熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows系統管理 >> 正文

XP系統登陸原理及其驗證機制概述

2013-11-11 21:38:17  來源: Windows系統管理 

  平常我們在使用WindowsXP時總是要先進行登錄WindowsXP的登錄驗證機制和原理都要比Windows嚴格並復雜得多不會再出現按取消按鈕就能進入系統的丑事(可以通過修改注冊表來禁止)理解並掌握WindowsXP的登錄驗證機制和原理對我們來說很重要能增強對系統安全的認識並能夠有效預防解決黑客和病毒的入侵
  
  了解WindowsXP的幾種登錄類型
  
  交互式登錄
  
  交互式登錄是我們平常最常見類型就是用戶通過相應的用戶帳號(User Account)和密碼在本機進行登錄有些網友認為交互式登錄就是本地登錄其實這是錯誤的交互式登錄還包括域帳號登錄本地登錄僅限於本地帳號登錄詳細講解請參看下文
  
  這裡有必要提及的是通過終端服務和遠程桌面登錄主機可以看作交互式登錄其驗證的原理是一樣的
  
  在交互式登錄時系統會首先檢驗登錄的用戶帳號類型是本地用戶帳號(Local User Account)還是域用戶帳號(Domain User Account)再采用相應的驗證機制因為不用的用戶帳號類型其處理方法也不同
  
  ◇ 本地用戶帳號
  
  采用本地用戶帳號登錄系統會通過存儲在本機SAM數據庫中的信息進行驗證所以也就為什麼Windows忘記Administrator密碼時可以刪除SAM文件的方法來解決不過對於WindowsXP則不可以可能是出於安全方面考慮吧用本地用戶帳號登錄後只能訪問到具有訪問權限的本地資源(圖)
  
 

  ◇域用戶帳號
  
  采用域用戶帳號登錄系統則通過存儲在域控制器的活動目錄中的數據進行驗證如果該用戶帳號有效則登錄後可以訪問到整個域中具有訪問權限的資源
  
  小提示:如果計算機加入域以後登錄對話框就會顯示登錄到:項目可以從中選擇登錄到域還是登錄到本機
  
  網絡登錄
  
  如果計算機加入到工作組或域當要訪問其他計算機的資源時就需要網絡登錄如圖當要登錄名稱為Heelen的主機時輸入該主機的用戶名稱和密碼後進行驗證這裡需要提醒的是輸入的用戶帳號必須是對方主機上的而非自己主機上的用戶帳號因為進行網絡登錄時用戶帳號的有效性是由受訪主機進行的
  
 

  服務登錄
  
  服務登錄是一種特殊的登錄方式平時系統啟動服務和程序時都是先以某些用戶帳號進行登錄後運行的這些用戶帳號可以是域用戶帳號本地用戶帳號或SYSTEM帳號采用不同的用戶帳號登錄其對系統的訪問控制權限也不同而且用本地用戶帳號登錄只能訪問到具有訪問權限的本地資源不能訪問到其他計算機上的資源這點和交互式登錄類似
  
  從圖的任務管理器中可以看到系統的進程所使用的帳號是不同的當系統啟動時一些基與Win的服務會被預先登錄到系統上從而實現對系統的訪問和控制運行servicesmsc可以設置這些服務正是系統服務有著舉足輕重的地位它們一般都以SYSTEM帳號登錄的對系統有絕對的控制權限所以很多病毒和木馬也爭著加入這個貴族中除了SYSTEM有些服務還以Local Service和Network Service這兩個帳號登錄而在系統初始化後用戶運行的一切程序都是以用戶本身帳號登錄的
  
 

  從上面講到的原理不難看出為什麼很多電腦文章告訴一般用戶平時使用計算機時要以Users組的用戶登錄因為即使運行了病毒木馬程序由於受到登錄用戶帳號相應的權限限制最多也只能破壞屬於用戶本身的資源而對維護系統安全和穩定性的重要信息無破壞性
  
  批處理登錄
  
  批處理登錄一般用戶很少用到通常被執行批處理操作的程序所使用在執行批處理登錄時所用帳號要具有批處理工作的權利否則不能進行登錄
  
  平常我們接觸最多的是交互式登錄所以下面筆者講為大家詳細講解交互式登錄的原理
  
  交互式登錄系統用了哪些組件
  
  winlogonexe
  
  winlogonexe是交互式登錄時最重要的組件它是一個安全進程負責如下工作:
  
  ◇加載其他登錄組件
  
  ◇提供同安全相關的用戶操作圖形界面以便用戶能進行登錄或注銷等相關操作
  
  ◇根據需要同GINA發送必要信息
  
  GINA
  
  GINA的全稱為Graphical Identification and Authentication——圖形化識別和驗證它是幾個動態數據庫文件被winlogonexe所調用為其提供能夠對用戶身份進行識別和驗證的函數並將用戶的帳號和密碼反饋給winlogonexe在登錄過程中歡迎屏幕登錄對話框就是GINA顯示的
  
