Процесс winlogon в операционной системе windows 2000 активизируется

Укажите признаки классификации ОС:

по назначению, по режиму обработки задач, по способу взаимодействия с системой, по способу построения

Что такое дисциплина диспетчеризации процессов в операционной системе?

правило формирования очереди готовых к выполнению задач

Что такое приоритет в вычислительном процессе ОС?

преимущественное право для отдельной задачи попасть в состояние исполнения

К операционным системам можно отнести?

MS DOS, Windows 95, 98, UNIX, NT, LINUX

Какая дисциплина диспетчеризации процессов в ОС относится к бесприоритетным?

случайный выбор процесса

На какие части разделяется оперативная память при непрерывном распределении?

область операционной системы, область загрузки, свободная область

Какая дисциплина диспетчеризации процессов в ОС относится к вытесняющим?

дисциплина RR

Какая дисциплина диспетчеризации процессов в ОС относится к приоритетным?

адаптивное обслуживание

Что такое вычислительный процесс ОС?

процесс выполнения программы совместно с её данными на процессоре

Что такое ресурс ОС?

абстрактная структура с некоторым набором атрибутов, характеризующих физическое представление и способы доступа

Ресурс ОС выделяется задаче, если …

ресурс свободен, и на него нет запроса от задачи с более высоким приоритетом

В каких состояниях может находиться процесс в ОС?

готовность, выполнение, ожидание

Какое подсостояние процесса в ОС характеризуется отсутствием одного ресурса?

Ожидание

Классифиция ОС по способу построения

микроядерные и монолитные

Укажите критерий, не используемый для сравнения алгоритмов диспетчеризации процессов ОС

время обмена между процессами

Какие методы размещения новой задачи в ОП используются?

в первый подходящий участок, в самый подходящий участок, в самый неподходящий участок

Какой метод относится к разрывному распределению ОП?

Сегментное

Размер страницы при страничном методе распределения оперативной памяти?

4К

Значением какого бита определяется местоположение сегмента/страницы?

бита присутствия

Единицей дискового пространства, используемой ОС, является

кластер

При каком режиме программный модуль приостанавливает работу до завершения операций ввода-вывода?

синхронном режиме

ОС, в которой каждой задаче выделяется квант процессорного времени, – это система

разделения времени

Сколько режимов поддерживает процессор Intel?

4

Укажите временное прекращение процесса, вызванное событием, внешним по отношению к этому процессу

Прерывание

Укажите регистр, который не относится к регистрам общего назначения?

EIP

Укажите регистр, который не относится к сегментным регистрам?

AX

Какова разрядность сегментных регистров?

16

Какой регистр является указателем команды?

EIP

Сколько векторов прерываний помещается в таблице векторов прерываний микропроцессора?

256

Каким регистром определяется положение таблицы векторов прерываний в оперативной памяти?

IDTR

Какая таблица не является системной таблицей ввода-вывода информации в ОС?

LDT

Сколько принципов построения ОС существует?

10

Какой принцип построения ОС обеспечивает способность ОС выполнять программы, написанные для других ОС?

принцип совместимости

Когда появилась первая сетевая операционная система?

В начале 70-х

Что не относится к этапам трансляции программы?

коррекция программного кода

Что такое транслятор?

программа

Между какими системными таблицами ввода-вывода микропроцессора нет прямой связи?

DRT, IT

Сколько основных состояний у процессов?

5

Где находится BIOS?

в постоянно-запоминающем устройстве (ПЗУ)

Укажите команду переименования файла в командной строке ОС Windows:

RENAME

Укажите команду смены текущего каталога в командной строке ОС Windows:

CHDIR

Спул-файл применяется для…

хранения очереди

Что происходит в процессе преобразования текстового файла из кодировки ОС MS DOS в кодировку ОС Windows?

перекодировка символов

Укажите самый нижний уровень в иерархической (многоуровневой) структуре программ, составляющих операционную систему

ядро

Функциональное назначение загрузчика операционной системы?

считывания в память модулей операционной системы io.sys и msdos.sys

Что не относится к функциональным возможностям ОС Windows?

поддержка имен файлов только формата 8.3

Драйверы – это…:

программы для согласования работы внешних и внутренних устройств и компьютера

Какой механизм работает при сегментно-страничном распределении памяти на первом этапе преобразования виртуального адреса в физический?

сегментации

Укажите основное устройство хранения информации.

дисковые накопители

Как называется начальный адрес страницы при распределении данных в памяти?

базовым

Операционные системы для персональных компьютеров являются …

однопользовательскими

Укажите расширение резервного файла

.BAK

Укажите технологию и предоставляемые ею услуги по пересылке и получению электронных сообщений по распределённой компьютерной сети

электронная почта

Кластеры – это блоки данных

используемые поочередно

Время, аппаратные, программные и другие средства, которые могут быть предоставлены вычислительной системой либо ее отдельными компонентами процессу или пользователю, называются …

ресурсами вычислительной системы

Процесс будет выполняться только в том случае, если его …

коды и данные находятся в оперативной памяти компьютера

Модули ОС, загружаемые в оперативную память только на время своего выполнения, называются …

транзитными

Процессы, инициализируемые ОС для выполнения своих функций, называются …

системными

При работе за алфавитно-цифровым терминалом пользователь управляет системой посредством …

прикладных программ

ОС, предоставляющая возможность одновременного доступа к вычислительной системе нескольких пользователей, называется …

многопользовательской

Распространенная однопрограммная однопользовательская ОС компании Microsoft с интерфейсом командной строки называется …

MS DOS

Сетевые операционные системы, в отличие от многопользовательских, позволяют…

организовать распределенное хранение и обработку данных

Укажите компоненты операционной системы

Ядро, загрузчик, интерпретатор, драйверы устройств, интерфейс

Какие специальные файлы используются для размещения данных в буфере?

спул-файлы

Укажите границы диапазона возможных адресов при использовании 32-разрядных виртуальных адресов

0000000016 и FFFFFFFF16

Укажите архитектуру с одним потоком команд и одним потоком данных.

