Який обліковий запис Windows використовується системою, коли ніхто не ввійшов?

Якщо вам цікаво, і дізнаєтеся більше про те, як Windows працює під капотом, то ви можете знайти собі цікаво, які "активні" процеси запускаються, коли ніхто не ввійшов у Windows. Маючи це на увазі, сьогоднішня публікація із запитань SuperUser має відповіді на цікавого читача.

Сьогоднішня сесія запитань та відповідей приходить до нас люб'язно SuperUser - підрозділ Stack Exchange, групування веб-сайтів із запитаннями та відповідями на рівні спільноти..

Питання

Читач SuperUser Kunal Chopra хоче знати, який обліковий запис використовується Windows, коли ніхто не ввійшов:

Коли ніхто не входить до системи Windows і відображається екран входу, який обліковий запис користувача виконується в поточних процесах (драйвери відео та звуку, сеанс входу, будь-яке серверне програмне забезпечення, елементи керування доступністю тощо)? Він не може бути будь-яким користувачем або попереднім користувачем, оскільки ніхто не ввійшов у систему.

А як щодо процесів, запущених користувачем, але які продовжують працювати після виходу з системи (наприклад, HTTP / FTP-сервери та інші мережні процеси)? Чи перемикаються вони на обліковий запис SYSTEM? Якщо запущений користувачем процес перейшов до облікового запису SYSTEM, це вказує на дуже серйозну вразливість. Чи продовжується такий процес, що виконується цим користувачем, під обліковим записом цього користувача після того, як вони вийшли з системи?

Це чому SETHC hack дозволяє використовувати CMD як СИСТЕМА?

Який обліковий запис використовується Windows, коли ніхто не ввійшов у систему?

Відповідь

Гравітет учасника SuperUser має відповідь для нас:

Коли ніхто не входить до системи Windows і відображається екран входу, який обліковий запис користувача є поточними процесами, що виконуються (відео- та звукові драйвери, сеанс входу, будь-яке серверне програмне забезпечення, елементи керування доступністю тощо)?

Майже всі драйвери виконуються в режимі ядра; вони не потребують облікового запису, якщо вони не починаються простору користувача процеси. Ті простору користувача драйвери запускаються під SYSTEM.

Що стосується сеансу входу, я впевнений, що він також використовує SYSTEM. Ви можете побачити logonui.exe за допомогою Process Hacker або SysInternals Process Explorer. Насправді, все це можна побачити.

Що стосується серверного програмного забезпечення, див.

А як щодо процесів, запущених користувачем, але які продовжують працювати після виходу з системи (наприклад, HTTP / FTP-сервери та інші мережні процеси)? Чи перемикаються вони на обліковий запис SYSTEM?

Тут є три види:

1. Прості старі фонові процеси: вони виконуються за тим самим обліковим записом, що і той, хто їх запустив і не запускається після виходу з системи. Процес виходу з системи вбиває їх усіх. HTTP / FTP-сервери та інші мережні процеси не працюють як звичайні фонові процеси. Вони виконуються як послуги.
2. Процеси обслуговування Windows: вони не запускаються безпосередньо, а через Менеджер послуг. За замовчуванням служби виконуються як LocalSystem (для якого isanae говорить рівним SYSTEM), можуть бути сконфігуровані спеціальні облікові записи. Звичайно, практично ніхто не заважає. Вони просто встановлюють XAMPP, WampServer або інше програмне забезпечення і дозволяють йому працювати як SYSTEM (назавжди не відправлений). На останніх системах Windows, я вважаю, що послуги також можуть мати свої власні SID, але знову ж таки я ще не зробив багато досліджень.
3. Заплановані завдання: вони запускаються програмою Служба планувальника завдань у фоновому режимі та завжди виконується під обліковим записом, налаштованим у завданні (зазвичай, хто б не створив завдання).

Якщо запущений користувачем процес перейшов до облікового запису SYSTEM, це вказує на дуже серйозну вразливість.

Це не є вразливістю, тому що для встановлення служби потрібно мати права адміністратора. Наявність привілеїв адміністратора вже дозволяє вам практично все.

Дивіться також: Різні інші невласності одного і того ж роду.

Переконайтеся в тому, щоб прочитати решту цієї цікавої дискусії за посиланням нижче!

Маєте щось додати до пояснення? Звучить в коментарях. Хочете прочитати більше відповідей від інших технологічних користувачів Stack Exchange? Перегляньте повний потік обговорення тут.