Kokią „Windows“ paskyrą naudoja sistema, kai niekas neprisijungęs?

Jei esate smalsūs ir daugiau sužinoti apie tai, kaip „Windows“ veikia po gaubtu, tuomet galite rasti sau įdomų, kurie „paskyros“ aktyvūs procesai veikia, kai niekas nėra prisijungęs prie „Windows“. Turint tai omenyje, šiandieninio „SuperUser“ atsakymų ir atsakymų atsakymas yra įdomus skaitytojas.

Šiandienos „Klausimų ir atsakymų“ sesija mums suteikiama pagal „SuperUser“ - „Stack Exchange“ padalinį, bendruomenės sukurtą „Q&A“ svetainių grupavimą.

Klausimas

„SuperUser“ skaitytuvas Kunal Chopra nori sužinoti, kurią paskyrą „Windows“ naudoja, kai niekas neprisijungęs:

Kai niekas neprisijungęs prie „Windows“ ir rodomas prisijungimo ekranas, kuri vartotojo sąskaita yra dabartiniai procesai (vaizdo ir garso tvarkyklės, prisijungimo sesija, bet kokia serverio programinė įranga, prieinamumo kontrolė ir tt)? Jis negali būti bet kuris vartotojas ar ankstesnis vartotojas, nes niekas nėra prisijungęs.

Ką apie procesus, kuriuos pradėjo vartotojas, bet ir toliau veikti po prisijungimo (pvz., HTTP / FTP serveriai ir kiti tinklo procesai)? Ar jie persijungia į SISTEMOS paskyrą? Jei vartotojo pradėtas procesas perjungiamas į SISTEMOS paskyrą, tai rodo labai rimtą pažeidžiamumą. Ar toks šio naudotojo vykdomas procesas toliau veikia pagal to vartotojo abonementą, kai jie yra atsijungę?

Tai kodėl SETHC įsilaužimas leidžia naudoti CMD kaip SISTEMĄ?

Kokią paskyrą naudoja „Windows“, kai niekas neprisijungęs?

Atsakymas

„SuperUser“ prisidedančiųjų grawity turi mums atsakymą:

Kai niekas neprisijungęs prie „Windows“ ir rodomas prisijungimo ekranas, kuri vartotojo paskyra yra dabartiniai procesai (vaizdo ir garso tvarkyklės, prisijungimo sesija, bet kokia serverio programinė įranga, prieinamumo kontrolė ir tt)?

Beveik visi vairuotojai veikia branduolio režimu; jiems nereikia sąskaitos, nebent jie pradėtų vartotojo erdvė procesus. Tai vartotojo erdvė vairuotojai veikia pagal SISTEMĄ.

Kalbant apie prisijungimo sesiją, esu tikras, kad ji naudoja ir SISTEMĄ. Logonui.exe galite matyti naudodami „Process Hacker“ arba „SysInternals Process Explorer“. Tiesą sakant, visa tai galite pamatyti.

Kaip serverio programinę įrangą, žr. Toliau pateikiamas „Windows“ paslaugas.

Ką apie procesus, kuriuos pradėjo vartotojas, bet ir toliau veikti po prisijungimo (pvz., HTTP / FTP serveriai ir kiti tinklo procesai)? Ar jie persijungia į SISTEMOS paskyrą?

Čia yra trijų rūšių:

1. Paprasti seni foniniai procesai: jie veikia ta pačia paskyra, kaip ir tie, kurie juos pradėjo ir neveikia po prisijungimo. Atsijungimo procesas juos visus naikina. HTTP / FTP serveriai ir kiti tinklo procesai neveikia kaip reguliarūs fono procesai. Jie veikia kaip paslaugos.
2. „Windows“ paslaugų procesai: jie nėra paleisti tiesiogiai, bet per „ Paslaugų vadybininkas. Pagal numatytuosius nustatymus paslaugos, kurios veikia kaip „LocalSystem“ (kurios yra lygios „isanae“ sistemai), gali turėti sukonfigūruotas paskyras. Žinoma, praktiškai niekas nerimauja. Jie tiesiog įdiegia „XAMPP“, „WampServer“ ar kitą programinę įrangą ir leidžia jai veikti kaip SISTEMA (visam laikui nenaudojant). Neseniai veikiančiose „Windows“ sistemose manau, kad paslaugos taip pat gali turėti savo SID, bet aš dar nepadariau daug mokslinių tyrimų.
3. Planuojamos užduotys: jas pradeda Užduočių planavimo paslauga fone ir visada paleisti pagal paskyrą, sukonfigūruotą užduotyje (paprastai kas sukūrė užduotį).

Jei vartotojo pradėtas procesas perjungiamas į SISTEMOS paskyrą, tai rodo labai rimtą pažeidžiamumą.

Tai nėra pažeidžiamumas, nes turite turėti administratoriaus teises įdiegti paslaugą. Administratoriaus privilegijos jau leidžia daryti viską.

Taip pat žiūrėkite: Įvairios kitos tos pačios rūšies nesaugumo vietos.

Būtinai perskaitykite likusias įdomias diskusijas, naudodami žemiau pateiktą nuorodą!

Ar ką nors papildyti paaiškinimu? Garsas išjungtas komentaruose. Norite perskaityti daugiau atsakymų iš kitų „tech-savvy Stack Exchange“ vartotojų? Čia rasite visą diskusijų temą.