交互式登錄 交互式登錄是我們平常登錄時最常見的類型,就是用戶通過相應(yīng)的用戶賬號(UserAccount)和密碼在本機(jī)進(jìn)行登錄,
。有些網(wǎng)友認(rèn)為“交互式登錄”就是“本地登錄”,其實這是錯誤的!敖换ナ降卿洝边包括“域賬號登錄”,而“本地登錄”僅限于“本地賬號登錄”! ∵@里有必要提及的是,通過終端服務(wù)和遠(yuǎn)程桌面登錄主機(jī),可以看做“交互式登錄”,其驗證的原理是一樣的。 在交互式登錄時,系統(tǒng)會首先檢驗登錄的用戶賬號類型,是本地用戶賬號(LocalUserAccount),還是域用戶賬號(DomainUserAccount),再采用相應(yīng)的驗證機(jī)制。因為不同的用戶賬號類型,其處理方法也不同! 蟊镜赜脩糍~號 采用本地用戶賬號登錄,系統(tǒng)會通過存儲在本機(jī)SAM數(shù)據(jù)庫中的信息進(jìn)行驗證。所以也就是為什么Windows2000忘記Administrator密碼時可以用刪除SAM文件的方法來解決。不過對于WindowsXp則不可以,可能是出于安全方面的考慮吧。用本地用戶賬號登錄后,只能訪問到具有訪問權(quán)限的本地資源。(圖1) ◇域用戶賬號 采用域用戶賬號登錄,系統(tǒng)則通過存儲在域控制器的活動目錄中的數(shù)據(jù)進(jìn)行驗證。如果該用戶賬號有效,則登錄后可以訪問到整個域中具有訪問權(quán)限的資源! ⌒√崾荆喝绻嬎銠C(jī)加入域以后,登錄對話框就會顯示“登錄到:”項目,可以從中選擇登錄到域還是登錄到本機(jī)。交互式登錄,系統(tǒng)用了哪些組件 1.Winlogon.exe Winlogon.exe是“交互式登錄”時最重要的組件,它是一個安全進(jìn)程,負(fù)責(zé)如下工作: ◇加載其他登錄組件! 筇峁┩踩嚓P(guān)的用戶操作圖形界面,以便用戶能進(jìn)行登錄或注銷等相關(guān)操作! 蟾鶕(jù)需要,同GINA發(fā)送必要信息。 2.GINA GINA的全稱為“GraphicalIdentificationandAuthentication”――圖形化識別和驗證。它是幾個動態(tài)數(shù)據(jù)庫文件,被Winlogon.exe所調(diào)用,為其提供能夠?qū)τ脩羯矸葸M(jìn)行識別和驗證的函數(shù),并將用戶的賬號和密碼反饋給Winlogon.exe。在登錄過程中,“歡迎屏幕”和“登錄對話框”就是GINA顯示的! ∫恍┲黝}設(shè)置軟件,例如StyleXp,可以指定Winlogon.exe加載商家自己開發(fā)的GINA,從而提供不同的WindowsXp的登錄界面。由于這個可修改性,現(xiàn)在出現(xiàn)了盜取賬號和密碼的木馬。 一種是針對“歡迎屏幕”登錄方式的木馬,它模擬了WindowsXp的歡迎界面。當(dāng)用戶輸入密碼后,就被木馬程序所獲取,而用戶卻全然不知。所以建議大家不要以歡迎屏幕來登錄,且要設(shè)置“安全登錄”。 另一種是針對登錄對話框的GINA木馬,其原理是在登錄時加載,以盜取用戶的賬號和密碼,然后把這些信息保存到%systemroot%\system32下的WinEggDrop.dat中。該木馬會屏蔽系統(tǒng)以“歡迎屏幕”方式登錄和“用戶切換”功能,也會屏蔽“Ctrl-Alt-Delete”的安全登錄提示,
《
交互式登錄》(
