Winlogon - Winlogon

Cuadro de diálogo clásico "Iniciar sesión" en Windows XP

Pantalla de pre-inicio de sesión de Windows 8 , que requiere que el usuario presione Ctrl + Alt + Suprimir

En informática, Winlogon (Windows Logon) es el componente de los sistemas operativos Microsoft Windows que es responsable de manejar la secuencia de atención segura , cargar el perfil de usuario al iniciar sesión y, opcionalmente, bloquear la computadora cuando se está ejecutando un protector de pantalla (que requiere otro paso de autenticación). La obtención y verificación reales de las credenciales de usuario se deja a otros componentes. Winlogon es un objetivo común de varias amenazas que podrían modificar su función y uso de memoria. Un mayor uso de memoria para este proceso puede indicar que ha sido "secuestrado". En Windows Vista y sistemas operativos posteriores, los roles y responsabilidades de Winlogon han cambiado significativamente.

Descripción general

Winlogon maneja funciones de interfaz que son independientes de la política de autenticación. Crea los escritorios para la estación de ventana , implementa operaciones de tiempo de espera y, en versiones de Windows anteriores a Windows Vista , proporciona un conjunto de funciones de soporte para GINA y asume la responsabilidad de configurar la política de grupo de la máquina y el usuario .

Winlogon también comprueba si la copia de Windows es una licencia legítima a partir de Windows XP y versiones posteriores.

Winlogon tiene las siguientes responsabilidades:

• Estación de ventana y protección de escritorio

Winlogon establece la protección de la estación de ventana y los escritorios correspondientes para garantizar que se pueda acceder correctamente a cada uno. En general, esto significa que el sistema local tendrá acceso completo a estos objetos y que un usuario que haya iniciado sesión de forma interactiva tendrá acceso de lectura al objeto de estación de ventana y acceso completo al objeto de escritorio de la aplicación.

• Reconocimiento SAS estándar

Winlogon tiene enlaces especiales en el servidor User32 que le permiten monitorear los eventos de secuencia de atención segura (SAS) Control-Alt-Delete . Winlogon pone esta información de eventos SAS a disposición de las GINA para que la utilicen como su SAS o como parte de su SAS. En general, las GINA deben monitorear las SAS por sí mismas; sin embargo, cualquier GINA que tenga el estándar + + SAS como uno de los SAS que reconozca debe usar el soporte de Winlogon provisto para este propósito. CtrlAltDel

• Despacho de rutina SAS

Cuando Winlogon encuentra un evento SAS o cuando GINA entrega un SAS a Winlogon, Winlogon establece el estado en consecuencia, cambia el escritorio de Winlogon y llama a una de las funciones de procesamiento SAS de GINA.

• Carga de perfil de usuario

Cuando los usuarios inician sesión, sus perfiles de usuario se cargan en el registro. De esta forma, los procesos del usuario pueden utilizar la clave de registro especial HKEY_CURRENT_USER. Winlogon hace esto automáticamente después de un inicio de sesión exitoso, pero antes de la activación del shell para el usuario que acaba de iniciar sesión.

• Asignación de seguridad al shell de usuario

Cuando un usuario inicia sesión, GINA es responsable de crear uno o más procesos iniciales para ese usuario. Winlogon proporciona una función de soporte para que GINA aplique la seguridad del usuario que acaba de iniciar sesión en estos procesos. Sin embargo, la forma preferida de hacerlo es que GINA llame a la función de Windows CreateProcessAsUser y deje que el sistema proporcione el servicio.

• Control de protector de pantalla

Winlogon monitorea la actividad del teclado y el mouse para determinar cuándo activar los protectores de pantalla. Una vez que se activa el protector de pantalla, Winlogon continúa monitoreando la actividad del teclado y el mouse para determinar cuándo terminar el protector de pantalla. Si el protector de pantalla está marcado como seguro, Winlogon trata la estación de trabajo como bloqueada. Cuando hay actividad del mouse o del teclado, Winlogon invoca la función WlxDisplayLockedNotice de GINA y se reanuda el comportamiento de la estación de trabajo bloqueada. Si el protector de pantalla no es seguro, cualquier actividad con el teclado o el mouse termina el protector de pantalla sin notificación a la GINA.

• Soporte de múltiples proveedores de red

Se pueden incluir varias redes instaladas en un sistema Windows en el proceso de autenticación y en las operaciones de actualización de contraseñas. Esta inclusión permite que redes adicionales recopilen información de identificación y autenticación de una sola vez durante el inicio de sesión normal, utilizando el escritorio seguro de Winlogon. Algunos de los parámetros requeridos en los servicios de Winlogon disponibles para las GINA admiten explícitamente estos proveedores de red adicionales.

Ver también

• Lista de componentes de Microsoft Windows
• Arquitectura de la línea del sistema operativo Windows NT
• Vundo , un troyano que se adhiere a winlogon.exe
• getty , un proceso similar en UNIX
• En la filtración del código fuente de Windows XP en septiembre de 2020, Winlogon era la única pieza que faltaba en el código fuente, lo que hacía que el sistema operativo filtrado estuviera incompleto.

Referencias

enlaces externos

• Personalización de GINA - Parte 1 , Tutorial para desarrolladores para escribir una GINA personalizada
• Personalización de GINA - Parte 2 , Tutorial para desarrolladores para escribir una GINA personalizada
• MSKB: 193361 MSGINA.DLL no restablece la estructura de WINLOGON
• Windows Vista y Windows Server 2008: comprensión, mejora y ampliación de la seguridad de un extremo a otro : presentación de Microsoft PowerPoint que incluye información sobre los cambios en Winlogon en Windows Vista y Windows Server 2008