Quel compte Windows est utilisé par le système lorsque personne n'est connecté?

Table des matières:

Quel compte Windows est utilisé par le système lorsque personne n'est connecté?
Quel compte Windows est utilisé par le système lorsque personne n'est connecté?

Vidéo: Quel compte Windows est utilisé par le système lorsque personne n'est connecté?

Vidéo: Quel compte Windows est utilisé par le système lorsque personne n'est connecté?
Vidéo: Home Is Where the Heart Is | Critical Role | Campaign 2, Episode 92 - YouTube 2024, Mars
Anonim
Si vous êtes curieux et que vous en savez plus sur le fonctionnement de Windows sous le capot, vous vous demandez peut-être quels processus «comptes» actifs sont exécutés lorsque personne n'est connecté à Windows. C’est dans cet esprit que le post de SuperUser d’aujourd’hui répond à un lecteur curieux.
Si vous êtes curieux et que vous en savez plus sur le fonctionnement de Windows sous le capot, vous vous demandez peut-être quels processus «comptes» actifs sont exécutés lorsque personne n'est connecté à Windows. C’est dans cet esprit que le post de SuperUser d’aujourd’hui répond à un lecteur curieux.

La séance de questions et réponses d’aujourd’hui nous est offerte par SuperUser, une sous-division de Stack Exchange, un groupe de sites Web de questions-réponses dirigé par la communauté.

La question

Le lecteur superutilisateur Kunal Chopra souhaite savoir quel compte est utilisé par Windows lorsque personne n'est connecté:

When no one is logged into Windows and the log in screen is displayed, which user account are the current processes running under (video & sound drivers, login session, any server software, accessibility controls, etc.)? It cannot be any user or the previous user because no one is logged in.

What about processes that have been started by a user but continue to run after logging off (for example, HTTP/FTP servers and other networking processes)? Do they switch over to the SYSTEM account? If a user-started process is switched over to the SYSTEM account, then that indicates a very serious vulnerability. Does such a process run by that user continue to run under that user’s account somehow after they have logged off?

Is this why the SETHC hack allows you to use CMD as SYSTEM?

Quel compte est utilisé par Windows lorsque personne n'est connecté?

La réponse

Grawity, contributeur au superutilisateur, a la solution pour nous:

When no one is logged into Windows and the log in screen is displayed, which user account are the current processes running under (video & sound drivers, login session, any server software, accessibility controls, etc.)?

Almost all drivers run in kernel mode; they do not need an account unless they start user-space processes. Those user-space drivers run under SYSTEM.

With regard to the login session, I am sure that it uses SYSTEM as well. You can see logonui.exe using Process Hacker or SysInternals Process Explorer. In fact, you can see everything that way.

As for server software, see Windows services below.

What about processes that have been started by a user but continue to run after logging off (for example, HTTP/FTP servers and other networking processes)? Do they switch over to the SYSTEM account?

There are three kinds here:

  1. Plain Old Background Processes: These run under the same account as whoever started them and do not run after logging off. The logoff process kills them all. HTTP/FTP servers and other networking processes do not run as regular background processes. They run as services.
  2. Windows Service Processes: These are not launched directly, but via the Service Manager. By default, services run as LocalSystem (which isanae says equals SYSTEM) can have dedicated accounts configured. Of course, practically nobody bothers. They just install XAMPP, WampServer, or some other software and let it run as SYSTEM (forever unpatched). On recent Windows systems, I think services can also have their own SIDs, but again I have not done much research on this yet.
  3. Scheduled Tasks: These are launched by the Task Scheduler Service in the background and always run under the account configured in the task (usually whoever created the task).

If a user-started process is switched over to the SYSTEM account, then that indicates a very serious vulnerability.

It is not a vulnerability because you must already have Administrator privileges to install a service. Having Administrator privileges already lets you do practically everything.

See Also: Various other non-vulnerabilities of the same kind.

Assurez-vous de lire le reste de cette discussion intéressante via le lien ci-dessous!

Avez-vous quelque chose à ajouter à l'explication? Sound off dans les commentaires. Voulez-vous lire plus de réponses d'autres utilisateurs de Stack Exchange doués en technologie? Découvrez le fil de discussion complet ici.

Conseillé: