Когда никто не вошел в Windows (отображается экран входа в систему), от какого пользователя выполняются текущие процессы? (Видео / звуковые драйверы, сеанс входа в систему, любое серверное программное обеспечение, средства управления доступом и т.д.
Почти все драйверы работают в режиме ядра ; им не нужна учетная запись, если они не запускают процессы в пространстве пользователя. Несколько драйверов пользовательского пространства работают под SYSTEM.
Сеанс входа в систему, я не могу проверить прямо сейчас, но я уверен, что он также использует SYSTEM. Вы можете увидеть logonui.exe в Process Hacker или SysInternals ProcExp. На самом деле, вы можете видеть все таким образом.
"Серверное программное обеспечение", см. Службы Windows ниже.
А как насчет процессов, которые были запущены пользователем, но продолжают выполняться после выхода из системы? (Например, HTTP, FTP-серверы и другие сетевые устройства). Они переключаются на учетную запись SYSTEM?
Здесь есть три вида:
Обычные старые "фоновые" процессы. Они запускаются под той же учетной записью, что и те, кто их запускал, и не запускаются после выхода из системы. Процесс выхода из системы убивает их всех.
«HTTP, FTP-серверы и другие сетевые устройства» не работают как обычные фоновые процессы. Они работают как сервисы.
Windows "обслуживает" процессы. Они запускаются не напрямую, а через Service Manager. По умолчанию службы запускаются как LocalSystem (что isanae говорит как SYSTEM), хотя для них могут быть настроены выделенные учетные записи.
(Конечно, практически никто не мешает. Они просто устанавливают XAMPP, WampServer или какую-то другую хрень и позволяют ей работать как SYSTEM, навсегда не исправленной.)
Я думаю, что в современных системах Windows сервисы также могут иметь свои собственные идентификаторы безопасности, но, опять же, я еще не слишком много исследовал.
Запланированные задачи. Они запускаются службой "Планировщик заданий" "в фоновом режиме" и всегда запускаются под учетной записью, настроенной в задаче (обычно независимо от того, кто ее создал).
Если запущенный пользователем процесс переключается на SYSTEM, это указывает на очень серьезную уязвимость
Это не уязвимость, поскольку для установки службы у вас уже должны быть права администратора. Наличие прав администратора уже позволяет вам делать практически все.
(см. также различные другие неуязвимости того же типа)