交互式登錄　　交互式登錄是我們平常登錄時最常見的類型，就是用戶通過相應(yīng)的用戶賬號(UserAccount)和密碼在本機(jī)進(jìn)行登錄，

交互式登錄

。有些網(wǎng)友認(rèn)為“交互式登錄”就是“本地登錄”，其實這是錯誤的�！敖换ナ降卿洝边�包括“域賬號登錄”，而“本地登錄”僅限于“本地賬號登錄”�！　∵@里有必要提及的是，通過終端服務(wù)和遠(yuǎn)程桌面登錄主機(jī)，可以看做“交互式登錄”，其驗證的原理是一樣的�！　≡诮换ナ降卿洉r，系統(tǒng)會首先檢驗登錄的用戶賬號類型，是本地用戶賬號(LocalUserAccount)，還是域用戶賬號(DomainUserAccount)，再采用相應(yīng)的驗證機(jī)制。因為不同的用戶賬號類型，其處理方法也不同�！　　蟊镜赜脩糍~號　　采用本地用戶賬號登錄，系統(tǒng)會通過存儲在本機(jī)SAM數(shù)據(jù)庫中的信息進(jìn)行驗證。所以也就是為什么Windows2000忘記Administrator密碼時可以用刪除SAM文件的方法來解決。不過對于WindowsXp則不可以，可能是出于安全方面的考慮吧。用本地用戶賬號登錄后，只能訪問到具有訪問權(quán)限的本地資源。（圖1）　　◇域用戶賬號　　采用域用戶賬號登錄，系統(tǒng)則通過存儲在域控制器的活動目錄中的數(shù)據(jù)進(jìn)行驗證。如果該用戶賬號有效，則登錄后可以訪問到整個域中具有訪問權(quán)限的資源。　　小提示：如果計算機(jī)加入域以后，登錄對話框就會顯示“登錄到：”項目，可以從中選擇登錄到域還是登錄到本機(jī)。交互式登錄，系統(tǒng)用了哪些組件　　1．Winlogon．exe　　Winlogon.exe是“交互式登錄”時最重要的組件，它是一個安全進(jìn)程，負(fù)責(zé)如下工作：　　◇加載其他登錄組件�！　　筇峁┩�安全相關(guān)的用戶操作圖形界面，以便用戶能進(jìn)行登錄或注銷等相關(guān)操作�！　　蟾鶕�(jù)需要，同GINA發(fā)送必要信息�！　�2．GINA　　GINA的全稱為“GraphicalIdentificationandAuthentication”――圖形化識別和驗證。它是幾個動態(tài)數(shù)據(jù)庫文件，被Winlogon.exe所調(diào)用，為其提供能夠?qū)τ脩羯矸葸M(jìn)行識別和驗證的函數(shù)，并將用戶的賬號和密碼反饋給Winlogon.exe。在登錄過程中，“歡迎屏幕”和“登錄對話框”就是GINA顯示的。　　一些主題設(shè)置軟件，例如StyleXp，可以指定Winlogon.exe加載商家自己開發(fā)的GINA，從而提供不同的WindowsXp的登錄界面。由于這個可修改性，現(xiàn)在出現(xiàn)了盜取賬號和密碼的木馬�！　∫环N是針對“歡迎屏幕”登錄方式的木馬，它模擬了WindowsXp的歡迎界面。當(dāng)用戶輸入密碼后，就被木馬程序所獲取，而用戶卻全然不知。所以建議大家不要以歡迎屏幕來登錄，且要設(shè)置“安全登錄”�！　×硪环N是針對登錄對話框的GINA木馬，其原理是在登錄時加載，以盜取用戶的賬號和密碼，然后把這些信息保存到%systemroot%\system32下的WinEggDrop.dat中。該木馬會屏蔽系統(tǒng)以“歡迎屏幕”方式登錄和“用戶切換”功能，也會屏蔽“Ctrl-Alt-Delete”的安全登錄提示，

