Startpagina » hoe » Welk Windows-account wordt gebruikt door het systeem wanneer niemand is aangemeld?

    Welk Windows-account wordt gebruikt door het systeem wanneer niemand is aangemeld?

    Als je nieuwsgierig bent en meer te weten wilt komen over hoe Windows onder de motorkap werkt, kun je je afvragen welke actieve actieve processen worden uitgevoerd als niemand is aangemeld bij Windows. Met dat in gedachten heeft de SuperUser Q & A-post van vandaag antwoorden voor een nieuwsgierige lezer.

    De Question & Answer-sessie van vandaag komt tot ons dankzij SuperUser - een onderdeel van Stack Exchange, een gemeenschapsgedreven groep van Q & A-websites.

    De vraag

    SuperUser-lezer Kunal Chopra wil weten welk account door Windows wordt gebruikt wanneer niemand is ingelogd:

    Wanneer niemand is aangemeld bij Windows en het inlogscherm wordt weergegeven, welk gebruikersaccount zijn de huidige processen die worden uitgevoerd onder (video- en geluidsstuurprogramma's, aanmeldsessie, eventuele serversoftware, toegankelijkheidsopties, enz.)? Het kan geen gebruiker of de vorige gebruiker zijn omdat niemand is aangemeld.

    Hoe zit het met processen die door een gebruiker zijn gestart maar die na het afmelden nog steeds worden uitgevoerd (bijvoorbeeld HTTP / FTP-servers en andere netwerkprocessen)? Schakelen ze over naar het SYSTEM-account? Als een door de gebruiker gestart proces is overgeschakeld naar de SYSTEM-account, duidt dit op een zeer ernstige kwetsbaarheid. Wordt zo'n proces dat door die gebruiker wordt uitgevoerd, nog steeds onder die gebruikersaccount uitgevoerd nadat ze zich hebben afgemeld??

    Is dit de reden waarom de SETHC-hack je toestaat om CMD als SYSTEEM te gebruiken?

    Welk account wordt door Windows gebruikt als er niemand is ingelogd?

    Het antwoord

    SuperUser contributor grawity heeft het antwoord voor ons:

    Wanneer niemand is aangemeld bij Windows en het inlogscherm wordt weergegeven, onder welk gebruikersaccount de huidige processen worden uitgevoerd (video- en geluidstuurprogramma's, inlogsessie, eventuele serversoftware, toegankelijkheidsopties, enz.)?

    Vrijwel alle stuurprogramma's worden in de kernelmodus uitgevoerd; ze hebben geen account nodig, tenzij ze beginnen gebruikersruimte processen. Die gebruikersruimte stuurprogramma's draaien onder SYSTEEM.

    Met betrekking tot de inlogsessie ben ik er zeker van dat het ook SYSTEEM gebruikt. U kunt logonui.exe zien met Process Hacker of SysInternals Process Explorer. In feite kun je alles op die manier zien.

    Zie voor serversoftware onderstaande Windows-services.

    Hoe zit het met processen die door een gebruiker zijn gestart maar die na het afmelden nog steeds worden uitgevoerd (bijvoorbeeld HTTP / FTP-servers en andere netwerkprocessen)? Schakelen ze over naar het SYSTEEM-account?

    Er zijn hier drie soorten:

    1. Gewone oude achtergrondprocessen: deze worden uitgevoerd onder dezelfde account als degene die ze heeft gestart en worden niet uitgevoerd na het afmelden. Het afmeldingsproces doodt ze allemaal. HTTP / FTP-servers en andere netwerkprocessen worden niet uitgevoerd als normale achtergrondprocessen. Ze worden als services uitgevoerd.
    2. Windows-serviceprocessen: deze worden niet rechtstreeks gestart, maar via de Service Manager. Standaard kunnen services worden uitgevoerd als LocalSystem (waarbij isanae gelijk is aan SYSTEM) kunnen dedicated accounts zijn geconfigureerd. Bijna niemand stoort natuurlijk. Ze installeren gewoon XAMPP, WampServer of een andere software en laten het draaien als SYSTEEM (voor altijd niet gepatched). Op recente Windows-systemen denk ik dat services ook hun eigen SID's kunnen hebben, maar nogmaals, ik heb hier nog niet veel onderzoek naar gedaan.
    3. Geplande taken: deze worden gestart door de Task Scheduler Service op de achtergrond en worden altijd uitgevoerd onder het account dat is geconfigureerd in de taak (meestal degene die de taak heeft gemaakt).

    Als een door de gebruiker gestart proces is overgeschakeld naar de SYSTEM-account, duidt dit op een zeer ernstige kwetsbaarheid.

    Het is geen kwetsbaarheid omdat u al beheerdersrechten moet hebben om een ​​service te installeren. Met beheerdersrechten kun je al praktisch alles doen.

    Zie ook: Verschillende andere niet-kwetsbaarheden van dezelfde soort.

    Lees de rest van deze interessante discussie door via de onderstaande link!


    Heb je iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk hier de volledige discussiethread.