Який обліковий запис Windows використовується, коли ніхто не входить у систему?

Якщо у Windows ніхто не входить (на екрані входу відображається), яким користувачем працюють поточні процеси? (Драйвери відео / звуку, сеанс входу в систему, будь-яке серверне програмне забезпечення, засоби управління доступністю тощо. Вони не можуть бути жодним користувачем або попереднім користувачем, тому що ніхто не входив у систему. Що з процесами, які розпочав користувач, але продовжує запустити після виходу з системи? (наприклад, HTTP, FTP-сервери та ін. мережеві речі). Чи переходять вони на обліковий запис SYSTEM? Якщо процес, що розпочався користувачем, переходить на SYSTEM, що свідчить про дуже серйозну вразливість. Чи працює процес як цей користувач продовжувати працювати як цей користувач після виходу з системи?

Ось чому хак SETHC дозволяє використовувати CMD як SYSTEM?

Якщо у Windows ніхто не входить (на екрані входу відображається), яким користувачем працюють поточні процеси? (Драйвери відео / звуку, сеанс входу, будь-яке серверне програмне забезпечення, засоби керування доступністю тощо.

Майже всі драйвери працюють у режимі ядра ; їм не потрібен обліковий запис, якщо тільки вони не запустять процеси в просторі користувачів. Кілька драйверів простору користувачів працюють під системою SYSTEM.

Сеанс входу, я зараз не можу перевірити, але впевнений, що він також використовує SYSTEM. Ви можете побачити logonui.exe в Process Hacker або SysInternals ProcExp . Насправді ви все можете бачити саме так.

"Серверне програмне забезпечення", див. Служби Windows нижче.

Що з процесами, які були розпочаті користувачем, але продовжують працювати після виходу з системи? (Наприклад, HTTP, FTP-сервери та інші матеріали для мереж). Чи переходять вони на рахунок СИСТЕМИ?

Тут є три види:

1. Прості старі "фонові" процеси. Вони працюють під тим самим обліковим записом, що і хто запустив їх, і не запускаються після виходу з системи. Процес виходу з системи вбиває їх усіх.

   "HTTP, FTP-сервери та інші мережеві матеріали" не працюють як звичайні фонові процеси. Вони працюють як служби.

2. Процеси "служби" Windows. Вони запускаються не безпосередньо, а через Service Manager. За замовчуванням служби запускаються як LocalSystem (що каже isanae, що дорівнює SYSTEM), хоча вони можуть мати спеціальні облікові записи.

   (Звичайно, практично ніхто не заважає. Вони просто встановлюють XAMPP або WampServer або якусь іншу лайну, і нехай вона працює як SYSTEM, назавжди не виправлена.)

   В останніх системах Windows я думаю, що сервіси також можуть мати власні SID, але я ще цього не вивчив.

3. Планові завдання. Вони запускаються службою "Планувальник завдань" "у фоновому режимі" і завжди працюють під обліковим записом, налаштованим у завданні (як правило, хто створив завдання).

Якщо процес, запущений користувачем, переходить на SYSTEM, це вказує на дуже серйозну вразливість

Це не вразливість, оскільки ви вже повинні мати права адміністратора, щоб встановити службу. Наявність привілеїв адміністратора дозволяє вам робити практично все.

(див. також різні інші невразливі місця такого ж роду)

Процеси входу та попереднього входу в систему виконуються як СИСТЕМА (також називається LocalSystem). Насправді, одним із способів отримати оболонку (наприклад, підказку CMD), запущену як SYSTEM на деяких версіях Windows, є заміна програми доступності, наприклад, зчитувача екрана, лупи або екранної клавіатури, на копію (або посилання на) CMD.EXE, а потім скористайтеся ярликом, щоб увімкнути цю функцію доступності перед входом у систему. Ви отримаєте командний рядок, навіть не маючи користувачів, які ввійшли в систему, і CMDпрацюватимуть як SYSTEM.

(Зауважте: очевидно, що це небезпечно, оскільки дозволяє людям обходити процес входу в Windows. Ніколи не слід налаштовувати комп’ютер таким чином, а потім залишати його таким.)

Вони ні на що не «переключаються»; такі процеси ніколи не запускаються в поточному контексті користувача.
Вони належать SYSTEMкористувачеві.

Будь-які процеси та послуги, що належать окремому користувачу, припиняються після виходу.
Ось що означає вихід із системи .