電腦資料

《交互式登錄》(http://www.lotusphilosophies.com)�！　∮脩粢膊挥锰珦�(dān)心被安裝了GINA木馬，筆者在這里提供解決方案給大家參考：　　◇正所謂“解鈴還需系鈴人”，要查看自己電腦是否安裝過GINA木馬，可以下載一個GINA木馬程序，然后運行InstGina-view，可以查看系統(tǒng)中GinaDLL鍵值是否被安裝過DLL，主要用來查看系統(tǒng)是否被人安裝了Gina木馬作為登錄所用。如果不幸被安裝了GINA木馬，可以運行InstGina-Remove來卸載它�！　�3．LSA服務(wù)　　LSA的全稱為“LocalSecurityAuthority”――本地安全授權(quán)，Windows系統(tǒng)中一個相當(dāng)重要的服務(wù)，所有安全認(rèn)證相關(guān)的處理都要通過這個服務(wù)。它從Winlogon.exe中獲取用戶的賬號和密碼，然后經(jīng)過密鑰機(jī)制處理，并和存儲在賬號數(shù)據(jù)庫中的密鑰進(jìn)行對比，如果對比的結(jié)果匹配，LSA就認(rèn)為用戶的身份有效，允許用戶登錄計算機(jī)。如果對比的結(jié)果不匹配，LSA就認(rèn)為用戶的身份無效。這時用戶就無法登錄計算機(jī)。　　怎么看這三個字母有些眼熟？對了，這個就是和前陣子鬧得沸沸揚揚的“震蕩波”扯上關(guān)系的服務(wù)�！罢鹗幉ā比湎x就是利用LSA遠(yuǎn)程緩沖區(qū)溢出漏洞而獲得系統(tǒng)最高權(quán)限SYSTEM來攻擊電腦的。解決的方法網(wǎng)上很多資料，這里就不多講了�！　�4．SAM數(shù)據(jù)庫　　SAM的全稱為“SecurityAccountManager”――安全賬號管理器，是一個被保護(hù)的子系統(tǒng)，它通過存儲在計算機(jī)注冊表中的安全賬號來管理用戶和用戶組的信息。我們可以把SAM看成一個賬號數(shù)據(jù)庫。對于沒有加入到域的計算機(jī)來說，它存儲在本地，而對于加入到域的計算機(jī)，它存儲在域控制器上。　　如果用戶試圖登錄本機(jī)，那么系統(tǒng)會使用存儲在本機(jī)上的SAM數(shù)據(jù)庫中的賬號信息同用戶提供的信息進(jìn)行比較；如果用戶試圖登錄到域，那么系統(tǒng)會使用存儲在域控制器中上的SAM數(shù)據(jù)庫中的賬號信息同用戶提供的信息進(jìn)行比較。　　5．NetLogon服務(wù)　　NetLogon服務(wù)主要和NTLM（NTLANManager，WindowsNT4.0的默認(rèn)驗證協(xié)議）協(xié)同使用，用戶驗證WindowsNT域控制器上的SAM數(shù)據(jù)庫上的信息同用戶提供的信息是否匹配。NTLM協(xié)議主要用于實現(xiàn)同WindowsNT的兼容性而保留的�！　�6．KDC服務(wù)　　KDC（KerberosKeyDistributionCenter――Kerberos密鑰發(fā)布中心）服務(wù)主要同Kerberos認(rèn)證協(xié)議協(xié)同使用，用于在整個活動目錄范圍內(nèi)對用戶的登錄進(jìn)行驗證。如果你確保整個域中沒有WindowsNT計算機(jī)，可以只使用Kerberos協(xié)議，以確保最大的安全性。該服務(wù)要在ActiveDirectory服務(wù)啟動后才能啟用。　　7．ActiveDirectory服務(wù)　　如果計算機(jī)加入到Windows2000或Windows2003域中，則需啟動該服務(wù)以對ActiveDirectory（活動目錄）功能的支持。