SISD

Укажите архитектуру с одним потоком команд и многими потоками данных

SIMD

Укажите архитектуру со многими потоками команд и одним потоком данных

MISD

Что заменяет символ * в шаблоне файла?

Любое количество любых символов в шаблоне файла

Что заменяет символ «?» (знак вопроса) в шаблоне файла?

Один любой символ в шаблоне файла

Программы, «вшитые» в ПЗУ, входят в состав:

BIOS;

Переход процесса из пассивного состояния в состояние готовности возможен (укажите неверный вариант):

по команде «переход»

Укажите наиболее полный ответ. Каталог – это специальное место на диске, в котором …

хранятся имена файлов, сведения о размере файлов, времени их последнего обновления, атрибуты файлов

Задан полный путь к файлу C:DOCPROBA.TXT. Каково полное имя файла?

PROBA.TXT

Задан полный путь к файлу C:DOCPROBA.TXT. Каково имя каталога, в котором находится файл?

DOC

ОС на основе технологии NT

WINDOWS 2000/XP

Внутренние команды – это команды …

встроенные в DOS

Задан полный путь к файлу C:DOCPROBA.BMP. Каково расширение файла, определяющее его тип?

BMP

Укажите команду создания каталога в командной строке ОС Windows:

MKDIR

Укажите команду просмотра оглавления каталога в командной строке ОС Windows:

DIR/Р

Укажите архитектуру со многими потоками команд и многими потоками данных

MIMD

Путь –это …

последовательность из имен каталогов файла, разделенных символом «»

Сколько и каким образом ОС создает таблицы страниц?

одну для каждого процесса

Базовой единицей распределения дискового пространства для файловой системы NTFS является …

отрезок

Как называется запись таблицы виртуальной памяти?

дескриптором страницы

Первой многозадачной ОС для персональных компьютеров, в полной мере использующей возможности защищенного режима, стала …

OS/2

Стандартный интерфейс ОС Windows не имеет …

строки ввода команды

При выключении компьютера вся информация стирается …

в оперативной памяти

Оперативная память служит для …

обработки одной программы в заданный момент времени

В ОС Windows NT процесс Winlogon активизируется

на начальном этапе загрузки ОС

ПЗУ — это память, в которой хранится …

программы, предназначенные для обеспечения диалога пользователя с ЭВМ

К внешним запоминающим устройствам относится …

жесткий диск

ОЗУ — это память, в которой хранится …

исполняемая в данный момент времени программа и данные, с которыми она непосредственно работает

Что такое Кэш-память?

это сверхоперативная память, в которой хранятся наиболее часто используемые участки оперативной памяти

Самая распространенная ОС в мире

Windows

Как называлась первая операционная система (1965 г.)?

MS DOS

Символьные имена для идентификации переменных и команд программы создает

пользователь

Какие средства защиты данных функционируют в составе программного обеспечения

программные

Укажите процесс создания конкретного варианта операционной системы

генерация

Как называется иерархически построенная база данныхпараметров и настроек в большинстве операционных системMicrosoft Windows?

системный реестр

На какие классы делятся прерывания в зависимости от источника?

внешние, внутренние , программные

Известно, что программа А выполняется в монопольном режиме за 10 минут, а программа В — за 20 минут, то есть при последовательном выполнении они требуют 30 минут. Если Т — время выполнения обеих этих задач в режиме мультипрограммирования, то какое из неравенств, приведенных ниже, справедливо?

20<Т<30

Как называется блок ячеек памяти, образующий сверхбыструю оперативную памятьвнутрипроцессора?

регистр

Укажите устройство ввода

сканер

Укажите устройство вывода

проектор

Программы обслуживания устройств ЭВМ называются …

драйверами

Привыполнений команды MD в ОС MS DOS создается

пустой каталог

Для чего необходимы файлы Autoexec.bat и Config.sys?

для проверки списков файлов и каталогов при загрузке DOS

Что из нижеперечисленного не является операционной системой?

MS Office

Запись USSR?.* означает:

все файлы из 5 символов, у которых первые 4 символа USSR

Все файлы с именем, начинающимся с DEK и состоящим не более чем из 6 символов, независимо от расширения обозначаются как:

DEK???.*

Для проверки диска на наличие ошибок в ОС MS DOS необходимо использовать:

scandisk

Укажите команду просмотра содержания каталога в ОС MS DOS?

dir

Укажите планировщик задач в UNIX-подобных операционных системах

cron

Что произойдет по команде c:>copy a:dream*.txt c:real в ОС MS DOS?

будут скопированы все текстовые файлы из каталога dream диска a: в каталог real диска c:

Что произойдет после выполнения команды D:>dir C:DOSf*.* /p в ОС MS DOS?

на экран будет выведена первая страница всех файлов, начинающихся на букву f каталога DOS диска C:

Какие типы файлов из перечисленного поддерживает FAT 1) специальный; 2) обычный; 3) именованные конвейеры; 4) каталог

2, 4

В файловой системе NTFS все атрибуты файлов (имя, размер, расположение экстентов файла на диске и т.д.) хранятся в …

ОЗУ

Для выполнения полной оптимизации диска С: в ОС MS DOS необходимо использовать команду:

defrag c: /f

Как отформатировать дискету с переносом системных файлов в ОС MS DOS?

sys c: a:

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

• #

  01.03.2016188.93 Кб428.doc

• #

  01.03.2016250.37 Кб459.doc

• #
• #
• #
• #
• #
• #
• #
• #
• #

From Wikipedia, the free encyclopedia

(Redirected from Winlogon.exe)

This article needs to be updated. Please help update this article to reflect recent events or newly available information. (January 2014)

In computing, Winlogon (Windows Logon) is the component of Microsoft Windows operating systems that is responsible for handling the secure attention sequence, loading the user profile on logon, and optionally locking the computer when a screensaver is running (requiring another authentication step). The actual obtainment and verification of user credentials is left to other components.
Winlogon is a common target for several threats that could modify its function and memory usage. Increased memory usage for this process might indicate that it has been «hijacked».
In Windows Vista and later operating systems, Winlogon’s roles and responsibilities have changed significantly.

