交互式登錄 交互式登錄是我們平常登錄時(shí)最常見的類型,就是用戶通過相應(yīng)的用戶賬號(hào)(UserAccount)和密碼在本機(jī)進(jìn)行登錄,
。有些網(wǎng)友認(rèn)為“交互式登錄”就是“本地登錄”,其實(shí)這是錯(cuò)誤的。“交互式登錄”還包括“域賬號(hào)登錄”,而“本地登錄”僅限于“本地賬號(hào)登錄”。 這里有必要提及的是,通過終端服務(wù)和遠(yuǎn)程桌面登錄主機(jī),可以看做“交互式登錄”,其驗(yàn)證的原理是一樣的。 在交互式登錄時(shí),系統(tǒng)會(huì)首先檢驗(yàn)登錄的用戶賬號(hào)類型,是本地用戶賬號(hào)(LocalUserAccount),還是域用戶賬號(hào)(DomainUserAccount),再采用相應(yīng)的驗(yàn)證機(jī)制。因?yàn)椴煌挠脩糍~號(hào)類型,其處理方法也不同。 ◇本地用戶賬號(hào) 采用本地用戶賬號(hào)登錄,系統(tǒng)會(huì)通過存儲(chǔ)在本機(jī)SAM數(shù)據(jù)庫(kù)中的信息進(jìn)行驗(yàn)證。所以也就是為什么Windows2000忘記Administrator密碼時(shí)可以用刪除SAM文件的方法來解決。不過對(duì)于WindowsXp則不可以,可能是出于安全方面的考慮吧。用本地用戶賬號(hào)登錄后,只能訪問到具有訪問權(quán)限的本地資源。(圖1) ◇域用戶賬號(hào) 采用域用戶賬號(hào)登錄,系統(tǒng)則通過存儲(chǔ)在域控制器的活動(dòng)目錄中的數(shù)據(jù)進(jìn)行驗(yàn)證。如果該用戶賬號(hào)有效,則登錄后可以訪問到整個(gè)域中具有訪問權(quán)限的資源。 小提示:如果計(jì)算機(jī)加入域以后,登錄對(duì)話框就會(huì)顯示“登錄到:”項(xiàng)目,可以從中選擇登錄到域還是登錄到本機(jī)。交互式登錄,系統(tǒng)用了哪些組件 1.Winlogon.exe Winlogon.exe是“交互式登錄”時(shí)最重要的組件,它是一個(gè)安全進(jìn)程,負(fù)責(zé)如下工作: ◇加載其他登錄組件。 ◇提供同安全相關(guān)的用戶操作圖形界面,以便用戶能進(jìn)行登錄或注銷等相關(guān)操作。 ◇根據(jù)需要,同GINA發(fā)送必要信息。 2.GINA GINA的全稱為“GraphicalIdentificationandAuthentication”――圖形化識(shí)別和驗(yàn)證。它是幾個(gè)動(dòng)態(tài)數(shù)據(jù)庫(kù)文件,被Winlogon.exe所調(diào)用,為其提供能夠?qū)τ脩羯矸葸M(jìn)行識(shí)別和驗(yàn)證的函數(shù),并將用戶的賬號(hào)和密碼反饋給Winlogon.exe。在登錄過程中,“歡迎屏幕”和“登錄對(duì)話框”就是GINA顯示的。 一些主題設(shè)置軟件,例如StyleXp,可以指定Winlogon.exe加載商家自己開發(fā)的GINA,從而提供不同的WindowsXp的登錄界面。由于這個(gè)可修改性,現(xiàn)在出現(xiàn)了盜取賬號(hào)和密碼的木馬。 一種是針對(duì)“歡迎屏幕”登錄方式的木馬,它模擬了WindowsXp的歡迎界面。當(dāng)用戶輸入密碼后,就被木馬程序所獲取,而用戶卻全然不知。所以建議大家不要以歡迎屏幕來登錄,且要設(shè)置“安全登錄”。 另一種是針對(duì)登錄對(duì)話框的GINA木馬,其原理是在登錄時(shí)加載,以盜取用戶的賬號(hào)和密碼,然后把這些信息保存到%systemroot%\system32下的WinEggDrop.dat中。該木馬會(huì)屏蔽系統(tǒng)以“歡迎屏幕”方式登錄和“用戶切換”功能,也會(huì)屏蔽“Ctrl-Alt-Delete”的安全登錄提示,
《
交互式登錄》(
