2024 Autor: Peter John Melton | [email protected]. Zuletzt bearbeitet: 2023-12-16 04:41
Die heutige Question & Answer-Sitzung wird von SuperUser zur Verfügung gestellt - einer Unterteilung von Stack Exchange, einer Community-basierten Gruppierung von Q & A-Websites.
Die Frage
SuperUser-Leser Kunal Chopra möchte wissen, welches Konto von Windows verwendet wird, wenn niemand angemeldet ist:
When no one is logged into Windows and the log in screen is displayed, which user account are the current processes running under (video & sound drivers, login session, any server software, accessibility controls, etc.)? It cannot be any user or the previous user because no one is logged in.
What about processes that have been started by a user but continue to run after logging off (for example, HTTP/FTP servers and other networking processes)? Do they switch over to the SYSTEM account? If a user-started process is switched over to the SYSTEM account, then that indicates a very serious vulnerability. Does such a process run by that user continue to run under that user’s account somehow after they have logged off?
Is this why the SETHC hack allows you to use CMD as SYSTEM?
Welches Konto wird von Windows verwendet, wenn niemand angemeldet ist?
Die Antwort
SuperUser-Mitwirkender grawity hat die Antwort für uns:
When no one is logged into Windows and the log in screen is displayed, which user account are the current processes running under (video & sound drivers, login session, any server software, accessibility controls, etc.)?
Almost all drivers run in kernel mode; they do not need an account unless they start user-space processes. Those user-space drivers run under SYSTEM.
With regard to the login session, I am sure that it uses SYSTEM as well. You can see logonui.exe using Process Hacker or SysInternals Process Explorer. In fact, you can see everything that way.
As for server software, see Windows services below.
What about processes that have been started by a user but continue to run after logging off (for example, HTTP/FTP servers and other networking processes)? Do they switch over to the SYSTEM account?
There are three kinds here:
- Plain Old Background Processes: These run under the same account as whoever started them and do not run after logging off. The logoff process kills them all. HTTP/FTP servers and other networking processes do not run as regular background processes. They run as services.
- Windows Service Processes: These are not launched directly, but via the Service Manager. By default, services run as LocalSystem (which isanae says equals SYSTEM) can have dedicated accounts configured. Of course, practically nobody bothers. They just install XAMPP, WampServer, or some other software and let it run as SYSTEM (forever unpatched). On recent Windows systems, I think services can also have their own SIDs, but again I have not done much research on this yet.
- Scheduled Tasks: These are launched by the Task Scheduler Service in the background and always run under the account configured in the task (usually whoever created the task).
If a user-started process is switched over to the SYSTEM account, then that indicates a very serious vulnerability.
It is not a vulnerability because you must already have Administrator privileges to install a service. Having Administrator privileges already lets you do practically everything.
See Also: Various other non-vulnerabilities of the same kind.
Lesen Sie den Rest dieser interessanten Diskussion über den Thread-Link unten durch!
Haben Sie etwas zur Erklärung hinzuzufügen? Ton aus in den Kommentaren. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Hier geht es zum vollständigen Diskussionsthread.
Empfohlen:
Anzeigen, wer sich an einem Computer angemeldet hat (und wann)
Wollten Sie schon immer überwachen, wer sich wann in Ihrem Computer anmeldet? Bei den Professional-Editionen von Windows können Sie die Anmeldeüberwachung aktivieren, damit Windows nachverfolgen kann, welche Benutzerkonten sich wann anmelden.
So werden Rechtschreibung und Tippfehler automatisch korrigiert, wenn "cd" unter Linux verwendet wird
Wir sind an Textverarbeitungsprogramme gewöhnt, die uns sagen, wenn wir ein Wort falsch geschrieben haben, aber was ist, wenn Ihre Finger durch Verzeichnisse in der Linux-Befehlszeile fliegen? Sie können Ihre Tippfehler und Rechtschreibfehler tatsächlich automatisch korrigieren lassen, zumindest wenn Sie den Befehl cd verwenden.
Warum verwendet niemand verschlüsselte E-Mail-Nachrichten?
Angesichts der großen Besorgnis über staatliche Überwachung, Unternehmensspionage und den alltäglichen Identitätsdiebstahl kann es überraschend sein, dass so wenige Menschen verschlüsselte E-Mail-Nachrichten verwenden. Versuchen Sie, verschlüsselte E-Mails zu verwenden, und es wird schwierig und kompliziert sein, sie zu verwenden.
Humor: Werden Sie bei Google BlackMail angemeldet, wenn Sie sich nicht bei Google+ anmelden?
Video: Google ist wütend und wird Sie erpressen, weil Sie G +, die Social-Media-Plattform, nicht verwenden. Die neue "Erpressung" von Google zwingt Sie, sich bei Google+ anzumelden
Entfernen Sie Drittanbieteranwendungen, bei denen Sie sich bei Facebook angemeldet haben, um sich anzumelden
Sehen Sie sich Ihre Berechtigungsliste für Facebook-Apps sowie die verbundenen Apps und Websites an, die Zugriff auf Ihr Facebook-Konto haben. Erfahren Sie, wie Sie alle Facebook-abhängigen Apps von Drittanbietern entfernen, die Facebook verwenden, um eine Verbindung herzustellen oder sich anzumelden und nach Ihren persönlichen Profilinformationen zu suchen.