Windows XP

を「記録する」ためにビーチを訪ねてください通常、Windows XPを使用している場合、必ず最初にログインする必要があります。 Windows XPのログイン認証メカニズムとWindows XPの原則を理解し習得することは、システムセキュリティの理解を深め、ハッカーやウイルスの侵入を効果的に防止して解決するために非常に重要です。

まず、Windows XPを理解してください。

いくつかのログインの種類

1。対話型ログイン

対話型ログインは、通常ログインする最も一般的なタイプのログインです。ユーザーは、対応するユーザーアカウントとパスワードを使用してローカルにログインします。 「対話型ログイン」は「ローカルログイン」だと考える人もいますが、実はこれは間違っています。 「対話型ログイン」には「ドメインアカウントログイン」も含まれますが、「ローカルログイン」は「ローカルアカウントログイン」に制限されます。

ターミナルサービスとリモートデスクトップログインホストは「対話型ログイン」と見なすことができることに言及する必要があります。検証の原則は同じです。

対話型ログインでは、システムはまず、ログインしているユーザーアカウントの種類がローカルユーザーアカウント（Local User Account）かドメインユーザーアカウント（Domain User Account）かを確認してから、対応する認証メカニズムを使用します。ユーザーアカウントの種類が異なるため、処理方法は異なります。

本地ローカルユーザーアカウント

ローカルユーザーアカウントでログインすると、システムはローカルSAMデータベースに保存されている情報で認証を受けます。そのため、Windows 2000がAdministratorのパスワードを忘れた場合は、SAMファイルを削除することで解決できます。ただし、Windows XPでは不可能です。セキュリティ上の理由からかもしれません。ローカルユーザーアカウントでログインした後は、アクセス権を持つローカルリソースにのみアクセスできます。 （図1）
図1

ドメインユーザーアカウント

ドメインユーザーアカウントでログインすると、システムはドメインコントローラーのActive Directoryに保存されているデータを確認します。ユーザーアカウントが有効であれば、ログイン後、ドメイン全体でアクセス権を持つリソースにアクセスできます。

ヒント：コンピュータがドメインに参加すると、ログインダイアログに[ログイン先：]項目が表示され、そこからドメインへのログインまたはコンピュータへのログインを選択できます。
＜Ｐ＞ ２。ネットワークログイン

コンピュータがワークグループまたはドメインに参加している場合、他のコンピュータからリソースにアクセスするときは「ネットワークログイン」が必要になります。図2に示すように、Heelenという名前のホストにログインするときは、ホストのユーザー名とパスワードを入力して確認します。ここでの注意点は、入力されたユーザーアカウントは、ホスト上のユーザーアカウントではなく、他のホスト上にある必要があるということです。ネットワークログインが実行されるため、ユーザーアカウントの有効性はインタビュー対象ホストによって制御されます。
図2

3。サービスログイン

サービスログインは特別なログイン方法です。通常、システムがサービスとプログラムを起動すると、ドメインユーザーアカウント、ローカルユーザーアカウント、またはSYSTEMアカウントのいずれかのユーザーアカウントでログインした後に実行されます。異なるユーザーアカウントでログインすると、システムへのアクセス権と制御権が異なりますまた、ローカルユーザーアカウントでログインした場合は、ローカルリソースにのみアクセス権があり、他のコンピュータのリソースにはアクセスできません。対話式ログインも同様です。

図3のタスクマネージャからわかるように、システムプロセスで使用されるアカウントは異なります。システムが起動すると、システムへのアクセスと制御を実現するために、基本サービスとWin32サービスがシステムに事前にログインします。これらのサービスは、Services.mscを実行して設定できます。システムサービスは極めて重要な位置を占めているため、通常はSYSTEMアカウントでログインしているため、システムを完全に制御しているため、多くのウイルスやトロイの木馬が貴族システムへの参加を争っています。 SYSTEMに加えて、一部のサービスはLocal ServiceアカウントとNetwork Serviceアカウントでログインしています。システムが初期化された後、ユーザーによって実行されるすべてのプログラムはユーザー自身のアカウントでログインします。
図3

