WindowsXP系统登陆原理及其验证机制概述

1、Windows XP系统登陆原理及其验证机制概述WindowsXP的登录验证机制和原理都要比Windows98严格并复杂得多，不会再出现按取消”按钮就能进入系统的丑事(可以通过修改注册表来禁止)。理解并掌握 WindowsXP的登录验证机制和原理对我们来说很重 要，能增强对系统安全的认识，并能够有效预防、解决黑客和病毒的入侵。一、了解 WindowsXP的几种登录类型1、交互式登录交互式登录是我们平常最常见类型，就是用户通过相应的用户帐号(User Account)和密码在本机进行登录。有些网友认为 交互式登录”就是本地登录”，其实这是错误的。交互式登录”还包括域帐号登录”，而本地登录”仅限于

2、本地帐号登录”，详细讲解请参看下文。这里有必要提及的是，通过终端服务和远程桌面登录主机，可以看作交互式登录”，其验证的原理是一样的。在交互式登录时，系统会首先检验登录的用户帐号类型，是本地用户帐号(Local User Account)，还是域用户帐号(Domain User Account)，再采用相应的验证机制。因为不用的用户帐号类型，其处理方法也不同。本地用户帐号采用本地用户帐号登录，系统会通过存储在本机SAM数据库中的信息进行验证。所以也就为什么Windows2000忘记 Administrator密码时可以删除 SAM文件的方法来解决。不过对于 WindowsXP则不可以, 可能是出

3、于安全方面考虑吧。用本地用户帐号登录后，只能访问到具有访问权限的本地资源。(图1)Kellen Diyond选项 域用户帐号采用域用户帐号登录，系统则通过存储在域控制器的活动目录中的数据进行验证。如果该用户帐号有 效，则登录后可以访问到整个域中具有访问权限的资源。小提示：如果计算机加入域以后， 登录对话框就会显示 登录到：”项目，可以从中选择登录到域还是登录 到本机。2、网络登录如果计算机加入到工作组或域，当要访问其他计算机的资源时，就需要网络登录”了。如图2,当要登录名称为Heelen的主机时，输入该主机的用户名称和密码后进行验证。这里需要提醒的是，输入的用户帐 号必须是对方主机上的，而非自

4、己主机上的用户帐号。因为进行网络登录时，用户帐号的有效性是由受访 主机进行的。正在连接到同尸 QI)fi Kee-lcn.輕玛二1记住我的3：玛辺3、服务登录服务登录是一种特殊的登录方式。平时，系统启动服务和程序时，都是先以某些用户帐号进行登录后 运行的，这些用户帐号可以是域用户帐号、本地用户帐号或SYSTEM帐号。采用不同的用户帐号登录，其对系统的访问、控制权限也不同，而且，用本地用户帐号登录，只能访问到具有访问权限的本地资源，不 能访问到其他计算机上的资源，这点和 交互式登录”类似。从图3的任务管理器中可以看到，系统的进程所使用的帐号是不同的。当系统启动时，一些基与Win32的服务会被预先

5、登录到系统上，从而实现对系统的访问和控制。运行services.msc,可以设置这些服务。正是系统服务有着举足轻重的地位，它们一般都以SYSTEM帐号登录的，对系统有绝对的控制权限，所以很多病毒和木马也争着加入这个贵族中。除了 SYSTEM，有些服务还以Local Service和Network Service这两个帐号登录。而在系统初始化后，用户运行的一切程序都是以用户本身帐号登录的。Users组的从上面讲到的原理不难看出，为什么很多电脑文章告诉一般用户，平时使用计算机时要以 用户登录，因为即使运行了病毒、木马程序，由于受到登录用户帐号相应的权限限制，最多也只能破坏属于用户本身的资源，而对维

6、护系统安全和稳定性的重要信息无破坏性。4、批处理登录 批处理登录一般用户很少用到，通常被执行批处理操作的程序所使用。在执行批处理登录时，所用帐 号要具有批处理工作的权利，否则不能进行登录。平常我们接触最多的是 “交互式登录 ”，所以下面笔者讲为大家详细讲解 “交互式登录 ”的原理。二、交互式登录，系统用了哪些组件1、winlogon.exewinlogon.exe 是 “交互式登录 ”时最重要的组件，它是一个安全进程，负责如下工作 : 相关的用户操作图形界面，以便用户能进行登录或注销等相关操作。根据需要，同GINA发送必要信息。2、GINAGINA 的全称为 “Graphical Identi

7、fication and Authentication 图形”化识别和验证。它是几个动态数据 库文件，被 winlogon.exe 所调用，为其提供能够对用户身份进行识别和验证的函数，并将用户的帐号和密 码反馈给 winlogon.exe 。在登录过程中， “欢迎屏幕 ”和“登录对话框 ”就是 GINA 显示的。一些主题设置软件，例如 StyleXP ，可以指定 winlogon.exe 加载商家自己开发的 GINA ，从而提供不同 的 WindowsXP 的登录界面。由于这个可修改性，现在出现了盗取帐号和密码的木马。一种是针对 “欢迎屏幕 ”登录方式的木马，它模拟了 WindowsXP 的欢

