Mikä järjestelmä käyttää järjestelmää, kun kukaan ei ole kirjautunut sisään?

Jos olet utelias ja opit lisää siitä, miten Windows toimii hupun alla, saatat joutua miettimään, mitkä “tilin” aktiiviset prosessit ovat käynnissä, kun kukaan ei ole kirjautunut Windowsiin. Tässä mielessä tämän päivän SuperUser Q&A -postissa on vastauksia utelias lukijalle.

Nykypäivän Kysymys- ja vastaus -istunto tulee meille suotuisasti SuperUserin - Stack Exchange -alueen, yhteisöpohjaisen Q & A-sivustojen ryhmittymän - kautta..

Kysymys

SuperUser-lukija Kunal Chopra haluaa tietää, mitä tiliä Windows käyttää, kun kukaan ei ole kirjautunut sisään:

Kun kukaan ei ole kirjautunut Windowsiin ja näyttöön tulee kirjautumisnäyttö, mikä käyttäjätili on nykyisiä prosesseja (video- ja ääniohjaimet, kirjautumisistunto, mikä tahansa palvelinohjelmisto, esteettömyysohjaimet jne.)? Se ei voi olla mikään käyttäjä tai edellinen käyttäjä, koska kukaan ei ole kirjautunut sisään.

Entä prosessit, jotka käyttäjä on aloittanut, mutta jotka jatkuvat käynnistyksen jälkeen (esimerkiksi HTTP / FTP-palvelimet ja muut verkkoprosessit)? Vaihtavatko ne järjestelmän tilille? Jos käyttäjän käynnistämä prosessi siirtyy SYSTEM-tilille, se osoittaa erittäin vakavan haavoittuvuuden. Onko tällainen käyttäjän suorittama prosessi edelleen kyseisen käyttäjän tilin alla jotenkin sen jälkeen, kun he ovat kirjautuneet ulos?

Siksi SETHC-hakata voit käyttää CMD: tä järjestelmänä?

Mikä Windows käyttää sitä, kun kukaan ei ole kirjautunut sisään?

Vastaus

SuperUserin tekijän raskaus on meille vastaus:

Kun kukaan ei ole kirjautunut Windowsiin ja näyttöön tulee kirjautumisnäyttö, mikä käyttäjätili on nykyisiä prosesseja (video- ja ääniohjaimet, kirjautumisistunto, mikä tahansa palvelinohjelmisto, esteettömyysohjaimet jne.)?

Lähes kaikki ajurit toimivat ytimen tilassa; he eivät tarvitse tiliä, ellei he alkavat käyttäjä-avaruus prosessit. Nuo käyttäjä-avaruus kuljettajat toimivat SYSTEM-järjestelmässä.

Sisäänkirjautumisistunnon osalta olen varma, että se käyttää myös järjestelmää. Logonui.exe-tiedostoa voi käyttää Process Hacker- tai SysInternals Process Explorer -ohjelmalla. Itse asiassa voit nähdä kaiken näin.

Palvelinohjelmistojen osalta katso alla olevat Windows-palvelut.

Entä prosessit, jotka käyttäjä on aloittanut, mutta jotka jatkuvat käynnistyksen jälkeen (esimerkiksi HTTP / FTP-palvelimet ja muut verkkoprosessit)? Vaihtavatko ne SYSTEM-tilille?

Täällä on kolme eri tyyppiä:

1. Pelkät vanhat taustaprosessit: Nämä toimivat samassa tilissä kuin ne, jotka aloittivat ne ja eivät käynnisty kirjautumisen jälkeen. Logoff-prosessi tappaa ne kaikki. HTTP / FTP-palvelimet ja muut verkkoprosessit eivät toimi normaalina taustaprosessina. Ne toimivat palveluina.
2. Windows-palveluprosessit: Näitä ei käynnistetä suoraan, vaan Palvelupäällikkö. Oletusarvoisesti LocalSystem-järjestelmässä toimivat palvelut (joita isanae sanoo vastaa SYSTEM-järjestelmää) voivat olla omistettuja tilejä. Tietenkin käytännössä kukaan ei häiritse. He asentavat vain XAMPP: n, WampServerin tai jonkin muun ohjelmiston ja antavat sen käyttää järjestelmää (ikuisesti unpatched). Viimeisimmissä Windows-järjestelmissä palveluilla on mielestäni myös omat SID-tunnuksensa, mutta en ole vielä tehnyt paljon tutkimusta.
3. Ajoitetut tehtävät: Tehtävien ajoituspalvelu taustalla ja aja aina aina tehtävässä määritetyllä tilillä (yleensä kuka luonut tehtävän).

Jos käyttäjän käynnistämä prosessi siirtyy SYSTEM-tilille, se osoittaa erittäin vakavan haavoittuvuuden.

Se ei ole haavoittuvuus, koska sinulla on jo oltava järjestelmänvalvojan oikeudet asentaa palvelu. Järjestelmänvalvojan oikeuksien ansiosta voit tehdä käytännössä kaiken.

Katso myös: Erilaiset muut samanlaiset ei-haavoittuvuudet.

Muista lukea tämä mielenkiintoinen keskustelu alla olevan linkin kautta!

Onko jotain lisättävää selitykseen? Ääni pois kommenteista. Haluatko lukea lisää vastauksia muilta tech-savvy Stack Exchange -käyttäjiltä? Tutustu koko keskusteluketjuun täällä.