Componente de los sistemas operativos Microsoft Windows
Winlogon ( Windows Logon ) es el componente de los sistemas operativos Microsoft Windows que es responsable de manejar la secuencia de atención segura , cargar el perfil de usuario al iniciar sesión, crear los escritorios para la estación de ventana y, opcionalmente, bloquear la computadora cuando se ejecuta un protector de pantalla (lo que requiere otro paso de autenticación). Las funciones y responsabilidades de Winlogon han cambiado significativamente en Windows Vista y sistemas operativos posteriores.
La primera parte del proceso de inicio de sesión que realiza Winlogon es iniciar el proceso que muestra al usuario la pantalla de inicio de sesión. Antes de Windows Vista, esto lo hacía GINA , [2] pero a partir de Vista lo hace LogonUI. Estos programas son responsables de obtener las credenciales del usuario y pasarlas al Servicio del Subsistema de la Autoridad de Seguridad Local , que autentica al usuario.
Después de devolver el control a Winlogon, crea y abre una estación de ventana interactiva, WinSta0[ 3] y crea tres escritorios Winlogon, Defaulty ScreenSaver. Winlogon cambia del escritorio de Winlogon al Defaultescritorio cuando el shell indica que está listo para mostrar algo al usuario, o después de treinta segundos, lo que ocurra primero. [4]
El sistema vuelve al Winlogonescritorio si el usuario presiona Control-Alt-Suprimir o cuando se muestra un mensaje de Control de cuentas de usuario . [4] Winlogon ahora inicia el programa especificado en el valor Userinit cuyo valor predeterminado es userinit.exe. Este valor admite múltiples ejecutables. [5]
Responsabilidades
Estación de ventana y protección de escritorio
Winlogon establece la protección de la estación de ventana y los escritorios correspondientes para garantizar que cada uno sea accesible correctamente. En general, esto significa que el sistema local tendrá acceso completo a estos objetos y que un usuario que haya iniciado sesión interactivamente tendrá acceso de lectura al objeto de estación de ventana y acceso completo al objeto de escritorio de la aplicación.
Reconocimiento SAS estándar
Winlogon tiene enlaces especiales en el servidor User32 que le permiten monitorear eventos de secuencia de atención segura (SAS) Control-Alt-Delete . Winlogon pone esta información de eventos SAS a disposición de los GINA /proveedores de credenciales para que la utilicen como su SAS o como parte de su SAS. En general, los GINA deberían monitorear los SAS por sí mismos; sin embargo, cualquier GINA que tenga el estándar + + SAS como uno de los SAS que reconoce debe utilizar el soporte Winlogon proporcionado para este propósito.CtrlAltDel
Despacho de rutina SAS
Cuando Winlogon encuentra un evento SAS o cuando GINA entrega un SAS a Winlogon, Winlogon establece el estado en consecuencia, cambia al escritorio de Winlogon y llama a una de las funciones de procesamiento SAS de GINA.
Cargando perfil de usuario
Cuando los usuarios inician sesión, sus perfiles de usuario se cargan en el registro. De esta forma, los procesos del usuario pueden utilizar la clave de registro especial HKEY_CURRENT_USER. Winlogon hace esto automáticamente después de un inicio de sesión exitoso pero antes de la activación del shell para el usuario que acaba de iniciar sesión.
Asignación de seguridad al shell del usuario.
Cuando un usuario inicia sesión, GINA es responsable de crear uno o más procesos iniciales para ese usuario. Winlogon proporciona una función de soporte para que GINA aplique la seguridad del usuario recién iniciado a estos procesos. Sin embargo, la forma preferida de hacer esto es que GINA llame a la función de Windows CreateProcessAsUser y permita que el sistema proporcione el servicio.
Control del protector de pantalla
Winlogon monitorea la actividad del teclado y el mouse para determinar cuándo activar los protectores de pantalla. Después de activar el protector de pantalla, Winlogon continúa monitoreando la actividad del teclado y el mouse para determinar cuándo finalizar el protector de pantalla. Si el protector de pantalla está marcado como seguro, Winlogon trata la estación de trabajo como bloqueada. Cuando hay actividad del mouse o del teclado, Winlogon invoca la función WlxDisplayLockedNotice de GINA y se reanuda el comportamiento de la estación de trabajo bloqueada. Si el protector de pantalla no es seguro, cualquier actividad del teclado o del mouse finalizará el protector de pantalla sin notificar a GINA.
Soporte de múltiples proveedores de red
Se pueden incluir varias redes instaladas en un sistema Windows en el proceso de autenticación y en las operaciones de actualización de contraseñas. Esta inclusión permite que redes adicionales recopilen información de identificación y autenticación al mismo tiempo durante el inicio de sesión normal, utilizando el escritorio seguro de Winlogon. Algunos de los parámetros requeridos en los servicios Winlogon disponibles para GINA admiten explícitamente estos proveedores de red adicionales.
Vulnerabilidades
Winlogon es un objetivo común para varias amenazas que podrían modificar su función y uso de memoria. Winlogon admite complementos que se cargan y notifican sobre eventos específicos. [6] Algunos rootkits incluyen complementos de Winlogon porque se cargan antes de que cualquier usuario inicie sesión. Algunas claves de registro permiten que se proporcionen múltiples valores que permiten ejecutar un programa malicioso al mismo tiempo que un archivo de sistema legítimo. [7]
En la filtración del código fuente de Windows XP en septiembre de 2020, Winlogon fue la única pieza que faltaba en el código fuente, lo que dejó el sistema operativo filtrado incompleto. [8]
Referencias
^ Documentos archivados. "Administración de Windows: Dentro del kernel de Windows Vista: Parte 2". aprender.microsoft.com . Consultado el 14 de mayo de 2023 .
^ Russinvoich, Mark E.; Salomón, David (2005). Componentes internos de Microsoft Windows (4ª ed.). Redmond, Washington: Microsoft Press . pag. 81.ISBN978-0735619173.
^ "Estaciones de ventana". MSDN . Corporación Microsoft . Consultado el 19 de abril de 2014 .
^ ab "Escritorios". MSDN . Corporación Microsoft . Consultado el 19 de abril de 2014 .
^ Ionescu, Alex; Russinovich, Mark; Salomón, David A. (2012). Partes internas de Windows, Parte 1 (6ª ed.). Redmond, Washington: Microsoft Press. pag. 77.ISBN978-0735648739.
^ artesanía alvinash. "Eventos de notificación de Winlogon: aplicaciones Win32". aprender.microsoft.com . Consultado el 14 de mayo de 2023 .
^ "Ejecución de inicio automático de inicio o inicio de sesión: DLL auxiliar de Winlogon, subtécnica T1547.004 - Empresa | MITRE ATT&CK®". ataque.mitre.org . Consultado el 14 de mayo de 2023 .
^ Warren, Tom (25 de septiembre de 2020). "El código fuente de Windows XP se filtra en línea". El borde . Consultado el 27 de septiembre de 2020 .
Enlaces externos
Personalización de GINA: Parte 1, Tutorial para desarrolladores para escribir un GINA personalizado
Personalización de GINA: Parte 2, Tutorial para desarrolladores para escribir un GINA personalizado
MSKB:193361 MSGINA.DLL no restablece la estructura de WINLOGON
Windows Vista y Windows Server 2008: comprensión, mejora y ampliación de la seguridad de un extremo a otro: presentación de Microsoft PowerPoint que incluye información sobre cambios en Winlogon en Windows Vista y Windows Server 2008