Dacă sunteți curios și aflați mai multe despre modul în care funcționează Windows sub capota, atunci s-ar putea să vă aflați întrebând care sunt procesele active din "cont" care se execută în momentul în care nimeni nu este conectat la Windows. În acest sens, postul de astăzi SuperUser Q & A are răspunsuri pentru un cititor curios.
Sesiunea de întrebări și răspunsuri din ziua de astăzi vine de la amabilitatea SuperUser - o subdiviziune a Stack Exchange, o grupare bazată pe comunitate a site-urilor Q & A.
Cititorul super-utilizator Kunal Chopra dorește să știe ce cont este folosit de Windows atunci când nimeni nu este conectat:
Când nimeni nu este conectat la Windows și ecranul de conectare este afișat, ce cont de utilizator sunt procesele curente care rulează sub (drivere video și sunet, sesiune de conectare, software de tip server, controale de acces etc.)? Nu poate fi nici un utilizator, nici utilizatorul anterior, deoarece nimeni nu este conectat.
Ce se întâmplă cu procesele care au fost inițiate de un utilizator, dar continuă să se execute după deconectare (de exemplu, servere HTTP / FTP și alte procese de rețea)? Trec la contul SYSTEM? Dacă un proces inițiat de utilizator este trecut la contul SYSTEM, atunci aceasta indică o vulnerabilitate foarte gravă. Un astfel de proces rulat de acel utilizator continuă să se difuzeze în contul respectivului utilizator cumva după ce sa deconectat?
Acesta este motivul pentru care hack-ul SETHC vă permite să utilizați CMD ca SYSTEM?
Ce cont este utilizat de Windows atunci când nimeni nu este conectat?
Suprauperatorul contributor grawity are răspunsul pentru noi:
Când nimeni nu este conectat la Windows și ecranul de conectare este afișat, ce cont de utilizator sunt procesele curente care rulează sub (drivere video și sunet, sesiune de conectare, software de tip server, controale de acces etc.)?
Aproape toate driverele rulează în modul kernel; ei nu au nevoie de un cont decât dacă încep utilizator-spațiu procese. Acestea utilizator-spațiu driverele rulează în sistem.
În ceea ce privește sesiunea de conectare, sunt sigur că utilizează și SYSTEM. Puteți vedea logonui.exe utilizând Process Hacker sau SysInternals Process Explorer. De fapt, puteți vedea totul în felul acesta.
În ceea ce privește software-ul pentru server, consultați serviciile Windows de mai jos.
Ce se întâmplă cu procesele care au fost inițiate de un utilizator, dar continuă să se execute după deconectare (de exemplu, servere HTTP / FTP și alte procese de rețea)? Trec la contul SYSTEM?
Există trei tipuri aici:
- Procesele simple de fundal vechi: Acestea se execută în același cont ca oricine le-a pornit și nu se execută după deconectare. Procesul de logare îi ucide pe toți. Serverele HTTP / FTP și alte procese de rețea nu se execută ca procese de fundal obișnuite. Ei rulează ca servicii.
- Procese de service Windows: acestea nu sunt lansate direct, ci prin Manager de servicii. În mod implicit, serviciile se execută ca LocalSystem (care isanae spune că este egal cu SYSTEM) pot avea configurate conturi dedicate. Bineînțeles, practic nimeni nu deranjează. Ei doar instalează XAMPP, WampServer sau alt software și îl lasă să funcționeze ca SYSTEM (pentru totdeauna nealocat). Pe sistemele Windows recente, cred că serviciile pot avea și propriile SID-uri, dar din nou nu am făcut încă prea multe cercetări în acest sens.
- Sarcinile programate: acestea sunt lansate de către Task Scheduler Service în fundal și rulați întotdeauna sub contul configurat în sarcină (de obicei, cine a creat sarcina).
Dacă un proces inițiat de utilizator este trecut la contul SYSTEM, atunci aceasta indică o vulnerabilitate foarte gravă.
Nu este o vulnerabilitate deoarece trebuie să aveți deja privilegii de administrator pentru a instala un serviciu. Având privilegii de Administrator vă permite deja să faceți practic totul.
Vezi si: Diverse alte non-vulnerabilități de același tip.
Asigurați-vă că ați citit restul acestei discuții interesante prin intermediul link-ului de mai jos!
Aveți ceva de adăugat la explicație? Sunați în comentarii. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.