Página principal » cómo » ¿Qué cuenta de Windows utiliza el sistema cuando no se ha iniciado sesión?

    ¿Qué cuenta de Windows utiliza el sistema cuando no se ha iniciado sesión?

    Si tiene curiosidad y aprende más acerca de cómo funciona Windows bajo el capó, entonces es posible que se pregunte qué procesos activos de "cuenta" se están ejecutando cuando nadie inicia sesión en Windows. Con eso en mente, la publicación de preguntas y respuestas de SuperUser de hoy tiene respuestas para un lector curioso.

    La sesión de Preguntas y Respuestas de hoy nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, un grupo de sitios web de preguntas y respuestas impulsado por la comunidad..

    La pregunta

    El lector superusuario Kunal Chopra quiere saber qué cuenta usa Windows cuando no hay nadie conectado:

    Cuando nadie inicia sesión en Windows y se muestra la pantalla de inicio de sesión, ¿en qué cuenta de usuario se ejecutan los procesos actuales (controladores de video y sonido, sesión de inicio de sesión, software de servidor, controles de accesibilidad, etc.)? No puede ser un usuario o el usuario anterior porque nadie ha iniciado sesión.

    ¿Qué sucede con los procesos iniciados por un usuario pero que continúan ejecutándose después de cerrar la sesión (por ejemplo, servidores HTTP / FTP y otros procesos de red)? ¿Se cambian a la cuenta del SISTEMA? Si un proceso iniciado por el usuario se cambia a la cuenta del SISTEMA, eso indica una vulnerabilidad muy grave. ¿El proceso ejecutado por ese usuario continúa ejecutándose bajo la cuenta de ese usuario de alguna manera después de que se haya desconectado??

    Es por esto que el hack de SETHC le permite usar CMD como SISTEMA?

    ¿Qué cuenta usa Windows cuando nadie ha iniciado sesión??

    La respuesta

    Grawity, el colaborador de SuperUser, tiene la respuesta para nosotros:

    Cuando nadie inicia sesión en Windows y se muestra la pantalla de inicio de sesión, las cuentas de usuario en las que se ejecutan los procesos actuales (controladores de video y sonido, sesión de inicio de sesión, cualquier software de servidor, controles de accesibilidad, etc.)?

    Casi todos los controladores se ejecutan en modo kernel; No necesitan una cuenta a menos que comiencen. espacio de usuario procesos Aquellos espacio de usuario los controladores se ejecutan bajo el sistema.

    Con respecto a la sesión de inicio de sesión, estoy seguro de que también utiliza SISTEMA. Puede ver logonui.exe utilizando Process Hacker o SysInternals Process Explorer. De hecho, puedes ver todo de esa manera..

    En cuanto al software del servidor, vea los servicios de Windows a continuación..

    ¿Qué sucede con los procesos iniciados por un usuario pero que continúan ejecutándose después de cerrar la sesión (por ejemplo, servidores HTTP / FTP y otros procesos de red)? ¿Se cambian a la cuenta del SISTEMA??

    Hay tres tipos aquí:

    1. Procesos en segundo plano sin formato: se ejecutan con la misma cuenta que quien los inició y no se ejecutan después de cerrar la sesión. El proceso de cierre de sesión los mata a todos. Los servidores HTTP / FTP y otros procesos de red no se ejecutan como procesos de fondo regulares. Se ejecutan como servicios..
    2. Procesos de servicio de Windows: no se inician directamente, sino a través de Gerente de Servicio. De forma predeterminada, los servicios que se ejecutan como LocalSystem (que isanae dice que es igual a SYSTEM) pueden tener cuentas dedicadas configuradas. Por supuesto, prácticamente nadie molesta. Simplemente instalan XAMPP, WampServer o algún otro software y lo dejan funcionar como SISTEMA (para siempre sin parchear). En los sistemas Windows recientes, creo que los servicios también pueden tener sus propios SID, pero nuevamente no he investigado mucho sobre esto todavía..
    3. Tareas programadas: son lanzadas por el Servicio de Programador de Tareas en segundo plano y siempre se ejecuta bajo la cuenta configurada en la tarea (por lo general, quien creó la tarea).

    Si un proceso iniciado por el usuario se cambia a la cuenta del SISTEMA, eso indica una vulnerabilidad muy seria.

    No es una vulnerabilidad porque ya debe tener privilegios de administrador para instalar un servicio. Tener privilegios de administrador ya te permite hacer prácticamente todo.

    Ver también: Varias otras no vulnerabilidades del mismo tipo..

    Asegúrese de leer el resto de esta interesante discusión a través del enlace del hilo a continuación!

    ¿Tienes algo que agregar a la explicación? Apaga el sonido en los comentarios. ¿Quieres leer más respuestas de otros usuarios de Stack Exchange con experiencia en tecnología? Echa un vistazo a la discusión completa aquí.

    ¿Quién está haciendo todo este malware, y por qué?
    ¿Quién es Scam Likely y por qué llaman a su teléfono?
    ¿Qué versión de Chrome tengo?
    Siguiente articulo
    ¿Qué servicios de Windows puede desactivar con seguridad?
    Artículo anterior
    ¿Qué versión de Firefox estoy usando?