多くのコンピューターの記事で平均的なユーザーにコンピューターを使用するときはUsersグループのユーザーとしてログインするように指示する理由を理解するのは難しいことではありません。ログインしているユーザーアカウントの対応する許可制限により、せいぜいユーザー自身に属するリソースが破壊される可能性があり、システムのセキュリティと安定性を維持するための重要な情報は破壊的なものではありません。
＜Ｐ＞ ４。バッチログイン

バッチログインは一般ユーザーにはめったに使用されず、通常はバッチ操作を実行するプログラムによって使用されます。バッチログインを実行するときは、使用するアカウントにバッチ作業を行う権利が必要です。それ以外の場合はログインできません。

通常、私たちは最も "インタラクティブなログイン"を持っているので、作者は "インタラクティブなログイン"の原理を詳細に説明します。

2番目に、システム内でどのコンポーネントが使用されているかという対話式ログイン

1。 Winlogon Exe

Winlogon.exeは "対話型ログイン"の最も重要な要素であり、安全なプロセスであり、次のような作業を行います。

◇他のログインコンポーネントを読み込みます。

◇ユーザーがログインまたはログアウトできるように、ユーザーに関連した操作のためのグラフィカルインターフェースを提供します。

送信必要に応じて必要な情報をGINAに送信してください。
＜Ｐ＞ ２。 GINA

GINAのフルネームは "Graphical Identification and Authentication" - グラフィカル認識と検証です。これは、ユーザーのIDを識別および検証し、ユーザーのアカウントとパスワードをWinlogon.exeに送信する機能を提供するためにWinlogon.exeによって呼び出される動的データベースファイルです。ログインプロセス中に、「ようこそ画面」​​と「ログインダイアログ」がGINAによって表示されます。

StyleXPなどの一部のテーマ設定ソフトウェアは、Winlogon.exeを指定して、販売者自身が開発したGINAを読み込むことができるため、異なるWindows XPログインインターフェイスを提供します。この変更可能性により、アカウントとパスワードを盗むトロイの木馬が今あります。

Windows XPのウェルカムインタフェースをシミュレートする「ウェルカムスクリーン」ログイン方法のためのトロイの木馬。ユーザーがパスワードを入力すると、それはトロイの木馬によって取得されますが、ユーザーは完全に気付いていません。そのため、ようこそ画面でログインしないことをお勧めします。また、「安全なログイン」を設定する必要があります。

もう1つはログインダイアログ用のGINAトロイの木馬で、原則としてログイン時にユーザーのアカウントとパスワードを盗み取り、この情報を％systemroot％\\ system32の下のWinEggDropに保存することです。 datで。このトロイの木馬は、「Welcome Screen」ログインおよび「User Switch」機能でシステムをブロックし、さらに「Ctrl-Alt-Delete」セキュリティログインプロンプトもブロックします。

ユーザーはGINAトロイの木馬と一緒にインストールされることについてそれほど心配する必要はありません。ここでの作者は皆のための解決策を提供します：

いわゆる「ベルを解決する」はあなたのコンピュータをチェックする必要があります。 GINAトロイの木馬をインストールしましたか？GINAトロイの木馬をダウンロードしてからInstGina -vIEwを実行すると、システム内のGinaDLLキーがDLLとしてインストールされているかどうか、主にGina Trojanによってログインとしてインストールされているかどうかを確認できます。 GINAトロイの木馬をインストールするのに十分不運な場合は、InstGina -Removeを実行してそれをアンインストールすることができます。
＜Ｐ＞ ３。 LSA Service

LSAは "Local Security Authority"と呼ばれるローカルセキュリティ機関で、Windowsにおける非常に重要なサービスで、すべてのセキュリティ認証関連処理はこのサービスに合格する必要があります。 Winlogon.exeからユーザーのアカウントとパスワードを取得し、それをキーメカニズムで処理してアカウントデータベースに格納されているキーと比較します比較結果が一致すると、LSAはユーザーのIDを有効と見なし、ログインを許可します。コンピューター比較の結果が一致しない場合、LSAはユーザーの識別情報が無効であると見なします。この時点では、ユーザーはコンピュータにログインできません。

