免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

徹底了解Windows XP操作系統(tǒng)登錄類型

平時我們在使用Windows XP時，總要先進(jìn)行登錄。Windows XP的登錄驗證機(jī)制比Windows 98嚴(yán)格很多，理解并掌握Windows XP的登錄驗證機(jī)制和原理對我們來說很重要，能增強(qiáng)對系統(tǒng)安全的認(rèn)識，并能夠有效預(yù)防、解決黑客和病毒的入侵。

一、了解Windows XP的幾種登錄類型

1． 交互式登錄

交互式登錄是我們平常登錄時最常見的類型，就是用戶通過相應(yīng)的用戶賬號(User Account)和密碼在本機(jī)進(jìn)行登錄。有些網(wǎng)友認(rèn)為“交互式登錄”就是“本地登錄”，其實這是錯誤的?！敖换ナ降卿洝边€包括“域賬號登錄”，而“本地登錄”僅限于“本地賬號登錄”。

這里有必要提及的是，通過終端服務(wù)和遠(yuǎn)程桌面登錄主機(jī)，可以看做“交互式登錄”，其驗證的原理是一樣的。

在交互式登錄時，系統(tǒng)會首先檢驗登錄的用戶賬號類型，是本地用戶賬號(Local User Account)，還是域用戶賬號(Domain User Account)，再采用相應(yīng)的驗證機(jī)制。因為不同的用戶賬號類型，其處理方法也不同。

◇ 本地用戶賬號

采用本地用戶賬號登錄，系統(tǒng)會通過存儲在本機(jī)SAM數(shù)據(jù)庫中的信息進(jìn)行驗證。所以也就是為什么Windows2000忘記Administrator密碼時可以用刪除SAM文件的方法來解決。不過對于Windows XP則不可以，可能是出于安全方面的考慮吧。用本地用戶賬號登錄后，只能訪問到具有訪問權(quán)限的本地資源。（圖1）

圖1

◇域用戶賬號

采用域用戶賬號登錄，系統(tǒng)則通過存儲在域控制器的活動目錄中的數(shù)據(jù)進(jìn)行驗證。如果該用戶賬號有效，則登錄后可以訪問到整個域中具有訪問權(quán)限的資源。

小提示：如果計算機(jī)加入域以后，登錄對話框就會顯示“登錄到：”項目，可以從中選擇登錄到域還是登錄到本機(jī)。

2． 網(wǎng)絡(luò)登錄

如果計算機(jī)加入到工作組或域，當(dāng)要訪問其他計算機(jī)的資源時，就需要“網(wǎng)絡(luò)登錄”了。如圖2，當(dāng)要登錄名稱為Heelen的主機(jī)時，輸入該主機(jī)的用戶名稱和密碼后進(jìn)行驗證。這里需要提醒的是，輸入的用戶賬號必須是對方主機(jī)上的，而非自己主機(jī)上的用戶賬號。因為進(jìn)行網(wǎng)絡(luò)登錄時，用戶賬號的有效性是由受訪主機(jī)控制的。

圖2

3． 服務(wù)登錄

服務(wù)登錄是一種特殊的登錄方式。平時，系統(tǒng)啟動服務(wù)和程序時，都是先以某些用戶賬號進(jìn)行登錄后運(yùn)行的，這些用戶賬號可以是域用戶賬號、本地用戶賬號或SYSTEM賬號。采用不同的用戶賬號登錄，其對系統(tǒng)的訪問、控制權(quán)限也不同，而且，用本地用戶賬號登錄，只能訪問到具有訪問權(quán)限的本地資源，不能訪問到其他計算機(jī)上的資源，這點(diǎn)和“交互式登錄”類似。

從圖3的任務(wù)管理器中可以看到，系統(tǒng)的進(jìn)程所使用的賬號是不同的。當(dāng)系統(tǒng)啟動時，一些基與Win32的服務(wù)會被預(yù)先登錄到系統(tǒng)上，從而實現(xiàn)對系統(tǒng)的訪問和控制。運(yùn)行Services.msc，可以設(shè)置這些服務(wù)。由于系統(tǒng)服務(wù)有著舉足輕重的地位，一般都以SYSTEM賬號登錄，所以對系統(tǒng)有絕對的控制權(quán)限，因此很多病毒和木馬也爭著加入這個貴族體系中。除了SYSTEM，有些服務(wù)還以Local Service和Network Service這兩個賬號登錄。而在系統(tǒng)初始化后，用戶運(yùn)行的一切程序都是以用戶本身賬號登錄的。

