Ja jums ir interesanti un uzzināt vairāk par to, kā Windows darbojas zem kapuci, tad jūs varat uzzināt, kādi "aktīvā procesa" konti darbojas, kad neviens neieslēdzas sistēmā Windows. Ņemot to vērā, šodienas SuperUser Q & A ziņai ir atbildes par ziņkārīgs lasītājs.
Šodienas jautājumu un atbilžu sesija mums priecājas par SuperUser - Stack Exchange dalību, kas ir kopienas vadīta Q & A tīmekļa vietņu grupa.
SuperUser lasītājs Kunal Chopra vēlas uzzināt, kurš konts tiek izmantots sistēmā Windows, ja neviens nav pieteicies:
Ja neviens nav pierakstījies sistēmā Windows un tiek parādīts ekrānā žurnāls, kāds lietotāja konts ir pašreizējie procesi, kas darbojas zem (video un audio draiveri, pieteikšanās sesija, jebkura servera programmatūra, pieejamības kontroles uc)? Nevar būt nevienam lietotājam vai iepriekšējam lietotājam, jo neviens nav pieteicies.
Kas attiecas uz procesiem, ko ir uzsācis lietotājs, bet turpina darboties pēc atteikšanās (piemēram, HTTP / FTP serveri un citi tīkla procesi)? Vai viņi pāriet uz SYSTEM kontu? Ja lietotāja uzsāktais process tiek pārslēgts uz SYSTEM kontu, tas norāda uz ļoti nopietnu ievainojamību. Vai šāda lietotāja veiktais process turpina darboties šī lietotāja kontā kaut kā pēc tam, kad tas ir izrakstījies?
Vai tas ir iemesls, kāpēc SETHC hack ļauj jums izmantot CMD kā SYSTEM?
Kuru kontu Windows izmanto, ja neviens nav pieteicies?
SuperUser ieguldītājs gravitāte ir atbilde mums:
Ja neviens nav pierakstījies sistēmā Windows un tiek parādīts ekrānā žurnāls, kāds lietotāja konts ir pašreizējie procesi, kas darbojas zem (video un audio draiveri, pieteikšanās sesija, jebkura servera programmatūra, pieejamības kontroles uc)?
Gandrīz visi draiveri darbojas kodola režīmā; viņiem nav nepieciešams konts, ja vien viņi nesāk lietotāja telpa procesi. Tie lietotāja telpa vadītāji darbojas saskaņā ar SYSTEM.
Runājot par pieteikšanās sesiju, esmu pārliecināts, ka tas arī izmanto sistēmu. Jūs varat redzēt logonui.exe, izmantojot Process Hacker vai SysInternals Process Explorer. Faktiski jūs varat visu redzēt šādā veidā.
Attiecībā uz servera programmatūru skatiet tālāk sniegtos Windows pakalpojumus.
Kas attiecas uz procesiem, ko ir uzsācis lietotājs, bet turpina darboties pēc atteikšanās (piemēram, HTTP / FTP serveri un citi tīkla procesi)? Vai viņi pāriet uz SYSTEM kontu?
Šeit ir trīs veidi:
- Vienkārši vecie fona procesi: tie tiek izmantoti tādā pašā kontā kā ikviens, kas to sāka, un netiek palaists pēc atteikšanās. Atteikšanās process visus tos nogalina. HTTP / FTP serveri un citi tīkla procesi nedarbojas kā regulāri fona procesi. Viņi darbojas kā pakalpojumi.
- Windows servisa procesi: tie netiek palaisti tieši, bet izmantojot Servisa vadītājs. Pēc noklusējuma pakalpojumi darbojas kā LocalSystem (kas isanae saka, ka ir vienāds SYSTEM), var būt konfigurēti speciāli konti. Protams, praktiski neviens neuztraucas. Viņi vienkārši instalē XAMPP, WampServer vai kādu citu programmatūru, un ļaujiet tai darboties kā SYSTEM (pastāvīgi neatbrīvota). Attiecībā uz nesenajām Windows sistēmām es domāju, ka pakalpojumiem var būt arī savi SID, bet atkal es par to vēl neesmu izdarījusi daudz pētījumu.
- Plānotie uzdevumi: tos uzsāk Uzdevumu plānotāja pakalpojums fonā un vienmēr darbojas kontā, kas konfigurēts uzdevumā (parasti tas, kurš uzdevumu izveidoja).
Ja lietotāja uzsāktais process tiek pārslēgts uz SYSTEM kontu, tas norāda uz ļoti nopietnu ievainojamību.
Tas nav neaizsargāts, jo jums jau ir Administratora tiesības instalēt pakalpojumu. Ar administratora privilēģijām jūs jau varat praktiski visu darīt.
Skatīt arī: Dažādi citi tāda paša veida neaizsargātās vietas.
Pārliecinieties, ka esat izlasījis pārējo šo interesanto diskusiju, izmantojot tālāk norādīto pavedienu saiti!
Vai kaut ko pievienot paskaidrojumam? Skatieties komentāros. Vēlaties lasīt citas atbildes no citiem tehnoloģiju savvy Stack Exchange lietotājiem? Šeit skatiet pilnu diskusiju pavedienu.
