10Aug
Ak ste zvedaví a dozvedeli sa viac o tom, ako systém funguje pod kapotou systému Windows, môžete zistiť, aké aktívne procesy "účtu" sú spustené, keď sa nikto neprihlási do systému Windows. S ohľadom na to má dnešný príspevok SuperUser Q & A odpovede pre zvedavého čitateľa.
dnešná otázka &Odpoveď na zasadnutie nám príde s láskavým dovolením SuperUser - subdivíziu Stack Exchange, komunitne riadeného zoskupenia webových stránok Q & A.
Otázka
Čítačka SuperUser Kunal Chopra chce vedieť, ktorý účet používa systém Windows, keď nikto nie je prihlásený:
Keď sa nikto neprihlási do systému Windows a nezobrazí sa prihlasovacia obrazovka, aký užívateľský účet sú súčasné procesy spúšťané pod( video a zvukové ovládače, prihlasovacie relácie, akýkoľvek serverový softvér, ovládanie prístupu atď.)?Nemôže to byť žiadny užívateľ alebo predchádzajúci používateľ, pretože nikto nie je prihlásený.
A čo procesy, ktoré používateľ spustil, ale naďalej bežia po odhlásení( napríklad servery HTTP / FTP a iné sieťové procesy)?Prepnú na účet SYSTÉM?Ak je proces spustený používateľom prepnutý na účet SYSTEM, znamená to veľmi vážnu zraniteľnosť.Spája sa takýto proces s tým istým používateľom aj po tom, ako sa odhlásil?
Preto vám SETHC hack umožňuje používať CMD ako SYSTEM?
Ktorý účet používa systém Windows, keď nikto nie je prihlásený?
Response
SuperUser prispievateľská grawita má odpoveď pre nás:
Keď sa nikto neprihlási do systému Windows a nezobrazí sa prihlasovacia obrazovka, ktorý užívateľský účet sú súčasné procesy spúšťané pod( video a zvukové ovládače, prihlasovacie relácie, akýkoľvek serversoftvér, ovládanie prístupu atď.)?
Takmer všetky ovládače bežia v režime jadra;nepotrebujú účet, pokiaľ nespustia procesy .Ovládače sa spúšťajú v systéme SYSTEM.
Čo sa týka prihlasovacej relácie, som si istý, že používa aj SYSTEM.Môžete vidieť logonui.exe pomocou Process Hacker alebo SysInternals Process Explorer. V skutočnosti to všetko vidíte.
Pokiaľ ide o serverový softvér, pozrite nižšie služby Windows.
A čo procesy, ktoré spustili používatelia, ale naďalej bežia po odhlásení( napríklad servery HTTP / FTP a iné sieťové procesy)?Prepnú na účet SYSTÉM?
Existujú tri druhy:
- Jednoduché staré procesy na pozadí: Tieto sú spustené pod rovnakým účtom ako ten, kto ich začal, a po odhlásení sa nespúšťajú.Proces odhlásenia ich zabije. Servery HTTP / FTP a iné sieťové procesy nefungujú ako bežné procesy na pozadí.Pracujú ako služby.
- Servisné procesy systému Windows: Tieto sa nespúšťajú priamo, ale prostredníctvom Service Manager .Služba predvolene funguje ako LocalSystem( ktorá sa rovná SYSTEMS) a môže mať nakonfigurované vyhradené účty. Samozrejme, prakticky nikto neobťažuje. Jednoducho inštalujú XAMPP, WampServer alebo nejaký iný softvér a nechajú ho bežať ako SYSTEM( navždy nezapísaný).Na najnovších systémoch Windows sa domnievam, že služby môžu mať aj svoje vlastné SID, ale opäť som o tom ešte neurobil veľký prieskum. Plánované úlohy
- : Tieto sú spustené na službe Plánovača úloh na pozadí a vždy bežať pod účtom nakonfigurovaným v úlohe( zvyčajne ten, kto vytvoril úlohu).
Ak je proces spustený používateľom prepnutý na účet SYSTEM, potom to označuje veľmi vážnu zraniteľnosť .
Nie je to zraniteľnosť, pretože na inštaláciu služby už musíte mať oprávnenia správcu. Právo administrátora vám už umožňuje prakticky všetko.
Pozri tiež: Rôzne iné nezraniteľnosti rovnakého druhu.
Prečítajte si zvyšok tejto zaujímavej diskusie prostredníctvom nižšie uvedeného odkazu na vlákno!
Musíte niečo doplniť k vysvetleniu? Znížte komentáre. Chcete si prečítať viac odpovedí od iných používateľov technológie Stack Exchange? Pozrite sa na celý diskusný príspevok tu.