stringtranslate.com

Winlogon

Cuadro de diálogo clásico "Comenzar inicio de sesión" en Windows XP
Pantalla de bloqueo de Windows 11 , que requiere que el usuario presione Ctrl+Alt+Suprimir .

Winlogon ( Windows Logon ) es el componente de los sistemas operativos Microsoft Windows que es responsable de manejar la secuencia de atención segura , cargar el perfil de usuario al iniciar sesión, crear los escritorios para la estación de ventana y, opcionalmente, bloquear la computadora cuando se ejecuta un protector de pantalla (lo que requiere otro paso de autenticación). Las funciones y responsabilidades de Winlogon han cambiado significativamente en Windows Vista y sistemas operativos posteriores.

Descripción general

Winlogon es iniciado por el subsistema Session Manager como parte del proceso de inicio de Windows NT .

Antes de Windows Vista, Winlogon era responsable de iniciar el Administrador de control de servicios y el Servicio del subsistema de autoridad de seguridad local , pero desde Vista estos se inician mediante la aplicación de inicio de Windows ( wininit.exe). [1]

La primera parte del proceso de inicio de sesión que realiza Winlogon es iniciar el proceso que muestra al usuario la pantalla de inicio de sesión. Antes de Windows Vista, esto lo hacía GINA , [2] pero a partir de Vista lo hace LogonUI. Estos programas son responsables de obtener las credenciales del usuario y pasarlas al Servicio del Subsistema de la Autoridad de Seguridad Local , que autentica al usuario.

Después de devolver el control a Winlogon, crea y abre una estación de ventana interactiva, WinSta0[ 3] y crea tres escritorios Winlogon, Defaulty ScreenSaver. Winlogon cambia del escritorio de Winlogon al Defaultescritorio cuando el shell indica que está listo para mostrar algo al usuario, o después de treinta segundos, lo que ocurra primero. [4]

El sistema vuelve al Winlogonescritorio si el usuario presiona Control-Alt-Suprimir o cuando se muestra un mensaje de Control de cuentas de usuario . [4] Winlogon ahora inicia el programa especificado en el valor Userinit cuyo valor predeterminado es userinit.exe. Este valor admite múltiples ejecutables. [5]

Responsabilidades

Estación de ventana y protección de escritorio
Winlogon establece la protección de la estación de ventana y los escritorios correspondientes para garantizar que cada uno sea accesible correctamente. En general, esto significa que el sistema local tendrá acceso completo a estos objetos y que un usuario que haya iniciado sesión interactivamente tendrá acceso de lectura al objeto de estación de ventana y acceso completo al objeto de escritorio de la aplicación.
Reconocimiento SAS estándar
Winlogon tiene enlaces especiales en el servidor User32 que le permiten monitorear eventos de secuencia de atención segura (SAS) Control-Alt-Delete . Winlogon pone esta información de eventos SAS a disposición de los GINA /proveedores de credenciales para que la utilicen como su SAS o como parte de su SAS. En general, los GINA deberían monitorear los SAS por sí mismos; sin embargo, cualquier GINA que tenga el estándar + + SAS como uno de los SAS que reconoce debe utilizar el soporte Winlogon proporcionado para este propósito.CtrlAltDel
Despacho de rutina SAS
Cuando Winlogon encuentra un evento SAS o cuando GINA entrega un SAS a Winlogon, Winlogon establece el estado en consecuencia, cambia al escritorio de Winlogon y llama a una de las funciones de procesamiento SAS de GINA.
Cargando perfil de usuario
Cuando los usuarios inician sesión, sus perfiles de usuario se cargan en el registro. De esta forma, los procesos del usuario pueden utilizar la clave de registro especial HKEY_CURRENT_USER. Winlogon hace esto automáticamente después de un inicio de sesión exitoso pero antes de la activación del shell para el usuario que acaba de iniciar sesión.
Asignación de seguridad al shell del usuario.
Cuando un usuario inicia sesión, GINA es responsable de crear uno o más procesos iniciales para ese usuario. Winlogon proporciona una función de soporte para que GINA aplique la seguridad del usuario recién iniciado a estos procesos. Sin embargo, la forma preferida de hacer esto es que GINA llame a la función de Windows CreateProcessAsUser y permita que el sistema proporcione el servicio.
Control del protector de pantalla
Winlogon monitorea la actividad del teclado y el mouse para determinar cuándo activar los protectores de pantalla. Después de activar el protector de pantalla, Winlogon continúa monitoreando la actividad del teclado y el mouse para determinar cuándo finalizar el protector de pantalla. Si el protector de pantalla está marcado como seguro, Winlogon trata la estación de trabajo como bloqueada. Cuando hay actividad del mouse o del teclado, Winlogon invoca la función WlxDisplayLockedNotice de GINA y se reanuda el comportamiento de la estación de trabajo bloqueada. Si el protector de pantalla no es seguro, cualquier actividad del teclado o del mouse finalizará el protector de pantalla sin notificar a GINA.
Soporte de múltiples proveedores de red
Se pueden incluir varias redes instaladas en un sistema Windows en el proceso de autenticación y en las operaciones de actualización de contraseñas. Esta inclusión permite que redes adicionales recopilen información de identificación y autenticación al mismo tiempo durante el inicio de sesión normal, utilizando el escritorio seguro de Winlogon. Algunos de los parámetros requeridos en los servicios Winlogon disponibles para GINA admiten explícitamente estos proveedores de red adicionales.

Vulnerabilidades

Winlogon es un objetivo común para varias amenazas que podrían modificar su función y uso de memoria. Winlogon admite complementos que se cargan y notifican sobre eventos específicos. [6] Algunos rootkits incluyen complementos de Winlogon porque se cargan antes de que cualquier usuario inicie sesión. Algunas claves de registro permiten que se proporcionen múltiples valores que permiten ejecutar un programa malicioso al mismo tiempo que un archivo de sistema legítimo. [7]

Ver también

Referencias

  1. ^ Documentos archivados. "Administración de Windows: Dentro del kernel de Windows Vista: Parte 2". aprender.microsoft.com . Consultado el 14 de mayo de 2023 .
  2. ^ Russinvoich, Mark E.; Salomón, David (2005). Componentes internos de Microsoft Windows (4ª ed.). Redmond, Washington: Microsoft Press . pag. 81.ISBN 978-0735619173.
  3. ^ "Estaciones de ventana". MSDN . Corporación Microsoft . Consultado el 19 de abril de 2014 .
  4. ^ ab "Escritorios". MSDN . Corporación Microsoft . Consultado el 19 de abril de 2014 .
  5. ^ Ionescu, Alex; Russinovich, Mark; Salomón, David A. (2012). Partes internas de Windows, Parte 1 (6ª ed.). Redmond, Washington: Microsoft Press. pag. 77.ISBN 978-0735648739.
  6. ^ artesanía alvinash. "Eventos de notificación de Winlogon: aplicaciones Win32". aprender.microsoft.com . Consultado el 14 de mayo de 2023 .
  7. ^ "Ejecución de inicio automático de inicio o inicio de sesión: DLL auxiliar de Winlogon, subtécnica T1547.004 - Empresa | MITRE ATT&CK®". ataque.mitre.org . Consultado el 14 de mayo de 2023 .
  8. ^ Warren, Tom (25 de septiembre de 2020). "El código fuente de Windows XP se filtra en línea". El borde . Consultado el 27 de septiembre de 2020 .

Enlaces externos