8、迎界面。当用户输入密码后，就被 木马程序所获取，而用户却全然不知。所以建议大家不要以欢迎屏幕来登录，且要设置“安全登录 ”。另一种是针对登录对话框的 GINA 木马，其原理是在登录时加载，以盗取用户的帐号和密码，然后把 这些信息保存到 %systemroot% system32 下的 WinEggDrop.dat 中。该木马会屏蔽系统以 “欢迎屏幕 ”方式登 录和“用户切换 ”功能，也会屏蔽 “Ctr-lAlt- Delete ”的安全登录提示。用户也不用太担心被安装了 GINA 木马，笔者在这里提供解决方案给大家参考 :正所谓 “解铃还需系铃人 ”，要查看自己电脑是否安装过 GINA 木马，

9、 可以下载一个 GINA 木马程序， 然后运行 InstGina -view ，可以查看系统中 GinaDLL 那键值是否有被安装过 DLL ，主要用来查看系统是否 被人安装了 Gina 木马作为登录所用。 如果不幸被安装了 GINA 木马，可以运行 InstGina -Remove 来卸载它。3、LSA 服务LSA 的全称为 “Local Security Authority ”本地安全授权， Windows 系统中一个相当重要的服务，所 有安全认证相关的处理都要通过这个服务。它从 winlogon.exe 中获取用户的帐号和密码，然后经过密钥机 制处理，并和存储在帐号数据库中的密钥进行对比

10、，如果对比的结果匹配，LSA 就认为用户的身份有效，允许用户登录计算机。 如果对比的结果不匹配， LSA 就认为用户的身份无效。 这时用户就无法登录计算机。怎么看这三个字母有些眼熟 ?对了，这个就是和前阵子闹得沸沸扬扬的“震荡波 ”撤上关系的。 “震荡波蠕虫就是利用 LSA 远程缓冲区溢出漏洞而获得系统最高权限 SYSTEM 来攻击电脑的。解决的方法网上很 多资料，这里就不多讲了。4、SAM 数据库SAM 的全称为 “Security Account Manager ”安全帐号管理器，是一个被保护的子系统，它通过存储 在计算机注册表中的安全帐号来管理和用户和用户组的信息。我们可以把SAM 看成

11、一个帐号数据库。对于没有加入到域的计算机来说，它存储在本地，而对于加入到域的计算机，它存储在域控制器上。如果用户试图登录本机，那么系统会使用存储在本机上的 SAM 数据库中的帐号信息同用户提供的信 息进行比较 ;如果用户试图登录到域，那么系统会使用存储在域控制器中上的SAM 数据库中的帐号信息同用户提供的信息进行比较。5、Net Logon 服务Net Logon 服务主要和 NTLM（NT LAN Manager ， Windows NT 4.0 的默认验证协议 ）协同使用，用户验 证 Windows NT 域控制器上的 SAM 数据库上的信息同用户提供的信息是否匹配。 NTLM 协议主要用

12、于实现同Windows NT的兼容性而保留的6、KDC服务KDC（Kerberos Key Distribution Center Kerberos密钥发布中心）服务主要同 Kerberos认证协议协同使 用，用于在整个活动目录范围内对用户的登录进行验证。如果你确保整个域中没有Windows NT计算机，可以只使用Kerberos协议，以确保最大的安全性。该服务要在Active Directory服务启动后才能启用。7、Active Directory 服务如果计算机加入到 Windows2000或 Windows2003域中，则需启动该服务以对Active Directory（活动目录）功能

13、的支持。三、登录前后，winlogon到底干了什么如果用户设置了 安全登录”在 winlogon初始化时，会在系统中注册一个SAS （Secure AttentionSequence安全警告序列）。SAS是一组组合键，默认情况下为Ctrl-Alt-Delete。它的作用是确保用户交互 式登录时输入的信息被系统所接受，而不会被其他程序所获取。所以说，使用安全登录”进行登录，可以确保用户的帐号和密码不会被黑客盗取。要启用安全登录的功能，可以运行 control userpasswords2命令,打开 用户帐户”对话框，选择 高级”（如图4）选中 要求用户按Ctrl-Alt- Delete选项后确定

14、即可。以后， 在每次登录对话框出现前都有一个提示，要求用户按Ctrl-Alt-Delete组合键，目的是为了在登录时出现WindowsXP的GINA登录对话框，因为只有系统本身的 GINA才能截获这个组合键信息。而如前面讲到的 GINA木马，会屏蔽掉 安全登录”的提示，所以如果 安全登录”的提示无故被屏蔽也是发现木马的一个前兆。安全登录”功能早在 Windows2000时就被应用于保护系统安全性。用户戟尸用户 高级密码和.NET Passport墟可以管理存储在这台计算机上的所有密码或者用.NET Passport向号更改软认Passports 管理密码追） BET F審曲ort向导 疋高级用

