Купить книгу на OZON.ru

После того, как начнется вторая фаза загрузки и будет запущен процесс winlogon.exe, перед пользователем (если того требует операционная система) отобразится диалог для ввода пароля и учетной записи пользователя, от имени которого будет выполнен процесс входа в операционную систему.

Однако перед отображением данного диалога процесс winlogon.exe выполняет ряд дополнительных действий.

• Открывает интерактивный объект WindowStation (\Windows\WindowStations\WinSta0). Данный объект будет представлять клавиатуру, мышь и монитор.
• Открывает рабочий стол приложения (\Windows\WindowStations\WinSta0\Default) и безопасный рабочий стол (\Windows\WindowStations\WinSta0\Winlogon).
• Устанавливает LPC-соединение с lsass.exe.

  Процесс lsass.exe является подсистемой локальной аутентификации, которая отвечает за политику безопасности в локальной системе и управляет учетными записями пользователей, паролями, группами и аудитом.

• Резервирует комбинацию SAS (комбинацию клавиш CTRL+ALT+DEL) за собой.

В диалоге ввода пароля и учетной записи пользователя отображается список всех учетных записей пользователей, от имени которых можно выполнить вход в операционную систему. Не всегда список этих записей соответствует списку всех учетных записей, зарегистрированных в операционной системе.

Можно запретить отображение определенных учетных записей в диалоге входа в операционную систему. Для этого достаточно воспользоваться ветвью реестра HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList. Содержимое данной ветви реестра определяет учетные записи пользователей, которые будут отображаться в диалоге приветствия.

Например, чтобы отобразить учетную запись администратора, в этой ветви реестра нужно создать параметр REG_DWORD типа administrator, после чего присвоить ему значение 1.

Также определение того, отображается ли учетная запись в диалоге входа, выполняется при помощи параметра UserDontShowInLogonUI ветви реестра вида HKLM\SAM\SAM\Domains\Account\Users\«номер пользователя».

Процесс winlogon.exe

Процесс winlogon.exe является тем процессом, который управляет механизмом интерактивного входа пользователей в операционную систему (и выхода из нее).

Если значение параметра REG_DWORD типа SyncForegroundPolicy, расположенного в ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows NT\CurrentVersion\Winlogon, равно 1, тогда операционная система, перед завершением выполнения входа пользователя в систему, будет ожидать полной инициализации сети.

Кроме того, процесс winlogon.exe используется во время работы пользователя в системе. Например, именно он перехватывает ввод комбинации клавиш CTRL+ALT+DEL (комбинация SAS) и отображает диалоговое окно безопасности Windows, позволяющее завершить работу операционной системы или запустить диспетчер процессов.

Окно безопасности Windows можно настроить с помощью параметров REG_DWORD типа, расположенных в ветви реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System.

DisableLockWorkstation. Если значение данного параметра равно 1, тогда блокировка работы компьютера будет запрещена.

DisableChangePassword. Если значение данного параметра равно 1, тогда возможность смены пароля при помощи безопасного рабочего стола операционной системы (комбинация клавиш Ctrl+Alt+Del) будет запрещена.

SoftwareSASGeneration. Значение данного параметра позволяет указать категории программного обеспечения, которым можно симулировать ввод специального сочетания клавиш SAS. Если значение данного параметра равно 1, тогда симулирование ввода SAS будет разрешено службам. Если же значение данного параметра равно 2, тогда симулирование будет разрешено приложениям центра специальных возможностей. А если значение данного параметра равно 3, тогда симулирование ввода SAS будет разрешено как службам, так и приложениям центра специальных возможностей.

Некоторые настройки работы процесса winlogon.exe можно изменить.

Также с помощью параметров, расположенных в ветви реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, можно настроить следующие элементы процесса входа в операционную систему (параметры имеют тип REG_DWORD).

ReportControllerMissing. Если значение данного параметра равно 1, тогда операционная система будет уведомлять входящего пользователя о том, что сервер входа в данный момент недоступен, и вход выполняется на основе сохраненных ранее учетных данных. Также данный параметр доступен в ветви корневого раздела HKCU.

VerboseStatus. Если значение данного параметра равно 1, тогда при завершении работы компьютера и при входе пользователя в систему будут отображаться более подробные сведения о выполняемых операционной системой действиях.

