stringtranslate.com

Inicio de sesión de Windows

Cuadro de diálogo clásico "Iniciar sesión" en Windows XP
Pantalla de bloqueo de Windows 11 , que requiere que el usuario presione Ctrl+Alt+Supr .

Winlogon ( Windows Logon ) es el componente de los sistemas operativos Microsoft Windows que se encarga de gestionar la secuencia de atención segura , cargar el perfil de usuario al iniciar sesión, crear los escritorios para la estación de ventanas y, opcionalmente, bloquear la computadora cuando se ejecuta un protector de pantalla (lo que requiere otro paso de autenticación). Las funciones y responsabilidades de Winlogon han cambiado significativamente en Windows Vista y sistemas operativos posteriores.

Descripción general

Winlogon es iniciado por el subsistema del administrador de sesiones como parte del proceso de arranque de Windows NT .

Antes de Windows Vista, Winlogon era responsable de iniciar el Administrador de control de servicios y el Servicio de subsistema de autoridad de seguridad local , pero desde Vista estos han sido iniciados por la Aplicación de inicio de Windows ( wininit.exe). [1]

La primera parte del proceso de inicio de sesión que lleva a cabo Winlogon es iniciar el proceso que muestra al usuario la pantalla de inicio de sesión. Antes de Windows Vista, esto lo hacía GINA [2], pero a partir de Vista lo hace LogonUI. Estos programas son responsables de obtener las credenciales del usuario y pasarlas al Servicio del subsistema de autoridad de seguridad local , que autentica al usuario.

Una vez que se le devuelve el control a Winlogon, este crea y abre una estación de ventana interactiva, WinSta0[ 3] y crea tres escritorios, Winlogony Default. ScreenSaverWinlogon cambia del escritorio Winlogon al Defaultescritorio cuando el shell indica que está listo para mostrar algo al usuario, o después de treinta segundos, lo que ocurra primero. [4]

El sistema vuelve al Winlogonescritorio si el usuario presiona Control-Alt-Delete o cuando se muestra un mensaje de Control de cuentas de usuario . [4] Winlogon ahora inicia el programa especificado en el valor Userinit, cuyo valor predeterminado es userinit.exe. Este valor admite varios ejecutables. [5]

Responsabilidades

Estación de ventanas y protección de escritorio
Winlogon establece la protección de la estación de ventana y los escritorios correspondientes para garantizar que se pueda acceder a cada uno de ellos correctamente. En general, esto significa que el sistema local tendrá acceso completo a estos objetos y que un usuario que haya iniciado sesión de forma interactiva tendrá acceso de lectura al objeto de la estación de ventana y acceso completo al objeto de escritorio de la aplicación.
Reconocimiento estándar de SAS
Winlogon tiene conexiones especiales con el servidor User32 que le permiten monitorear eventos de secuencia de atención segura (SAS) Control-Alt-Delete . Winlogon pone esta información de eventos SAS a disposición de los GINA /proveedores de credenciales para que la usen como su SAS, o como parte de su SAS. En general, los GINA deberían monitorear los SAS por sí mismos; sin embargo, cualquier GINA que tenga el SAS estándar + + como uno de los SAS que reconoce debería usar el soporte de Winlogon provisto para este propósito.CtrlAltDel
Despacho de rutina del SAS
Cuando Winlogon encuentra un evento SAS o cuando GINA le entrega un SAS, Winlogon establece el estado en consecuencia, cambia al escritorio de Winlogon y llama a una de las funciones de procesamiento SAS de GINA.
Cargando perfil de usuario
Cuando los usuarios inician sesión, sus perfiles de usuario se cargan en el registro. De esta manera, los procesos del usuario pueden utilizar la clave de registro especial HKEY_CURRENT_USER. Winlogon realiza esto automáticamente después de un inicio de sesión exitoso pero antes de la activación del shell para el usuario que acaba de iniciar sesión.
Asignación de seguridad al shell del usuario
Cuando un usuario inicia sesión, GINA es responsable de crear uno o más procesos iniciales para ese usuario. Winlogon proporciona una función de soporte para que GINA aplique la seguridad del usuario recién conectado a estos procesos. Sin embargo, la forma preferida de hacerlo es que GINA llame a la función CreateProcessAsUser de Windows y deje que el sistema proporcione el servicio.
Control de protector de pantalla
Winlogon supervisa la actividad del teclado y del ratón para determinar cuándo activar los protectores de pantalla. Una vez activado el protector de pantalla, Winlogon continúa supervisando la actividad del teclado y del ratón para determinar cuándo finalizar el protector de pantalla. Si el protector de pantalla está marcado como seguro, Winlogon trata la estación de trabajo como bloqueada. Cuando hay actividad del ratón o del teclado, Winlogon invoca la función WlxDisplayLockedNotice de GINA y se reanuda el comportamiento de la estación de trabajo bloqueada. Si el protector de pantalla no es seguro, cualquier actividad del teclado o del ratón finaliza el protector de pantalla sin notificar a GINA.
Compatibilidad con múltiples proveedores de red
Se pueden incluir varias redes instaladas en un sistema Windows en el proceso de autenticación y en las operaciones de actualización de contraseñas. Esta inclusión permite que redes adicionales recopilen información de identificación y autenticación a la vez durante el inicio de sesión normal, utilizando el escritorio seguro de Winlogon. Algunos de los parámetros requeridos en los servicios de Winlogon disponibles para las GINA admiten explícitamente estos proveedores de red adicionales.

Vulnerabilidades

Winlogon es un objetivo común para varias amenazas que podrían modificar su función y el uso de la memoria. Winlogon tiene soporte para complementos que se cargan y notifican sobre eventos específicos. [6] Algunos rootkits incluyen complementos de Winlogon porque se cargan antes de que cualquier usuario inicie sesión. Algunas claves de registro permiten que se proporcionen múltiples valores que permiten que un programa malicioso se ejecute al mismo tiempo que un archivo de sistema legítimo. [7]

Véase también

Referencias

  1. ^ Archiveddocs. "Administración de Windows: dentro del núcleo de Windows Vista: parte 2". learn.microsoft.com . Consultado el 14 de mayo de 2023 .
  2. ^ Russinvoich, Mark E.; Solomon, David (2005). Microsoft Windows Internals (4.ª edición). Redmond, Washington: Microsoft Press . pág. 81. ISBN. 978-0735619173.
  3. ^ "Estaciones de ventana". MSDN . Microsoft Corporation . Consultado el 19 de abril de 2014 .
  4. ^ ab "Escritorios". MSDN . Microsoft Corporation . Consultado el 19 de abril de 2014 .
  5. ^ Ionescu, Alex; Russinovich, Mark; Solomon, David A. (2012). Componentes internos de Windows, parte 1 (6.ª ed.). Redmond, Washington: Microsoft Press. pág. 77. ISBN 978-0735648739.
  6. ^ alvinashcraft. "Eventos de notificación de Winlogon: aplicaciones Win32". learn.microsoft.com . Consultado el 14 de mayo de 2023 .
  7. ^ "Ejecución de inicio automático de arranque o inicio de sesión: DLL auxiliar de Winlogon, subtécnica T1547.004 - Enterprise | MITRE ATT&CK®". attack.mitre.org . Consultado el 14 de mayo de 2023 .
  8. ^ Warren, Tom (25 de septiembre de 2020). "Filtraciones en línea del código fuente de Windows XP". The Verge . Consultado el 27 de septiembre de 2020 .

Enlaces externos