Hiç kimse giriş yapmadığında hangi Windows hesabı kullanılır?

Windows'da hiç kimse oturum açmadığında (oturum açma ekranı görüntülenir) hangi işlemler geçerli olarak çalışıyor? (Video / ses sürücüleri, oturum açma oturumu, herhangi bir sunucu yazılımı, erişilebilirlik kontrolleri, vb. Hiç kimse giriş yapmadığı için herhangi bir kullanıcı veya önceki kullanıcı olamazlar. Kullanıcı tarafından başlatılan ancak devam eden işlemler oturumu kapattıktan sonra çalıştırılsın mı (örneğin, HTTP, FTP sunucuları ve diğer ağ bağlantıları). SYSTEM hesabına mı geçiyorlar? Kullanıcı tarafından başlatılan bir işlem SYSTEM'ye geçerse, bu çok ciddi bir güvenlik açığı olduğunu gösterir. İşlem bu kullanıcı olarak çalışıyor mu? oturumu kapattıktan sonra bu kullanıcı olarak çalışmaya devam etmek istiyor musunuz?

Bu nedenle SETHC hack CMD'yi SYSTEM olarak kullanmanıza izin veriyor mu?

windows process uac

— Kunal Chopra
kaynak

"Kullanıcıların değiştirilmesi" aslında Windows'ta siyah beyaz bir işlem değildir. Bir servis aynı anda birden fazla kullanıcıyı taklit edebilir ve yine de orijinal hesabı kullanıyor olabilir. Bu kimliği doğrulanmış web sitesi ziyaretçileri, belirli kullanıcılar adına hareket etmesi gereken servisler için kullanışlıdır.

— MSalters

Windows çok kullanıcılı bir işletim sistemidir; bu, farklı işlemlerin aynı anda farklı kullanıcılara ait olabileceği anlamına gelir . Tüm bilgisayarda oturum açtıktan sonra hesabınıza "geçer".

— el.pescado

Yanıtlar:

Windows'da hiç kimse oturum açmadığında (oturum açma ekranı görüntülenir) hangi işlemler geçerli olarak çalışıyor? (Video / ses sürücüleri, oturum açma oturumu, herhangi bir sunucu yazılımı, erişilebilirlik denetimleri vb.

Hemen hemen tüm sürücüler çekirdek modunda çalışır; Kullanıcı alanı işlemlerini başlatmadıkları sürece bir hesaba ihtiyaçları yoktur. Birkaç kullanıcı alanı sürücüsü SYSTEM altında çalışır.

Giriş oturumu, şu anda kontrol edemiyorum, ancak aynı zamanda SYSTEM kullandığından eminim. Logonui.exe'yi İşlem Hacker'da veya SysInternals ProcExp'te görebilirsiniz . Aslında, her şeyi bu şekilde görebilirsiniz .

"Sunucu yazılımı", aşağıdaki Windows servislerine bakın.

Bir kullanıcı tarafından başlatılan ancak oturumu kapattıktan sonra çalışmaya devam eden süreçler ne durumda? (Örneğin, HTTP, FTP sunucuları ve diğer ağ bağlantıları). SYSTEM hesabına geçiyorlar mı?

Burada üç çeşit var:

Düz eski "arkaplan" işlemleri. Onları başladı ve her kim aynı hesap altında olanlar çalışma yok oturumu kapatıldıktan sonra çalıştırın. Oturum kapatma işlemi hepsini öldürür.

"HTTP, FTP sunucuları ve diğer ağ şeyler" yok düzenli arka plan işlemleri olarak çalışacak. Hizmet olarak çalışıyorlar.
Windows "hizmet" işlemleri. Bunlar doğrudan başlatılmaz, ancak Servis Yöneticisi aracılığıyla başlatılır. Varsayılan olarak, yapılandırılmış tahsis edilmiş hesapları olmasına rağmen, yerel servisler LocalSystem olarak çalışır (isanae, SYSTEM'e eşittir diyor).

(Tabii ki, pratikte kimse rahatsız etmiyor. Sadece XAMPP veya WampServer ya da başka bir saçmalık kurarlar ve sonsuza dek yatsız olarak SYSTEM olarak çalışmasına izin verirler.)

Son Windows sistemlerinde, hizmetlerin de kendi SID'lerine sahip olabileceğini düşünüyorum , ancak yine de bu kadar araştırma yapmadım.
Zamanlanmış görevler Bunlar arka planda "Görev Zamanlayıcı" hizmeti "tarafından başlatılır ve her zaman görevde yapılandırılmış hesap altında çalışır (genellikle görevi kim oluşturduysa).

Bir kullanıcı tarafından başlatılan işlem SYSTEM'e geçerse, bu çok ciddi bir güvenlik açığı olduğunu gösterir.

Bu bir güvenlik açığı değil çünkü zaten bir hizmeti yüklemek için Yönetici ayrıcalıklarına sahip olmalısınız . Yönetici ayrıcalıklarına sahip olmak zaten pratik olarak her şeyi yapmanızı sağlar.

( aynı türden diğer çeşitli güvenlik açıklarına bakınız )

— grawity
kaynak

SYSTEM ve LocalSystem, SID S-1-5-18 ile aynı hesabı temsil eder.

— isanae

IIS'nin büyük kısmının, özellikle kutudan çıkan IIS işlemleri için oluşturulan daha düşük ayrıcalıklı hesaplarda çalıştığını belirtmek faydalı olabilir. (Bu birçok Windows HTTP, FTP vb. Sunucuları kapsayacaktır.) Bazı ayrıntılar için buraya bakınız. Bu yüzden, kullandığınız programın varsayılan ayarlarına bağlıdır.