DefaultLogonDomain. Данный параметр имеет строковый тип и определяет домен, используемый по умолчанию при входе пользователя в систему.

DisableStartupSound. Если значение данного параметра равно 1, тогда при входе пользователя в систему звук запуска операционной системы воспроизводиться не будет.

HideFastUserSwitching. Если значение данного параметра равно 1, тогда кнопка перехода между пользователями не будет отображаться в меню Пуск и диалоге входа в систему.

LogonType. Если значение данного параметра равно 0, тогда всегда будет отображаться классический диалог входа в систему.

Провайдеры аутентификации

Способ предоставления процессу winlogon.exe пароля от учетной записи зависит от провайдера аутентификации, работу с которым поддерживает операционная система.

Провайдеры локального входа Примерами провайдеров аутентификации могут служить механизмы входа в операционную систему при помощи смарт-карты или пароля, введенного с клавиатуры. По умолчанию используется именно ввод пароля.

Перечень всех локальных провайдеров аутентификации, работу с которыми поддерживает операционная система, хранится в подразделах ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers. Названия этих подразделов определяют GUID-номер провайдера аутентификации, а значения параметров (по умолчанию) данных подразделов определяют «человеческое» название провайдера.

Кроме параметров (по умолчанию) в подразделах провайдеров может присутствовать параметр REG_DWORD типа Disabled. Если значение данного параметра равно 1, тогда вход в операционную систему с помощью соответствующего провайдера будет запрещен.

Например, если создать данный параметр в ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{6f45dc1e-5384-457a-bc13-2cd81b0d28ed}, тогда вход на основе провайдера ввода пароля будет запрещен. При этом в окне входа будет отсутствовать поле, в котором пароль вводится.

Указать CLSID-номера провайдеров аутентификации, использование которых при аутентификации пользователей будет запрещено, можно при помощи параметра строкового типа ExcludedCredentialProviders, расположенного в ветви реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System.

Провайдеры удаленного входа Также в ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication присутствует подраздел PLAP Providers, в котором определяются провайдеры удаленной аутентификации пользователя (точно так же, как и провайдеры локальной аутентификации — в виде подразделов).

Использование конкретных провайдеров удаленной аутентификации также можно запретить при помощи параметра REG_DWORD типа Disabled.

Фильтры провайдеров аутентификации Работа провайдеров аутентификации основана на фильтрах, используемых операционной системой. Список таких фильтром, доступных Windows, хранится в виде подразделов ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters. Названия этих подразделов определяют CLSID-номер фильтра аутентификации.

Вы также можете запретить использование фильтра, если присвоите параметру REG_DWORD типа Disabled, расположенному в подразделе соответствующего фильтра, значение 1.

Предыдущие пользователи

Операционная система Windows Vista хранит сведения о последнем пользователе, который в прошлый раз выполнял вход в систему.

Они находятся в параметрах строкового типа ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI.

• LastLoggedOnProvider. Содержит CLSID-номер провайдера аутентификации, при помощи которого пользователь вошел в операционную систему.
• LastLoggedOnSAMUser. Определяет имя пользователя и домен.
• LastLoggedOnUser. Определяет имя пользователя.

Если значение параметра REG_DWORD типа DisplayLastLogonInfo расположенного в ветви реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, равно 1, тогда при входе пользователя в систему будет отображаться информация о последней успешной и неуспешной попытке входа в операционную систему при помощи текущей учетной записи.

Цвет фона

Можно изменить цвет фона, который будет отображаться перед отображением диалога приветствия. Для этого достаточно воспользоваться параметром строкового типа Background, расположенным в ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

В этом параметре нужно ввести цвет фона (в формате RGB). Например, значение 0 0 0 для черного, или 255 255 255 для белого цвета.

Сообщение

Также существует возможность указания сообщения, которое будет отображаться перед отображением диалога входа в операционную систему. Для этого также применяется ветвь реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в которой нужно создать следующие параметры строкового типа.

Значения данных параметров можно изменить при помощи элементов Интерактивный вход в систему: заголовок сообщения для пользователей при входе в систему и Интерактивный вход в систему: текст сообщения для пользователей при входе в систему подраздела Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Локальные политики/Параметры безопасности оснастки Редактор объектов групповой политики.

