Windows system >> Windowsの知識 >  >> Windows XPシステムチュートリアル >> XPシステムの基本 >> Windows XPシステムのログイン原理とその検証メカニズムの概要

Windows XPシステムのログイン原理とその検証メカニズムの概要

  
Windows XPを使用するときは、常に最初にログインすることがよくあります。 Windows XPのログイン認証メカニズムと原則は、Windows 98よりもはるかに厳しくて複雑ですが、「キャンセル」ボタンを押してシステムに入ることができるような醜いものはありません(レジストリを変更することで無効にできます)。 WindowsXPのログイン認証メカニズムと原則を理解し習得することは非常に重要であり、システムセキュリティの理解を高め、ハッカーやウイルスの侵入を効果的に防止し解決することができます。まず、WindowsXPのログインのいくつかの種類を理解してください1対話型のログイン対話型のログインは、私たちの通常の最も一般的なタイプ、つまり、対応するユーザーアカウント(ユーザーアカウント)とマシンのパスワードを介してユーザーですログイン「対話型ログイン」は「ローカルログイン」だと考える人もいますが、実はこれは間違っています。 「対話型ログイン」には「ドメインアカウントログイン」も含まれますが、「ローカルログイン」は「ローカルアカウントログイン」に限定されます。詳細は下記をご覧ください。
ターミナルサービスとリモートデスクトップログインホストは「対話型ログイン」と見なすことができることに言及する必要があります。検証の原則は同じです。
対話型ログインでは、システムは最初にログインしているユーザーアカウントの種類を確認し、それがローカルユーザーアカウント(Local User Account)かドメインユーザーアカウント(Domain User Account)かを確認し、次に対応する認証メカニズムを使用します。使用されていないユーザーアカウントの種類のため、処理方法は異なります。 <ローカル>ローカルユーザーアカウント<ローカル>ユーザーアカウントでログインします。システムはローカルのSAMデータベースに保存されている情報を確認します。では、Windows 2000が管理者パスワードを忘れたときにSAMファイルの使用を忘れるのはなぜでしょうか。ただし、Windows XPでは不可能です。セキュリティ上の理由からかもしれません。ローカルユーザーアカウントでログインした後は、アクセス権を持つローカルリソースにのみアクセスできます。 (図1)Javascript:if(this.width> screen.width-300)this.width = screen.width-300 "border = 0"


ユーザードメインユーザーアカウント
ドメインユーザアカウントでログインすると、システムはドメインコントローラのActive Directoryに保存されているデータを認証しますユーザアカウントが有効であれば、ログイン後にドメイン全体のアクセス権でリソースにアクセスできます。
ヒント:コンピュータがドメインに参加すると、ログインダイアログに[ログイン先]項目が表示され、そこからドメインへのログインまたはコンピュータへのログインを選択できます。
2、ネットワークログイン
コンピュータが仕事に参加する場合グループまたはドメイン、他のコンピュータのリソースにアクセスする場合は「ネットワークログイン」が必要です図2に示すように、Heelenという名前のホストにログインする場合は、ホストのホスト名とパスワードを入力して確認します。入力したユーザーアカウントは、ホスト上のユーザーアカウントではなく、他のホスト上にある必要がありますネットワークアカウントが使用されるため、ユーザーアカウントの有効性はホストによって実行されます。 If(this.wid screen.width-300)this.width = screen.width-300 "border = 0>
3. Service Login Service Loginは特別なログイン方法です。通常、システムがサービスやプログラムを起動するときは、ドメインユーザーアカウント、ローカルユーザーアカウント、またはSYSTEMアカウントのいずれかのユーザーアカウントでログインした後に実行されます。異なるユーザーアカウントでログインすると、システムへのアクセス権と制御権が異なりますまた、ローカルユーザーアカウントでログインした場合は、ローカルリソースにのみアクセス権があり、他のコンピュータのリソースにはアクセスできません。対話式ログインも同様です。
