ระบบ Windows บัญชีใดที่ถูกใช้เมื่อไม่มีใครลงชื่อเข้าใช้?
หากคุณอยากรู้และเรียนรู้เพิ่มเติมเกี่ยวกับวิธีการทำงานของ Windows ภายใต้ประทุนคุณอาจพบว่าตัวเองกำลังสงสัยว่ากระบวนการใดที่ใช้งานอยู่“ บัญชี” กำลังทำงานอยู่เมื่อไม่มีใครลงชื่อเข้าใช้ Windows เมื่อคำนึงถึงเรื่องนี้แล้วคำถาม & คำตอบ SuperUser ของวันนี้มีคำตอบสำหรับผู้อ่านที่อยากรู้อยากเห็น.
เซสชั่นคำถามและคำตอบในวันนี้มาถึงเราด้วยความอนุเคราะห์จาก SuperUser - แผนกย่อยของ Exchange Exchange ซึ่งเป็นกลุ่มที่ขับเคลื่อนด้วยชุมชนของเว็บไซต์ถาม - ตอบ.
คำถาม
ผู้อ่าน SuperUser Kunal Chopra ต้องการทราบว่าบัญชีใดถูกใช้โดย Windows เมื่อไม่มีใครลงชื่อเข้าใช้:
เมื่อไม่มีใครลงชื่อเข้าใช้ Windows และหน้าจอเข้าสู่ระบบปรากฏขึ้นบัญชีผู้ใช้ใดที่เป็นกระบวนการปัจจุบันที่ทำงานภายใต้ (ไดรเวอร์วิดีโอและเสียงเซสชันการเข้าสู่ระบบซอฟต์แวร์เซิร์ฟเวอร์ใด ๆ การควบคุมการเข้าถึง ฯลฯ )? มันไม่สามารถเป็นผู้ใช้ใด ๆ หรือผู้ใช้ก่อนหน้านี้เพราะไม่มีใครเข้าสู่ระบบ.
สิ่งที่เกี่ยวกับกระบวนการที่เริ่มต้นโดยผู้ใช้ แต่ยังคงทำงานหลังจากออกจากระบบ (ตัวอย่างเช่นเซิร์ฟเวอร์ HTTP / FTP และกระบวนการเครือข่ายอื่น ๆ ) พวกเขาเปลี่ยนไปใช้บัญชี SYSTEM หรือไม่ หากมีการสลับกระบวนการที่ผู้ใช้เริ่มต้นไปที่บัญชี SYSTEM แสดงว่ามีช่องโหว่ที่ร้ายแรงมาก กระบวนการดังกล่าวดำเนินการโดยผู้ใช้นั้นหรือไม่ทำงานภายใต้บัญชีของผู้ใช้นั้นหลังจากที่พวกเขาออกจากระบบ?
นี่คือสาเหตุที่การแฮ็ค SETHC อนุญาตให้คุณใช้ CMD เป็นระบบ?
Windows ใช้บัญชีใดเมื่อไม่มีใครลงชื่อเข้าใช้?
คำตอบ
grawity ผู้สนับสนุน SuperUser มีคำตอบสำหรับเรา:
เมื่อไม่มีใครลงชื่อเข้าใช้ Windows และหน้าจอเข้าสู่ระบบจะปรากฏขึ้นบัญชีผู้ใช้ใดที่เป็นกระบวนการปัจจุบันที่ทำงานภายใต้ (ไดรเวอร์วิดีโอและเสียงเซสชันการเข้าสู่ระบบซอฟต์แวร์เซิร์ฟเวอร์ใด ๆ การควบคุมการเข้าถึงเป็นต้น)?
ไดรเวอร์เกือบทั้งหมดทำงานในโหมดเคอร์เนล พวกเขาไม่ต้องการบัญชีเว้นแต่จะเริ่มต้น ผู้ใช้พื้นที่ กระบวนการ เหล่านั้น ผู้ใช้พื้นที่ ไดรเวอร์ทำงานภายใต้ระบบ.
