Winlogon - Winlogon

Klassisches Dialogfeld "Anmeldung starten" unter Windows XP

Windows 8- Voranmeldebildschirm, auf dem der Benutzer Strg + Alt + Entf drücken muss

Beim Computing ist Winlogon (Windows-Anmeldung) die Komponente von Microsoft Windows- Betriebssystemen , die für die Verwaltung der sicheren Aufmerksamkeitssequenz , das Laden des Benutzerprofils bei der Anmeldung und das optionale Sperren des Computers verantwortlich ist, wenn ein Bildschirmschoner ausgeführt wird (was einen weiteren Authentifizierungsschritt erfordert). Das tatsächliche Abrufen und Überprüfen von Benutzeranmeldeinformationen bleibt anderen Komponenten überlassen. Winlogon ist ein gemeinsames Ziel für verschiedene Bedrohungen, die die Funktion und die Speichernutzung ändern können. Eine erhöhte Speichernutzung für diesen Prozess kann darauf hinweisen, dass er "entführt" wurde. In Windows Vista und späteren Betriebssystemen haben sich die Rollen und Verantwortlichkeiten von Winlogon erheblich geändert.

Überblick

Winlogon verarbeitet Schnittstellenfunktionen, die von der Authentifizierungsrichtlinie unabhängig sind. Es schafft die Desktops für die Fensterstation , implementiert Time-out - Operationen und in Versionen von Windows vor Windows Vista , bietet eine Reihe von Support - Funktionen für die GINA und übernimmt die Verantwortung für die Maschinen- und Konfigurieren von Benutzergruppenrichtlinien .

Winlogon prüft auch, ob die Kopie von Windows eine legitime Lizenz ist, die unter Windows XP und höher beginnt .

Winlogon hat die folgenden Verantwortlichkeiten:

• Fensterstation und Desktop-Schutz

Winlogon legt den Schutz der Fensterstation und der entsprechenden Desktops fest, um sicherzustellen, dass auf alle ordnungsgemäß zugegriffen werden kann. Im Allgemeinen bedeutet dies, dass das lokale System vollen Zugriff auf diese Objekte hat und dass ein interaktiv angemeldeter Benutzer Lesezugriff auf das Fensterstationsobjekt und vollen Zugriff auf das Anwendungsdesktopobjekt hat.

• Standard SAS Erkennung

Winlogon verfügt über spezielle Hooks für den User32-Server, mit denen SAS-Ereignisse ( Control-Alt-Delete Secure Attention Sequence ) überwacht werden können. Winlogon stellt diese SAS-Ereignisinformationen GINAs zur Verfügung, um sie als SAS oder als Teil ihrer SAS zu verwenden. Im Allgemeinen sollten GINAs SASs selbst überwachen. Jede GINA, die die Standard Ctrl + Alt + Del SAS als eine der erkannten SASs hat, sollte jedoch die für diesen Zweck bereitgestellte Winlogon-Unterstützung verwenden.

• SAS-Routineversand

Wenn Winlogon auf ein SAS-Ereignis stößt oder wenn eine SAS von der GINA an Winlogon übermittelt wird, legt Winlogon den Status entsprechend fest, wechselt zum Winlogon-Desktop und ruft eine der SAS-Verarbeitungsfunktionen der GINA auf.

• Laden des Benutzerprofils

Wenn sich Benutzer anmelden, werden ihre Benutzerprofile in die Registrierung geladen. Auf diese Weise können die Prozesse des Benutzers den speziellen Registrierungsschlüssel HKEY_CURRENT_USER verwenden. Winlogon führt dies automatisch nach einer erfolgreichen Anmeldung, jedoch vor der Aktivierung der Shell für den neu angemeldeten Benutzer durch.

• Zuweisung der Sicherheit zur Benutzer-Shell

Wenn sich ein Benutzer anmeldet, ist die GINA dafür verantwortlich, einen oder mehrere anfängliche Prozesse für diesen Benutzer zu erstellen. Winlogon bietet eine Unterstützungsfunktion für die GINA, um die Sicherheit des neu angemeldeten Benutzers auf diese Prozesse anzuwenden. Die bevorzugte Methode hierfür ist jedoch, dass die GINA die Windows-Funktion CreateProcessAsUser aufruft und das System den Dienst bereitstellen lässt.

• Bildschirmschonersteuerung

Winlogon überwacht die Tastatur- und Mausaktivität, um festzustellen, wann Bildschirmschoner aktiviert werden müssen. Nachdem der Bildschirmschoner aktiviert wurde, überwacht Winlogon weiterhin die Tastatur- und Mausaktivität, um festzustellen, wann der Bildschirmschoner beendet werden muss. Wenn der Bildschirmschoner als sicher markiert ist, behandelt Winlogon die Workstation als gesperrt. Bei Maus- oder Tastaturaktivitäten ruft Winlogon die WlxDisplayLockedNotice-Funktion der GINA auf und das Verhalten der gesperrten Workstation wird fortgesetzt. Wenn der Bildschirmschoner nicht sicher ist, wird der Bildschirmschoner durch eine Tastatur- oder Mausaktivität ohne Benachrichtigung der GINA beendet.

• Unterstützung mehrerer Netzwerkanbieter

Mehrere auf einem Windows-System installierte Netzwerke können in den Authentifizierungsprozess und in Kennwortaktualisierungsvorgänge einbezogen werden. Durch diese Aufnahme können zusätzliche Netzwerke während der normalen Anmeldung mithilfe des sicheren Desktops von Winlogon gleichzeitig Identifikations- und Authentifizierungsinformationen sammeln. Einige der Parameter, die in den für GINAs verfügbaren Winlogon-Diensten erforderlich sind, unterstützen diese zusätzlichen Netzwerkanbieter ausdrücklich.

Siehe auch

• Liste der Microsoft Windows-Komponenten
• Architektur der Windows NT-Betriebssystemlinie
• Vundo , ein Trojaner, der sich an winlogon.exe anhängt
• getty , ein ähnlicher Prozess unter UNIX
• Beim Windows XP-Quellcode-Leck im September 2020 fehlte Winlogon als einziges im Quellcode, wodurch das durchgesickerte Betriebssystem unvollständig wurde.

Verweise

Externe Links

• Anpassen von GINA - Teil 1 , Entwickler-Tutorial zum Schreiben einer benutzerdefinierten GINA
• Anpassen von GINA - Teil 2 , Entwickler-Tutorial zum Schreiben einer benutzerdefinierten GINA
• MSKB: 193361 MSGINA.DLL setzt die WINLOGON-Struktur nicht zurück
• Windows Vista und Windows Server 2008: Grundlegendes zur Sicherheit, Erweiterung und Erweiterung der Sicherheit - Microsoft PowerPoint- Präsentation mit Informationen zu Änderungen an Winlogon in Windows Vista und Windows Server 2008