Overview[edit]

Winlogon handles interface functions that are independent of authentication policy. It creates the desktops for the window station, implements time-out operations, and in versions of Windows prior to Windows Vista, provides a set of support functions for the GINA and takes responsibility for configuring machine and user Group Policy.

Winlogon also checks if the copy of Windows is a legitimate license starting in Windows XP and later.

Winlogon has the following responsibilities:

• Window station and desktop protection

Winlogon sets the protection of the window station and corresponding desktops to ensure that each is properly accessible. In general, this means that the local system will have full access to these objects and that an interactively logged-on user will have read access to the window station object and full access to the application desktop object.

• Standard SAS recognition

Winlogon has special hooks into the User32 server that allow it to monitor Control-Alt-Delete secure attention sequence (SAS) events. Winlogon makes this SAS event information available to GINAs to use as their SAS, or as part of their SAS. In general, GINAs should monitor SASs on their own; however, any GINA that has the standard Ctrl+Alt+Del SAS as one of the SASs it recognizes should use the Winlogon support provided for this purpose.

• SAS routine dispatching

When Winlogon encounters a SAS event or when a SAS is delivered to Winlogon by the GINA, Winlogon sets the state accordingly, changes to the Winlogon desktop, and calls one of the SAS processing functions of the GINA.

• User profile loading

When users log on, their user profiles are loaded into the registry. In this way, the processes of the user can use the special registry key HKEY_CURRENT_USER. Winlogon does this automatically after a successful logon but before activation of the shell for the newly logged-on user.

• Assignment of security to user shell

When a user logs on, the GINA is responsible for creating one or more initial processes for that user. Winlogon provides a support function for the GINA to apply the security of the newly logged-on user to these processes. However, the preferred way to do this is for the GINA to call the Windows function CreateProcessAsUser, and let the system provide the service.

• Screen saver control

Winlogon monitors keyboard and mouse activity to determine when to activate screen savers. After the screen saver is activated, Winlogon continues to monitor keyboard and mouse activity to determine when to terminate the screen saver. If the screen saver is marked as secure, Winlogon treats the workstation as locked. When there is mouse or keyboard activity, Winlogon invokes the WlxDisplayLockedNotice function of the GINA and locked workstation behavior resumes. If the screen saver is not secure, any keyboard or mouse activity terminates the screen saver without notification to the GINA.

• Multiple network provider support

Multiple networks installed on a Windows system can be included in the authentication process and in password-updating operations. This inclusion lets additional networks gather identification and authentication information all at once during normal logon, using the secure desktop of Winlogon. Some of the parameters required in the Winlogon services available to GINAs explicitly support these additional network providers.

See also[edit]

• List of Microsoft Windows components
• Architecture of the Windows NT operating system line
• Vundo, a trojan that attaches itself to winlogon.exe
• getty, a similar process in UNIX
• In the Windows XP Source code leak in September 2020, Winlogon was the only piece missing from the source code, rendering the leaked operating system incomplete.^[1]

References[edit]

External links[edit]

• Customizing GINA — Part 1, Developer tutorial for writing a custom GINA
• Customizing GINA — Part 2, Developer tutorial for writing a custom GINA
• MSKB:193361 MSGINA.DLL does not Reset WINLOGON Structure
• Windows Vista and Windows Server 2008: Understanding, Enhancing and Extending Security End-to-end — Microsoft PowerPoint presentation that includes information on changes to Winlogon in Windows Vista and Windows Server 2008

From Wikipedia, the free encyclopedia

(Redirected from Winlogon.exe)

This article needs to be updated. Please help update this article to reflect recent events or newly available information. (January 2014)

In computing, Winlogon (Windows Logon) is the component of Microsoft Windows operating systems that is responsible for handling the secure attention sequence, loading the user profile on logon, and optionally locking the computer when a screensaver is running (requiring another authentication step). The actual obtainment and verification of user credentials is left to other components.
Winlogon is a common target for several threats that could modify its function and memory usage. Increased memory usage for this process might indicate that it has been «hijacked».
In Windows Vista and later operating systems, Winlogon’s roles and responsibilities have changed significantly.

Overview[edit]

Winlogon handles interface functions that are independent of authentication policy. It creates the desktops for the window station, implements time-out operations, and in versions of Windows prior to Windows Vista, provides a set of support functions for the GINA and takes responsibility for configuring machine and user Group Policy.

Winlogon also checks if the copy of Windows is a legitimate license starting in Windows XP and later.

Winlogon has the following responsibilities:

• Window station and desktop protection

Winlogon sets the protection of the window station and corresponding desktops to ensure that each is properly accessible. In general, this means that the local system will have full access to these objects and that an interactively logged-on user will have read access to the window station object and full access to the application desktop object.

• Standard SAS recognition

Winlogon has special hooks into the User32 server that allow it to monitor Control-Alt-Delete secure attention sequence (SAS) events. Winlogon makes this SAS event information available to GINAs to use as their SAS, or as part of their SAS. In general, GINAs should monitor SASs on their own; however, any GINA that has the standard Ctrl+Alt+Del SAS as one of the SASs it recognizes should use the Winlogon support provided for this purpose.

• SAS routine dispatching

When Winlogon encounters a SAS event or when a SAS is delivered to Winlogon by the GINA, Winlogon sets the state accordingly, changes to the Winlogon desktop, and calls one of the SAS processing functions of the GINA.

• User profile loading

When users log on, their user profiles are loaded into the registry. In this way, the processes of the user can use the special registry key HKEY_CURRENT_USER. Winlogon does this automatically after a successful logon but before activation of the shell for the newly logged-on user.

• Assignment of security to user shell

When a user logs on, the GINA is responsible for creating one or more initial processes for that user. Winlogon provides a support function for the GINA to apply the security of the newly logged-on user to these processes. However, the preferred way to do this is for the GINA to call the Windows function CreateProcessAsUser, and let the system provide the service.

