Winlogon - Winlogon

Классическое диалоговое окно «Начать вход в систему» ​​в Windows XP

Экран предварительного входа в Windows 8 , требующий от пользователя нажатия Ctrl + Alt + Delete

В области вычислений Winlogon (вход в Windows) - это компонент операционных систем Microsoft Windows, который отвечает за обработку последовательности безопасного внимания , загрузку профиля пользователя при входе в систему и, при необходимости, блокировку компьютера, когда запущена заставка (требуется еще один шаг аутентификации). Фактическое получение и проверка учетных данных пользователя предоставляется другим компонентам. Winlogon является распространенной целью для нескольких угроз, которые могут изменить его функции и использование памяти. Увеличение использования памяти для этого процесса может указывать на то, что он был «взломан». В Windows Vista и более поздних операционных системах роли и обязанности Winlogon значительно изменились.

Обзор

Winlogon обрабатывает функции интерфейса, которые не зависят от политики аутентификации. Он создает рабочие столы для оконной станции , реализует операции тайм-аута, а в версиях Windows до Windows Vista предоставляет набор функций поддержки для GINA и берет на себя ответственность за настройку групповой политики компьютеров и пользователей .

Winlogon также проверяет, является ли копия Windows законной лицензией, начиная с Windows XP и более поздних версий.

Winlogon имеет следующие обязанности:

• Оконная станция и защита рабочего стола

Winlogon устанавливает защиту оконной станции и соответствующих рабочих столов, чтобы обеспечить надлежащий доступ к каждому из них. В общем, это означает, что локальная система будет иметь полный доступ к этим объектам и что интерактивно вошедший в систему пользователь будет иметь доступ для чтения к объекту оконной станции и полный доступ к объекту рабочего стола приложения.

• Стандартное признание SAS

Winlogon имеет специальные перехватчики на сервере User32, которые позволяют ему отслеживать события безопасной последовательности внимания (SAS) Control-Alt-Delete . Winlogon делает эту информацию о событии SAS доступной для GINA для использования в качестве своего SAS или как часть своего SAS. В общем, GINA должны отслеживать SAS самостоятельно; однако любой GINA, имеющий стандартный + + SAS в качестве одного из распознаваемых им SAS, должен использовать для этой цели поддержку Winlogon. CtrlAltDel

• Обычная диспетчеризация SAS

Когда Winlogon встречает событие SAS или когда GINA доставляет SAS в Winlogon, Winlogon соответствующим образом устанавливает состояние, изменяет рабочий стол Winlogon и вызывает одну из функций обработки SAS GINA.

• Загрузка профиля пользователя

Когда пользователи входят в систему, их профили пользователей загружаются в реестр. Таким образом, процессы пользователя могут использовать специальный ключ реестра HKEY_CURRENT_USER. Winlogon делает это автоматически после успешного входа в систему, но до активации оболочки для вновь вошедшего пользователя.

• Назначение безопасности пользовательской оболочке

Когда пользователь входит в систему, GINA отвечает за создание одного или нескольких начальных процессов для этого пользователя. Winlogon предоставляет GINA функцию поддержки, позволяющую применять к этим процессам безопасность только что вошедшего в систему пользователя. Однако предпочтительный способ сделать это - для GINA вызвать функцию Windows CreateProcessAsUser и позволить системе предоставить услугу.

• Управление заставкой

Winlogon отслеживает активность клавиатуры и мыши, чтобы определить, когда активировать хранители экрана. После активации экранной заставки Winlogon продолжает отслеживать активность клавиатуры и мыши, чтобы определить, когда ее отключить. Если хранитель экрана помечен как безопасный, Winlogon считает рабочую станцию ​​заблокированной. Когда есть активность мыши или клавиатуры, Winlogon вызывает функцию WlxDisplayLockedNotice GINA, и поведение заблокированной рабочей станции возобновляется. Если хранитель экрана небезопасен, любое действие с клавиатурой или мышью прерывает работу хранителя экрана без уведомления GINA.

• Поддержка нескольких сетевых провайдеров

Несколько сетей, установленных в системе Windows, могут быть включены в процесс аутентификации и в операции обновления пароля. Это включение позволяет дополнительным сетям собирать идентификационную и аутентификационную информацию одновременно во время обычного входа в систему, используя безопасный рабочий стол Winlogon. Некоторые из параметров, требуемых в службах Winlogon, доступных для GINA, явно поддерживают этих дополнительных сетевых поставщиков.

Смотрите также

• Список компонентов Microsoft Windows
• Архитектура линейки операционных систем Windows NT
• Vundo , троян, прикрепляющийся к winlogon.exe.
• getty , аналогичный процесс в UNIX
• В результате утечки исходного кода Windows XP в сентябре 2020 года Winlogon был единственным фрагментом, отсутствующим в исходном коде, что сделало утечку операционной системы неполной.

Рекомендации

Внешние ссылки

• Настройка GINA - Часть 1 , Учебник для разработчиков по написанию пользовательского GINA
• Настройка GINA - Часть 2 , Учебник для разработчиков по написанию пользовательского GINA
• MSKB: 193361 MSGINA.DLL не сбрасывает структуру WINLOGON
• Windows Vista и Windows Server 2008: понимание, повышение и комплексная безопасность - презентация Microsoft PowerPoint, которая включает информацию об изменениях в Winlogon в Windows Vista и Windows Server 2008