• LegalNoticeCaption. Содержит в себе заголовок сообщения, отображаемого перед пользователем.
• LegalNoticeText. Данный параметр имеет тип REG_MULTI_SZ. Он содержит в себе текст сообщения, отображаемого перед пользователем.

Клавиша NumLock

По умолчанию при отображении диалога входа в систему клавиша NUMLOCK отключена. Если же вы используете эту клавишу при вводе пароля, тогда можно настроить операционную систему, чтобы клавиша NUMLOCK при входе в систему по умолчанию всегда была включена.

Для этого достаточно параметру строкового типа InitialKeyboardIndicators, расположенному в ветви реестра HKU\.DEFAULT\Control Panel\Keyboard, присвоить значение 2.

Также данный параметр может принимать следующие значения.

• 0. Все клавиши отключены.
• 1. Клавиша CAPS LOCK включена.
• 2. Клавиша NUM LOCK включена.
• 3. Клавиши CAPS LOCK и NUM LOCK включены.
• 4. Клавиша SCROLL LOCK включена.
• 5. Клавиши CAPS LOCK и SCROLL LOCK включены.
• 6. Клавиши NUM LOCK и SCROLL LOCK включены.
• 7. Клавиши CAPS LOCK, NUM LOCK и SCROLL LOCK включены.

Первый вход в систему

Если пользователь впервые входит в операционную систему, для него, перед отображением оболочки, выполняется настройка пользовательской среды. То есть, выполняется ряд команд, которые добавляют различные значки и включают интерфейс Windows Aero.

Эти команды определяются в параметрах расширенного строкового типа StubPath ветви реестра вида HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\«{GUID компонента}».

Например, по умолчанию таким способом выполняются следующие команды.

• {2C7339CF-2B09-4501-B3F3-F3508C9228ED}. При помощи данного подраздела ветви реестра включается интерфейс Windows Aero. Для этого используется команда regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll.
• {44BBA840-CC51-11CF-AAFA-00AA00B6015C}. При помощи данного подраздела создаются значки программы Почта Windows. Для этого используется команда "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE.
• {6BF52A52-394A-11d3-B153-00C04F79FAA6}. При помощи данного подраздела создаются значки проигрывателя Windows Media. Для этого используется команда %SystemRoot%\system32\unregmp2.exe /FirstLogon /Shortcuts /RegBrowsers /ResetMUI.
• {89820200-ECBD-11cf-8B85-00AA005B4340}. При помощи данного подраздела выполняется обновление рабочего стола Windows. Для этого используется команда regsvr32.exe /s /n /i:U shell32.dll.
• {89820200-ECBD-11cf-8B85-00AA005B4383}. При помощи данного подраздела создаются значки браузера Internet Explorer. Для этого используется команда %systemroot%\system32\ie4uinit.exe –BaseSettings.
• {89B4C1CD-B018-4511-B0A1-5476DBF70820}. При помощи данного подраздела выполняется настройка среды .NET. Для этого используется команда rundll32.exe mscories.dll,Install.

Оснастка Редактор объектов групповой политики

Некоторые настройки процесса входа пользователя в операционную систему можно настроить при помощи элементов подраздела КОНФИГУРАЦИЯ КОМПЬЮТЕРА/КОНФИГУРАЦИЯ WINDOWS/ПАРАМЕТРЫ БЕЗОПАСНОСТИ/ЛОКАЛЬНЫЕ ПОЛИТИКИ/ПАРАМЕТРЫ БЕЗОПАСНОСТИ оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ.

Подраздел Winlogon

Элементы данного подраздела изменяют параметры REG_DWORD типа ветви HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

ForceUnlockLogon Значение данного параметра изменяется при помощи элемента ИНТЕРАКТИВНЫЙ ВХОД В СИСТЕМУ: ТРЕБОВАТЬ ПРОВЕРКИ НА КОНТРОЛЛЕРЕ ДОМЕНА ДЛЯ ОТМЕНЫ БЛОКИРОВКИ КОМПЬЮТЕРА.

Данный параметр определяет, сможет ли пользователь разблокировать работу компьютера при помощи кэшированных учетных данных, или всегда необходимо проверять введенные учетные данные пользователя на контроллере домена.