• Screen saver control

Winlogon monitors keyboard and mouse activity to determine when to activate screen savers. After the screen saver is activated, Winlogon continues to monitor keyboard and mouse activity to determine when to terminate the screen saver. If the screen saver is marked as secure, Winlogon treats the workstation as locked. When there is mouse or keyboard activity, Winlogon invokes the WlxDisplayLockedNotice function of the GINA and locked workstation behavior resumes. If the screen saver is not secure, any keyboard or mouse activity terminates the screen saver without notification to the GINA.

• Multiple network provider support

Multiple networks installed on a Windows system can be included in the authentication process and in password-updating operations. This inclusion lets additional networks gather identification and authentication information all at once during normal logon, using the secure desktop of Winlogon. Some of the parameters required in the Winlogon services available to GINAs explicitly support these additional network providers.

See also[edit]

• List of Microsoft Windows components
• Architecture of the Windows NT operating system line
• Vundo, a trojan that attaches itself to winlogon.exe
• getty, a similar process in UNIX
• In the Windows XP Source code leak in September 2020, Winlogon was the only piece missing from the source code, rendering the leaked operating system incomplete.^[1]

References[edit]

External links[edit]

• Customizing GINA — Part 1, Developer tutorial for writing a custom GINA
• Customizing GINA — Part 2, Developer tutorial for writing a custom GINA
• MSKB:193361 MSGINA.DLL does not Reset WINLOGON Structure
• Windows Vista and Windows Server 2008: Understanding, Enhancing and Extending Security End-to-end — Microsoft PowerPoint presentation that includes information on changes to Winlogon in Windows Vista and Windows Server 2008

В ОС UNIX простейшими являются драйверы
 (*ответ*) символьные
 потоковые
 блочные
 битовые
В ОС UNIX разделяемыми являются следующие сегменты процесса виртуального адресного пространства: 1) программный код; 2) файлы, отображаемые в виртуальную память; 3) данные; 4) стек — из перечисленного
 (*ответ*) 1, 2
 2, 4
 1, 3
 3, 4
В ОС UNIX различают драйверы: 1) битовые; 2) символьные; 3) блочные; 4) универсальные; 5) потоковые — из перечисленного
 (*ответ*) 2, 3, 5
 1, 2, 4
 3, 4, 5
 1, 2, 3
В ОС UNIX регистрационная запись средств аудита включает поля: 1) дата и время события; 2) идентификатор пользователя; 3) тип события; 4) результат действия; 5) пароль пользователя; 6) команда, введенная пользователем — из перечисленного
 (*ответ*) 1, 2, 3, 4
 2, 3, 4, 5
 1, 3, 4, 6
 1, 2, 5, 6
В ОС Windows NT используется модель файла
 (*ответ*) неструктурированная
 списковая
 сетевая
 структурированная
В ОС Windows NT процесс Winlogon активизируется
 (*ответ*) на начальном этапе загрузки ОС
 периодически через определенные промежутки времени
 по запросу пользователя
 по запросу ядра
В ОС Windows NT процесс Winlogon может находиться в состоянии: 1) пользователь не вошел в систему; 2) пользователь вошел в систему; 3) рабочая станция заблокирована; 4) пользователь вышел из системы; 5) пользователь выполнил операцию — из перечисленного
 (*ответ*) 1, 2, 3
 3, 4, 5
 2, 3, 5
 1, 2, 4
В ОС Windows NT процесс Winlogon является активным
 (*ответ*) на протяжении всего периода функционирования ОС
 периодически в течение некоторого интервала времени
 только в момент входа пользователя в систему
 на протяжении сеанса работы конкретного пользователя
В системах реального времени обычно используется метод распределения памяти
 (*ответ*) фиксированными разделами
 страничное
 перемещаемыми разделами
 динамическими разделами
В таблице сегментов указывается: 1) базовый физический адрес; 2) размер сегмента; 3) правило доступа к сегменту; 4) время создания; 5) идентификатор процесса; 6) признак модификации — из перечисленного
 (*ответ*) 1, 2, 3, 6
 2, 3, 4, 5
 1, 3, 5, 6
 1, 2, 4, 6

Подробнее о возможностях GINA.DLL.

Что делать, если вы изобрели оригинальное устройство или технологию (например, популярные ныне биометрические технологии) для идентификации пользователей? Или хотите в момент авторизации проверять дополнительные параметры? Или просто изменить графический интерфейс, предоставляемый при регистрации в системе? Или пользоваться ресурсами нестандартных информационных провайдеров, например разработанного своими силами файл-сервера, требующих авторизации?

Архитектура Windows предоставляет разработчикам прекрасные возможности для решения подобных задач. И все, что нужно сделать, — это переписать парочку небольших модулей да реализовать несколько экспортируемых функций. Один из модулей называется Graphical Identification and Authentication dynamic-link library (GINA DLL). Вы взаимодействуете с этим модулем, когда вводите имя и пароль, нажимая на Ctrl-Alt-Del, блокируете рабочую станцию или меняете пароль и т. д. Достаточно переписать модуль, и перед вами раскроются новые горизонты.

В этой статье я остановлюсь на реализации основных функций, которые должна экспортировать GINA.DLL, и на использовании ряда функций подсистемы Local Security Authority (LSA), которая, собственно, и осуществляет аутентификацию пользователя в системе. Подробнее об LSA, которая предоставляет очень интересный API, я расскажу в одной из следующих статей. Здесь же я остановлюсь лишь на взаимодействии данной подсистемы и модуля GINA.

Загрузка Windows

Посмотрим, какие стадии проходит Windows 2000 в процессе загрузки (подробнее об этом рассказано в [1]). После включения компьютера выполняется загрузка BIOS, которая проводит процедуру первоначального тестирования оборудования (POST), считывает запись Master Boot Record (MBR) и передает управление коду, содержащемуся в этой записи. Он выполняет проверку, ищет в корневом каталоге модуль ntldr и передает ему управление (MBR не может читать дерево подкаталогов, поэтому Ntldr всегда находится в корневом каталоге). В свою очередь, Ntldr обрабатывает файл boot.ini, выводит на экран меню вариантов загрузки или, если вариант один, не дожидаясь выбора, переходит к следующему этапу. На нем запускается 16-разрядное приложение ntdetect.com, которое получает информацию об оборудовании от BIOS и сохраняет ее во внутренних структурах. Затем ntldr выводит картинку — индикатор загрузки Windows 2000 — и предлагает нажать на F8. Действия операционной системы при выборе специальных вариантов загрузки по нажатию клавиши F8 мы здесь рассматривать не будем.

