?
É por isso que o hack SETHC permite que você use CMD como SISTEMA?
Qual conta é usada pelo Windows quando ninguém está logado?
A resposta
SuperUser contribuinte grawity tem a resposta para nós:
Quando ninguém está logado no Windows e a tela de logon é exibida, qual conta de usuário são os processos atuais em execução( video e amplificadores de som, sessão de login, qualquer servidorsoftware, controles de acessibilidade, etc.)?
Quase todos os drivers são executados no modo kernel;eles não precisam de uma conta, a menos que iniciem os processos do no espaço do usuário .Esses drivers do espaço de usuário são executados em SYSTEM.
No que diz respeito à sessão de login, estou certo de que ele usa SYSTEM também. Você pode ver logonui.exe usando Process Hacker ou SysInternals Process Explorer. Na verdade, você pode ver tudo dessa maneira.
Quanto ao software do servidor, veja os serviços do Windows abaixo.
E quanto aos processos iniciados por um usuário, mas continuam a ser executados após o logon( por exemplo, servidores HTTP / FTP e outros processos de rede)?Eles passam para a conta SYSTEM?
Existem três tipos aqui:
- Processos de fundo antigos simples: estes são executados sob a mesma conta que quem os iniciou e não são executados após a sessão. O processo de logoff os mata todos. Os servidores HTTP / FTP e outros processos de rede não são executados como processos de fundo regular. Eles funcionam como serviços.
- Processos de serviço do Windows: estes não são lançados diretamente, mas através do Service Manager .Por padrão, os serviços são executados como LocalSystem( que isanae diz igual a SYSTEM) pode ter contas dedicadas configuradas. Claro, praticamente ninguém incomoda. Eles apenas instalam o XAMPP, o WampServer ou algum outro software e permitem que ele seja executado como SISTEMA( para sempre desabotoado).Nos sistemas recentes do Windows, penso que os serviços também podem ter seus próprios SIDs, mas novamente eu não fiz muitas pesquisas nisso ainda. Tarefas agendadas
- : elas são iniciadas pelo do Programador de Tarefas em segundo plano e sempre são executadas sob a conta configurada na tarefa( geralmente quem criou a tarefa).
Se um processo iniciado pelo usuário é trocado para a conta SYSTEM, isso indica uma vulnerabilidade muito grave .
Não é uma vulnerabilidade porque você já deve ter privilégios de administrador para instalar um serviço. Ter privilégios de administrador já permite que você faça praticamente tudo.
Veja também: Várias outras não vulnerabilidades do mesmo tipo.
Certifique-se de ler o resto desta interessante discussão através do link de discussão abaixo!
Tem alguma coisa a adicionar à explicação? Som desligado nos comentários. Deseja ler mais respostas de outros usuários Tech-savvy Stack Exchange? Confira o tópico de discussão completo aqui.