圖3

從上面講到的原理不難看出，為什么很多電腦文章告訴一般用戶，平時使用計算機(jī)時要以Users組的用戶登錄，因為即使運(yùn)行了病毒、木馬程序，由于受到登錄用戶賬號相應(yīng)的權(quán)限限制，最多也只能破壞屬于用戶本身的資源，而對維護(hù)系統(tǒng)安全和穩(wěn)定性的重要信息無破壞性。

4． 批處理登錄

批處理登錄一般用戶很少用到，通常被執(zhí)行批處理操作的程序所使用。在執(zhí)行批處理登錄時，所用賬號要具有批處理工作的權(quán)利，否則不能進(jìn)行登錄。

平常我們接觸最多的是“交互式登錄”，所以下面筆者將為大家詳細(xì)講解“交互式登錄”的原理。

二、交互式登錄，系統(tǒng)用了哪些組件

1． Winlogon．exe

Winlogon.exe是“交互式登錄”時最重要的組件，它是一個安全進(jìn)程，負(fù)責(zé)如下工作：

◇加載其他登錄組件。

◇提供同安全相關(guān)的用戶操作圖形界面，以便用戶能進(jìn)行登錄或注銷等相關(guān)操作。

◇根據(jù)需要，同GINA發(fā)送必要信息。

2． GINA

GINA的全稱為“Graphical Identification and Authentication”——圖形化識別和驗證。它是幾個動態(tài)數(shù)據(jù)庫文件，被Winlogon.exe所調(diào)用，為其提供能夠?qū)τ脩羯矸葸M(jìn)行識別和驗證的函數(shù)，并將用戶的賬號和密碼反饋給Winlogon.exe。在登錄過程中，“歡迎屏幕”和“登錄對話框”就是GINA顯示的。

一些主題設(shè)置軟件，例如StyleXP，可以指定Winlogon.exe加載商家自己開發(fā)的GINA，從而提供不同的Windows XP的登錄界面。由于這個可修改性，現(xiàn)在出現(xiàn)了盜取賬號和密碼的木馬。

一種是針對“歡迎屏幕”登錄方式的木馬，它模擬了Windows XP的歡迎界面。當(dāng)用戶輸入密碼后，就被木馬程序所獲取，而用戶卻全然不知。所以建議大家不要以歡迎屏幕來登錄，且要設(shè)置“安全登錄”。

另一種是針對登錄對話框的GINA木馬，其原理是在登錄時加載，以盜取用戶的賬號和密碼，然后把這些信息保存到%systemroot%\system32下的WinEggDrop.dat中。該木馬會屏蔽系統(tǒng)以“歡迎屏幕”方式登錄和“用戶切換”功能，也會屏蔽“Ctrl-Alt-Delete”的安全登錄提示。

用戶也不用太擔(dān)心被安裝了GINA木馬，筆者在這里提供解決方案給大家參考：

◇正所謂“解鈴還需系鈴人”，要查看自己電腦是否安裝過GINA木馬，可以下載一個GINA木馬程序，然后運(yùn)行InstGina -view，可以查看系統(tǒng)中GinaDLL鍵值是否被安裝過DLL，主要用來查看系統(tǒng)是否被人安裝了Gina木馬作為登錄所用。如果不幸被安裝了GINA木馬，可以運(yùn)行InstGina -Remove來卸載它。

3． LSA服務(wù)

LSA的全稱為“Local Security Authority”——本地安全授權(quán)，Windows系統(tǒng)中一個相當(dāng)重要的服務(wù)，所有安全認(rèn)證相關(guān)的處理都要通過這個服務(wù)。它從Winlogon.exe中獲取用戶的賬號和密碼，然后經(jīng)過密鑰機(jī)制處理，并和存儲在賬號數(shù)據(jù)庫中的密鑰進(jìn)行對比，如果對比的結(jié)果匹配，LSA就認(rèn)為用戶的身份有效，允許用戶登錄計算機(jī)。如果對比的結(jié)果不匹配，LSA就認(rèn)為用戶的身份無效。這時用戶就無法登錄計算機(jī)。

怎么看這三個字母有些眼熟？對了，這個就是和前陣子鬧得沸沸揚(yáng)揚(yáng)的“震蕩波” 扯上關(guān)系的服務(wù)?！罢鹗幉ā比湎x就是利用LSA遠(yuǎn)程緩沖區(qū)溢出漏洞而獲得系統(tǒng)最高權(quán)限SYSTEM來攻擊電腦的。解決的方法網(wǎng)上很多資料，這里就不多講了。

