6.5.9. 身份认证

6.5.9.1. SID

• Windows使用SID来唯一表示安全主体 ，包括用户和组。Windows NT 6.x中， 系统服务也有SID标识。

• 查看账户的SID

  • whoami / user

  • PsGetSid

  • user2sid

• 从Windows Vista/Server 2008(NT 6.0)开始，每个服务程序都 有自己的SID，而账户的名称则为“NT SERVICE<服务名称>”

• 查看服务SID及其账户名称

  • sc.exe showsid <service name>

  • psgetsid <sid>

6.5.9.2. 相关程序

6.5.9.2.1. Winlogon

• 可信任的进程，负责管理与安全有关的用户交互

  • 协调登录过程，在登录时启动用户的第一个进程，处理注销过程，以管理其他各种与安全有关的操作，包括在登录时输入口令、更改口令、锁住/解锁工作站等。

  • 创建可用的桌面。

  • 向操作系统注册一个安全维护序列(SAS, Secure Attention Sequence)，默认为Ctrl+Alt+Delete。

  • 维护工作站状态。

  • 实现超时处理。

• 向GINA发送事件通知消息，提供可供GINA调用的各种接口函数。

• 保证其操作对其他进程不可见，从而防止登录密码等信息被截获。

6.5.9.2.2. GINA动态链接库

• 提供了Winlogon用户标识和验证用户的输出函数。

  • WlxActivateUserShell、WlxDisplaySASNotice、WlxInitialize、WlxLoggedOnSAS、WlxLoggedOutSAS、WlxLogoff、WlxNegotiate、WlxScreenSaverNotify、WlxShutdown、WlxStartApplication、WlxWkstaLockedSAS

• 微软提供的GINA是MSGINA.dll，但允许被用户替换来自行定 制系统的用户识别和身份验证。

  • [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon] “GinaDLL”=”ginadll.dll”

6.5.9.2.3. 身份验证程序包

• 身份验证程序包的任务

  • 验证用户；

  • 为用户新建LSA登录会话；

  • 返回绑定到用户安全令牌中的SID。

• 身份验证程序包位于DLL动态链接库中

  • 在系统启动期间被LSA所链接，接受输入的登录证书，通过验证 程序决定是否允许用户登录。

• Windows安装的身份验证程序包

  • 独立(工作组)环境：MSV1_0， %SystemRoot%System32Msv1_0.dll

  • 域环境：Kerberos， %SystemRoot%System32Kerberos.dll

6.5.9.2.4. LogonUI

LogonUI，Logon user interface，登录用户接口

• 为了保护Winlogon进程不崩溃，LogonUI由Winlogon按需启动，真正加载Credential provider，为用户提供验证身份的图形化界面。

• LogonUI是用户模式下的进程，即 %SystemRoot%System32LogonUI.exe

6.5.9.2.5. CP

CP，Credential provider，凭证提供者

• Credential provider是运行在LogonUI进程内的COM对象， 位于一些DLL文件中(触发SAS热键后由Winlogon按需启动 )，用来获取用户的用户名、密码、智能卡PIN码或者生物数据(比如指纹、视网膜信息)

• 标准的CP是 %SystemRoot%System32authui.dll 和 %SystemRoot%System32SmartcardCredentialProvider.dll.