Какая учетная запись Windows используется системой, когда никто не вошел в систему?

Если вам любопытно узнать больше о том, как работает Windows под капотом, то вам может быть интересно, под какой учетной записью работают активные процессы, когда никто не вошел в Windows. Имея это в виду, в сегодняшнем посте SuperUser Q & A есть ответы для любопытного читателя..

Сегодняшняя сессия вопросов и ответов пришла к нам благодаря SuperUser - подразделению Stack Exchange, группе веб-сайтов вопросов и ответов, управляемой сообществом..

Вопрос

Читатель SuperUser Кунал Чопра хочет знать, какая учетная запись используется Windows, когда никто не вошел в систему:

Когда никто не вошел в Windows и отображается экран входа в систему, под какой учетной записью выполняются текущие процессы (видео и звуковые драйверы, сеанс входа в систему, любое серверное программное обеспечение, средства управления доступом и т. Д.)? Это не может быть любой пользователь или предыдущий пользователь, потому что никто не вошел в систему.

Как насчет процессов, которые были запущены пользователем, но продолжают выполняться после выхода из системы (например, HTTP / FTP-серверы и другие сетевые процессы)? Они переключаются на учетную запись SYSTEM? Если запущенный пользователем процесс переключается на учетную запись SYSTEM, это указывает на очень серьезную уязвимость. Продолжает ли такой процесс, запущенный этим пользователем, продолжать работать под учетной записью этого пользователя после выхода из системы??

Вот почему взлом SETHC позволяет использовать CMD в качестве SYSTEM?

Какая учетная запись используется Windows, когда никто не вошел в систему?

Ответ

SuperUser вкладчик благодарность имеет ответ для нас:

Когда никто не вошел в Windows и отображается экран входа, под какой учетной записью выполняются текущие процессы (драйверы видео и звука, сеанс входа в систему, любое серверное программное обеспечение, средства управления доступом и т. Д.)?

Почти все драйверы работают в режиме ядра; им не нужна учетная запись, если они не начинают пользовательское пространство процессы. Те пользовательское пространство драйверы работают под СИСТЕМОЙ.

Что касается сеанса входа в систему, я уверен, что он также использует SYSTEM. Вы можете увидеть logonui.exe с помощью Process Hacker или SysInternals Process Explorer. На самом деле, вы можете видеть все таким образом.

Что касается серверного программного обеспечения, см. Службы Windows ниже..

Как насчет процессов, которые были запущены пользователем, но продолжают выполняться после выхода из системы (например, HTTP / FTP-серверы и другие сетевые процессы)? Они переключаются на учетную запись SYSTEM??

Здесь есть три вида:

1. Простые старые фоновые процессы: они запускаются под той же учетной записью, что и те, кто их запускал, и не запускаются после выхода из системы. Процесс выхода из системы убивает их всех. HTTP / FTP-серверы и другие сетевые процессы не работают как обычные фоновые процессы. Они работают как услуги.
2. Процессы службы Windows: они запускаются не напрямую, а через Сервис-менеджер. По умолчанию службы, запущенные как LocalSystem (что isanae говорит, что равно SYSTEM), могут иметь настроенные учетные записи. Конечно, практически никто не мешает. Они просто устанавливают XAMPP, WampServer или другое программное обеспечение и позволяют ему работать как SYSTEM (навсегда не исправленный). Я думаю, что в последних системах Windows сервисы также могут иметь свои собственные идентификаторы безопасности, но, опять же, я еще не провел много исследований по этому вопросу..
3. Запланированные задачи: они запускаются Служба планировщика заданий в фоновом режиме и всегда запускается под учетной записью, настроенной в задаче (обычно это тот, кто создал задачу).

Если запущенный пользователем процесс переключается на учетную запись SYSTEM, это указывает на очень серьезную уязвимость.

Это не уязвимость, поскольку для установки службы у вас уже должны быть права администратора. Наличие прав администратора уже позволяет вам делать практически все.

Смотрите также: Различные другие неуязвимости того же рода.

Обязательно прочитайте оставшуюся часть этого интересного обсуждения по ссылке внизу!

Есть что добавить к объяснению? Отключить звук в комментариях. Хотите узнать больше ответов от других технически подкованных пользователей Stack Exchange? Ознакомьтесь с полным обсуждением здесь.