Ntldr загружает ядро операционной системы и Hardware Abstraction Layer (HAL), которым, по умолчанию, соответствуют файлы Ntoskrnl.exe и HAL.dll. Далее загружаются необходимые (помеченные флажком SERVICE_BOOT_START) драйверы устройств, описанные в файле SYSTEM, содержащем соответствующий раздел реестра. После этого загрузчик производит действия, необходимые для запуска ntoskrnl.exe, и передает управление его главной функции. Здесь происходит много всяких, во-первых, сложных и, во-вторых, не представляющих сейчас для нас интереса событий. Но в числе прочего создается процесс Smss, который формирует среду пользовательского режима. Smss запускает подсистему Win32, программы, перечисленные в HKLMSYSTEMCurrentControlSet ControlSession ManagerBootExecute, инициализирует реестр, переменные окружения и другие «мелочи» и, наконец, запускает процесс Winlogon.

Далее ответственность за дальнейшую инициализацию системы ложится на Winlogon. Он формирует объект WindowStation и три рабочих стола — пользовательский, хранителя экрана и Winlogon; загружает GINA DLL (!), создает процесс диспетчера управления службами (SCM), загружает все службы и драйверы устройств, помеченные для автоматического запуска, и запускает процесс Lsass. После того как пользователь успешно зарегистрировался, а SCM запустил службы и драйверы, загрузка считается успешно завершенной, и LastKnownGood обновляется в соответствии с текущими установками.

Вот таким образом происходит загрузка Windows 2000. Понимая процесс загрузки, мы можем смело переходить к подробному обсуждению работы интересующего нас модуля — GINA. Свое исследование я хочу начать с того момента, когда пользователь еще не зарегистрировался в системе, а GINA DLL только загружена в память. Заметим, что процесс инициализации GINA и загрузка служб и драйверов происходят параллельно. Этим объясняется, почему для некоторых реализаций GINA в тот момент, когда пользователь хочет предпринять какие-то действия, необходимых служб еще нет.

Подсистема регистрации пользователя в Windows NT/2000/XP состоит из трех компонентов: Winlogon.exe, GINA DLL и, возможно, нескольких сетевых библиотек (Network Providers), осуществляющих вторичную авторизацию, например на файл-сервере собственной разработки. Регистрация выполняется через LSA API. GINA DLL, как показано на Рисунке 1, непосредственно взаимодействует с этой подсистемой и возвращает результаты регистрации Winlogon. В Windows 2000 и более поздних версиях поддерживается механизм notification packages — пакетов уведомлений. Это модули, представляющие собой DLL, которые вызываются Winlogon в моменты, соответствующие тем или иным событиям.

Рисунок 1. Схема подсистемы регистрации.

Среда разработки, выполнения и отладки демонстрационной программы

Код, представленный в листингах, и полный текст демонстрационного модуля GINA DLL, который можно получить на нашем сайте, разработан в Visual C++ 6.0 без пакетов обновления с использованием Platform SDK. Проект представляет собой Win32 Dynamic-Link Library. Необходимо добавить директиву _WIN32_WINNT =0x0500 для препроцессора и дополнительные библиотеки netapi32.lib и Secur32.lib — для компоновщика. Для того чтобы наша реализация GINA DLL загрузилась в память, ее нужно скомпилировать. Программа выполняется на Windows 2000 без пакетов обновления и в более поздних версиях Windows.

С отладкой приложения дело обстоит сложнее. Основная проблема заключается в том, что отладчик запускается на рабочем столе по умолчанию, которым является пользовательский рабочий стол. А GINA выполняется на рабочем столе Winlogon. Можно поступить следующим образом: используя отладочную версию Winlogon, которую можно найти, например, в DDK, получать log-файлы, которые вполне пригодны для анализа. Для этого необходимо в файле Win.ini создать секцию

[WinlogonDebug]
LogFile=C:Winlogon.log
DebugFlags=Flag1[, Flag2...]

Имя файла должно содержать полный путь. Флаги, определяющие, какую информацию нужно записывать в журнал, указаны в Таблице 1. Для запуска отладочной версии Winlogon необходимо в раздел реестра HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsWinlogon.exe добавить значение Debugger типа REG_SZ со значением ntsd -d (подробнее об отладке компонентов Windows можно прочитать в [1] и [2]). Если такого раздела не существует, а в обычных конфигурациях Windows это именно так, его требуется создать. В статье Q260901 базы знаний MSDN технология, позволяющая отлаживать GINA DLL на одном компьютере, описана более подробно.

Путь к модулю, который загружает Winlogon, находится в значении параметра GinaDLL. По умолчанию это msGINA.dll. Если в реестре этого параметра нет, то Winlogon также использует msGINA.dll. При загрузке в безопасном режиме (Safe Mode) всегда загружается модуль msGINA.dll. Если в папке System32 его нет, то он подгружается из dllcache, в противном случае загрузка прерывается. Поэтому при отладке своей версии модуля не следует уничтожать модуль по умолчанию.

Взаимодействие Winlogon и GINA

Как отмечалось выше, GINA представляет собой DLL, которая экспортирует ряд как обязательных, так и дополнительных функций. Первые необходимо реализовать в своей версии модуля, а для вторых в модуле Winlogon.exe имеется код по умолчанию, который будет выполнен, если библиотека не предоставит их реализацию.

Winlogon взаимодействует с GINA следующим образом:

1. вызывает экспортируемые GINA функции;
2. передает сообщения в открытые GINA диалоги. Этот механизм рассматривается ниже, в разделе, посвященном диалогам в GINA;
3. предоставляет GINA свой API;
4. с помощью функции WlxSasNotify() принимает от GINA сообщения.

В основе всех этих механизмов лежит понятие secure attention sequence (SAS).

