图4

在Winlogon注册了SAS后，就调用GINA生成3个桌面系统，在用户需要的时候使用，它们分别为：

◇Winlogon桌面 用户在进入登录界面时，就进入了Winlogon桌面。而我们看到的登录对话框，只是GINA负责显示的。

如果用户取消以“欢迎屏幕”方式登录，在进入Windows XP中任何时候按下“Ctrl-Alt-Delete”，都会激活Winlogon桌面，并显示图5的“Windows安全”对话框（注意，Winlogon桌面并不等同对话框，对话框只是Winlogon调用其他程序来显示的）。

图5

◇用户桌面 用户桌面就是我们日常操作的桌面，它是系统最主要的桌面系统。用户需要提供正确的账号和密码，成功登录后才能显示“用户桌面”。而且，不同的用户，Winlogon会根据注册表中的信息和用户配置文件来初始化用户桌面。

◇屏幕保护桌面 屏幕保护桌面就是屏幕保护，包括“系统屏幕保护”和“用户屏幕保护”。在启用了“系统屏幕保护”的前提下，用户未进行登录并且长时间无操作，系统就会进入“系统屏幕保护”；而对于“用户屏幕保护”来说，用户要登录后才能访问，不同的用户可以设置不同的“用户屏幕保护”。

四、想登录，也要过GINA这一关

在“交互式登录”过程中，Winlogon调用了GINA组文件，把用户提供的账号和密码传达给GINA，由GINA负责对账号和密码的有效性进行验证，然后把验证结果反馈给Winlogon程序。在与Winlogon.exe对话时，GINA会首先确定Winlogon.exe的当前状态，再根据不同状态来执行不同的验证工作。通常Winlogon.exe有三种状态：

1． 已登录状态

顾名思义，用户在成功登录后，就进入了“已登录状态”。在此状态下，用户可以执行有控制权限的任何操作。

2． 已注销状态

用户在已登录状态下，选择“注销”命令后，就进入了“已注销状态”，并显示Winlogon桌面，而由GINA负责显示登录对话框或欢迎屏幕。

3． 已锁定状态

当用户按下“Win+L”键锁定计算机后，就进入了“已锁定状态”。在此状态下，GINA负责显示可供用户登录的对话框。此时用户有两种选择，一种是输入当前用户的密码返回“已登录状态”，另一种是输入管理员账号和密码，返回“已注销状态”，但原用户状态和未保存数据丢失。

五、登录到本机的过程

1. 用户首先按Ctrl+Alt+Del组合键。

2. Winlogon检测到用户按下SAS键，就调用GINA，由GINA显示登录对话框，以便用户输入账号和密码。

3. 用户输入账号和密码，确定后，GINA把信息发送给LSA进行验证。

4. 在用户登录到本机的情况下，LSA会调用Msv1_0.dll这个验证程序包，将用户信息处理后生成密钥，同SAM数据库中存储的密钥进行对比。

5. 如果对比后发现用户有效，SAM会将用户的SID（Security Identifier——安全标识），用户所属用户组的SID，和其他一些相关信息发送给LSA。

6. LSA将收到的SID信息创建安全访问令牌，然后将令牌的句柄和登录信息发送给Winlogon.exe。

7. Winlogon.exe对用户登录稍作处理后，完成整个登录过程。

六、登录到域的过程

登录到域的验证过程，对于不同的验证协议也有不同的验证方法。如果域控制器是Windows NT 4.0，那么使用的是NTLM验证协议，其验证过程和前面的“登录到本机的过程”差不多，区别就在于验证账号的工作不是在本地SAM数据库中进行，而是在域控制器中进行；而对于Windows 2000和Windows 2003域控制器来说，使用的一般为更安全可靠的Kerberos V5协议。通过这种协议登录到域，要向域控制器证明自己的域账号有效，用户需先申请允许请求该域的TGS（Ticket-Granting Service——票据授予服务）。获准之后，用户就会为所要登录的计算机申请一个会话票据，最后还需申请允许进入那台计算机的本地系统服务。

上一页  [1] [2] [3] [4] 下一页