Winlogon

format_list_bulleted Contenido keyboard_arrow_down

ImprimirCitar

Componente de Microsoft Sistemas operativos Windows

Winlogon (Windows Logon) es el componente de los sistemas operativos Microsoft Windows que se encarga de manejar la secuencia de atención segura, cargar el perfil de usuario al iniciar sesión y crear los escritorios. para la estación de ventana y, opcionalmente, bloquear la computadora cuando se ejecuta un protector de pantalla (lo que requiere otro paso de autenticación). En Windows Vista y sistemas operativos posteriores, las funciones y responsabilidades de Winlogon han cambiado significativamente.

Descripción general

Winlogon es iniciado por el subsistema Session Manager como parte del proceso de inicio de Windows NT.

Antes de Windows Vista, Winlogon era responsable de iniciar el Administrador de control de servicios y el Servicio del subsistema de autoridad de seguridad local, pero desde Vista estos se inician mediante la aplicación de inicio de Windows (wininit.exe).

La primera parte del proceso de inicio de sesión que realiza Winlogon es iniciar el proceso que muestra al usuario la pantalla de inicio de sesión. Antes de Windows Vista, esto lo hacía GINA, pero a partir de Vista lo hace LogonUI. Estos programas son responsables de obtener las credenciales del usuario y pasarlas al Servicio del Subsistema de la Autoridad de Seguridad Local, que autentica al usuario.

Después de devolver el control a Winlogon, crea y abre una estación de ventana interactiva, WinSta0, y crea tres escritorios, Winlogon, Predeterminado y Salvapantallas. Winlogon cambia del escritorio de Winlogon al escritorio Default cuando el shell indica que está listo para mostrar algo al usuario, o después de treinta segundos, lo que ocurra primero.

El sistema vuelve al escritorio Winlogon si el usuario presiona Control-Alt-Suprimir o cuando se muestra un mensaje de Control de cuentas de usuario. Winlogon ahora inicia el programa especificado en el valor Userinit que por defecto es userinit.exe. Este valor admite múltiples ejecutables.

Responsabilidades

Ventana estación y protección de escritorio: Winlogon establece la protección de la estación de ventana y los escritorios correspondientes para asegurar que cada uno es adecuadamente accesible. En general, esto significa que el sistema local tendrá pleno acceso a estos objetos y que un usuario conectado interactivamente tendrá acceso al objeto de la estación de ventana y acceso completo al objeto de escritorio de la aplicación.

Reconocimiento estándar de SAS: Winlogon tiene ganchos especiales en el servidor User32 que le permiten monitorear los eventos de la secuencia de atención segura Control-Alt-Delete (SAS). Winlogon hace que esta información de eventos SAS esté disponible para GINAs/proveedores potenciales para utilizar como SAS, o como parte de su SAS. En general, GINAs debe monitorear SAS por su cuenta; sin embargo, cualquier GINA que tenga el estándar Ctrl+Alt+Del SAS como uno de los SAS que reconoce debe utilizar el soporte Winlogon proporcionado para este propósito.

Despacho de rutina SAS: Cuando Winlogon encuentra un evento SAS o cuando un SAS es entregado a Winlogon por la GINA, Winlogon establece el estado en consecuencia, cambios en el escritorio Winlogon, y llama a una de las funciones de procesamiento SAS de la GINA.

Carga de perfil de usuario: Cuando los usuarios se registran, sus perfiles de usuario se cargan en el registro. De esta manera, los procesos del usuario pueden utilizar la clave de registro especial HKEY_CURRENT_USER. Winlogon hace esto automáticamente después de un logotipo exitoso pero antes de la activación de la shell para el usuario recién conectado.

Assignment of security to user shell: Cuando un usuario inicia sesión, la GINA es responsable de crear uno o más procesos iniciales para ese usuario. Winlogon proporciona una función de soporte para la GINA para aplicar la seguridad del usuario recién iniciado a estos procesos. Sin embargo, la forma preferida de hacer esto es que la GINA llame a la función Windows CreateProcessAsUser, y permita que el sistema proporcione el servicio.

Control de protector de pantalla: Winlogon monitorea el teclado y la actividad del ratón para determinar cuándo activar protectores de pantalla. Después de que el protector de pantalla se activa, Winlogon continúa monitoreando la actividad del teclado y del ratón para determinar cuándo terminar el protector de pantalla. Si el protector de pantalla está marcado como seguro, Winlogon trata la estación de trabajo como bloqueado. Cuando hay actividad de ratón o teclado, Winlogon invoca la función WlxDisplayLockedNotice de la GINA y reanudar el comportamiento de la estación de trabajo bloqueada. Si el protector de pantalla no está seguro, cualquier actividad de teclado o ratón termina el protector de pantalla sin notificación a la GINA.

Soporte de múltiples proveedores de red: Múltiples redes instaladas en un sistema Windows se pueden incluir en el proceso de autenticación y en operaciones de actualización de contraseñas. Esta inclusión permite a las redes adicionales reunir información de identificación y autenticación de una vez durante el logotipo normal, utilizando el escritorio seguro de Winlogon. Algunos de los parámetros requeridos en los servicios Winlogon disponibles para GINAs apoyan explícitamente a estos proveedores de red adicionales.

Vulnerabilidades

Winlogon es un objetivo común para varias amenazas que podrían modificar su función y el uso de la memoria. Winlogon tiene soporte para plugins que se cargan y notifican sobre eventos específicos. Algunos rootkits paquete Winlogon plugins porque están cargados antes de que cualquier usuario inicie sesión. Algunas claves de registro permiten que se proporcionen múltiples valores que permiten ejecutar un programa malicioso al mismo tiempo que un archivo de sistema legítimo.

Más resultados...