当前位置:首页 >> 操作系统 >> WinXP >> 内容

XP系统登陆原理及其验证机制概述

时间:2010-9-10 12:59:00 栏目:WinXP 点击: 来源:不详

 [WinXP]-本文简要:平常我们在使用WindowsXP时,总是要先进行登录。WindowsXP的登录验证机制和原理都要比Windows98严格并复杂得多,不会再出现按“取消”按钮就能进入系统的丑事(可以通过修改注册表来禁止)。理解并掌握WindowsXP的登录验证机制和原理对我们来说很重要,能增强对系统安全的认识,并能够...

D6电脑网 (d6pc.com): XP系统登陆原理及其验证机制概述-WinXP
平常我们在使用WindowsXP时,总是要先进行登录。WindowsXP的登录验证机制和原理都要比Windows98严格并复杂得多,不会再出现按“取消”按钮就能进入系统的丑事(可以通过修改注册表来禁止)。理解并掌握WindowsXP的登录验证机制和原理对我们来说很重要,能增强对系统安全的认识,并能够有效预防、解决黑客和病毒的入侵。

  一、了解WindowsXP的几种登录类型

  1、交互式登录

  交互式登录是我们平常最常见类型,就是用户通过相应的用户帐号(User Account)和密码在本机进行登录。有些网友认为“交互式登录”就是“本地登录”,其实这是错误的。“交互式登录”还包括“域帐号登录”,而“本地登录”仅限于“本地帐号登录”,详细讲解请参看下文。

  这里有必要提及的是,通过终端服务和远程桌面登录主机,可以看作“交互式登录”,其验证的原理是一样的。

  在交互式登录时,系统会首先检验登录的用户帐号类型,是本地用户帐号(Local User Account),还是域用户帐号(Domain User Account),再采用相应的验证机制。因为不用的用户帐号类型,其处理方法也不同。

  ◇ 本地用户帐号

  采用本地用户帐号登录,系统会通过存储在本机SAM数据库中的信息进行验证。所以也就为什么Windows2000忘记Administrator密码时可以删除SAM文件的方法来解决。不过对于WindowsXP则不可以,可能是出于安全方面考虑吧。用本地用户帐号登录后,只能访问到具有访问权限的本地资源。(图1)

  

图一

  ◇域用户帐号

  采用域用户帐号登录,系统则通过存储在域控制器的活动目录中的数据进行验证。如果该用户帐号有效,则登录后可以访问到整个域中具有访问权限的资源。

  小提示:如果计算机加入域以后,登录对话框就会显示“登录到:”项目,可以从中选择登录到域还是登录到本机。

  2、网络登录

  如果计算机加入到工作组或域,当要访问其他计算机的资源时,就需要“网络登录”了。如图2,当要登录名称为Heelen的主机时,输入该主机的用户名称和密码后进行验证。这里需要提醒的是,输入的用户帐号必须是对方主机上的,而非自己主机上的用户帐号。因为进行网络登录时,用户帐号的有效性是由受访主机进行的。
  

图二

  3、服务登录

  服务登录是一种特殊的登录方式。平时,系统启动服务和程序时,都是先以某些用户帐号进行登录后运行的,这些用户帐号可以是域用户帐号、本地用户帐号或SYSTEM帐号。采用不同的用户帐号登录,其对系统的访问、控制权限也不同,而且,用本地用户帐号登录,只能访问到具有访问权限的本地资源,不能访问到其他计算机上的资源,这点和“交互式登录”类似。

  从图3的任务管理器中可以看到,系统的进程所使用的帐号是不同的。当系统启动时,一些基与Win32的服务会被预先登录到系统上,从而实现对系统的访问和控制。运行services.msc,可以设置这些服务。正是系统服务有着举足轻重的地位,它们一般都以SYSTEM帐号登录的,对系统有绝对的控制权限,所以很多病毒和木马也争着加入这个贵族中。除了SYSTEM,有些服务还以Local Service和Network Service这两个帐号登录。而在系统初始化后,用户运行的一切程序都是以用户本身帐号登录的。
  

图三

  从上面讲到的原理不难看出,为什么很多电脑文章告诉一般用户,平时使用计算机时要以Users组的用户登录,因为即使运行了病毒、木马程序,由于受到登录用户帐号相应的权限限制,最多也只能破坏属于用户本身的资源,而对维护系统安全和稳定性的重要信息无破坏性。