http://salifelink.com)。 用戶也不用太擔(dān)心被安裝了GINA木馬,筆者在這里提供解決方案給大家參考: ◇正所謂“解鈴還需系鈴人”,要查看自己電腦是否安裝過GINA木馬,可以下載一個(gè)GINA木馬程序,然后運(yùn)行InstGina-view,可以查看系統(tǒng)中GinaDLL鍵值是否被安裝過DLL,主要用來查看系統(tǒng)是否被人安裝了Gina木馬作為登錄所用。如果不幸被安裝了GINA木馬,可以運(yùn)行InstGina-Remove來卸載它。 3.LSA服務(wù) LSA的全稱為“LocalSecurityAuthority”――本地安全授權(quán),Windows系統(tǒng)中一個(gè)相當(dāng)重要的服務(wù),所有安全認(rèn)證相關(guān)的處理都要通過這個(gè)服務(wù)。它從Winlogon.exe中獲取用戶的賬號(hào)和密碼,然后經(jīng)過密鑰機(jī)制處理,并和存儲(chǔ)在賬號(hào)數(shù)據(jù)庫(kù)中的密鑰進(jìn)行對(duì)比,如果對(duì)比的結(jié)果匹配,LSA就認(rèn)為用戶的身份有效,允許用戶登錄計(jì)算機(jī)。如果對(duì)比的結(jié)果不匹配,LSA就認(rèn)為用戶的身份無效。這時(shí)用戶就無法登錄計(jì)算機(jī)。 怎么看這三個(gè)字母有些眼熟?對(duì)了,這個(gè)就是和前陣子鬧得沸沸揚(yáng)揚(yáng)的“震蕩波”扯上關(guān)系的服務(wù)。“震蕩波”蠕蟲就是利用LSA遠(yuǎn)程緩沖區(qū)溢出漏洞而獲得系統(tǒng)最高權(quán)限SYSTEM來攻擊電腦的。解決的方法網(wǎng)上很多資料,這里就不多講了。 4.SAM數(shù)據(jù)庫(kù) SAM的全稱為“SecurityAccountManager”――安全賬號(hào)
管理器,是一個(gè)被保護(hù)的子系統(tǒng),它通過存儲(chǔ)在計(jì)算機(jī)注冊(cè)表中的安全賬號(hào)來管理用戶和用戶組的信息。我們可以把SAM看成一個(gè)賬號(hào)數(shù)據(jù)庫(kù)。對(duì)于沒有加入到域的計(jì)算機(jī)來說,它存儲(chǔ)在本地,而對(duì)于加入到域的計(jì)算機(jī),它存儲(chǔ)在域控制器上。 如果用戶試圖登錄本機(jī),那么系統(tǒng)會(huì)使用存儲(chǔ)在本機(jī)上的SAM數(shù)據(jù)庫(kù)中的賬號(hào)信息同用戶提供的信息進(jìn)行比較;如果用戶試圖登錄到域,那么系統(tǒng)會(huì)使用存儲(chǔ)在域控制器中上的SAM數(shù)據(jù)庫(kù)中的賬號(hào)信息同用戶提供的信息進(jìn)行比較。 5.NetLogon服務(wù) NetLogon服務(wù)主要和NTLM(NTLANManager,WindowsNT4.0的默認(rèn)驗(yàn)證協(xié)議)協(xié)同使用,用戶驗(yàn)證WindowsNT域控制器上的SAM數(shù)據(jù)庫(kù)上的信息同用戶提供的信息是否匹配。NTLM協(xié)議主要用于實(shí)現(xiàn)同WindowsNT的兼容性而保留的。 6.KDC服務(wù) KDC(KerberosKeyDistributionCenter――Kerberos密鑰發(fā)布中心)服務(wù)主要同Kerberos認(rèn)證協(xié)議協(xié)同使用,用于在整個(gè)活動(dòng)目錄范圍內(nèi)對(duì)用戶的登錄進(jìn)行驗(yàn)證。如果你確保整個(gè)域中沒有WindowsNT計(jì)算機(jī),可以只使用Kerberos協(xié)議,以確保最大的安全性。該服務(wù)要在ActiveDirectory服務(wù)啟動(dòng)后才能啟用。 7.ActiveDirectory服務(wù) 如果計(jì)算機(jī)加入到Windows2000或Windows2003域中,則需啟動(dòng)該服務(wù)以對(duì)ActiveDirectory(活動(dòng)目錄)功能的支持。