4． SAM數(shù)據(jù)庫

SAM的全稱為“Security Account Manager”——安全賬號管理器，是一個被保護(hù)的子系統(tǒng)，它通過存儲在計算機(jī)注冊表中的安全賬號來管理用戶和用戶組的信息。我們可以把SAM看成一個賬號數(shù)據(jù)庫。對于沒有加入到域的計算機(jī)來說，它存儲在本地，而對于加入到域的計算機(jī)，它存儲在域控制器上。

如果用戶試圖登錄本機(jī)，那么系統(tǒng)會使用存儲在本機(jī)上的SAM數(shù)據(jù)庫中的賬號信息同用戶提供的信息進(jìn)行比較；如果用戶試圖登錄到域，那么系統(tǒng)會使用存儲在域控制器中上的SAM數(shù)據(jù)庫中的賬號信息同用戶提供的信息進(jìn)行比較。

5． Net Logon服務(wù)

Net Logon服務(wù)主要和NTLM（NT LAN Manager，Windows NT 4.0 的默認(rèn)驗證協(xié)議）協(xié)同使用，用戶驗證Windows NT域控制器上的SAM數(shù)據(jù)庫上的信息同用戶提供的信息是否匹配。NTLM協(xié)議主要用于實現(xiàn)同Windows NT的兼容性而保留的。

6． KDC服務(wù)

KDC（Kerberos Key Distribution Center——Kerberos密鑰發(fā)布中心）服務(wù)主要同Kerberos認(rèn)證協(xié)議協(xié)同使用，用于在整個活動目錄范圍內(nèi)對用戶的登錄進(jìn)行驗證。如果你確保整個域中沒有Windows NT計算機(jī)，可以只使用Kerberos協(xié)議，以確保最大的安全性。該服務(wù)要在Active Directory服務(wù)啟動后才能啟用。

7． Active Directory服務(wù)

如果計算機(jī)加入到Windows 2000或Windows 2003域中，則需啟動該服務(wù)以對Active Directory（活動目錄）功能的支持。

三、登錄前后，Winlogon到底干了什么

如果用戶設(shè)置了“安全登錄”，在Winlogon初始化時，會在系統(tǒng)中注冊一個SAS (Secure Attention Sequence——安全警告序列）。SAS是一組組合鍵，默認(rèn)情況下為Ctrl-Alt-Delete。它的作用是確保用戶交互式登錄時輸入的信息被系統(tǒng)所接受，而不會被其他程序所獲取。所以說，使用“安全登錄”進(jìn)行登錄，可以確保用戶的賬號和密碼不會被黑客盜取。要啟用“安全登錄”的功能，可以運(yùn)行“Control userpasswords2”命令，打開“用戶賬戶”對話框，選擇“高級”。（如圖4）選中“要求用戶按Ctrl-Alt-Delete”選項后確定即可。以后，在每次登錄對話框出現(xiàn)前都有一個提示，要求用戶按Ctrl-Alt-Delete組合鍵，目的是為了在登錄時出現(xiàn)Windows XP的GINA登錄對話框，因為只有系統(tǒng)本身的GINA才能截獲這個組合鍵信息。而如前面講到的GINA木馬，會屏蔽掉“安全登錄”的提示，所以如果“安全登錄”的提示無故被屏蔽也是發(fā)現(xiàn)木馬的一個前兆?！鞍踩卿洝惫δ茉缭?/span>Windows 2000時就被應(yīng)用于保護(hù)系統(tǒng)安全性。

圖4

在Winlogon注冊了SAS后，就調(diào)用GINA生成3個桌面系統(tǒng)，在用戶需要的時候使用，它們分別為：

◇Winlogon桌面 用戶在進(jìn)入登錄界面時，就進(jìn)入了Winlogon桌面。而我們看到的登錄對話框，只是GINA負(fù)責(zé)顯示的。

如果用戶取消以“歡迎屏幕”方式登錄，在進(jìn)入Windows XP中任何時候按下“Ctrl-Alt-Delete”，都會激活Winlogon桌面，并顯示圖5的“Windows安全”對話框（注意，Winlogon桌面并不等同對話框，對話框只是Winlogon調(diào)用其他程序來顯示的）。

圖5

◇用戶桌面 用戶桌面就是我們?nèi)粘２僮鞯淖烂妫窍到y(tǒng)最主要的桌面系統(tǒng)。用戶需要提供正確的賬號和密碼，成功登錄后才能顯示“用戶桌面”。而且，不同的用戶，Winlogon會根據(jù)注冊表中的信息和用戶配置文件來初始化用戶桌面。