  4、批处理登录

  批处理登录一般用户很少用到,通常被执行批处理操作的程序所使用。在执行批处理登录时,所用帐号要具有批处理工作的权利,否则不能进行登录。

  平常我们接触最多的是“交互式登录”,所以下面笔者讲为大家详细讲解“交互式登录”的原理。

本新闻共4页,当前在第1页  1  2  3  4  

二、交互式登录,系统用了哪些组件

  1、winlogon.exe

  winlogon.exe是“交互式登录”时最重要的组件,它是一个安全进程,负责如下工作:

  ◇加载其他登录组件。

  ◇提供同安全相关的用户操作图形界面,以便用户能进行登录或注销等相关操作。

  ◇根据需要,同GINA发送必要信息。

  2、GINA


  6、KDC接收到数据后,利用自己的密钥对请求中的时间标记进行解密,通过解密的时间标记是否正确,就可以判断用户是否有效。

  7、如果用户有效,KDC将向用户发送一个TGT(Ticket-Granting Ticket——票据授予票据)。该TGT(AS_REP)将用户的密钥进行解密,其中包含会话密钥、该会话密钥指向的用户名称、该票据的最大生命期以及其他一些可能需要的数据和设置等。用户所申请的票据在KDC的密钥中被加密,并附着在AS_REP中。在TGT的授权数据部分包含用户帐号的SID以及该用户所属的全局组和通用组的SID。注意,返回到LSA的SID包含用户的访问令牌。票据的最大生命期是由域策略决定的。如果票据在活动的会话中超过期限,用户就必须申请新的票据。

  8、当用户试图访问资源时,客户系统使用TGT从域控制器上的Kerberos TGS请求服务票据(TGS_REQ)。然后TGS将服务票据(TGS_REP)发送给客户。该服务票据是使用服务器的密钥进行加密的。同时,SID被Kerberos服务从TGT复制到所有的Kerberos服务包含的子序列服务票据中。

  9、客户将票据直接提交到需要访问的网络服务上,通过服务票据就能证明用户的标识和针对该服务的权限,以及服务对应用户的标识。

  七、我要偷懒——设置自动登录

  为了安全起见,平时我们进入WindowsXP时,都要输入帐号和密码。而一般我们都是使用一个固定的帐号登录的。面对每次烦琐的输入密码,有的朋友干脆设置为空密码或者类似“123”等弱口令,而这些帐号也多数为管理员帐号。殊不知黑客用一般的扫描工具,很容易就能扫描到一段IP段中所有弱口令的计算机。

  所以,还是建议大家要把密码尽量设置得复杂些。如果怕麻烦,可以设置自动登录,不过自动登录也是很不安全的。因为自动登录意味着能直接接触计算机的人都能进入系统;另一方面,帐号和密码是明文保存在注册表中的,所以任何人,只要具有访问注册表的权限,都可以通过网络查看。因此如果要设置登录,最好不要设置为管理员帐号,可以设置为USERS组的用户帐号。设置自动登录的方法是:运行“control userpasswords2”,(如图6)
  

图六


  在“用户帐户”窗口中取消“要使用本机,用户必须输入用户名和密码”选项,确定后会出现一个对话框,输入要自动登录的帐号和密码即可。注意,这里不对密码进行验证,用户要确保密码和帐号的正确性。

本新闻共4页,当前在第4页  1  2  3  4  




D6电脑网|电脑学习,电脑维修,电脑技术网;
设电脑学习,电脑入门,电脑技术,电脑教程,电脑维修,硬件知识,
网页设计建站,桌面壁纸,主题下载,WIN7下载,常用软件下载等栏目。感谢您的支持!
栏目:WinXP 作者:佚名 来源:不详
共有评论 0相关评论
发表我的评论
  • 大名:
  • 内容:
网友推荐
链接申请
  • D6电脑网(www.d6pc.com) © 2018 版权所有 All Rights Reserved.
  • 本站为纯技术学习交流型网站,部分资源来源网络,仅供学习交流,版权归原作者,本站仅为转载,如有侵犯您的利益请联系我们删除.谢谢!
    关于D6电脑学习网 广告合作 419807867@QQ.COM 联系站长 网站地图 粤ICP备09035016号
  • 摆脱浅薄和低俗的最好办法就是学习,我们加油!D6PC! V3.0