Welches Windows-Konto wird vom System verwendet, wenn sich niemand angemeldet hat?
Wenn Sie neugierig sind und mehr darüber erfahren, wie Windows unter der Haube funktioniert, stellen Sie sich vielleicht die Frage, unter welchen aktiven Prozessen Prozesse ausgeführt werden, wenn niemand bei Windows angemeldet ist. In diesem Zusammenhang hat der heutige Q & A-Beitrag von SuperUser Antworten für einen neugierigen Leser.
Die heutige Question & Answer-Sitzung wird dank SuperUser zur Verfügung gestellt - einer Unterteilung von Stack Exchange, einer Community-basierten Gruppierung von Q & A-Websites.
Die Frage
SuperUser-Leser Kunal Chopra möchte wissen, welches Konto von Windows verwendet wird, wenn niemand angemeldet ist:
Wenn niemand bei Windows angemeldet ist und der Anmeldebildschirm angezeigt wird, unter welchem Benutzerkonto werden die aktuellen Prozesse ausgeführt (Video- und Audiotreiber, Anmeldesitzung, Serversoftware, Zugriffskontrollen usw.)? Es kann kein Benutzer oder der vorherige Benutzer sein, da niemand angemeldet ist.
Was ist mit Prozessen, die von einem Benutzer gestartet wurden, aber nach dem Abmelden weiterhin ausgeführt werden (z. B. HTTP / FTP-Server und andere Netzwerkprozesse)? Wechseln sie zum SYSTEM-Konto? Wenn ein vom Benutzer gestarteter Prozess auf das Konto SYSTEM umgestellt wird, weist dies auf eine sehr schwerwiegende Sicherheitsanfälligkeit hin. Läuft ein solcher Prozess, der von diesem Benutzer ausgeführt wird, nach dem Abmelden weiterhin unter dem Konto dieses Benutzers?
Ist dies der Grund, warum der SETHC-Hack Ihnen erlaubt, CMD als SYSTEM zu verwenden??
Welches Konto wird von Windows verwendet, wenn niemand angemeldet ist?
Die Antwort
Superuser-Mitwirkende grawity hat die Antwort für uns:
Wenn niemand bei Windows angemeldet ist und der Anmeldebildschirm angezeigt wird, unter welchem Benutzerkonto die aktuellen Prozesse ausgeführt werden (Video- und Audiotreiber, Anmeldesitzung, Serversoftware, Zugriffskontrollen usw.).?
Fast alle Treiber laufen im Kernelmodus. Sie brauchen kein Konto, wenn sie nicht starten Benutzerraum Prozesse. Jene Benutzerraum Treiber laufen unter SYSTEM.
Im Hinblick auf die Anmeldesitzung bin ich sicher, dass auch SYSTEM verwendet wird. Sie können logonui.exe mit Process Hacker oder SysInternals Process Explorer anzeigen. In der Tat können Sie alles so sehen.
Informationen zu Serversoftware finden Sie unten unter Windows-Dienste.
Was ist mit Prozessen, die von einem Benutzer gestartet wurden, aber nach dem Abmelden weiterhin ausgeführt werden (z. B. HTTP / FTP-Server und andere Netzwerkprozesse)? Wechseln sie zum SYSTEM-Konto?
Es gibt drei Arten hier:
- Einfache alte Hintergrundprozesse: Diese laufen unter demselben Konto wie derjenige, der sie gestartet hat, und werden nach dem Abmelden nicht ausgeführt. Der Abmeldevorgang tötet sie alle. HTTP / FTP-Server und andere Netzwerkprozesse werden nicht als reguläre Hintergrundprozesse ausgeführt. Sie laufen als Dienste.
- Windows Service Processes: Diese werden nicht direkt gestartet, sondern über die Service Manager. Standardmäßig können Dienste als LocalSystem (das heißt gleich SYSTEM) sagt, dass dedizierte Konten konfiguriert werden können. Natürlich stört praktisch niemand. Sie installieren einfach XAMPP, WampServer oder eine andere Software und lassen es als SYSTEM laufen (für immer nicht gepatcht). Auf aktuellen Windows-Systemen glaube ich, dass Dienste auch eigene SIDs haben können, aber ich habe noch nicht viel darüber nachgedacht.
- Geplante Aufgaben: Diese werden vom gestartet Taskplaner-Dienst im Hintergrund und immer unter dem in der Aufgabe konfigurierten Konto ausführen (normalerweise wer die Aufgabe erstellt hat).
Wenn ein vom Benutzer gestarteter Prozess auf das Konto SYSTEM umgestellt wird, weist dies auf eine sehr schwerwiegende Sicherheitsanfälligkeit hin.
Dies ist keine Sicherheitsanfälligkeit, da Sie bereits über Administratorrechte verfügen müssen, um einen Dienst installieren zu können. Wenn Sie bereits über Administratorrechte verfügen, können Sie praktisch alles tun.
Siehe auch: Verschiedene andere Sicherheitslücken derselben Art.
Lesen Sie den Rest dieser interessanten Diskussion über den Thread-Link unten!
Haben Sie der Erklärung etwas hinzuzufügen? Sound off in den Kommentaren. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Hier geht es zum vollständigen Diskussionsthread.