В Таблице 2 приведен полный список экспортируемых GINA для Windows 2000 функций с краткими пояснениями к ним. Галочками помечены функции, реализация которых в GINA DLL обязательна. Напомню, что речь идет о версиях Winlogon WLX_VERSION_1_3 и выше.

Рисунок 2. Алгоритм работы Winlogon.

Вообще говоря, алгоритм работы Winlogon основан на трех возможных состояниях. На Рисунке 2, взятом из MSDN, представлена схема перехода между состояниями. Для каждого состояния возможен определенный набор функций и задан сценарий взаимодействия с GINA и другими компонентами Windows. Рассмотрим несколько примеров сценариев взаимодействия Winlogon и GINA DLL.

Загрузка рабочей станции. Winlogon вызывает WlxNegotiate для согласования версий, а потом WlxInitialize — для создания окружения.

Ожидание регистрации пользователя. GINA ожидает ввода SAS, а потом вызывает WlxSasNotify. Winlogon вызывает WlxLoggedOutSAS, в которой происходит регистрация пользователя. После успешной регистрации Winlogon вызывает WlxActivateUserShell для создания оболочки пользователя и переходит в состояние 2.

Пользователь зарегистрирован. Если в процессе работы возникает SAS, Winlogon вызывает функцию WlxLoggedOnSAS. Внутри этой функции GINA DLL может предложить пользователю различные варианты действий.

Пользователь хочет завершить сеанс и выключить компьютер. Winlogon обращается к WlxLoggedOnSAS, которая возвращает WLX_SAS_ACTION_SHUTDOWN. Далее Winlogon последовательно вызывает функции WlxLogoff и WlxShutdown.

Инициализация GINA

Процесс загрузки GINA происходит в три этапа.

Сначала вызывается функция DllMain. Процесс Winlogon обращается к функции GINA DLL WlxNegotiate. На разных стадиях развития операционной системы — от Windows NT 3.5 до Windows XP и .NET — список функций, поддерживаемых Winlogon, существенно меняется. GINA получает таблицу с указателями на список поддерживаемых функций в структурах WLX_DISPATCH_VERSION_X_X. Версии на настоящий момент могут быть 1_0, 1_1, 1_2, 1_3 (этой версией таблицы мы и будем пользоваться) и 1_4 для Windows XP/.NET. Каждая последующая версия представляет собой расширение предыдущей. Таким образом, более ранние реализации GINA могут работать с более поздними версиями Winlogon.

В функцию WlxNegotiate передаются два параметра (см. Листинг 1). Первый — это версия таблицы, которую поддерживает Winlogon, а во втором GINA сообщает, какая минимальная версия необходима ей для работы. Функция возвращает TRUE, если ее устраивает версия Winlogon, и FALSE — в противном случае. Конечно, можно самому написать GINA таким образом, что будут поддерживаться все возможные наборы функций.

В том случае, если WlxNegotiate возвращает TRUE, Winlogon вызывает функцию WlxInitialize, в которой GINA инициализирует свое окружение (см. Листинг 2). Все функции, экспортируемые GINA, используют некоторую структуру WlxContext. Это определяемая пользователем структура, где хранится необходимая для работы GINA информация. Для используемой в статье программы я выбрал структуру, приведенную в Листинге 3. Что и зачем я сохранил в этой структуре?

hWlx — идентификатор процесса Winlogon, соответствующего текущей window station. Это значение используется в качестве аргумента во время вызовов функций Winlogon.

wszStation — текущая window station. На сегодня все версии Windows поддерживают только одну станцию.

pWlxFuncs — указатель на таблицу функций.

hDllInstance — идентификатор модуля GINA, он потребуется в дальнейшем для доступа к ресурсам — шаблонам диалоговых окон, строковым таблицам и т. д.

hUserToken — маркер доступа (token) пользователя. Это значение необходимо, например, при разблокировке компьютера, да и вообще во всех ситуациях, требующих информации о зарегистрированном пользователе.

Кроме специально оговоренных случаев, все (!) операции c динамической памятью должны осуществляться с помощью функций LocalAlloc, LocalFree и т. д. После заполнения полей определенной мною структуры GINA_CONTEXT я вызываю функцию Winlogon WlxUseCtrlAltDel(). Зачем? В принципе, этого делать не надо. Данная функция в качестве SAS определяет стандартную последовательность Ctrl-Alt-Del. Мне кажется, что это удобно.

Если процесс инициализации прошел успешно, я присваиваю возвращаемому параметру pWlxContext функции WlxInitialize указатель на созданный контекст и возвращаю TRUE, в противном случае — возвращаю FALSE.

В дальнейшем все функции будут получать в качестве входного параметра указатель на созданный контекст. Как реагирует Winlogon на невыполненную процедуру инициализации, можно легко проверить.

Далее Winlogon вызывает функцию GINA WlxDisplaySASNotice. У нее не очень сложная реализация (см. Листинг 4). Алгоритм работы простой. Функция проверяет параметр реестра HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon DisableCAD. Большая часть настроечных параметров Winlogon находится в разделе HKLMSOFTWARE MicrosoftWindows NTCurrentVersionWinlogon. Далее, если явно не указан другой раздел реестра, подразумевается именно он, и его описание я буду опускать. Так вот, если значение DisableCAD равно 1, вызывается WlxSasNotify, которая эмулирует нажатие клавиш Ctrl-Alt-Del.

В случае, когда это значение равно 0, появляется окно с предложением нажать комбинацию Ctrl-Alt-Del или произвести другие действия, которые должны привести к возможности ввода идентификационной информации. Смысл этого диалога в обеспечении дополнительной защиты системы. Он не позволит написать программу, подменяющую окно ввода пароля.

Вот и пришлось создать первое диалоговое окно. Самое время поговорить о диалогах в GINA, потому что они не совсем обычные.

Диалоговые окна GINA

Диалоги в GINA создаются специальными функциями. Они не сильно отличаются от обычных. А нужны они из-за необходимости пересылать специфические сообщения в эти диалоговые окна. Поэтому Winlogon предоставляет свои функции для регистрации окон, с которыми ему придется работать. Функции, которые Winlogon поддерживает при работе с диалогами, приведены в Таблице 3.

