Millist Windowsi kontot kasutab süsteem, kui keegi ei ole sisse logitud?

Kui olete uudishimulik ja rohkem teada, kuidas Windowsi kapuutsi all töötab, siis võib tekkida mõte, millised “konto” aktiivsed protsessid ei tööta, kui keegi pole Windowsi sisse logitud. Seda silmas pidades on tänasel SuperUser Q&A postil vastused uudishimulikule lugejale.

Tänane küsimuste ja vastuste seanss saabub meiega kohtades, kus on SuperUser-Stack Exchange'i alajaotis, kogukondlikult juhitav Q&A veebisaitide rühmitus.

Küsimus

SuperUser lugeja Kunal Chopra tahab teada, millist kontot Windows kasutab, kui keegi pole sisse loginud:

Kui keegi pole Windowsi sisse logitud ja kuvatakse sisselogimisekraan, milline kasutajakonto on praegused protsessid (video- ja heli draiverid, sisselogimisseanss, mis tahes serveritarkvara, juurdepääsetavuse kontroll jne)? See ei saa olla ükskõik milline kasutaja ega eelmine kasutaja, sest keegi pole sisse logitud.

Aga protsessid, mida kasutaja on alustanud, kuid mis jätkuvad pärast sisselogimist (näiteks HTTP / FTP serverid ja muud võrguprotsessid)? Kas nad lülituvad SYSTEM kontole? Kui kasutaja käivitatud protsess lülitatakse SÜSTEEMI kontole, siis näitab see väga tõsist haavatavust. Kas selline kasutaja poolt juhitav protsess jätkab selle kasutaja konto all kuidagi pärast väljalogimist?

See on põhjus, miks SETHC hack võimaldab teil kasutada CMD süsteemi?

Millist kontot Windows kasutab, kui keegi pole sisse loginud?

Vastus

SuperUser-i panuse andja vastus on meile vastus:

Kui keegi ei ole Windowsi sisse logitud ja kuvatakse sisselogimisekraan, milline kasutajakonto on praegused protsessid (video ja heli draiverid, sisselogimisseanss, mis tahes serveritarkvara, juurdepääsetavuse kontroll jne)?

Peaaegu kõik draiverid töötavad kerneli režiimis; nad ei vaja kontot, kui nad ei käivitu kasutaja ruumi protsessid. Need on kasutaja ruumi juhid töötavad SÜSTEEMI all.

Sisselogimisseansi osas olen kindel, et see kasutab ka SÜSTEEMI. Saate logonui.exe-d näha protsessihakkeri või SysInternals Process Explorer abil. Tegelikult näete kõike seda nii.

Serveri tarkvara kohta vaadake allolevaid Windowsi teenuseid.

Aga protsessid, mida kasutaja on alustanud, kuid mis jätkuvad pärast sisselogimist (näiteks HTTP / FTP serverid ja muud võrguprotsessid)? Kas nad lülituvad SÜSTEEMI kontole üle?

Siin on kolm liiki:

1. Tavapärased vanad taustprotsessid: need töötavad sama konto all, nagu need, kes neid alustasid ja ei tööta pärast väljalogimist. Väljalogimisprotsess tapab neid kõiki. HTTP / FTP serverid ja muud võrguprotsessid ei tööta tavapäraste taustprotsessidena. Nad töötavad teenustena.
2. Windowsi teenindusprotsessid: neid ei käivitata otse, vaid selle kaudu Teenusehaldur. Vaikimisi on LocalSystem (mida isanae ütleb võrdub SÜSTEEM) teenustega saab seadistada spetsiaalseid kontosid. Loomulikult ei häiri keegi. Nad lihtsalt installivad XAMPPi, WampServeri või mõnda muud tarkvara ja lasevad tal töötada süsteemina (igavesti katmata). Viimastel Windowsi süsteemidel arvan, et teenustel võib olla ka oma SID-e, kuid ma ei ole veel seda veel teinud.
3. Planeeritud ülesanded: need käivitab Ülesande ajakava teenus taustal ja töötage alati ülesande jaoks konfigureeritud konto all (tavaliselt igaüks, kes selle ülesande lõi).

Kui kasutaja käivitatud protsess lülitatakse SÜSTEEMI kontole, siis näitab see väga tõsist haavatavust.

See ei ole haavatavus, sest teil peab olema teenuse administraatori õigused teenuse installimiseks. Administraatori õigused võimaldavad teil praktiliselt kõike teha.

Vaata ka: Mitmesugused muud sama liiki haavatavused.

Veenduge, et loete ülejäänud huvitavat arutelu allpool oleva lingilingi kaudu!

Kas teil on midagi lisada selgitusele? Heli on kommentaarides välja lülitatud. Kas soovite lugeda rohkem vastuseid teistelt tech-savvy Stack Exchange'i kasutajatelt? Vaadake siin täielikku arutelu lõiku.