PasswordExpiryWarning Значение данного параметра изменяется при помощи элемента ИНТЕРАКТИВНЫЙ ВХОД В СИСТЕМУ: НАПОМИНАТЬ ПОЛЬЗОВАТЕЛЯМ ОБ ИСТЕЧЕНИИ СРОКА ДЕЙСТВИЯ ПАРОЛЯ ЗАРАНЕЕ.

Данный параметр содержит в себе количество дней до обязательной смены пароля пользователя, при котором при каждом входе пользователя в систему начнется вывод сообщения с просьбой сменить пароль.

По умолчанию значение данного параметра равно 0хE.

ScRemoveOption Данный параметр имеет строковый тип. Значение данного параметра изменяется при помощи элемента ИНТЕРАКТИВНЫЙ ВХОД В СИСТЕМУ: ПОВЕДЕНИЕ ПРИ ИЗВЛЕЧЕНИИ СМАРТ-КАРТЫ.

Данный параметр определяет действие, которое будет происходить в том случае, если пользователь извлечет из устройства считывания смарт-карту, при помощи которой был выполнен вход в операционную систему (на которой находится сертификат учетной записи пользователя). Он может принимать следующие значения.

• 0. Нет действия.
• 1. Блокировка рабочей станции.
• 2. Принудительный выход из системы.
• 3. Отключение в случае удаленного сеанса служб терминалов.

CachedLogonsCount Данный параметр имеет строковый тип. Значение данного параметра изменяется при помощи элемента ИНТЕРАКТИВНЫЙ ВХОД В СИСТЕМУ: КОЛИЧЕСТВО ПРЕДЫДУЩИХ ПОДКЛЮЧЕНИЙ К КЭШУ (В СЛУЧАЕ ОТСУТСТВИЯ ДОСТУПА К КОНТРОЛЛЕРУ ДОМЕНА).

Данный параметр определяет максимальное количество пользователей, атрибуты входа которых могут храниться локально в кэше операционной системы.

Если атрибуты пользователя хранятся в кэше операционной системы, от его имени можно будет войти в систему даже в том случае, если контроллер домена Active Directory недоступен. В этом случае будет отображаться сообщение о недоступности контроллера домена и предложение войти при помощи кэшированных учетных данных.

По умолчанию значение данного параметра равно 10.

Подраздел System

Также с помощью данного подраздела оснастки РЕДАКТОР ОБЪЕКТОВ ГРУППОВОЙ ПОЛИТИКИ можно изменить значения параметров REG_DWORD типа ветви реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System.

• DisableCAD. Значение данного параметра изменяется при помощи элемента ИНТЕРАКТИВНЫЙ ВХОД В СИСТЕМУ: НЕ ТРЕБОВАТЬ НАЖАТИЯ CTRL+ALT+DEL.
• DontDisplayLastUserName. Значение данного параметра изменяется при помощи элемента ИНТЕРАКТИВНЫЙ ВХОД В СИСТЕМУ: НЕ ОТОБРАЖАТЬ ПОСЛЕДНЕЕ ИМЯ ПОЛЬЗОВАТЕЛЯ.
• ScForceOption. Значение данного параметра изменяется при помощи элемента ИНТЕРАКТИВНЫЙ ВХОД В СИСТЕМУ: ТРЕБОВАТЬ СМАРТ-КАРТУ.

  Если значение данного параметра равно 1, тогда вход в систему будет возможен только при помощи смарт-карты с сертификатом пользователя.

• ShutdownWithoutLogon. Значение данного параметра изменяется при помощи элемента ЗАВЕРШЕНИЕ РАБОТЫ: РАЗРЕШИТЬ ЗАВЕРШЕНИЕ РАБОТЫ СИСТЕМЫ БЕЗ ВЫПОЛНЕНИЯ ВХОДА В СИСТЕМУ.
• UndockWithoutLogon. Значение данного параметра изменяется при помощи элемента УСТРОЙСТВА: РАЗРЕШАТЬ ОТСТЫКОВКУ БЕЗ ВХОДА В СИСТЕМУ.

  Данный параметр определяет, можно ли выполнить отстыковку портативного компьютера от док-станции при помощи специальной кнопки док-станции, если ни один пользователь не вошел в операционную систему.

Продолжение следует