Mitä Windows-tiliä järjestelmä käyttää, kun kukaan ei ole kirjautunut sisään?

mitä-ikkunoiden-tiliä-järjestelmä-käyttää-kun-kukaan-kukaan-kirjautuneena-kuva 1

Jos olet utelias ja opit lisää siitä, miten Windows toimii konepellin alla, saatat miettiä, millä tilillä aktiiviset prosessit ovat käynnissä, kun kukaan ei ole kirjautunut Windowsiin. Tässä mielessä tämän päivän SuperUser Q&A -viestissä on vastauksia uteliaalle lukijalle.

Tämän päivän kysymys- ja vastausistunto saapuu meille SuperUserin ansiosta. Se on Stack Exchangen alajaosto, yhteisövetoinen Q&A-verkkosivustojen ryhmittely.



Kysymys

SuperUser-lukija Kunal Chopra haluaa tietää, mitä tiliä Windows käyttää, kun kukaan ei ole kirjautunut sisään:

Kun kukaan ei ole kirjautunut Windowsiin ja sisäänkirjautumisnäyttö tulee näkyviin, millä käyttäjätilillä nykyiset prosessit ovat käynnissä (video- ja ääniohjaimet, kirjautumisistunto, mikä tahansa palvelinohjelmisto, saavutettavuuden hallinta jne.)? Se ei voi olla mikä tahansa käyttäjä tai edellinen käyttäjä, koska kukaan ei ole kirjautunut sisään.

Entä prosessit, jotka käyttäjä on käynnistänyt mutta jotka jatkuvat uloskirjautumisen jälkeen (esimerkiksi HTTP/FTP-palvelimet ja muut verkkoprosessit)? Vaihtuvatko he SYSTEM-tilille? Jos käyttäjän käynnistämä prosessi siirretään SYSTEM-tilille, se osoittaa erittäin vakavan haavoittuvuuden. Jatkuuko tällainen kyseisen käyttäjän suorittama prosessi tämän käyttäjän tilillä jotenkin sen jälkeen, kun hän on kirjautunut ulos?

Siksikö SETHC-hakkerointi sallii sinun käyttää CMD:tä JÄRJESTELMÄNÄ?

Mitä tiliä Windows käyttää, kun kukaan ei ole kirjautunut sisään?

Vastaus

SuperUser-avustaja grawityllä on vastaus meille:

Kun kukaan ei ole kirjautunut Windowsiin ja sisäänkirjautumisnäyttö tulee näkyviin, millä käyttäjätilillä nykyiset prosessit ovat käynnissä (video- ja ääniohjaimet, kirjautumisistunto, mikä tahansa palvelinohjelmisto, saavutettavuuden hallinta jne.)?

Melkein kaikki ajurit toimivat ydintilassa; he eivät tarvitse tiliä, elleivät he aloita käyttäjätilaprosesseja. Nämä käyttäjätilan ajurit toimivat JÄRJESTELMÄN alla.

Mitä tulee kirjautumisistuntoon, olen varma, että se käyttää myös SYSTEMiä. Voit nähdä logonui.exe-tiedoston käyttämällä Process Hackeria tai SysInternals Process Exploreria. Itse asiassa voit nähdä kaiken sillä tavalla.

Mitä tulee palvelinohjelmistoihin, katso Windows-palvelut alla.

Entä prosessit, jotka käyttäjä on käynnistänyt mutta jotka jatkuvat uloskirjautumisen jälkeen (esimerkiksi HTTP/FTP-palvelimet ja muut verkkoprosessit)? Vaihtuvatko he SYSTEM-tilille?

Täällä on kolme tyyppiä:

  1. Pelkät vanhat taustaprosessit: Nämä suoritetaan samalla tilillä kuin ne aloitti, eivätkä ne käynnisty uloskirjautumisen jälkeen. Uloskirjautuminen tappaa heidät kaikki. HTTP/FTP-palvelimet ja muut verkkoprosessit eivät toimi tavallisina taustaprosesseina. Ne toimivat palveluina.
  2. Windowsin palveluprosessit: Näitä ei käynnistetä suoraan, vaan Service Managerin kautta. Oletuksena LocalSystem-muodossa suoritetuissa palveluissa (jonka isanae sanoo olevan JÄRJESTELMÄ) voi olla määritettyjä omia tilejä. Käytännössä kukaan ei tietenkään häiritse. He vain asentavat XAMPP:n, WampServerin tai jonkin muun ohjelmiston ja antavat sen toimia JÄRJESTELMÄNÄ (ikuisesti korjaamaton). Viimeaikaisissa Windows-järjestelmissä palveluilla voi mielestäni olla myös omat SID:t, mutta en ole vieläkään tehnyt paljon tutkimusta tästä.
  3. Ajoitetut tehtävät: Tehtävien ajoituspalvelu käynnistää ne taustalla, ja ne suoritetaan aina tehtävässä määritetyn tilin alla (yleensä tehtävän luoja).

Jos käyttäjän käynnistämä prosessi siirretään SYSTEM-tilille, se osoittaa erittäin vakavan haavoittuvuuden.

Se ei ole haavoittuvuus, koska sinulla on jo oltava järjestelmänvalvojan oikeudet palvelun asentamiseen. Järjestelmänvalvojan oikeuksilla voit jo tehdä käytännössä kaiken.

Katso myös: Useita muita samanlaisia ​​ei-haavoittuvuuksia.

Muista lukea loput tästä mielenkiintoisesta keskustelusta alla olevan linkin kautta!