15、戶管理可以用本地用尸和爼来执行高级用戶育理任务口高级（V）j要増加安全性您可以要求用尸在登录之前按 Ctrl-Alt-Belate-这保证出现的Winiows登录提示是 / 其实的I陵止模仿登录的程序检索密码信息，S便保护 粟蚣确走取消应用也）J L.P 桌面系统，在用户需要的时候使用，它们分别为： Winlogon桌面用户在进入登录界面时，就进入了Winlogon桌面。而我们看到的登录对话框，只是GINA负责显示的。如果用户 取消以 欢迎屏幕方式登录，在进入 WindowsXP中任何时候按下Ct-Alt-Delete，都会激活 Winlogon桌面，并显示图5的Windows安全对话框。（注

16、意，Winlogon桌面登录信息您己作为 ElLLGAlESVK&elexi tiy&nd 登录.登录日期： 2004-3-5 15:04:27使用枉务管理器关闭不晌应的应用程序.後宦讦建机毬j-注梢其机更改密码().Lj任务管理盟(1)1取消L-j用户桌面 用户桌面就是我们日常操作的桌面， 它是系统最主要的桌面系统。 用户需要提供正确的帐号 和密码，成功登录后才能显示 用户桌面”而且，不同的用户， winlogon会根据注册表中的信息和用户配 置文件来初始化用户桌面。屏幕保护桌面屏幕保护桌面就是屏幕保护，包括系统屏幕保护”和用户屏幕保护”在启用了 系统屏幕保护”的前提下，用户未进行登录并且长

17、时间无操作，系统就会进入系统屏幕保护”而对于 用户屏幕保护”来说，用户要登录后才能访问，不同的用户可以设置不同的用户屏幕保护”四、想登录，也要过 GINA这一关在交互式登录”过程中，Winlogon调用了 GINA组文件，把用户提供的帐号和密码传达给GINA，由GINA负责对帐号和密码的有效性进行验证，然后把验证结果反馈给Winlogon程序。在与 Winlogon.exe对话时，GINA会首先确定 winlogon.exe的当前状态，再根据不同状态来执行不同的验证工作。通常 Winlogon.exe有三中状态：1、已登录状态顾名思义，用户在成功登录后，就进入了已登录状态”在此状态下，用户可以

18、执行有控制权限的任何操作。2、已注销状态用户在已登录状态下，选择注销”命令后，就进入了 已注销状态”，并显示Winlogon桌面，而由GINA 负责显示登录对话框或欢迎屏幕。3、已锁定状态当用户按下“Win+L键锁定计算机后，就进入了 已锁定状态”在此状态下，GINA负责显示可供用户登录的对话框。此时用户有两种选择，一种是输入当前用户的密码返回已登录状态”另一种是输入管理员帐号和密码，返回 已注销状态”，但原用户状态和未保存数据丢失。五、登录到本机的过程1、用户首先按Ctrl+Alt+Del组合键。2、 winlogon检测到用户按下 SAS键，就调用GINA，由GINA显示登录对话框，以便用

19、户输入帐号和 密码。3、 用户输入帐号和密码，确定后，GINA把信息发送给LSA进行验证。4、 在用户登录到本机的情况下，LSA会调用msv1_0.dll这个验证程序包，将用户信息处理后生成密钥， 同SAM数据库中存储的密钥进行对比。5、如果对比后发现用户有效， SAM 会将用户的 SID（Security Identifier 安全标识 ），用户所属用户 组的SID，和其他一些相关信息发送给LSA。6、 LSA 将收到的 SID 信息创建安全访问令牌，然后将令牌的句柄和登录信息发送给winlogon.exe 。7、winlogon.exe 对用户登录稍作处理后，完成了整个登录过程。六、登录到

20、域的过程 登录到域的验证过程，对于不同的验证协议也有不同的验证方法。如果域控制器是Windows NT 4.0 ，那么使用的是 NTLM 验证协议，其验证过程和前面的 “登录到本机的过程 ”差不多，区别就在于验证帐号的 工作不是在本地 SAM 数据库中进行， 而是在域控制器中进行 ;而对于 Windows2000 和 Windows2003 域控制 器来说，使用的一般为更安全可靠的 Kerberos v5 协议。通过这种协议登录到域，要向域控制器证明自己的 域帐号有效，用户需先申请允许请求该域的 TGS（Ticket-Granting Service 票据授予服务 ）。获准之后，用 户就会为所

21、要登录的计算机申请一个会话票据，最后还需申请允许进入那台计算机的本地系统服务。其过程如下 :1、用户首先按 Ctrl+Alt+Del 组合键。2、 winlogon检测到用户按下 SAS键，就调用GINA，由GINA显示登录对话框，以便用户输入帐号和 密码。3、 用户选择所要登录的域和填写帐号与密码，确定后， GINA 将用户输入的信息发送给 LSA 进行验证。4、 在用户登录到本机的情况下，LSA 将请求发送给 Kerberos 验证程序包。通过散列算法，根据用户 信息生成一个密钥，并将密钥存储在证书缓存区中。5、Kerberos 验证程序向 KDC（Key Distribution Center 密钥分配中心 ）发送一个包含用户身份信息和 验证预处理数据的验证服务请求，其中包含用户证书和散列算法加密时间的标记。6、KDC 接收到数据后，利用自己的密钥对请求中的时间标