◇屏幕保護(hù)桌面 屏幕保護(hù)桌面就是屏幕保護(hù)，包括“系統(tǒng)屏幕保護(hù)”和“用戶屏幕保護(hù)”。在啟用了“系統(tǒng)屏幕保護(hù)”的前提下，用戶未進(jìn)行登錄并且長時間無操作，系統(tǒng)就會進(jìn)入“系統(tǒng)屏幕保護(hù)”；而對于“用戶屏幕保護(hù)”來說，用戶要登錄后才能訪問，不同的用戶可以設(shè)置不同的“用戶屏幕保護(hù)”。

四、想登錄，也要過GINA這一關(guān)

在“交互式登錄”過程中，Winlogon調(diào)用了GINA組文件，把用戶提供的賬號和密碼傳達(dá)給GINA，由GINA負(fù)責(zé)對賬號和密碼的有效性進(jìn)行驗證，然后把驗證結(jié)果反饋給Winlogon程序。在與Winlogon.exe對話時，GINA會首先確定Winlogon.exe的當(dāng)前狀態(tài)，再根據(jù)不同狀態(tài)來執(zhí)行不同的驗證工作。通常Winlogon.exe有三種狀態(tài)：

1． 已登錄狀態(tài)

顧名思義，用戶在成功登錄后，就進(jìn)入了“已登錄狀態(tài)”。在此狀態(tài)下，用戶可以執(zhí)行有控制權(quán)限的任何操作。

2． 已注銷狀態(tài)

用戶在已登錄狀態(tài)下，選擇“注銷”命令后，就進(jìn)入了“已注銷狀態(tài)”，并顯示Winlogon桌面，而由GINA負(fù)責(zé)顯示登錄對話框或歡迎屏幕。

3． 已鎖定狀態(tài)

當(dāng)用戶按下“Win+L”鍵鎖定計算機(jī)后，就進(jìn)入了“已鎖定狀態(tài)”。在此狀態(tài)下，GINA負(fù)責(zé)顯示可供用戶登錄的對話框。此時用戶有兩種選擇，一種是輸入當(dāng)前用戶的密碼返回“已登錄狀態(tài)”，另一種是輸入管理員賬號和密碼，返回“已注銷狀態(tài)”，但原用戶狀態(tài)和未保存數(shù)據(jù)丟失。

五、登錄到本機(jī)的過程

1. 用戶首先按Ctrl+Alt+Del組合鍵。

2. Winlogon檢測到用戶按下SAS鍵，就調(diào)用GINA，由GINA顯示登錄對話框，以便用戶輸入賬號和密碼。

3. 用戶輸入賬號和密碼，確定后，GINA把信息發(fā)送給LSA進(jìn)行驗證。

4. 在用戶登錄到本機(jī)的情況下，LSA會調(diào)用Msv1_0.dll這個驗證程序包，將用戶信息處理后生成密鑰，同SAM數(shù)據(jù)庫中存儲的密鑰進(jìn)行對比。

5. 如果對比后發(fā)現(xiàn)用戶有效，SAM會將用戶的SID（Security Identifier——安全標(biāo)識），用戶所屬用戶組的SID，和其他一些相關(guān)信息發(fā)送給LSA。

6. LSA將收到的SID信息創(chuàng)建安全訪問令牌，然后將令牌的句柄和登錄信息發(fā)送給Winlogon.exe。

7. Winlogon.exe對用戶登錄稍作處理后，完成整個登錄過程。

六、登錄到域的過程

登錄到域的驗證過程，對于不同的驗證協(xié)議也有不同的驗證方法。如果域控制器是Windows NT 4.0，那么使用的是NTLM驗證協(xié)議，其驗證過程和前面的“登錄到本機(jī)的過程”差不多，區(qū)別就在于驗證賬號的工作不是在本地SAM數(shù)據(jù)庫中進(jìn)行，而是在域控制器中進(jìn)行；而對于Windows 2000和Windows 2003域控制器來說，使用的一般為更安全可靠的Kerberos V5協(xié)議。通過這種協(xié)議登錄到域，要向域控制器證明自己的域賬號有效，用戶需先申請允許請求該域的TGS（Ticket-Granting Service——票據(jù)授予服務(wù)）。獲準(zhǔn)之后，用戶就會為所要登錄的計算機(jī)申請一個會話票據(jù)，最后還需申請允許進(jìn)入那臺計算機(jī)的本地系統(tǒng)服務(wù)。

