交互式登录 交互式登录是我们平常登录时最常见的类型,就是用户通过相应的用户账号(UserAccount)和密码在本机进行登录,
。有些网友认为“交互式登录”就是“本地登录”,其实这是错误的。“交互式登录”还包括“域账号登录”,而“本地登录”仅限于“本地账号登录”。 这里有必要提及的是,通过终端服务和远程桌面登录主机,可以看做“交互式登录”,其验证的原理是一样的。 在交互式登录时,系统会首先检验登录的用户账号类型,是本地用户账号(LocalUserAccount),还是域用户账号(DomainUserAccount),再采用相应的验证机制。因为不同的用户账号类型,其处理方法也不同。 ◇本地用户账号 采用本地用户账号登录,系统会通过存储在本机SAM数据库中的信息进行验证。所以也就是为什么Windows2000忘记Administrator密码时可以用删除SAM文件的方法来解决。不过对于WindowsXp则不可以,可能是出于安全方面的考虑吧。用本地用户账号登录后,只能访问到具有访问权限的本地资源。(图1) ◇域用户账号 采用域用户账号登录,系统则通过存储在域控制器的活动目录中的数据进行验证。如果该用户账号有效,则登录后可以访问到整个域中具有访问权限的资源。 小提示:如果计算机加入域以后,登录对话框就会显示“登录到:”项目,可以从中选择登录到域还是登录到本机。交互式登录,系统用了哪些组件 1.Winlogon.exe Winlogon.exe是“交互式登录”时最重要的组件,它是一个安全进程,负责如下工作: ◇加载其他登录组件。 ◇提供同安全相关的用户操作图形界面,以便用户能进行登录或注销等相关操作。 ◇根据需要,同GINA发送必要信息。 2.GINA GINA的全称为“GraphicalIdentificationandAuthentication”――图形化识别和验证。它是几个动态数据库文件,被Winlogon.exe所调用,为其提供能够对用户身份进行识别和验证的函数,并将用户的账号和密码反馈给Winlogon.exe。在登录过程中,“欢迎屏幕”和“登录对话框”就是GINA显示的。 一些主题设置软件,例如StyleXp,可以指定Winlogon.exe加载商家自己开发的GINA,从而提供不同的WindowsXp的登录界面。由于这个可修改性,现在出现了盗取账号和密码的木马。 一种是针对“欢迎屏幕”登录方式的木马,它模拟了WindowsXp的欢迎界面。当用户输入密码后,就被木马程序所获取,而用户却全然不知。所以建议大家不要以欢迎屏幕来登录,且要设置“安全登录”。 另一种是针对登录对话框的GINA木马,其原理是在登录时加载,以盗取用户的账号和密码,然后把这些信息保存到%systemroot%\system32下的WinEggDrop.dat中。该木马会屏蔽系统以“欢迎屏幕”方式登录和“用户切换”功能,也会屏蔽“Ctrl-Alt-Delete”的安全登录提示,
《
交互式登录》(
https://www.unjs.com)。 用户也不用太担心被安装了GINA木马,笔者在这里提供解决方案给大家参考: ◇正所谓“解铃还需系铃人”,要查看自己电脑是否安装过GINA木马,可以下载一个GINA木马程序,然后运行InstGina-view,可以查看系统中GinaDLL键值是否被安装过DLL,主要用来查看系统是否被人安装了Gina木马作为登录所用。如果不幸被安装了GINA木马,可以运行InstGina-Remove来卸载它。 3.LSA服务 LSA的全称为“LocalSecurityAuthority”――本地安全授权,Windows系统中一个相当重要的服务,所有安全认证相关的处理都要通过这个服务。它从Winlogon.exe中获取用户的账号和密码,然后经过密钥机制处理,并和存储在账号数据库中的密钥进行对比,如果对比的结果匹配,LSA就认为用户的身份有效,允许用户登录计算机。如果对比的结果不匹配,LSA就认为用户的身份无效。这时用户就无法登录计算机。 怎么看这三个字母有些眼熟?对了,这个就是和前阵子闹得沸沸扬扬的“震荡波”扯上关系的服务。“震荡波”蠕虫就是利用LSA远程缓冲区溢出漏洞而获得系统最高权限SYSTEM来攻击电脑的。解决的方法网上很多资料,这里就不多讲了。 4.SAM数据库 SAM的全称为“SecurityAccountManager”――安全账号
管理器,是一个被保护的子系统,它通过存储在计算机注册表中的安全账号来管理用户和用户组的信息。我们可以把SAM看成一个账号数据库。对于没有加入到域的计算机来说,它存储在本地,而对于加入到域的计算机,它存储在域控制器上。 如果用户试图登录本机,那么系统会使用存储在本机上的SAM数据库中的账号信息同用户提供的信息进行比较;如果用户试图登录到域,那么系统会使用存储在域控制器中上的SAM数据库中的账号信息同用户提供的信息进行比较。 5.NetLogon服务 NetLogon服务主要和NTLM(NTLANManager,WindowsNT4.0的默认验证协议)协同使用,用户验证WindowsNT域控制器上的SAM数据库上的信息同用户提供的信息是否匹配。NTLM协议主要用于实现同WindowsNT的兼容性而保留的。 6.KDC服务 KDC(KerberosKeyDistributionCenter――Kerberos密钥发布中心)服务主要同Kerberos认证协议协同使用,用于在整个活动目录范围内对用户的登录进行验证。如果你确保整个域中没有WindowsNT计算机,可以只使用Kerberos协议,以确保最大的安全性。该服务要在ActiveDirectory服务启动后才能启用。 7.ActiveDirectory服务 如果计算机加入到Windows2000或Windows2003域中,则需启动该服务以对ActiveDirectory(活动目录)功能的支持。