A menudo, cuando usamos Windows XP, siempre tenemos que iniciar sesión primero. El mecanismo y el principio de autenticación de inicio de sesión de Windows XP son mucho más estrictos y complicados que Windows 98. Ya no existe un escándalo que pueda ingresar al sistema presionando el botón "Cancelar" (se puede desactivar modificando el registro). Es muy importante para nosotros entender y dominar el mecanismo de autenticación de inicio de sesión y el principio de Windows XP. Puede mejorar la comprensión de la seguridad del sistema y prevenir y resolver eficazmente la invasión de hackers y virus.
Primero, entienda varios tipos de inicio de sesión de WindowsXP
1, inicio de sesión interactivo
El inicio de sesión interactivo es nuestro tipo más común, es decir, el usuario a través de la cuenta de usuario correspondiente (Cuenta de usuario) y la contraseña en la máquina Iniciar sesión Algunos internautas piensan que "inicio de sesión interactivo" es "inicio de sesión local", de hecho, esto es incorrecto. "Inicio de sesión interactivo" también incluye "inicio de sesión de cuenta de dominio", mientras que "inicio de sesión local" está limitado a "inicio de sesión de cuenta local", consulte a continuación para obtener más detalles.
Es necesario mencionar que el servicio de terminal y el host de inicio de sesión de escritorio remoto pueden considerarse como "inicio de sesión interactivo", el principio de verificación es el mismo.
En el inicio de sesión interactivo, el sistema primero verificará el tipo de cuenta de usuario que ha iniciado sesión, ya sea una cuenta de usuario local (Cuenta de usuario local) o una cuenta de usuario de dominio (Cuenta de usuario de dominio), y luego usará el mecanismo de autenticación correspondiente. Debido al tipo de cuenta de usuario que no se usa, el método de procesamiento es diferente.
Account Cuenta de usuario local
Inicie sesión con una cuenta de usuario local y el sistema verificará la información almacenada en la base de datos SAM local. Entonces, ¿por qué Windows 2000 olvida usar el archivo SAM cuando olvida la contraseña del Administrador? Sin embargo, no es posible para Windows XP, puede ser por razones de seguridad. Después de iniciar sesión con una cuenta de usuario local, solo puede acceder a los recursos locales con derechos de acceso.
(Figura 1)
Javascript: if (this.width > screen.width-300) this.width = screen.width-300 "border = 0 >
Cuenta
Inicie sesión con la cuenta de usuario de dominio y el sistema autentica los datos almacenados en el Directorio activo del controlador de dominio. Si la cuenta de usuario es válida, puede acceder a los recursos con derechos de acceso en todo el dominio después de iniciar sesión.
Consejo: si la computadora se une al dominio, el cuadro de diálogo de inicio de sesión mostrará el elemento "Iniciar sesión en:", desde el cual puede elegir iniciar sesión en el dominio o iniciar sesión en la máquina.
2, Inicio de sesión en la red
Si la computadora está unida para funcionar Grupo o dominio, cuando desee acceder a los recursos de otras computadoras, necesita "inicio de sesión de red". Como se muestra en la Figura 2, cuando desea iniciar sesión en el host llamado Heelen, ingrese el nombre de host y la contraseña del host y verifíquelo. La cuenta de usuario ingresada debe estar en el otro host, no la cuenta de usuario en el host. Debido a que se usa la cuenta de red, el host realiza la validez de la cuenta de usuario.
Javascript: Si Th > screen.width-300) this.width = screen.width-300 "border = 0 >
3. Inicio de sesión del servicio
El inicio de sesión del servicio es un método de inicio de sesión especial. En tiempos normales, cuando el sistema inicia servicios y programas, se ejecuta después de iniciar sesión con ciertas cuentas de usuario, que pueden ser cuentas de usuario de dominio, cuentas de usuario locales o cuentas de SISTEMA. Inicie sesión con diferentes cuentas de usuario, y los derechos de acceso y control del sistema son diferentes. Además, cuando inicia sesión con una cuenta de usuario local, solo puede acceder a los recursos locales con derechos de acceso y no puede acceder a los recursos en otras computadoras. El inicio de sesión interactivo es similar.
