10Aug
Dacă sunteți curios și aflați mai multe despre modul în care funcționează Windows sub capota, atunci s-ar putea să vă aflați întrebând care sunt procesele active din "cont" care se execută când nimeni nu este conectat la Windows.În acest sens, postul de astăzi SuperUser Q & A are răspunsuri pentru un cititor curios.
Întrebarea de astăzi &Sesiunea de răspuns vine de la amabilitatea SuperUser - o subdiviziune a Stack Exchange, o grupare bazată pe comunitate a site-urilor web Q & A.
Întrebarea
Cititorul SuperUser Kunal Chopra dorește să știe ce cont este utilizat de Windows atunci când nimeni nu este conectat:
Când nimeni nu este conectat la Windows și ecranul de logare este afișat, care este contul de utilizator, procesele curente rulează în( video și drivere de sunet, sesiune de conectare, orice software de server, controale de accesibilitate etc.)?Nu poate fi nici un utilizator sau utilizatorul anterior, deoarece nimeni nu este conectat.
Ce se întâmplă cu procesele care au fost inițiate de un utilizator, dar continuă să ruleze după deconectare( de exemplu, serverele HTTP / FTP și alte procese de rețea)?Trec la contul SYSTEM?Dacă un proces inițiat de utilizator este trecut la contul SYSTEM, atunci aceasta indică o vulnerabilitate foarte gravă.Un astfel de proces rulat de acel utilizator continuă să se difuzeze în contul respectivului utilizator cumva după ce sa deconectat?
De aceea, hack-ul SETHC vă permite să utilizați CMD ca SYSTEM?
Ce cont este utilizat de Windows atunci când nimeni nu este conectat?
Raspunsul Raspunsului
SuperUser contribuitorul nostru are raspunsul:
Cand nimeni nu este logat in Windows si ecranul de logare este afisat, care cont de utilizator sunt procesele curente ruleaza sub( drivere video si sunet, sesiune de logare, orice serversoftware, controale de accesibilitate etc.)?
Aproape toate driverele rulează în modul kernel;ei nu au nevoie de un cont decât dacă pornesc procesele de spațiu utilizator. Acele drivere pentru spațiul utilizator rulează sub SYSTEM.
În ceea ce privește sesiunea de conectare, sunt sigur că utilizează și SYSTEM.Puteți vedea logonui.exe utilizând Process Hacker sau SysInternals Process Explorer. De fapt, puteți vedea totul în felul acesta.
În ceea ce privește software-ul de server, consultați serviciile Windows de mai jos.
Ce se întâmplă cu procesele care au fost inițiate de un utilizator, dar continuă să se execute după deconectare( de exemplu, servere HTTP / FTP și alte procese de rețea)?Trec la contul SYSTEM?
Există trei tipuri aici:
- Procesele simple de fundal vechi: acestea se execută în același cont ca oricine le-a pornit și nu se execută după deconectare. Procesul de logare îi ucide pe toți. Serverele HTTP / FTP și alte procese de rețea nu se execută ca procese de fundal obișnuite. Ei rulează ca servicii.
- Procese de service Windows: acestea nu sunt lansate direct, ci prin Service Manager .În mod implicit, serviciile se execută ca LocalSystem( care isanae spune că este egal cu SYSTEM) pot avea configurate conturi dedicate. Bineînțeles, practic nimeni nu deranjează.Ei doar instalează XAMPP, WampServer sau alt software și îl lasă să funcționeze ca SYSTEM( pentru totdeauna nealocat).Pe sistemele Windows recente, cred că serviciile pot avea și propriile SID-uri, dar din nou nu am făcut încă prea multe cercetări în acest sens.
- Sarcini planificate: Acestea sunt lansate de Task Scheduler Service în fundal și se execută întotdeauna sub contul configurat în sarcină( de obicei cel care a creat sarcina).
Dacă un proces inițiat de utilizator este trecut la contul SYSTEM, atunci aceasta indică o vulnerabilitate foarte gravă .
Nu este o vulnerabilitate, deoarece trebuie să aveți deja privilegii de administrator pentru a instala un serviciu. Având privilegii de Administrator vă permite deja să faceți practic totul.
A se vedea și: Diverse alte non-vulnerabilități de același tip.
Asigurați-vă că ați citit restul acestei discuții interesante prin link-ul de mai jos!
Trebuie să adăugați ceva la explicație? Sunați în comentarii. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.