この3文字はどのようにおなじみでしょうか。ちなみに、これは過去に激怒している「衝撃波」と関係があるサービスです。 「Sasser」ワームは、LSAのリモートバッファオーバーフローの脆弱性を利用して、最高のシステム権限SYSTEMをコンピュータに攻撃させます。この問題の解決策はオンラインでたくさんの情報ですが、ここで話すことはあまりありません。
＜Ｐ＞ ４。 SAMデータベース

SAMの正式名称は "Security Account Manager"です。安全なアカウントマネージャは、コンピュータのレジストリに保存されている安全なアカウントを通してユーザとユーザグループを管理する保護されたサブシステムです。情報です。 SAMはアカウントデータベースと見なすことができます。ドメインに参加していないコンピュータの場合はローカルに保存され、ドメインに参加しているコンピュータの場合はドメインコントローラに保存されます。

ユーザーがマシンにログインしようとすると、システムはマシンに保存されているSAMデータベースに保存されているアカウント情報を使用してユーザーから提供された情報と比較します。ドメインコントローラ上のSAMデータベース内のアカウント情報が、ユーザーから提供された情報と比較されます。
＜Ｐ＞ ５。 Net Logonサービス

Net Logonサービスは、主にNTLM（NT LAN Manager、Windows NT 4.0のデフォルト認証プロトコル）と組み合わせて使用​​され、Windows NTドメインコントローラ上のSAMデータベース上の情報とユーザーから提供された情報を認証します。それが一致するかどうか。 NTLMプロトコルは、主にWindows NTとの互換性のために予約されています。
＜Ｐ＞ ６。 KDCサービス

KDC（Kerberos Key Distribution Center）サービスは、主にKerberos認証プロトコルと組み合わせて使用​​され、Active Directory全体でユーザーのログインを認証します。ドメイン全体にWindows NTコンピュータが存在しないことを確認した場合は、Kerberosプロトコルのみを使用して最大限のセキュリティを確保できます。このサービスは、Active Directoryサービスが開始されるまで有効になりません。
＜Ｐ＞ ７。 Active Directoryサービス

お使いのコンピュータがWindows 2000またはWindows 2003ドメインに参加している場合は、Active Directory機能をサポートするためにサービスを開始する必要があります。

3番目に、ログインの前後にWinlogonは何をしますか？

ユーザーが "secure login"を設定すると、Winlogonが初期化されたときにシステムに登録されます。 SAS（セキュアアテンションシーケンス）。 SASは一連のキーの組み合わせで、デフォルトではCtrl + Alt + Deleteです。その役割は、対話的にログインするときにユーザーが入力した情報がシステムによって受け入れられ、他のプログラムによって取得されないようにすることです。したがって、「セキュアログイン」を使用してログインすると、ユーザーのアカウントとパスワードがハッカーによって盗まれることがないようにすることができます。 「安全なログイン」機能を有効にするには、「Control userpassWords 2」コマンドを実行し、「ユーザーアカウント」ダイアログボックスを開き、「詳細」を選択します。 （図4）[Ctrl + Alt + Deleteキーを押すようにユーザーに要求する]オプションを選択し、確認します。その後、各ログインダイアログボックスが表示される前に、Ctrl + Alt + Deleteキーの組み合わせを押すように求めるプロンプトが表示されますこれは、ログイン時にWindows XPのGINAログインダイアログを表示するためです。キーの組み合わせ情報前述のように、GINAトロイの木馬は「安全なログイン」プロンプトを隠します。そのため、「安全なログイン」プロンプトが理由なくブロックされている場合、それもトロイの木馬の前兆です。 「安全なログイン」機能は、Windows 2000と同じくらい早くシステムセキュリティを保護するために使用されていました。
図4

WinlogonにSASを登録した後、GINAは3つのデスクトップシステムを生成するために呼び出され、それらはユーザーがそれらを必要とするときに使用されます：

◇Winlogonデスクトップユーザーは入りますインターフェースにログインすると、Winlogoに入りました。