http://www.dameics.com)! ∮脩粢膊挥锰珦(dān)心被安裝了GINA木馬,筆者在這里提供解決方案給大家參考: ◇正所謂“解鈴還需系鈴人”,要查看自己電腦是否安裝過GINA木馬,可以下載一個GINA木馬程序,然后運(yùn)行InstGina-view,可以查看系統(tǒng)中GinaDLL鍵值是否被安裝過DLL,主要用來查看系統(tǒng)是否被人安裝了Gina木馬作為登錄所用。如果不幸被安裝了GINA木馬,可以運(yùn)行InstGina-Remove來卸載它。 3.LSA服務(wù) LSA的全稱為“LocalSecurityAuthority”――本地安全授權(quán),Windows系統(tǒng)中一個相當(dāng)重要的服務(wù),所有安全認(rèn)證相關(guān)的處理都要通過這個服務(wù)。它從Winlogon.exe中獲取用戶的賬號和密碼,然后經(jīng)過密鑰機(jī)制處理,并和存儲在賬號數(shù)據(jù)庫中的密鑰進(jìn)行對比,如果對比的結(jié)果匹配,LSA就認(rèn)為用戶的身份有效,允許用戶登錄計算機(jī)。如果對比的結(jié)果不匹配,LSA就認(rèn)為用戶的身份無效。這時用戶就無法登錄計算機(jī)! ≡趺纯催@三個字母有些眼熟?對了,這個就是和前陣子鬧得沸沸揚(yáng)揚(yáng)的“震蕩波”扯上關(guān)系的服務(wù)!罢鹗幉ā比湎x就是利用LSA遠(yuǎn)程緩沖區(qū)溢出漏洞而獲得系統(tǒng)最高權(quán)限SYSTEM來攻擊電腦的。解決的方法網(wǎng)上很多資料,這里就不多講了! 4.SAM數(shù)據(jù)庫 SAM的全稱為“SecurityAccountManager”――安全賬號
管理器,是一個被保護(hù)的子系統(tǒng),它通過存儲在計算機(jī)注冊表中的安全賬號來管理用戶和用戶組的信息。我們可以把SAM看成一個賬號數(shù)據(jù)庫。對于沒有加入到域的計算機(jī)來說,它存儲在本地,而對于加入到域的計算機(jī),它存儲在域控制器上! ∪绻脩粼噲D登錄本機(jī),那么系統(tǒng)會使用存儲在本機(jī)上的SAM數(shù)據(jù)庫中的賬號信息同用戶提供的信息進(jìn)行比較;如果用戶試圖登錄到域,那么系統(tǒng)會使用存儲在域控制器中上的SAM數(shù)據(jù)庫中的賬號信息同用戶提供的信息進(jìn)行比較! 5.NetLogon服務(wù) NetLogon服務(wù)主要和NTLM(NTLANManager,WindowsNT4.0的默認(rèn)驗證協(xié)議)協(xié)同使用,用戶驗證WindowsNT域控制器上的SAM數(shù)據(jù)庫上的信息同用戶提供的信息是否匹配。NTLM協(xié)議主要用于實現(xiàn)同WindowsNT的兼容性而保留的! 6.KDC服務(wù) KDC(KerberosKeyDistributionCenter――Kerberos密鑰發(fā)布中心)服務(wù)主要同Kerberos認(rèn)證協(xié)議協(xié)同使用,用于在整個活動目錄范圍內(nèi)對用戶的登錄進(jìn)行驗證。如果你確保整個域中沒有WindowsNT計算機(jī),可以只使用Kerberos協(xié)議,以確保最大的安全性。該服務(wù)要在ActiveDirectory服務(wù)啟動后才能啟用! 7.ActiveDirectory服務(wù) 如果計算機(jī)加入到Windows2000或Windows2003域中,則需啟動該服務(wù)以對ActiveDirectory(活動目錄)功能的支持。