Winlogon

Компонент операционных систем Microsoft Windows.

Классическое диалоговое окно «Начать вход в систему» ​​в Windows XP

Экран блокировки Windows 11 , требующий от пользователя нажатия Ctrl+Alt+Delete .

Winlogon ( Windows Logon ) — это компонент операционных систем Microsoft Windows , который отвечает за обработку безопасной последовательности действий , загрузку профиля пользователя при входе в систему, создание рабочих столов для оконной станции и, при необходимости, блокировку компьютера во время работы заставки (требуется еще один шаг аутентификации). В Windows Vista и более поздних операционных системах роли и обязанности Winlogon существенно изменились.

Обзор

Winlogon запускается подсистемой диспетчера сеансов как часть процесса загрузки Windows NT .

До появления Windows Vista Winlogon отвечал за запуск диспетчера управления службами и службы подсистемы локальной безопасности , но начиная с Vista они запускались с помощью приложения запуска Windows ( wininit.exe). ^[1]

Первая часть процесса входа в систему, которую выполняет Winlogon, — это запуск процесса, который показывает пользователю экран входа в систему. До Windows Vista это делала GINA ^[2] , но начиная с Vista это делала LogonUI. Эти программы отвечают за получение учетных данных пользователя и передачу их в службу подсистемы Local Security Authority , которая аутентифицирует пользователя.

После того, как управление возвращается Winlogon, он создает и открывает интерактивную оконную станцию ​​, WinSta0[ ^3] и создает три рабочих стола Winlogon, Defaultи ScreenSaver. Winlogon переключается с рабочего стола Winlogon на Defaultрабочий стол, когда оболочка указывает, что она готова отобразить что-либо для пользователя, или через тридцать секунд, в зависимости от того, что наступит раньше. ^[4]

Система переключается обратно на Winlogonрабочий стол, если пользователь нажимает Control-Alt-Delete или когда отображается приглашение контроля учетных записей пользователей . ^[4] Winlogon теперь запускает программу, указанную в значении Userinit, которое по умолчанию равно userinit.exe. Это значение поддерживает несколько исполняемых файлов. ^[5]

Обязанности

Оконная станция и защита рабочего стола

Winlogon устанавливает защиту оконной станции и соответствующих рабочих столов, чтобы обеспечить надлежащий доступ к каждому из них. В общем, это означает, что локальная система будет иметь полный доступ к этим объектам и что пользователь, вошедший в систему в интерактивном режиме, будет иметь доступ для чтения к объекту оконной станции и полный доступ к объекту рабочего стола приложения.

Стандартное признание SAS

Winlogon имеет специальные подключения к серверу User32, которые позволяют ему отслеживать события безопасной последовательности внимания (SAS) Control-Alt-Delete . Winlogon делает эту информацию о событиях SAS доступной GINA /поставщикам учетных данных для использования в качестве их SAS или как часть их SAS. В общем, GINA должны контролировать SAS самостоятельно; однако любой GINA, который имеет стандартный + + SAS в качестве одного из распознаваемых им SAS, должен использовать поддержку Winlogon, предусмотренную для этой цели.CtrlAltDel

Регулярная диспетчеризация SAS

Когда Winlogon обнаруживает событие SAS или когда SAS доставляется Winlogon через GINA, Winlogon устанавливает соответствующее состояние, переходит на рабочий стол Winlogon и вызывает одну из функций обработки SAS GINA.

Загрузка профиля пользователя

Когда пользователи входят в систему, их профили пользователей загружаются в реестр. Таким образом, процессы пользователя могут использовать специальный ключ реестра HKEY_CURRENT_USER. Winlogon делает это автоматически после успешного входа в систему, но до активации оболочки для вновь вошедшего в систему пользователя.

Назначение безопасности пользовательской оболочке

Когда пользователь входит в систему, GINA отвечает за создание одного или нескольких начальных процессов для этого пользователя. Winlogon предоставляет GINA функцию поддержки, позволяющую применять безопасность вновь вошедшего в систему пользователя к этим процессам. Однако предпочтительный способ сделать это — вызвать GINA функцию Windows CreateProcessAsUser и позволить системе предоставить услугу.

