Quin compte de Windows fa servir el sistema quan ningú no ha iniciat sessió?

quin-compte-de-windows-utilitza-el-sistema-quan-ningú-hi ha iniciat la sessió foto 1

Si teniu curiositat i aprendre més sobre com funciona Windows sota el capó, és possible que us pregunteu amb quins processos actius del compte s'executen quan ningú no ha iniciat sessió a Windows. Tenint això en compte, la publicació de preguntes i respostes de superusuari d'avui té respostes per a un lector curiós.

La sessió de preguntes i respostes d'avui ens arriba per cortesia de SuperUser, una subdivisió de Stack Exchange, una agrupació de llocs web de preguntes i respostes impulsada per la comunitat.



La Pregunta

El lector de superusuaris Kunal Chopra vol saber quin compte fa servir Windows quan ningú ha iniciat sessió:

Quan ningú ha iniciat sessió a Windows i es mostra la pantalla d'inici de sessió, amb quin compte d'usuari s'executen els processos actuals (controladors de vídeo i so, sessió d'inici de sessió, qualsevol programari de servidor, controls d'accessibilitat, etc.)? No pot ser cap usuari ni l'usuari anterior perquè ningú no ha iniciat sessió.

Què passa amb els processos que ha iniciat un usuari però que continuen executant-se després de tancar la sessió (per exemple, servidors HTTP/FTP i altres processos de xarxa)? Canvien al compte SYSTEM? Si un procés iniciat per l'usuari es canvia al compte SYSTEM, això indica una vulnerabilitat molt greu. Aquest procés executat per aquest usuari continua executant-se amb el compte d'aquest usuari d'alguna manera després d'haver tancat la sessió?

És per això que el pirateig SETHC us permet utilitzar CMD com a SISTEMA?

Quin compte fa servir Windows quan ningú ha iniciat sessió?

La resposta

El col·laborador de superusuari grawity té la resposta per a nosaltres:

Quan ningú ha iniciat sessió a Windows i es mostra la pantalla d'inici de sessió, amb quin compte d'usuari s'executen els processos actuals (controladors de vídeo i so, sessió d'inici de sessió, qualsevol programari de servidor, controls d'accessibilitat, etc.)?

Gairebé tots els controladors s'executen en mode nucli; no necessiten un compte tret que iniciïn processos d'espai d'usuari. Aquests controladors d'espai d'usuari s'executen sota SYSTEM.

Pel que fa a la sessió d'inici de sessió, estic segur que també utilitza SYSTEM. Podeu veure logonui.exe mitjançant Process Hacker o SysInternals Process Explorer. De fet, es pot veure tot així.

Pel que fa al programari de servidor, vegeu els serveis de Windows a continuació.

Què passa amb els processos que ha iniciat un usuari però que continuen executant-se després de tancar la sessió (per exemple, servidors HTTP/FTP i altres processos de xarxa)? Canvien al compte SYSTEM?

Aquí hi ha tres tipus:

  1. Processos de fons senzills: aquests s'executen amb el mateix compte que qui els va iniciar i no s'executen després de tancar la sessió. El procés de tancament de sessió els mata a tots. Els servidors HTTP/FTP i altres processos de xarxa no s'executen com a processos habituals en segon pla. Funcionen com a serveis.
  2. Processos de servei de Windows: no s'inicien directament, sinó mitjançant el Gestor de serveis. De manera predeterminada, els serveis que s'executen com a LocalSystem (que diu que és igual a SYSTEM) poden tenir comptes dedicats configurats. Per descomptat, pràcticament ningú es molesta. Només instal·len XAMPP, WampServer o algun altre programari i el deixen funcionar com a SISTEMA (per sempre sense pegat). Als sistemes Windows recents, crec que els serveis també poden tenir els seus propis SID, però de nou encara no he fet gaire recerca sobre això.
  3. Tasques programades: són llançades pel Servei de planificació de tasques en segon pla i sempre s'executen amb el compte configurat a la tasca (normalment qui ha creat la tasca).

Si un procés iniciat per l'usuari es canvia al compte SYSTEM, això indica una vulnerabilitat molt greu.

No és una vulnerabilitat perquè ja heu de tenir privilegis d'administrador per instal·lar un servei. Tenir privilegis d'administrador ja et permet fer pràcticament tot.

Vegeu també: Diverses altres no-vulnerabilitats del mateix tipus.

Assegureu-vos de llegir la resta d'aquesta interessant discussió a través de l'enllaç del fil a continuació!