Pagina principala » HOWTO » Ce cont de Windows este folosit de sistem atunci când nimeni nu este conectat?

    Ce cont de Windows este folosit de sistem atunci când nimeni nu este conectat?

    Dacă sunteți curios și aflați mai multe despre modul în care funcționează Windows sub capota, atunci s-ar putea să vă aflați întrebând care sunt procesele active "în cont" care se execută când nimeni nu este conectat la Windows. Având în vedere acest lucru, postul de astăzi SuperUser Q & A are răspunsuri pentru un cititor curios.

    Sesiunea de întrebări și răspunsuri din ziua de astăzi vine de la amabilitatea SuperUser - o subdiviziune a Stack Exchange, o grupare bazată pe comunitate a site-urilor web Q & A.

    Intrebarea

    Cititorul super-utilizator Kunal Chopra dorește să știe ce cont este folosit de Windows atunci când nimeni nu este conectat:

    Când nimeni nu este conectat la Windows și ecranul de conectare este afișat, ce cont de utilizator sunt procesele curente care rulează sub (drivere video și de sunet, sesiune de conectare, orice software de server, controale de acces etc.)? Nu poate fi nici un utilizator sau utilizatorul anterior, deoarece nimeni nu este conectat.

    Ce se întâmplă cu procesele care au fost inițiate de un utilizator, dar continuă să ruleze după deconectare (de exemplu, servere HTTP / FTP și alte procese de rețea)? Trec la contul SYSTEM? Dacă un proces inițiat de utilizator este trecut la contul SYSTEM, atunci aceasta indică o vulnerabilitate foarte gravă. Un astfel de proces executat de acel utilizator continuă să se execute sub contul respectivului utilizator cumva după ce sa deconectat?

    Acesta este motivul pentru care hack-ul SETHC vă permite să utilizați CMD ca SYSTEM?

    Ce cont este utilizat de Windows atunci când nimeni nu este conectat?

    Răspunsul

    Contribuția superutilizatorului Grawity are răspunsul pentru noi:

    Când nimeni nu este conectat la Windows și ecranul de conectare este afișat, ce cont de utilizator sunt procesele curente care rulează sub (drivere video și de sunet, sesiune de conectare, orice software de server, controale de accesibilitate etc.)?

    Aproape toate driverele rulează în modul kernel; nu au nevoie de un cont decât dacă încep utilizator-spațiu procese. Acestea utilizator-spațiu driverele rulează în SYSTEM.

    În ceea ce privește sesiunea de conectare, sunt sigur că utilizează și SYSTEM. Puteți vedea logonui.exe utilizând Process Hacker sau SysInternals Process Explorer. De fapt, puteți vedea totul în felul acesta.

    În ceea ce privește software-ul de server, consultați serviciile Windows de mai jos.

    Ce se întâmplă cu procesele care au fost inițiate de un utilizator, dar continuă să ruleze după deconectare (de exemplu, servere HTTP / FTP și alte procese de rețea)? Se comută la contul SYSTEM?

    Există trei tipuri:

    1. Procesele simple de fundal vechi: acestea se execută în același cont ca și oricine le-a pornit și nu se execută după deconectare. Procesul de logare îi ucide pe toți. Serverele HTTP / FTP și alte procese de rețea nu se execută ca procese de fundal obișnuite. Ei rulează ca servicii.
    2. Procese de service Windows: acestea nu sunt lansate direct, ci prin Manager de servicii. În mod prestabilit, serviciile executate ca LocalSystem (care isanae spune că este egal cu SYSTEM) pot avea configurate conturi dedicate. Bineînțeles, practic, nimeni nu-i deranjează. Ei doar instalează XAMPP, WampServer sau alt software și îl lasă să funcționeze ca SYSTEM (pentru totdeauna neatins). Pe sistemele recente Windows, cred că serviciile pot avea și propriile SID-uri, dar din nou nu am făcut încă prea multe cercetări în acest sens.
    3. Sarcinile programate: acestea sunt lansate de către Task Scheduler Service în fundal și executați întotdeauna sub contul configurat în sarcină (de obicei cel care a creat sarcina).

    Dacă un proces inițiat de utilizator este trecut la contul SYSTEM, atunci aceasta indică o vulnerabilitate foarte gravă.

    Nu este o vulnerabilitate deoarece trebuie să aveți deja privilegii de administrator pentru a instala un serviciu. Având privilegii de administrator deja vă permite să faceți practic totul.

    Vezi si: Diverse alte non-vulnerabilități de același tip.

    Asigurați-vă că ați citit restul acestei discuții interesante prin intermediul link-ului de mai jos!

    Aveți ceva de adăugat la explicație? Sunați în comentariile. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.

    Cine face toate aceste malware - și de ce?
    Cine este înșelătorie probabil, și de ce sunt numesc telefonul dvs.?
    Ce versiune de Chrome am?
    Articolul următor
    Ce Servicii Windows vă puteți dezactiva în siguranță?
    Articolul precedent
    Ce versiune de Firefox folosesc?