Koji Windows račun koristi sustav kada nitko nije prijavljen?

Ako ste znatiželjni i saznate više o tome kako Windows funkcionira pod poklopcem, možda ćete se zapitati pod kojim se „aktivnim“ procesima radi kada nitko nije prijavljen u Windows. Imajući to na umu, današnji postovi za pitanja i odgovore SuperUser imaju odgovore za znatiželjnog čitatelja.

Današnja sesija pitanja i odgovora dolazi nam ljubaznošću SuperUser-a, podjele Stack Exchangea, grupiranja web-lokacija za pitanja i odgovore u zajednici.

Pitanje

Čitač SuperUser Kunal Chopra želi znati koji račun koristi Windows kada nitko nije prijavljen:

Kada nitko nije prijavljen u sustav Windows i kada je prikazan zaslon za prijavu, pod kojim korisničkim računom trenutni procesi rade (video i zvučni upravljački programi, sesija prijave, bilo koji poslužiteljski softver, kontrole pristupačnosti, itd.)? Ne može biti niti jedan korisnik ili prethodni korisnik jer nitko nije prijavljen.

Što je s procesima koje je pokrenuo korisnik, ali se i dalje prikazuju nakon odjave (na primjer, HTTP / FTP poslužitelji i drugi procesi umrežavanja)? Prelaze li na račun SYSTEM? Ako je proces koji je pokrenuo korisnik prebačen na račun SYSTEM, to ukazuje na vrlo ozbiljnu ranjivost. Pokreće li takav postupak taj korisnik da se i dalje prikazuje na korisničkom računu nakon što su se odjavili?

Je li to razlog zašto SETHC hack vam omogućuje da koristite CMD kao SUSTAV?

Koji račun koristi Windows kada nitko nije prijavljen?

Odgovor

Odgovornost suradnika SuperUser ima odgovor za nas:

Kada nitko nije prijavljen u sustav Windows i prikazuje se zaslon za prijavu, u kojem korisničkom računu se trenutni procesi izvode (upravljački programi za video i zvuk, sesija prijave, bilo koji poslužiteljski softver, kontrole pristupačnosti itd.)?

Gotovo svi upravljački programi rade u modu jezgre; ne trebaju račun ako ne počnu korisnički prostor procesi. Oni korisnički prostor pokreću se upravljački programi pod SYSTEM.

S obzirom na prijavu, siguran sam da koristi i SUSTAV. Možete vidjeti logonui.exe pomoću Process Hacker ili SysInternals Process Explorer. Zapravo, sve možete vidjeti na taj način.

Što se tiče poslužiteljskog softvera, pogledajte dolje navedene Windows usluge.

Što je s procesima koje je pokrenuo korisnik, ali se i dalje prikazuju nakon odjave (na primjer, HTTP / FTP poslužitelji i drugi procesi umrežavanja)? Prelaze li na račun SYSTEM?

Ovdje postoje tri vrste:

1. Obični stari procesi pozadine: oni se izvode pod istim računom kao i oni koji su ih pokrenuli i ne pokreću se nakon odjave. Proces odjave ih sve ubija. HTTP / FTP poslužitelji i drugi mrežni procesi ne rade se kao obični pozadinski procesi. Oni rade kao usluge.
2. Windows uslužni procesi: Oni se ne pokreću izravno, nego putem Upravitelj usluge. Prema zadanim se postavkama usluge pokreću kao LocalSystem (za koji isanae kaže da je jednako SYSTEM) može imati konfigurirane namjenske račune. Naravno, gotovo nitko ne smeta. Oni samo instaliraju XAMPP, WampServer ili neki drugi softver i puštaju ga da radi kao SYSTEM (zauvijek nepopravljen). Na nedavnim Windows sustavima, mislim da usluge također mogu imati svoje vlastite SID-ove, ali opet nisam još mnogo toga učinio.
3. Planirani zadaci: Pokreću ih Usluga rasporeda zadataka u pozadini i uvijek se izvodi pod računom konfiguriranim u zadatku (obično tko god je stvorio zadatak).

Ako je proces koji je pokrenuo korisnik prebačen na račun SYSTEM, to ukazuje na vrlo ozbiljnu ranjivost.

To nije ranjivost jer morate imati administratorske povlastice za instaliranje usluge. Već imate administratorske privilegije i praktično sve.

Vidi također: Razne druge ne-ranjivosti iste vrste.

Svakako pročitajte ostatak ove zanimljive rasprave putem niže navedene veze!

Imate li što dodati objašnjenju? Zvuk isključen u komentarima. Želite li pročitati više odgovora od drugih tehničkih korisnika Stack Exchangea? Pogledajte cjelokupnu temu za raspravu ovdje.