Que conta do Windows é usada quando ninguém está logado?

When no one is logged into Windows, (the log in screen is displayed) which user are the current processes running as? (The video/sound drivers, login session, any server software, accessibility controls, etc.

Quase todos os drivers são executados no modo kernel ; eles não precisam de uma conta, a menos que iniciem processos do espaço do usuário. Os poucos drivers de espaço do usuário são executados no SYSTEM.

A sessão de login, não posso verificar agora, mas tenho certeza que também usa o SYSTEM. Você pode ver logonui.exe em Hacker de processo ou SysInternals ProcExp . De fato, você pode ver tudo dessa forma.

"Software de servidor", consulte os serviços do Windows abaixo.

What about processes that have been started by a user but continue to run after logoff? (For example HTTP, FTP servers, and other networking stuff). Do they switch to the SYSTEM account?

Existem três tipos aqui:

1. Processos antigos de "fundo". Esses são executados sob a mesma conta de quem quer que tenha começado, e não são executados após o logoff. O processo de logoff mata todos eles.

   "HTTP, servidores FTP e outras coisas de rede" não são executados como processos em segundo plano regulares. Eles correm como serviços.

2. Processos de "serviço" do Windows. Aqueles não são lançados diretamente, mas através do Service Manager. Por padrão, os serviços são executados como LocalSystem (que isanae diz igual a SYSTEM), embora possam ter contas dedicadas configuradas.

   (Claro, praticamente ninguém incomoda. Eles apenas instalam o XAMPP ou o WampServer ou alguma outra porcaria, e deixam ele rodar como SYSTEM, para sempre sem correção.)

   Em sistemas Windows recentes, acho que os serviços também podem ter seus próprios SIDs, mas novamente eu não pesquisei muito ainda.

3. Tarefas agendadas. Estes são lançados pelo serviço "Agendador de Tarefas" "em segundo plano" e sempre são executados na conta configurada na tarefa (geralmente quem criou a tarefa).

If a user-started process switches to SYSTEM, that indicates a very serious vulnerability

Não é uma vulnerabilidade porque você já deve tenha privilégios de administrador para instalar um serviço. Ter privilégios de administrador já permite que você faça praticamente tudo.

(veja também várias outras não vulnerabilidades do mesmo tipo

Todos os processos de login e pré-login são executados como SYSTEM (também chamado LocalSystem). Na verdade, uma maneira de obter um shell (como um prompt do CMD) executado como SYSTEM em algumas versões do Windows é substituir um programa de acessibilidade, como o leitor de tela, a lente de aumento ou o teclado na tela, por uma cópia (ou link para) CMD.EXE e use o atalho para ativar esse recurso de acessibilidade antes de efetuar login. Você receberá um prompt de comando, mesmo que não haja usuários conectados e CMD seja executado como SYSTEM. / p>

(Nota: isso é perigoso, obviamente, já que permite que as pessoas ignorem o processo de login do Windows. Você nunca deve configurar um computador dessa maneira e depois deixá-lo assim.)

Eles não "mudam" para nada; tais processos nunca são executados no contexto do usuário atual.
Eles são de propriedade do usuário SYSTEM .

Todos os processos e serviços pertencentes a um usuário individual são finalizados no logout.
É isso que logar significa .