ログインしているユーザーがいない場合、どのWindowsアカウントが使用されますか？

Windowsに誰もログインしていない場合（ログイン画面が表示されます）、現在のプロセスはどのユーザーとして実行されていますか？ （ビデオ/サウンドドライバー、ログインセッション、サーバーソフトウェア、アクセシビリティコントロールなど）.

ほとんどすべてのドライバはkernelモードで実行されます。ユーザー空間プロセスを開始しない限り、アカウントは必要ありません。いくつかのユーザー空間ドライバーはSYSTEMで実行されます。

ログインセッション、今は確認できませんが、システムも使用しているはずです。 Process Hacker または SysInternals ProcExp でlogonui.exeを確認できます。実際、すべてをそのように見ることができます。

「サーバーソフトウェア」。下記のWindowsサービスを参照してください。

ユーザーによって開始されたが、ログオフ後も引き続き実行されるプロセスについてはどうですか？ （たとえば、HTTP、FTPサーバー、およびその他のネットワーク関連のもの）。 SYSTEMアカウントに切り替えますか？

ここには3種類あります。

1. プレーンな古い「バックグラウンド」プロセス。それらは、それらを開始した人と同じアカウントで実行され、ログオフ後に実行されません。ログオフプロセスはそれらすべてを殺します。

   「HTTP、FTPサーバー、その他のネットワーク関連」通常のバックグラウンドプロセスとして実行しない。それらはサービスとして実行されます。

2. Windowsの「サービス」プロセス。これらは直接起動されませんが、Service Managerを介して起動されます。デフォルトでは、サービスはLocalSystemとして実行されます（これはisanaeはSYSTEMと同じです）が、専用のアカウントを構成することができます。

   （もちろん、実際には誰も気にしません。XAMPPやWampServerやその他のがらくたをインストールして、パッチを適用せずにSYSTEMとして実行させます。）

   最近のWindowsシステムでは、サービスがSIDを所有することもできると思いますSIDですが、これについてはまだあまり調査していません。

3. スケジュールされたタスク。これらは「バックグラウンドで」「タスクスケジューラ」サービスによって起動され、常にタスクで構成されたアカウント（通常はタスクを作成した人）で実行されます。

ユーザーが開始したプロセスがSYSTEMに切り替わる場合、それは非常に深刻な脆弱性を示しています

すでにサービスをインストールするには管理者権限が必要なので、これは脆弱性ではありません。 管理者権限を持っていると、実質的にすべてを行うことができます。

（同じ種類のさまざまな 他の非脆弱性 も参照）

ログインプロセスとログイン前プロセスはすべて、SYSTEM（LocalSystemとも呼ばれます）として実行されます。実際、一部のWindowsバージョンでSYSTEMとして実行されているシェル（CMDプロンプトなど）を取得する1つの方法は、スクリーンリーダー、拡大鏡、スクリーンキーボードなどのユーザー補助プログラムを（またはリンク）CMD.EXEをクリックし、次にショートカットを使用して、ユーザー補助機能を有効にしてからログインします。ログインしているユーザーがいない場合でも、コマンドプロンプトが表示され、CMDがSYSTEMとして実行されます。

（注：これは明らかにWindowsのログインプロセスを回避できるので危険です。このようにコンピューターを構成してからそのままにしておくことはできません。）

それらは何にも「切り替え」ません。そのようなプロセスneverは現在のユーザーコンテキストで実行されます。
これらはSYSTEMユーザーが所有しています。

個々のユーザーが所有するプロセスとサービスは、ログアウト時に終了します。
これがログアウトです手段。