Управление заставкой экрана

Winlogon отслеживает активность клавиатуры и мыши, чтобы определить, когда активировать заставки. После активации хранителя экрана Winlogon продолжает отслеживать активность клавиатуры и мыши, чтобы определить, когда следует отключить заставку. Если заставка помечена как безопасная, Winlogon считает рабочую станцию ​​заблокированной. При активности мыши или клавиатуры Winlogon вызывает функцию WlxDisplayLockedNotice GINA, и поведение заблокированной рабочей станции возобновляется. Если хранитель экрана не защищен, любое действие клавиатуры или мыши прекращает работу заставки без уведомления GINA.

Поддержка нескольких сетевых провайдеров

Несколько сетей, установленных в системе Windows, могут быть включены в процесс аутентификации и операции обновления пароля. Это включение позволяет дополнительным сетям собирать идентификационную и аутентификационную информацию одновременно во время обычного входа в систему, используя безопасный рабочий стол Winlogon. Некоторые параметры, необходимые для служб Winlogon, доступных для GINA, явно поддерживают этих дополнительных сетевых поставщиков.

Уязвимости

Winlogon является общей целью для нескольких угроз, которые могут изменить его работу и использование памяти. Winlogon поддерживает плагины, которые загружаются и уведомляются о конкретных событиях. ^[6] Некоторые руткиты включают в себя плагины Winlogon, поскольку они загружаются до входа пользователя в систему. Некоторые ключи реестра позволяют указывать несколько значений, что позволяет запускать вредоносную программу одновременно с законным системным файлом. ^[7]

Смотрите также

• Список компонентов Microsoft Windows
• Архитектура линейки операционных систем Windows NT
• Vundo — троян, прикрепляющийся к winlogon.exe.
• getty , аналогичный процесс в UNIX
• В результате утечки исходного кода Windows XP в сентябре 2020 года Winlogon был единственной частью исходного кода, что делало просочившуюся операционную систему неполной. ^[8]

Рекомендации

1. Архив документов. «Администрирование Windows: Внутри ядра Windows Vista: Часть 2». Learn.microsoft.com . Проверено 14 мая 2023 г.
2. Руссинвойч, Марк Э.; Соломон, Дэвид (2005). Внутреннее устройство Microsoft Windows (4-е изд.). Редмонд, Вашингтон: Microsoft Press . п. 81. ИСБН 978-0735619173.
3. «Оконные станции». MSDN . Корпорация Майкрософт . Проверено 19 апреля 2014 г.
4. «Настольные компьютеры». MSDN . Корпорация Майкрософт . Проверено 19 апреля 2014 г.
5. Ионеску, Алекс; Руссинович, Марк; Соломон, Дэвид А. (2012). Внутреннее устройство Windows, часть 1 (6-е изд.). Редмонд, Вашингтон: Microsoft Press. п. 77. ИСБН 978-0735648739.
6. Альвинашкрафт. «События уведомлений Winlogon — приложения Win32». Learn.microsoft.com . Проверено 14 мая 2023 г.
7. «Выполнение автозапуска при загрузке или входе в систему: Winlogon Helper DLL, подметодика T1547.004 — Enterprise | MITRE ATT&CK®» . Attack.mitre.org . Проверено 14 мая 2023 г.
8. Уоррен, Том (25 сентября 2020 г.). «Исходный код Windows XP попал в сеть» . Грань . Проверено 27 сентября 2020 г.

Внешние ссылки

• Настройка GINA. Часть 1. Руководство для разработчиков по написанию пользовательского GINA.
• Настройка GINA. Часть 2. Учебное пособие для разработчиков по написанию пользовательского GINA.
• MSKB: 193361 MSGINA.DLL не сбрасывает структуру WINLOGON
• Windows Vista и Windows Server 2008: понимание, улучшение и расширение комплексной безопасности — презентация Microsoft PowerPoint , включающая информацию об изменениях в Winlogon в Windows Vista и Windows Server 2008.