Все эти функции поддерживают только модальные диалоги. Затем созданные с их помощью диалоговые окна получают специфическое для Winlogon сообщение WLX_WM_SAS. wParam для этого сообщения может принимать значения, описанные в Таблице 4.

Как реагировать на сообщения WLX_SAS_TYPE_CTRL_ALT_DEL, WLX_SAS_TYPE_SC_INSERT, WLX_SAS_TYPE_SC_REMOVE — решать разработчику. В принципе, не требует обязательной обработки и сообщение WLX_SAS_TYPE_USER_LOGOFF. Но с тайм-аутами несколько сложнее. Все диалоговые окна, кроме выводимого функцией WlxDisplaySASNotice, которая представляет приветствие Windows и предлагает начать регистрацию с нажатия кнопок Ctrl-Alt-Del, должны завершаться с помощью стандартной функции EndDialog. Возвращаемое же значение должно быть WLX_DLG_INPUT_TIMEOUT для WLX_SAS_TYPE_TIMEOUT и WLX_DLG_SCREEN_SAVER_TIMEOUT — для WLX_SAS_TYPE_SCRNSVR_TIMEOUT (см. Листинг 5). А вот функция диалога из WlxDisplaySASNotice может отработать эти сообщения проще, как показано в Листинге 6.

В остальном же это самые обычные диалоговые окна, к которым применимы обычные функции. Для работы с диалогами GINA я написал класс CGinaDlg, код которого приведен в Листинге 7. Все диалоги в демонстрационной программе наследуют от данного класса и выглядят как белые эллипсы. Я не думаю, что этот код требует дополнительных комментариев.

Регистрация пользователя

Смысл регистрации заключается в получении информации, идентифицирующей пользователя. Заметим, что информацией, идентифицирующей пользователя, может быть не только привычный набор, состоящий из имени пользователя, пароля и имени домена, в котором пользователь будет регистрироваться. Им может быть и цифровой сертификат, и битовые образы отпечатка пальца или рисунка сетчатки глаза. Для того чтобы предоставить GINA DLL возможность ввода и получения маркера доступа — ключевого объекта при регистрации пользователя, о котором мы поговорим ниже, — Winlogon вызывает функцию GINA WlxLoggedOutSAS. Результатом выполнения этой функции должны быть полученные маркер доступа, SID и профиль пользователя. Посмотрим, как все это происходит.

В первую очередь создается диалоговое окно, в котором пользователю предлагается «рассказать о себе».

В результате мы получаем имя пользователя, пароль и домен, в котором хранится учетная запись пользователя. Что дальше? Можно выбрать простой способ и вызвать функцию LogonUser. Но, хотя мы и получим необходимый нам маркер, возможности этой функции крайне невелики. Windows предоставляет специальную службу — Local Security Authority, — предназначенную для аутентификации и авторизации пользователей.

Процесс регистрации пользователя заключается в открытии сессии LSA, что происходит в функции WlxLoggedOutSAS, и дальнейшей активизации оболочки, которая осуществляется в функции WlxActivateUserShell.

Посмотрим, как формируется сессия пользователя, (см. Листинг 8). Функция WlxLoggedOutSAS, прежде всего, должна создать окно, в котором пользователь введет свое имя, пароль и домен, где хранится информация об учетной записи.

Значение ShutdownWithoutLogon может быть равно 1 или 0. В первом случае пользователь может завершить работу компьютера без регистрации. Для этого в окне ввода регистрационной информации добавляется кнопка Shutdown, как сделано в демонстрационном модуле. После нажатия пользователем этой кнопки функция WlxLoggedOutSAS может вернуть в Winlogon значение WLX_SAS_ACTION_SHUTDOWN_POWER_OFF, если PowerdownAfterShutdown равно 1, и WLX_SAS_ACTION_SHUTDOWN, если это значение равно 0, после чего компьютер выключится. Если сделать ShutdownWithoutLogon равным 0, кнопка Shutdown становится недоступной.

Кроме того, в параметрах реестра DefaultUserName и DefaultDomainName находятся строковые данные, которые можно показать в соответствующих полях ввода. Это несколько ускорит процесс регистрации, но и уменьшит степень защищенности рабочей станции.

Хранители экрана

Я немного рассказал о работе с хранителями экрана, когда рассматривал диалоги в GINA DLL. Но на этом разговор не закончен. Когда мы в течение определенного времени отвлекаемся от любимого занятия, а именно — терзания клавиатуры и беспорядочных перемещений манипулятора «мышь», загружается процесс хранителя экрана. Это происходит при заданных настройках Windows. И в случае, если установлен флаг защиты хранителя экрана паролем, GINA получает сообщение о начале его работы. Winlogon вызывает необязательную для реализации функцию

BOOL WlxScreenSaverNotify( PVOID
 pWlxContext,BOOL *pSecure ).

Я уже упоминал о том, что для необязательных функций выполняется код по умолчанию. Для этой функции код по умолчанию, взятый из MSDN, приведен в Листинге 9. Вообще говоря, проверка параметра *pSecure необязательна, так как эта функция вызывается только в том случае, если хранитель экрана защищен паролем. Но инженеры Microsoft считают, что делать надо так. Этот параметр возвращает TRUE, если после переключения на программу хранителя экрана требуется запрашивать пароль, и FALSE — в противном случае. Функция WlxScreenSaverNotify возвращает TRUE, если хранитель экрана надо загружать, и FALSE — если нет. Если хранитель экрана задействован, то процесс хранителя экрана запускается на отдельном рабочем столе и продолжается до тех пор, пока пользователь не начинает использовать устройства ввода. После чего станция переключается на рабочий стол Winlogon и вызывается функция WlxDisplay LockedNotice. Сценарий ее работы я рассматриваю ниже.

Замечу, что в демонстрационном примере я не стал реализовывать функцию WlxScreenSaverNotify.

