Jos olet utelias ja jos haluat lisätietoja siitä, miten Windows toimii hoodin alla, saatat joutua miettimään, mitkä "aktiiviset" prosessit käynnissä ovat, kun kukaan ei ole kirjautunut Windowsiin. Tämän vuoksi tämän päivän SuperUser Q & A -postilla on vastauksia utelias lukija.
Tämän päivän kysymys- ja vastausistunto tulee meihin SuperUserin hyväksi - Stack Exchangein alaosasto, joka on yhteisöllinen Q & A-sivustojen ryhmittely.
SuperUser-lukija Kunal Chopra haluaa tietää, mitä tiliä Windows käyttää, kun kukaan ei ole kirjautunut sisään:
Kun kukaan ei ole kirjautunut sisään Windowsiin ja näyttöön tulee kirjautumisnäyttö, mikä käyttäjätunnus ovat käynnissä olevat prosessit (video- ja ääniohjaimet, kirjautumisistunto, kaikki palvelinohjelmistot, esteettömyyskontrollit jne.)? Se ei voi olla mikä tahansa käyttäjä tai edellinen käyttäjä, koska kukaan ei ole kirjautunut sisään.
Entä prosessit, jotka on käynnistetty käyttäjällä, mutta jotka jatkuvat käynnistyksen jälkeen (esimerkiksi HTTP / FTP-palvelimet ja muut verkotusprosessit)? Siirtyvätkö ne SYSTEM-tiliin? Jos käyttäjän aloittama prosessi siirretään SYSTEM-tiliin, se merkitsee erittäin vakavaa haavoittuvuutta. Pitääkö kyseinen käyttäjä suorittaa tällaisen prosessin edelleen kyseisen käyttäjän tilin alla jollakin tavalla, kun hän on kirjautunut ulos?
Tästä syystä SETHC-hakkeri mahdollistaa CMD: n käytön SYSTEM: ksi?
Mihin tiliin Windows käyttää, kun kukaan ei ole kirjautunut sisään?
SuperUser-avustajan grawity on meille vastaus:
Kun kukaan ei ole kirjautunut sisään Windowsiin ja näyttöön tulee kirjautumisnäyttö, mikä käyttäjätunnus ovat käynnissä olevat prosessit (video- ja ääniohjaimet, kirjautumisistunto, kaikki palvelinohjelmistot, esteettömyyskontrollit jne.)?
Lähes kaikki ajurit toimivat ytimen tilassa; he eivät tarvitse tiliä, elleivät he alkaneet käyttäjä-avaruus prosessit. Nuo käyttäjä-avaruus ajurit toimivat SYSTEM-järjestelmässä.
Sisäänkirjautumisistuntoon liittyen olen varma, että se käyttää myös SYSTEM-järjestelmää. Näet logonui.exe-sovelluksen käyttämällä Process Hacker tai SysInternals Process Explorer. Itse asiassa näet kaiken tämän tavoin.
Katso palvelinohjelmistoa alla olevista Windows-palveluista.
Entä prosessit, jotka on käynnistetty käyttäjällä, mutta jotka jatkuvat käynnistyksen jälkeen (esimerkiksi HTTP / FTP-palvelimet ja muut verkotusprosessit)? Siirtyvätkö ne SYSTEM-tiliin?
Tässä on kolme lajia:
- Tavalliset vanhat taustatiedot: Nämä toimivat samalla tilillä kuin kukaan, joka on aloittanut ne ja jota ei ajetaan kirjautumisen jälkeen. Ilmoitusprosessi tappaa ne kaikki. HTTP / FTP-palvelimet ja muut verkkopalveluprosessit eivät toimi tavallisina taustaprosesseina. Ne toimivat palveluina.
- Windows-palveluprosessit: Näitä ei ole käynnistetty suoraan, vaan Palvelupäällikkö. Oletusarvoisesti palvelut, jotka toimivat LocalSystem-järjestelmänä (joka isanae tarkoittaa yhtä kuin SYSTEM), voi olla omistettu tilejä konfiguroituina. Tietenkään lähes kukaan ei kiinnosta. He vain asentavat XAMPP: n, WampServerin tai jonkin muun ohjelmiston ja antavat sen toimivan JÄRJESTELMÄSSÄ (ikuisesti tyhjänä). Hiljattain Windows-järjestelmissä mielestäni palveluilla voi olla omat SID-tunnuksensa, mutta en ole vielä tehnyt vielä paljon tutkimusta.
- Ajoitetut tehtävät: Nämä käynnistetään Tehtävien ajoituspalvelu taustalla ja aina ajetaan tehtävässä määritetyn tilin alle (yleensä joka luo tehtävän).
Jos käyttäjän aloittama prosessi siirretään SYSTEM-tiliin, se merkitsee erittäin vakavaa haavoittuvuutta.
Se ei ole haavoittuvuus, koska sinulla on jo järjestelmänvalvojan oikeudet asentaa palvelu. Järjestelmänvalvojan oikeudet antavat jo käytännössä kaiken.
Katso myös: Erilaiset muut samankaltaiset haavoittuvuudet.
Varmista, että lue loput tästä mielenkiintoisesta keskustelusta alla olevan linkin kautta!
Onko jokin asia lisättävä selitykseen? Kuulkaa kommentit. Haluatko lukea lisää vastauksia muilta tech-tajuilta Stack Exchange-käyttäjiltä? Katso koko keskusteluketju täältä.
