交互式登錄　　交互式登錄是我們平常登錄時最常見的類型，就是用戶通過相應的用戶賬號(UserAccount)和密碼在本機進行登錄，

交互式登錄

。有些網友認為“交互式登錄”就是“本地登錄”，其實這是錯誤的。“交互式登錄”還包括“域賬號登錄”，而“本地登錄”僅限于“本地賬號登錄”。　　這里有必要提及的是，通過終端服務和遠程桌面登錄主機，可以看做“交互式登錄”，其驗證的原理是一樣的。　　在交互式登錄時，系統會首先檢驗登錄的用戶賬號類型，是本地用戶賬號(LocalUserAccount)，還是域用戶賬號(DomainUserAccount)，再采用相應的驗證機制。因為不同的用戶賬號類型，其處理方法也不同。　　◇本地用戶賬號　　采用本地用戶賬號登錄，系統會通過存儲在本機SAM數據庫中的信息進行驗證。所以也就是為什么Windows2000忘記Administrator密碼時可以用刪除SAM文件的方法來解決。不過對于WindowsXp則不可以，可能是出于安全方面的考慮吧。用本地用戶賬號登錄后，只能訪問到具有訪問權限的本地資源。（圖1）　　◇域用戶賬號　　采用域用戶賬號登錄，系統則通過存儲在域控制器的活動目錄中的數據進行驗證。如果該用戶賬號有效，則登錄后可以訪問到整個域中具有訪問權限的資源。　　小提示：如果計算機加入域以后，登錄對話框就會顯示“登錄到：”項目，可以從中選擇登錄到域還是登錄到本機。交互式登錄，系統用了哪些組件　　1．Winlogon．exe　　Winlogon.exe是“交互式登錄”時最重要的組件，它是一個安全進程，負責如下工作：　　◇加載其他登錄組件。　　◇提供同安全相關的用戶操作圖形界面，以便用戶能進行登錄或注銷等相關操作。　　◇根據需要，同GINA發送必要信息。　　2．GINA　　GINA的全稱為“GraphicalIdentificationandAuthentication”――圖形化識別和驗證。它是幾個動態數據庫文件，被Winlogon.exe所調用，為其提供能夠對用戶身份進行識別和驗證的函數，并將用戶的賬號和密碼反饋給Winlogon.exe。在登錄過程中，“歡迎屏幕”和“登錄對話框”就是GINA顯示的。　　一些主題設置軟件，例如StyleXp，可以指定Winlogon.exe加載商家自己開發的GINA，從而提供不同的WindowsXp的登錄界面。由于這個可修改性，現在出現了盜取賬號和密碼的木馬。　　一種是針對“歡迎屏幕”登錄方式的木馬，它模擬了WindowsXp的歡迎界面。當用戶輸入密碼后，就被木馬程序所獲取，而用戶卻全然不知。所以建議大家不要以歡迎屏幕來登錄，且要設置“安全登錄”。　　另一種是針對登錄對話框的GINA木馬，其原理是在登錄時加載，以盜取用戶的賬號和密碼，然后把這些信息保存到%systemroot%\system32下的WinEggDrop.dat中。該木馬會屏蔽系統以“歡迎屏幕”方式登錄和“用戶切換”功能，也會屏蔽“Ctrl-Alt-Delete”的安全登錄提示，

電腦資料

《交互式登錄》(http://www.ipr-jzsc.com)。　　用戶也不用太擔心被安裝了GINA木馬，筆者在這里提供解決方案給大家參考：　　◇正所謂“解鈴還需系鈴人”，要查看自己電腦是否安裝過GINA木馬，可以下載一個GINA木馬程序，然后運行InstGina-view，可以查看系統中GinaDLL鍵值是否被安裝過DLL，主要用來查看系統是否被人安裝了Gina木馬作為登錄所用。如果不幸被安裝了GINA木馬，可以運行InstGina-Remove來卸載它。　　3．LSA服務　　LSA的全稱為“LocalSecurityAuthority”――本地安全授權，Windows系統中一個相當重要的服務，所有安全認證相關的處理都要通過這個服務。它從Winlogon.exe中獲取用戶的賬號和密碼，然后經過密鑰機制處理，并和存儲在賬號數據庫中的密鑰進行對比，如果對比的結果匹配，LSA就認為用戶的身份有效，允許用戶登錄計算機。如果對比的結果不匹配，LSA就認為用戶的身份無效。這時用戶就無法登錄計算機。　　怎么看這三個字母有些眼熟？對了，這個就是和前陣子鬧得沸沸揚揚的“震蕩波”扯上關系的服務。“震蕩波”蠕蟲就是利用LSA遠程緩沖區溢出漏洞而獲得系統最高權限SYSTEM來攻擊電腦的。解決的方法網上很多資料，這里就不多講了。　　4．SAM數據庫　　SAM的全稱為“SecurityAccountManager”――安全賬號管理器，是一個被保護的子系統，它通過存儲在計算機注冊表中的安全賬號來管理用戶和用戶組的信息。我們可以把SAM看成一個賬號數據庫。對于沒有加入到域的計算機來說，它存儲在本地，而對于加入到域的計算機，它存儲在域控制器上。　　如果用戶試圖登錄本機，那么系統會使用存儲在本機上的SAM數據庫中的賬號信息同用戶提供的信息進行比較；如果用戶試圖登錄到域，那么系統會使用存儲在域控制器中上的SAM數據庫中的賬號信息同用戶提供的信息進行比較。　　5．NetLogon服務　　NetLogon服務主要和NTLM（NTLANManager，WindowsNT4.0的默認驗證協議）協同使用，用戶驗證WindowsNT域控制器上的SAM數據庫上的信息同用戶提供的信息是否匹配。NTLM協議主要用于實現同WindowsNT的兼容性而保留的。　　6．KDC服務　　KDC（KerberosKeyDistributionCenter――Kerberos密鑰發布中心）服務主要同Kerberos認證協議協同使用，用于在整個活動目錄范圍內對用戶的登錄進行驗證。如果你確保整個域中沒有WindowsNT計算機，可以只使用Kerberos協議，以確保最大的安全性。該服務要在ActiveDirectory服務啟動后才能啟用。　　7．ActiveDirectory服務　　如果計算機加入到Windows2000或Windows2003域中，則需啟動該服務以對ActiveDirectory（活動目錄）功能的支持。