Обработчик SAS для незаблокированной рабочей станции

Если в ходе работы пользователь нажимает Ctrl-Alt-Del, Winlogon переключает рабочий стол на стол Winlogon и вызывает функцию WlxLoggedOnSAS, обязательную для реализации в GINA DLL. Внутри этой функции создается диалог, в котором пользователь может выбрать какое-нибудь действие. Для вызова стандартного менеджера задач, завершения сеанса, блокировки или выключения компьютера функция должна вернуть соответствующие значения: WLX_SAS_ACTION_TASKLIST, WLX_SAS_ACTION_LOGOFF, WLX_SAS_ACTION_LOCK_WKSTA и WLX_SAS_ACTION_SHUT DOWN_POWER_OFF. Но некоторые функции можно реализовать внутри GINA DLL, например смену пароля.

Смена пароля

Смена пароля в GINA происходит внутри функции WlxLoggedOnSAS. Для изменения пароля используется функция NetUserChangePassword(). Первые два параметра этой функции — имя пользователя и домен. Для их получения я использую маркер, сохраненный при регистрации пользователя. Как это делается, показано в Листинге 10. Для получения SID пользователя по маркеру я написал дополнительную функцию GetTokenUserInfo, показанную в Листинге 11.

Ещк два параметра — старый и новый пароль — вводятся пользователем в соответствующее диалоговое окно. После успешной смены пароля функция WlxLoggedOnSAS должна вернуть Winlogon значение WLX_SAS_ACTION_PWD_CHANGED, извещающее сетевых провайдеров о смене пароля.

Разблокировка рабочей станции

Для разблокировки рабочей станции Winlogon вызывает необходимую в реализации GINA DLL функцию WlxWkstaLockedSAS. Поставляемая с операционной системой библиотека GINA предоставляет стандартный сценарий разблокирования рабочей станции. Это может сделать либо пользователь, который ее заблокировал, либо член локальной группы администраторов. Во втором случае происходит завершение текущего сеанса. Конечно, в собственной реализации модуля можно избрать какой-нибудь другой сценарий. Например, разрешать разблокировку только зарегистрированному пользователю. Но здесь мы рассмотрим вариант, предлагаемый компанией Microsoft.

Итак, в первую очередь мы должны предоставить пользователю возможность ввести свои идентификационные данные. Это делается тем же способом, который использовался при регистрации пользователя. Только одно отличие: в функции LsaLogonUser для параметра SECURITY_LOGON_TYPE используется значение Unlock. После этого вызова мы получаем маркер.

Еще раз обращаю ваше внимание на необходимость корректного уничтожения введенных пользователем идентификационных данных, в первую очередь паролей. Функции освобождения памяти (например, LocalFree) просто освобождают соответствующий указатель. Информация в физической памяти остается.

Теперь нам нужно только получить для этого маркера и для маркера, сохраненного после регистрации, SID пользователя и сравнить их. Если значения SID совпадут, значит, пользователь тот же, и рабочую станцию можно разблокировать. Для этого достаточно вернуть значение WLX_SAS_ACTION_UNLOCK_WKSTA из функции WlxWkstaLockedSAS (см. Листинг 12).

Если SID не совпадут, нам нужно проверить, не входит ли пользователь, который пытается разблокировать станцию, в группу администраторов. Код функции, осуществляющей эту проверку, приведен в Листинге 13. В случае если проверка завершилась успешно, нам остается вернуть значение WLX_SAS_ACTION_FORCE_LOGOFF, возможно, поинтересовавшись у пользователя, уверен ли он в необходимости завершения сеанса.

Александр Эпштейн — независимый разработчик и консультант по проблемам низкоуровневого программирования; руководил департаментами разработки программного обеспечения в нескольких крупных российских компаниях. С ним можно связаться по адресу: alex_ep@hotmail.com.

---

Литература

[1] David A. Solomon, Mark E. Russinovich Insude for Microsoft Windows 2000, Third Edition Microsoft Press (Дэвид Соломон, Марк Русинович «Внутреннее устройство Microsoft Windows 2000». — Русская редакция, 2001)

[2] Sven B. Schreiber Undocumented Windows 2000 secrets. A programming cookbook. Addison-Wesley 2001

[3] Keith Brown Handle Logons in Windows NT and Windows 2000 with Your Own Logon Session Broker

---

Листинг 1. Проверка версии WinLogon.

BOOL WINAPI WlxNegotiate( DWORD
 dwWinLogonVersion,PDWORD pdwDllVersion )
{
	if( dwWinLogonVersion < WLX_VERSION_1_3 )
	 return FALSE;
	else
	{
		*pdwDllVersion = WLX_VERSION_1_3;
		return TRUE;
	}
} 

---

Листинг 3. Используемая в данной реализации GINA структура контекста.

typedef struct _tagGINA_CONTEXT
{
	HANDLE			   hWlx;
	LPWSTR			   wszStation;
	PWLX_DISPATCH_VERSION_1_3  pWlxFuncs;
	HANDLE			   hDllInstance;
	HANDLE			   hUserToken;
	SID			   sid;
	HWND			   hWndOwner;
} GINA_CONTEXT, *LPGINA_CONTEXT, *PGINA_CONTEXT;

---

Листинг 6. Обработка сообщений о тайм-аутах.

case WLX_SAS_TYPE_TIMEOUT:
EndDialog( hWnd,WLX_DLG_INPUT_TIMEOUT );
	nRet = TRUE;
	break;
case WLX_SAS_TYPE_SCRNSVR_TIMEOUT:
	EndDialog( hWnd,WLX_DLG_SCREEN_SAVER_
TIMEOUT );
	nRet = TRUE;
	break;
Листинг 5. Возвращаемые значения.
case WLX_SAS_TYPE_TIMEOUT:
case WLX_SAS_TYPE_SCRNSVR_TIMEOUT:
	nRet = wParam; 
	break;

---

Листинг 9. Код по умолчанию, который обрабатывается обработчиком сообщения от хранителя экрана.

BOOL DefaultScreenSaverNotify( PVOID pWlxContext,
 BOOL *pSecure)
{
	if (*pSecure)
	{
		*pSecure = WlxIsLockOk
(pWlxContext);
	}
	return(TRUE);
}