Como puede ver en el administrador de tareas en la Figura 3, la cuenta utilizada por el proceso del sistema es diferente. Cuando se inicie el sistema, algunos servicios de base y Win32 se registrarán previamente en el sistema para lograr el acceso y control del sistema. Estos servicios se pueden configurar ejecutando services.msc. Los servicios del sistema son los que tienen una posición central. Generalmente se registran con la cuenta del SISTEMA y tienen control absoluto sobre el sistema, por lo que muchos virus y troyanos también están compitiendo para unirse a la nobleza. Además de SISTEMA, algunos servicios también se registran con las cuentas de Servicio local y Servicio de red. Una vez que se inicializa el sistema, todos los programas que ejecuta el usuario inician sesión con su propia cuenta.
Javascript: if (this.width > screen.width-300) this.width = screen.width-300 "border = 0 >
El principio de arriba no es Es fácil ver por qué muchos artículos informáticos le dicen al usuario promedio que los usuarios deben iniciar sesión como usuarios en el grupo Usuarios cuando usan la computadora, ya que incluso si se ejecutan los programas de virus y troyanos, solo pueden destruir a los propios usuarios debido a las restricciones de permisos correspondientes de la cuenta de usuario de inicio de sesión. Los recursos y la información importante para mantener la seguridad y estabilidad del sistema no son destructivos.
4, inicio de sesión por lotes
Los usuarios ordinarios rara vez utilizan el inicio de sesión por lotes, generalmente los utilizan los programas que realizan operaciones por lotes. Al realizar el inicio de sesión por lotes, la cuenta utilizada debe tener el derecho al trabajo por lotes, de lo contrario, no podrá iniciar sesión.
Por lo general, nos comunicamos con la mayoría de "inicio de sesión interactivo", por lo que explicaré el "inicio de sesión interactivo" en detalle. El principio de
Segundo, inicio de sesión interactivo, qué componentes se utilizan en el sistema
1, winlogon.exe
winlogon.exe es el componente más importante de "inicio de sesión interactivo", Es un proceso seguro y es responsable del siguiente trabajo:
◇ Cargando otros componentes de inicio de sesión.
◇ Proporciona una interfaz gráfica para las operaciones relacionadas con el usuario, para que los usuarios puedan iniciar sesión o cerrar sesión, etc.
◇ , GINA envía la información necesaria.
2, GINA
El nombre completo de GINA es "Identificación y autenticación gráficas": reconocimiento y verificación gráficos. Son varios archivos de base de datos dinámicos, llamados por winlogon.exe. Proporciona una función para identificar y verificar la identidad del usuario y alimenta la cuenta y la contraseña del usuario a winlogon.exe. Durante el proceso de inicio de sesión, la "Pantalla de bienvenida" y el "Cuadro de diálogo de inicio de sesión" se muestran mediante GINA.
El software de configuración de temas, como StyleXP, puede especificar winlogon.exe para cargar la GINA desarrollada por el comerciante, lo que proporciona una interfaz de inicio de sesión diferente para Windows XP. Debido a esta modificabilidad, ahora hay un troyano que roba cuentas y contraseñas.
Es un troyano para el método de inicio de sesión de "Pantalla de bienvenida", simula la interfaz de bienvenida de Windows XP Cuando el usuario ingresa la contraseña, el troyano la obtiene, pero el usuario es completamente ignorante. Por lo tanto, se recomienda que no inicie sesión con la pantalla de bienvenida y configure "inicio de sesión seguro".
La otra es GINA para el cuadro de diálogo de inicio de sesión. Trojan, el principio es cargar al iniciar sesión para robar la cuenta y la contraseña del usuario, y luego guardar esta información en WinEggDrop.dat en% systemroot% \\ system32. El troyano bloqueará el sistema con el inicio de sesión de "Pantalla de bienvenida" y la función de "Cambio de usuario", y también bloqueará el aviso de inicio de sesión de seguridad "Ctrl-Alt-Delete".
Los usuarios no tienen que preocuparse demasiado por ser instalados con el troyano GINA. El autor aquí ofrece una solución para que todos puedan consultar:
El llamado "resolver el timbre aún debe sonar el timbre", para ver si la computadora ha instalado el troyano GINA. Puede descargar un troyano GINA, luego ejecutar InstGina -vIEw, puede verificar si la clave GinaDLL en el sistema se ha instalado DLL, principalmente para verificar si el sistema está instalado por Gina Trojan como inicio de sesión. Si tiene la mala suerte de instalar el troyano GINA, puede ejecutar InstGina -Retire para desinstalarlo.