เกี่ยวกับเซสชันการเข้าสู่ระบบฉันแน่ใจว่ามันใช้ SYSTEM เช่นกัน คุณสามารถดู logonui.exe โดยใช้ Process Hacker หรือ SysInternals Process Explorer ที่จริงแล้วคุณสามารถเห็นทุกอย่างในแบบนั้น.
สำหรับซอฟต์แวร์เซิร์ฟเวอร์โปรดดูบริการ Windows ด้านล่าง.
สิ่งที่เกี่ยวกับกระบวนการที่เริ่มต้นโดยผู้ใช้ แต่ยังคงทำงานหลังจากออกจากระบบ (ตัวอย่างเช่นเซิร์ฟเวอร์ HTTP / FTP และกระบวนการเครือข่ายอื่น ๆ ) พวกเขาเปลี่ยนไปใช้บัญชี SYSTEM หรือไม่?
มีสามชนิดที่นี่:
- กระบวนการพื้นหลังแบบเก่าธรรมดา: การทำงานเหล่านี้ภายใต้บัญชีเดียวกันกับผู้ที่เริ่มต้นพวกเขาและไม่ทำงานหลังจากออกจากระบบ กระบวนการออกจากระบบฆ่าพวกเขาทั้งหมด เซิร์ฟเวอร์ HTTP / FTP และกระบวนการเครือข่ายอื่น ๆ ไม่ทำงานตามกระบวนการพื้นหลังปกติ พวกเขาทำงานเป็นบริการ.
- กระบวนการบริการของ Windows: สิ่งเหล่านี้ไม่ได้เปิดตัวโดยตรง แต่ผ่านทาง ผู้จัดการฝ่ายบริการ. โดยค่าเริ่มต้นบริการที่ทำงานเป็น LocalSystem (ซึ่ง isanae บอกว่าเท่ากับระบบ) สามารถมีบัญชีที่กำหนดค่าไว้โดยเฉพาะ แน่นอนไม่มีใครมารบกวนจิตใจ พวกเขาเพียงแค่ติดตั้ง XAMPP, WampServer หรือซอฟต์แวร์อื่น ๆ และปล่อยให้มันทำงานเป็น SYSTEM (ไม่ได้เปรียบตลอดไป) ในระบบ Windows ล่าสุดฉันคิดว่าบริการยังสามารถมี SID ของตนเองได้ แต่อีกครั้งฉันยังไม่ได้ทำการวิจัยเกี่ยวกับเรื่องนี้มากนัก.
- งานที่กำหนดเวลาไว้: เปิดตัวโดย บริการจัดตารางงาน ในพื้นหลังและมักจะทำงานภายใต้บัญชีที่กำหนดค่าในงาน (โดยปกติใครก็ตามที่สร้างงาน).
หากมีการสลับกระบวนการที่ผู้ใช้เริ่มต้นไปที่บัญชี SYSTEM แสดงว่ามีช่องโหว่ที่ร้ายแรงมาก.
ไม่ใช่ช่องโหว่เนื่องจากคุณต้องมีสิทธิ์ผู้ดูแลระบบเพื่อติดตั้งบริการ การมีสิทธิ์ของผู้ดูแลระบบช่วยให้คุณสามารถทำทุกสิ่งได้จริง.
ดูสิ่งนี้ด้วย: ช่องโหว่อื่น ๆ ที่ไม่ใช่ประเภทเดียวกัน.
อย่าลืมอ่านส่วนที่เหลือของการสนทนาที่น่าสนใจนี้ผ่านลิงก์เธรดด้านล่าง!
มีสิ่งที่จะเพิ่มคำอธิบายหรือไม่ ปิดเสียงในความคิดเห็น ต้องการอ่านคำตอบเพิ่มเติมจากผู้ใช้ Stack Exchange คนอื่นหรือไม่ ลองอ่านหัวข้อสนทนาเต็มได้ที่นี่.