  一些主題設置軟件例如StyleXP可以指定winlogonexe加載商家自己開發的GINA從而提供不同的WindowsXP的登錄界面由於這個可修改性現在出現了盜取帳號和密碼的木馬
  
  一種是針對歡迎屏幕登錄方式的木馬它模擬了WindowsXP的歡迎界面當用戶輸入密碼後就被木馬程序所獲取而用戶卻全然不知所以建議大家不要以歡迎屏幕來登錄且要設置安全登錄
  
  另一種是針對登錄對話框的GINA木馬其原理是在登錄時加載以盜取用戶的帳號和密碼然後把這些信息保存到%systemroot%\system下的WinEggDropdat中該木馬會屏蔽系統以歡迎屏幕方式登錄和用戶切換功能也會屏蔽CtrlAltDelete的安全登錄提示
  
  用戶也不用太擔心被安裝了GINA木馬筆者在這裡提供解決方案給大家參考:
  
  ◇正所謂解鈴還需系鈴人要查看自己電腦是否安裝過GINA木馬可以下載一個GINA木馬程序然後運行InstGina view可以查看系統中GinaDLL那鍵值是否有被安裝過DLL主要用來查看系統是否被人安裝了Gina木馬作為登錄所用如果不幸被安裝了GINA木馬可以運行InstGina Remove來卸載它
  
  LSA服務
  
  LSA的全稱為Local Security Authority——本地安全授權Windows系統中一個相當重要的服務所有安全認證相關的處理都要通過這個服務它從winlogonexe中獲取用戶的帳號和密碼然後經過密鑰機制處理並和存儲在帳號數據庫中的密鑰進行對比如果對比的結果匹配LSA就認為用戶的身份有效允許用戶登錄計算機如果對比的結果不匹配LSA就認為用戶的身份無效這時用戶就無法登錄計算機
  
  怎麼看這三個字母有些眼熟?對了這個就是和前陣子鬧得沸沸揚揚的震蕩波撤上關系的震蕩波蠕蟲就是利用LSA遠程緩沖區溢出漏洞而獲得系統最高權限SYSTEM來攻擊電腦的解決的方法網上很多資料這裡就不多講了
  
  SAM數據庫
  
  SAM的全稱為Security Account Manager——安全帳號管理器是一個被保護的子系統它通過存儲在計算機注冊表中的安全帳號來管理和用戶和用戶組的信息我們可以把SAM看成一個帳號數據庫對於沒有加入到域的計算機來說它存儲在本地而對於加入到域的計算機它存儲在域控制器上
  
  如果用戶試圖登錄本機那麼系統會使用存儲在本機上的SAM數據庫中的帳號信息同用戶提供的信息進行比較;如果用戶試圖登錄到域那麼系統會使用存儲在域控制器中上的SAM數據庫中的帳號信息同用戶提供的信息進行比較
  
  Net Logon服務
  
  Net Logon服務主要和NTLM(NT LAN ManagerWindows NT 的默認驗證協議)協同使用用戶驗證Windows NT域控制器上的SAM數據庫上的信息同用戶提供的信息是否匹配NTLM協議主要用於實現同Windows NT的兼容性而保留的
  
  KDC服務
  
  KDC(Kerberos Key Distribution Center——Kerberos密鑰發布中心)服務主要同Kerberos認證協議協同使用用於在整個活動目錄范圍內對用戶的登錄進行驗證如果你確保整個域中沒有Windows NT計算機可以只使用Kerberos協議以確保最大的安全性該服務要在Active Directory服務啟動後才能啟用
  
  Active Directory服務
  
  如果計算機加入到Windows或Windows域中則需啟動該服務以對Active Directory(活動目錄)功能的支持
  
  登錄前後winlogon到底干了什麼
  
  如果用戶設置了安全登錄在winlogon初始化時會在系統中注冊一個SAS (Secure Attention Sequence——安全警告序列)SAS是一組組合鍵默認情況下為CtrlAltDelete它的作用是確保用戶交互式登錄時輸入的信息被系統所接受而不會被其他程序所獲取所以說使用安全登錄進行登錄可以確保用戶的帳號和密碼不會被黑客盜取要啟用安全登錄的功能可以運行control userpasswords命令打開用戶帳戶對話框選擇高級(如圖)選中要求用戶按CtrlAltDelete選項後確定即可以後在每次登錄對話框出現前都有一個提示要求用戶按CtrlAltDelete組合鍵目的是為了在登錄時出現WindowsXP的GINA登錄對話框因為只有系統本身的GINA才能截獲這個組合鍵信息而如前面講到的GINA木馬會屏蔽掉安全登錄的提示所以如果安全登錄的提示無故被屏蔽也是發現木馬的一個前兆安全登錄功能早在Windows時就被應用於保護系統安全性
  
 

  在winlogon注冊了SAS後就調用GINA生成
From:http://tw.wingwit.com/Article/os/xtgl/201311/8868.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.