3, servicio LSA
El nombre completo de LSA es "Autoridad de seguridad local": autorización de seguridad local, un servicio muy importante en el sistema Windows. Todo proceso relacionado con la certificación de seguridad debe pasar este servicio. Obtiene la cuenta y la contraseña del usuario de winlogon.exe, y luego la procesa a través del mecanismo clave y la compara con la clave almacenada en la base de datos de la cuenta. Si los resultados de la comparación coinciden, la LSA considera la identidad del usuario válida y le permite iniciar sesión. La computadora Si los resultados de la comparación no coinciden, la LSA considera que la identidad del usuario no es válida. En este punto, el usuario no puede iniciar sesión en la computadora.
¿Cómo crees que estas tres letras son familiares? Cierto, esta es la relación con la "onda de choque" que se ha estado librando en el pasado. El gusano "Sasser" usa la vulnerabilidad de desbordamiento de búfer remoto LSA para obtener el SISTEMA de mayor autoridad del sistema para atacar la computadora. La solución al problema es mucha información en línea, no mucho de lo que hablar aquí.
4, base de datos SAM
nombre completo SAM "Administrador de cuentas de seguridad": administrador de cuentas de seguridad, es un subsistema protegido, se administra mediante la cuenta de seguridad almacenada en el registro de la computadora y los usuarios y Información del grupo de usuarios. Podemos pensar en SAM como una base de datos de cuentas. Para las computadoras que no están unidas al dominio, se almacena localmente, y para las computadoras que están unidas al dominio, se almacena en el controlador de dominio.
Si el usuario intenta iniciar sesión en la máquina, el sistema usará la información de la cuenta almacenada en la base de datos SAM almacenada en la máquina para compararla con la información proporcionada por el usuario; si el usuario intenta iniciar sesión en el dominio, el sistema utilizará el almacenado en el controlador de dominio. La información de la cuenta en la base de datos SAM superior se compara con la información proporcionada por el usuario.
5, servicio Net Logon
El servicio Net Logon se usa principalmente junto con NTLM (NT LAN Manager, protocolo de autenticación predeterminado de Windows NT 4.0); el usuario verifica que el usuario proporcione la información de la base de datos SAM en el controlador de dominio de Windows NT. Si la información coincide. El protocolo NTLM está reservado principalmente para la compatibilidad con Windows NT.
6, servicio KDC
El servicio KDC (Centro de distribución de claves Kerberos - Centro de distribución de claves Kerberos) se usa principalmente junto con el protocolo de autenticación Kerberos, que se utiliza para verificar el inicio de sesión del usuario en todo el Directorio activo. Si se asegura de que no haya computadoras con Windows NT en todo el dominio, solo puede usar el protocolo Kerberos para garantizar la máxima seguridad. Este servicio no se habilitará hasta que se inicie el servicio de Active Directory.
7, Servicio de Active Directory
Si la computadora se une al dominio Windows 2000 o Windows2003, debe iniciar el servicio para admitir las funciones de Active Directory (Active Directory).
Tercero, antes y después del inicio de sesión, qué winlogon hizo
Si el usuario configura "inicio de sesión seguro", cuando se inicializa el winlogon, se registrará un SAS (Secuencia de atención segura) en el sistema. SAS es un conjunto de combinaciones de teclas, que de manera predeterminada es Ctrl-Alt-Delete. Su función es garantizar que la información ingresada por el usuario al iniciar sesión de manera interactiva sea aceptada por el sistema y no sea obtenida por otros programas. Por lo tanto, al utilizar "inicio de sesión seguro" para iniciar sesión, puede asegurarse de que los hackers no robarán la cuenta y la contraseña del usuario. Para habilitar la función de "inicio de sesión seguro", puede ejecutar el comando "control userpassWords2", abrir el cuadro de diálogo "Cuentas de usuario", seleccionar "Avanzado".
(Figura 4) Seleccione la opción "Requerir a los usuarios que presionen Ctrl-Alt-Delete" y luego confirme. Más adelante, antes de que aparezca cada cuadro de diálogo de inicio de sesión, aparece un mensaje pidiéndole al usuario que presione Ctrl-Alt-Delete para que aparezca el cuadro de diálogo de inicio de sesión de Windows XP GINA al iniciar sesión, porque solo la GINA del sistema puede interceptarlo.