其過程如下：

1. 用戶首先按Ctrl+Alt+Del組合鍵。

2. Winlogon檢測到用戶按下SAS鍵，就調(diào)用GINA，由GINA顯示登錄對話框，以便用戶輸入賬號和密碼。

3. 用戶選擇所要登錄的域和填寫賬號與密碼，確定后，GINA將用戶輸入的信息發(fā)送給LSA進(jìn)行驗證。

4. 在用戶登錄到本機(jī)的情況下，LSA將請求發(fā)送給Kerberos驗證程序包。通過散列算法，根據(jù)用戶信息生成一個密鑰，并將密鑰存儲在證書緩存區(qū)中。

5. Kerberos驗證程序向KDC（Key Distribution Center——密鑰分配中心）發(fā)送一個包含用戶身份信息和驗證預(yù)處理數(shù)據(jù)的驗證服務(wù)請求，其中包含用戶證書和散列算法加密時間的標(biāo)記。

6. KDC接收到數(shù)據(jù)后，利用自己的密鑰對請求中的時間標(biāo)記進(jìn)行解密，通過解密的時間標(biāo)記是否正確，就可以判斷用戶是否有效。

7. 如果用戶有效，KDC將向用戶發(fā)送一個TGT（Ticket-Granting Ticket——票據(jù)授予票據(jù)）。該TGT（AS_REP）將用戶的密鑰進(jìn)行解密，其中包含會話密鑰、該會話密鑰指向的用戶名稱、該票據(jù)的最大生命期以及其他一些可能需要的數(shù)據(jù)和設(shè)置等。用戶所申請的票據(jù)在KDC的密鑰中被加密，并附著在AS_REP中。在TGT的授權(quán)數(shù)據(jù)部分包含用戶賬號的SID以及該用戶所屬的全局組和通用組的SID。注意，返回到LSA的SID包含用戶的訪問令牌。票據(jù)的最大生命期是由域策略決定的。如果票據(jù)在活動的會話中超過期限，用戶就必須申請新的票據(jù)。

8. 當(dāng)用戶試圖訪問資源時，客戶系統(tǒng)使用TGT從域控制器上的Kerberos TGS請求服務(wù)票據(jù)（TGS_REQ)。然后TGS將服務(wù)票據(jù)（TGS_REP）發(fā)送給客戶。該服務(wù)票據(jù)是使用服務(wù)器的密鑰進(jìn)行加密的。同時，SID被Kerberos服務(wù)從TGT復(fù)制到所有的Kerberos服務(wù)包含的子序列服務(wù)票據(jù)中。

9. 客戶將票據(jù)直接提交到需要訪問的網(wǎng)絡(luò)服務(wù)上，通過服務(wù)票據(jù)就能證明用戶的標(biāo)識和針對該服務(wù)的權(quán)限，以及服務(wù)對應(yīng)用戶的標(biāo)識。

七、我要偷懶——設(shè)置自動登錄

為了安全起見，平時我們進(jìn)入Windows XP時，都要輸入賬號和密碼。而一般我們都是使用一個固定的賬號登錄的。面對每次煩瑣的輸入密碼，有的朋友干脆設(shè)置為空密碼或者類似“123”等弱口令，而這些賬號也多數(shù)為管理員賬號。殊不知黑客用一般的掃描工具，很容易就能掃描到一段IP段中所有弱口令的計算機(jī)。

所以，還是建議大家要把密碼盡量設(shè)置得復(fù)雜些。如果怕麻煩，可以設(shè)置自動登錄，不過自動登錄也是很不安全的。因為自動登錄意味著能直接接觸計算機(jī)的人都能進(jìn)入系統(tǒng)；另一方面，賬號和密碼是明文保存在注冊表中的，所以任何人，只要具有訪問注冊表的權(quán)限，都可以通過網(wǎng)絡(luò)查看。因此如果要設(shè)置登錄，最好不要設(shè)置為管理員賬號，可以設(shè)置為USERS組的用戶賬號。設(shè)置自動登錄的方法是：運(yùn)行“Control userpasswords2”，在“用戶賬戶”窗口中取消“要使用本機(jī)，用戶必須輸入用戶名和密碼”選項，確定后會出現(xiàn)一個對話框，輸入要自動登錄的賬號和密碼即可。注意，這里不對密碼進(jìn)行驗證，用戶要確保密碼和賬號的正確性。