— jpmc26

SİSTEM ve Yerel Yönetici esas olarak bir ve aynıdır. Bir tanesine sahip olduğunuzda, diğerini elde edebilirsiniz ve işletim sistemi yalnızca hataları önlemek için öncelikle barikatları kaldırıyor. (Not: Eski Yeni Thing resmi Microsoft belgeleri değildir.)

— Bir CVn

Bugünlerde birçok hizmet, LocalSystem değil, NetworkService veya LocalService olarak çalışmaktadır.

— Ben Voigt

Windows 7 ve 2008 R2 ile başlayarak, Yönetilen Hizmet Hesapları ve Sanal Hesaplar , hizmetleri kendi kimlikleri altında çalıştırmaya izin verir; bu nedenle, bir hizmetin güvenlik açığı varsa erişimini sınırlayan LocalService / NetworkService / LocalSystem hizmetlerini paylaşan bir grup hizmetiniz yoktur.

— afrazier

Giriş ve giriş öncesi işlemlerin tümü SYSTEM (Yerel Sistem olarak da bilinir) olarak çalışır. Aslında, bazı Windows sürümlerinde SYSTEM olarak çalışan bir kabuk (CMD istemi gibi) almanın bir yolu, ekran okuyucusu, büyüteç veya ekran klavyesi gibi bir erişilebilirlik programını (veya ) CMD.EXEgiriş yapın ve giriş yapmadan önce bu erişilebilirlik özelliğini etkinleştirmek için kısayolu kullanın. Giriş yapmış herhangi bir kullanıcı olmamasına ve CMDSYSTEM olarak çalışmasına rağmen bir komut istemi alırsınız .

(Not: bu tehlikelidir, açık bir şekilde, kişilerin Windows oturum açma işlemini atlamasına izin verdiği için tehlikelidir. Bir bilgisayarı asla bu şekilde yapılandırmamalı ve böyle bırakmamalısınız.)

— CBHacking
kaynak

Windows 7'de çalışır, sethc.exe'yi C: \ Windows \ System32 \ cmd.exe içinde cmd.exe ile değiştirdi

Hiçbir şeye "geçmez"; bu tür işlemler hiçbir zaman geçerli kullanıcı bağlamında yürütülmez. Kullanıcıya
aittir SYSTEM.

Tek bir kullanıcının sahip olduğu herhangi bir işlem ve hizmet oturumu kapattığında sonlandırılır.
Oturumu kapatmanın anlamı budur .

— Monica ile Hafiflik Yarışları
kaynak

Emin değilim ... Öncelikle, bir personelin kabul ettiği cevabın, hizmetlerin oturumdan çıkmadığında sona ermediğini ifade ettiği bir MS Technet postası buldum. Bunun daha genel bir şekilde oturumun kapatılmasının doğru bir tanımı olduğundan emin değilim: Bir kullanıcıdan psdiğerine oturumu kapattıktan sonra Linux'taki birkaç daemonun orada kaldığını gördüm

— underscore_d

Bu doğru değil. Hizmetler başka bir kullanıcı olarak başlatılabilir ve bu kullanıcı "giriş" yapmadan çalışmaya başlar ve çalışmaya devam eder. Bu kullanıcı kimlik bilgileriyle kendi oturumlarını başlatacaklar, bu yüzden aslında hizmet çalışırken kullanıcı oturum açacak, ancak masaüstü / otomatik başlatma programları vb. Çalıştırılmayacak ve normal kullanıcıların "oturum açmış" olarak anladıkları bu. Yine de hizmet bu kullanıcı kimlik bilgileriyle çalışacak ve bu kullanıcıların dosyalarına erişebilecek.

— Josef

@Josef: Argümanınız "bazı insanlar" giriş yapmış "terimini kötüye kullanıyor" şeklinde görünüyor. Yorumunuzun asıl eti benim cevabımı kabul ediyor: bu kullanıcının hesaplarına karşı çalışan hizmetleri / işlemleri olduğu sürece giriş yapmış sayılması .

— Monica ile Hafiflik Yarışları

@LightnessRacesinOrbit no, gerçek bir fark var. Hesabınızla bir hizmet oluşturursanız ve önyüklemede çalıştırılırsa, masaüstünü göstermeniz için herhangi bir işlem başlatılmaz (yani dwm.exe veya explorer.exe çalışmıyor), tüm otomatik başlatma programlarınız çalışmaz Yani, etkileşimli bir oturum açma oturumunuz varsa, yalnızca servis oturumunun çalıştığından çok daha fazla şey etkindir. Tam olarak ne “oturum açmış” tartışmaya açık. Bir hizmet sizin kimlik bilgilerinizle çalışsa bile, Windows'u kendiniz kullanmak için giriş yapmanız gerekir!

— Josef

Eh, "bu tür işlemler hiçbir zaman geçerli kullanıcı bağlamında çalıştırılmaz" hala yanlıştır. Servisler onlar için ayarlanan kullanıcı bağlamında çalışır. Yerleşik windows hizmetleri için bu sistem hesaplarından biridir. Diğer hizmetler için, herhangi bir hesap olabilir. Özellikle sunucu yazılımı yeni bir kullanıcı hesabı oluşturmalı ve bu kimlik bilgileriyle çalıştırılmalıdır.

— Josef