Ako ste znatiželjni i saznate više o tome kako Windows radi pod kapuljačom, možda ćete se zapitati koji aktivni procesi "računa" rade pod nižom ulogom u sustavu Windows. Imajući to na umu, današnji SuperUser Q & A post ima odgovore za znatiželjnog čitatelja.
Današnja pitanja i odgovori nam se javljaju zahvaljujući SuperUseru - podjele Stack Exchange-a, zajednice-driven grupiranja Q & A web stranica.
SuperUser čitač Kunal Chopra želi znati koji račun koristi Windows kad nitko nije prijavljen:
Kada se netko ne prijavljuje u Windows i prikaže se zaslon za prijavu, koji korisnički račun predstavljaju trenutne procese koji se pokreću pod (upravljački programi za video i zvuk, sesija prijave, bilo koji poslužiteljski softver, kontrola pristupačnosti itd.)? Ne može biti bilo koji korisnik ni prethodni korisnik jer nitko nije prijavljen.
Što je s procesima koje je pokrenuo korisnik, ali se nastavljaju prikazivati nakon odjavljivanja (na primjer, HTTP / FTP poslužitelji i drugi procesi umrežavanja)? Prebacuju li se na račun SUSTAVA? Ako je postupak pokrenut korisnikom prebačen na račun SUSTAVA, to označava vrlo ozbiljnu ranjivost. Da li se taj proces koji pokreće taj korisnik i dalje izvodi na računu tog korisnika nekako nakon što se odjavljuju?
Je li to razlog zašto SETHC hack omogućuje upotrebu CMD sustava?
Koji račun koristi Windows kada nitko nije prijavljen?
Odgovor za nas je odgovoran za SuperUser suradnik:
Kada se netko ne prijavljuje u Windows i prikaže se zaslon za prijavu, koji korisnički račun predstavljaju trenutne procese koji se pokreću pod (upravljački programi za video i zvuk, sesija prijave, bilo koji poslužiteljski softver, kontrola pristupačnosti itd.)?
Gotovo svi vozači rade u kernel modu; oni ne trebaju račun ako ne započnu korisnički prostor procesi. Oni korisnički prostor vozači se pokreću pod SYSTEM.
Što se tiče prijave za prijavu, siguran sam da koristi i SUSTAV. Logonui.exe možete vidjeti pomoću Process Hacker ili SysInternals Process Explorer. U stvari, sve tako možete vidjeti.
Što se tiče poslužiteljskog softvera, pogledajte usluge Windows u nastavku.
Što je s procesima koje je pokrenuo korisnik, ali se nastavljaju prikazivati nakon odjavljivanja (na primjer, HTTP / FTP poslužitelji i drugi procesi umrežavanja)? Prebacuju li se na račun SUSTAVA?
Ovdje postoje tri vrste:
- Procesi običnih starih pozadina: oni se pokreću pod istim računom kao i oni koji su ih pokrenuli i ne pokreću nakon odjavljivanja. Postupak uklanjanja ih sve uništava. HTTP / FTP poslužitelji i drugi procesi umrežavanja ne funkcioniraju kao redoviti pozadinski procesi. Oni rade kao usluge.
- Procesi usluga sustava Windows: oni se ne pokreću izravno, već putem Upravitelj usluga, Prema zadanim postavkama, usluge koje se pokreću kao LocalSystem (što je isanae kaže jednako SUSTAV) mogu imati konfigurirane račune. Naravno, praktički nitko ne smeta. Instaliraju samo XAMPP, WampServer ili neki drugi softver i pustite ga da radi kao SUSTAV (zauvijek unpatched). Na nedavnim Windows sustavima, mislim da usluge također mogu imati svoje vlastite SID-ove, ali opet nisam učinio mnogo istraživanja o tome još.
- Raspoređeni zadaci: Ove ga pokreću Task Scheduler Service u pozadini i uvijek se pokrećete pod računom konfiguriranim u zadatku (obično tko je stvorio zadatak).
Ako je postupak pokrenut korisnikom prebačen na račun SUSTAVA, to označava vrlo ozbiljnu ranjivost.
To nije ranjivost jer već morate imati administratorske ovlasti za instaliranje usluge. Imajući administratorske ovlasti već vam omogućuje praktički sve.
Vidi također: Razne druge ne-ranjivosti iste vrste.
Obavezno pročitajte ostatak ove zanimljive rasprave putem veze niti u nastavku!
Imate li nešto za objašnjenje? Zvuči u komentarima. Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.