6.5.9. 身份认证

6.5.9.1. SID

  • Windows使用SID来唯一表示安全主体 ,包括用户和组。Windows NT 6.x中, 系统服务也有SID标识。

  • 查看账户的SID
    • whoami / user

    • PsGetSid

    • user2sid

  • 从Windows Vista/Server 2008(NT 6.0)开始,每个服务程序都 有自己的SID,而账户的名称则为“NT SERVICE<服务名称>”

  • 查看服务SID及其账户名称
    • sc.exe showsid <service name>

    • psgetsid <sid>

6.5.9.2. 相关程序

6.5.9.2.1. Winlogon

  • 可信任的进程,负责管理与安全有关的用户交互
    • 协调登录过程,在登录时启动用户的第一个进程,处理注销过程,以管理其他各种与安全有关的操作,包括在登录时输入口令、更改口令、锁住/解锁工作站等。

    • 创建可用的桌面。

    • 向操作系统注册一个安全维护序列(SAS, Secure Attention Sequence),默认为Ctrl+Alt+Delete。

    • 维护工作站状态。

    • 实现超时处理。

  • 向GINA发送事件通知消息,提供可供GINA调用的各种接口函数。

  • 保证其操作对其他进程不可见,从而防止登录密码等信息被截获。

6.5.9.2.2. GINA动态链接库

  • 提供了Winlogon用户标识和验证用户的输出函数。
    • WlxActivateUserShell、WlxDisplaySASNotice、WlxInitialize、WlxLoggedOnSAS、WlxLoggedOutSAS、WlxLogoff、WlxNegotiate、WlxScreenSaverNotify、WlxShutdown、WlxStartApplication、WlxWkstaLockedSAS

  • 微软提供的GINA是MSGINA.dll,但允许被用户替换来自行定 制系统的用户识别和身份验证。
    • [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon] “GinaDLL”=”ginadll.dll”

6.5.9.2.3. 身份验证程序包

  • 身份验证程序包的任务
    • 验证用户;

    • 为用户新建LSA登录会话;

    • 返回绑定到用户安全令牌中的SID。

  • 身份验证程序包位于DLL动态链接库中
    • 在系统启动期间被LSA所链接,接受输入的登录证书,通过验证 程序决定是否允许用户登录。

  • Windows安装的身份验证程序包
    • 独立(工作组)环境:MSV1_0, %SystemRoot%System32Msv1_0.dll

    • 域环境:Kerberos, %SystemRoot%System32Kerberos.dll

6.5.9.2.4. LogonUI

LogonUI,Logon user interface,登录用户接口

  • 为了保护Winlogon进程不崩溃,LogonUI由Winlogon按需启动,真正加载Credential provider,为用户提供验证身份的图形化界面。

  • LogonUI是用户模式下的进程,即 %SystemRoot%System32LogonUI.exe

6.5.9.2.5. CP

CP,Credential provider,凭证提供者

  • Credential provider是运行在LogonUI进程内的COM对象, 位于一些DLL文件中(触发SAS热键后由Winlogon按需启动 ),用来获取用户的用户名、密码、智能卡PIN码或者生物数据(比如指纹、视网膜信息)

  • 标准的CP是 %SystemRoot%System32authui.dll 和 %SystemRoot%System32SmartcardCredentialProvider.dll.