无人登录时系统使用的是哪个Windows账号?
如果您对 Windows 的幕后操作方式感到好奇并了解更多信息,那么您可能会发现自己想知道当没有人登录 Windows 时正在运行哪个“帐户”活动进程。考虑到这一点,今天的超级用户问答帖子为好奇的读者提供了答案。
今天的问答环节由 SuperUser 提供 - Stack Exchange 的一个分支,一个由社区驱动的问答网站分组。
问题
超级用户读者 Kunal Chopra 想知道当没有人登录时 Windows 使用哪个帐户:
当没有人登录到 Windows 并显示登录屏幕时,当前正在运行的进程是哪个用户帐户(视频和声音驱动程序、登录会话、任何服务器软件、可访问性控制等)?它不能是任何用户或以前的用户,因为没有人登录。
那些已由用户启动但在注销后继续运行的进程(例如,HTTP/FTP 服务器和其他网络进程)又如何呢?他们会切换到 SYSTEM 帐户吗?如果用户启动的进程被切换到 SYSTEM 帐户,则表明存在非常严重的漏洞。在用户注销后,该用户运行的此类进程是否会以某种方式继续在该用户的帐户下运行?
这就是 SETHC hack 允许您将 CMD 用作 SYSTEM 的原因吗?
没有人登录时 Windows 使用哪个帐户?
答案
超级用户贡献者 graity 为我们提供了答案:
当没有人登录 Windows 并显示登录屏幕时,当前正在运行的进程是哪个用户帐户(视频和声音驱动程序、登录会话、任何服务器软件、可访问性控件等)?
几乎所有驱动程序都运行在内核模式下;他们不需要帐户,除非他们启动用户空间 进程。这些用户空间 驱动程序在 SYSTEM 下运行。
关于登录会话,我确信它也使用 SYSTEM。您可以使用 Process Hacker 或 SysInternals Process Explorer 查看 logonui.exe。事实上,你可以这样看一切。
至于服务器软件,请参阅下面的 Windows 服务。
那些由用户启动但在注销后继续运行的进程(例如,HTTP/FTP 服务器和其他网络进程)怎么办?他们会切换到 SYSTEM 帐户吗?
这里分为三种:
- 普通旧后台进程:这些进程与启动它们的人在同一帐户下运行,并且在注销后不运行。注销过程将它们全部杀死。 HTTP/FTP 服务器和其他网络进程不作为常规后台进程运行。它们作为服务运行。
- Windows 服务进程:这些进程不是直接启动的,而是通过服务管理器启动的。默认情况下,作为 LocalSystem(isanae 表示等于 SYSTEM)运行的服务可以配置专用帐户。当然,几乎没有人打扰。他们只是安装 XAMPP、WampServer 或其他一些软件,然后让它以 SYSTEM 身份运行(永远未打补丁)。在最近的 Windows 系统上,我认为服务也可以有自己的 SID,但同样我还没有对此做太多研究。
- 计划任务:这些任务由任务计划程序服务在后台启动,并且始终在任务中配置的帐户(通常是创建任务的人)下运行。
如果用户启动的进程被切换到 SYSTEM 帐户,则表示存在非常严重的漏洞。
这不是一个漏洞,因为您必须已经拥有管理员权限才能安装服务。拥有管理员权限已经可以让您做几乎所有事情。
另请参阅: 同类的各种其他非漏洞。
请务必通过下面的线程链接阅读此有趣讨论的其余部分!
有什么要补充的吗?在评论中关闭。想从其他精通技术的 Stack Exchange 用户那里阅读更多答案吗?在此处查看完整的讨论主题。