図3のタスクマネージャからわかるように、システムプロセスで使用されるアカウントは異なります。システムが起動すると、システムへのアクセスと制御を実現するために、基本サービスとWin32サービスがシステムに事前にログインします。これらのサービスはservices.mscを実行して設定できます。それらは一般的にSYSTEMアカウントでログインし、システムを完全に制御しているため、多くのウイルスやトロイの木馬が貴族に加わることを争っています。 SYSTEMに加えて、一部のサービスはLocal ServiceアカウントとNetwork Serviceアカウントでログインしています。システムが初期化された後、ユーザーが実行するすべてのプログラムはユーザー自身のアカウントでログインします。 Javascript:if(this.width> screen.width-300)this.width = screen.width-300 "border = 0>



ウイルスやトロイの木馬プログラムが実行されていても、ログインユーザーアカウントに対応する許可制限のためにユーザー自身を破壊することができるにすぎないため、多くのコンピューターの記事が平均的なユーザーにユーザーをUsersグループのユーザーとしてログインするように指示するのは簡単です。リソース、およびシステムのセキュリティと安定性を維持するための重要な情報は破壊的なものではありません。4、バッチログインバッチログインは一般ユーザーによって使用されることはめったになく、通常バッチ操作を実行するプログラムによって使用されます。バッチログインを実行するときは、使用するアカウントがバッチ作業を行う権利を持っている必要があります。そうしないとログインできません。
通常、最もインタラクティブなログインに連絡しますので、インタラクティブログインについて詳しく説明します。
第2に、システム内でどのコンポーネントが使用されているかという対話式ログイン、winlogon.exe winlogon.exeは、 "対話式ログイン"の最も重要な要素です。これは安全なプロセスであり、次のタスクを担当します。
◇他のログインコンポーネントのロード
◇セキュリティに関するユーザ操作のためのグラフィカルインタフェースを提供し、ユーザがログインやログアウトなどの関連操作を実行できるようにします。
◇ GINAは、必要な情報を送信します。2、GINA GINAのフルネーム "Graphical Identification and Authentication" - グラフィカルな認識と検証これは、winlogon.exeによって呼び出されるいくつかの動的データベースファイルです。ユーザーの身元を確認して確認する機能を提供し、ユーザーのアカウントとパスワードをwinlogon.exeに入力しますログインプロセス中に、 "Welcome Screen"と "Login Dialog"がGINAによって表示されます。
StyleXPなどのテーマ設定ソフトウェアでは、winlogon.exeを指定して、販売者自身が開発したGINAを読み込むことができるため、さまざまなWindows XPログインインターフェイスが提供されます。 WindowsXPのウェルカムインタフェースをシミュレートする「ウェルカムスクリーン」ログイン方法用のトロイの木馬です。ユーザーがパスワードを入力すると、トロイの木馬によって取得されますが、ユーザーは完全に無知なので、ようこそ画面ではログインせず、 "secure login"を設定する必要があります。
ログインダイアログのGINAです。トロイの木馬は、原則として、ログイン時にユーザーのアカウントとパスワードを盗み、この情報を%systemroot%\\ system32の下のWinEggDrop.datに保存することです。このトロイの木馬は、「Welcome Screen」ログインおよび「User Switch」機能でシステムをブロックし、さらに「Ctrl-Alt-Delete」セキュリティログインプロンプトもブロックします。
ユーザーがGINAトロイの木馬と一緒にインストールされることについてあまり心配する必要はありません。ここでの作者は、参照用の解決策を提供しています:
コンピュータがGINAトロイの木馬をインストールしたかどうかを確認するGINA TrojanをダウンロードしてからInstGina -vIEwを実行すると、システム内のGinaDLLキーがDLLとしてインストールされているかどうかを確認できます。主にGina Trojanによってシステムがログインとしてインストールされているかどうかを確認できます。 GINAトロイの木馬をインストールするのに十分不運な場合は、InstGina -Removeを実行してそれをアンインストールすることができます。 3、LSAサービスLSAのフルネームは "Local Security Authority"です - ローカルセキュリティ認証、Windowsシステムでは非常に重要なサービス、すべてのセキュリティ認証関連処理はこのサービスに合格する必要があります。 winlogon.exeからユーザーのアカウントとパスワードを取得し、それをキーメカニズムで処理してアカウントデータベースに格納されているキーと比較し、比較結果が一致すると、LSAはユーザーのIDを有効と見なしてログインを許可します。コンピューター比較の結果が一致しない場合、LSAはユーザーの識別情報が無効であると見なします。この時点では、ユーザーはコンピュータにログインできません。
この3つの文字はどのようにして馴染みがあると思いますか?そうです、これは過去に猛威を振るった「衝撃波」との関係です。 「Sasser」ワームは、LSAのリモートバッファオーバーフローの脆弱性を利用して、最高のシステム権限SYSTEMをコンピュータに攻撃させます。この問題の解決策はオンラインでたくさんの情報ですが、ここで話すことはあまりありません。 4、SAMデータベースSAMフルネーム「セキュリティアカウントマネージャ」 - セキュリティアカウントマネージャは、保護されたサブシステムであり、コンピュータレジストリおよびユーザに保存されているセキュリティアカウントによって管理されます。ユーザグループ情報SAMはアカウントデータベースと見なすことができます。ドメインに参加していないコンピュータの場合はローカルに保存され、ドメインに参加しているコンピュータの場合はドメインコントローラに保存されます。
ユーザーがマシンにログインしようとすると、システムはマシンに保存されているSAMデータベースに保存されているアカウント情報を使用してユーザーから提供された情報と比較します。上部中央SAMデータベース内のアカウント情報は、ユーザによって提供された情報と比較される。 5、Net LogonサービスNet Logonサービスは、主にNTLM(NT LAN Manager、Windows NT 4.0のデフォルト認証プロトコル)と組み合わせて使用​​され、Windows NTドメインコントローラ上のSAMデータベースに関する情報がユーザーによって提供されることを確認します。情報が一致するかどうかNTLMプロトコルは、主にWindows NTとの互換性のために予約されています。 6、KDCサービスKDC(ケルベロスキー配布センター - ケルベロスキー配布センター)サービスは、主に、アクティブディレクトリ全体内でのユーザのログインを検証するために使用されるケルベロス認証プロトコルと共に使用される。ドメイン全体にWindows NTコンピュータが存在しないことを確認した場合は、Kerberosプロトコルのみを使用して最大限のセキュリティを確保できます。このサービスは、Active Directoryサービスが開始されるまで有効になりません。 7、Active DirectoryサービスコンピュータがWindows 2000またはWindows 2003ドメインに参加している場合は、Active Directory(Active Directory)機能をサポートするためにサービスを開始する必要があります。
3番目に、ログインの前後に、winlogonは何をしますか?ユーザが「安全なログイン」を設定すると、winlogonが初期化されると、SAS(Secure Attention Sequence)がシステムに登録されます。 SASは一連のキーの組み合わせで、デフォルトではCtrl + Alt + Deleteです。その役割は、対話的にログインするときにユーザーが入力した情報がシステムによって受け入れられ、他のプログラムによって取得されないようにすることです。したがって、「セキュアログイン」を使用してログインすると、ユーザーのアカウントとパスワードがハッカーによって盗まれることがないようにすることができます。 「安全なログイン」機能を有効にするには、「control userpassWords 2」コマンドを実行し、「ユーザーアカウント」ダイアログボックスを開き、「詳細」を選択します。 (図4)[Ctrl + Alt + Deleteキーを押すようにユーザーに要求する]オプションを選択し、確認します。その後、各ログインダイアログが表示される前に、ログイン時にWindows XPのGINAログインダイアログを表示するために、Ctrl-Alt-Deleteを押すようにユーザーに要求するプロンプトが表示されます。
Copyright © Windowsの知識 All Rights Reserved