问题标签 [winlogon]

我知道这可能已经在这里被问了一千次了，但无论如何。我正在尝试使用 c# 编写自定义登录屏幕。我只是想知道是否可以编写一个并且可能使用 pgina 来验证用户。

请不要说“不要这样做，它不可能，它不安全”或类似的话。我只是想知道这是否可能，并希望有人帮助我指出如何做到这一点的正确方向。

我使用教程和 UefiSecureBootManualTests.zip（EnableSecureBoot.ps1 和 append_LostCA_db.ps1）中的 PowerShell 脚本对.efi文件进行签名并启用 SecureBoot 以查看系统是否启动（一切正常）。

现在我尝试从 system32 获取 winload 文件，使用相同的脚本对其进行签名，然后覆盖密钥并查看 SecureBoot 是否允许我仅使用我签名的 winload 启动。这次我使用的是相同的脚本，除了我修改了 append_LostCA_db.ps1 中的 Set-SecureBootUEFI 命令，删除了 -AppendWrite 参数，以便它可以覆盖。

但现在我收到一个错误：

我怎样才能解决这个问题？

我正在使用带有 Win8.1 x64 的 HP 台式机

后期编辑：如果有人能给我一个 8.1 x64 的 unsinged winload，那真的很有帮助

在 Windows winlogon shell 上，我指定运行启动程序的 start.bat 文件，现在我想在特定用户的 Windows 登录特定程序上运行。例如，对于 user1，当 windows 启动时它运行 program1。对于用户 2，当 Windows 启动时它运行程序 2。我怎样才能做到这一点 ？如果写在.bat 上怎么知道哪个用户登录了？

我们需要使用一些 API 指定纯文本密码，例如LogonUser,NetUseAdd和其他。我们可以通过将密码加密保存在内存中来保护密码，并在调用函数之前分配一个明文密码（lpszPassword在 的情况下为参数LogonUser，或USE_INFO_2::ui2_username在 的情况下NetUseAdd）。

我的问题是如何保护明文密码免受外部进程的影响，尤其是当该进程可能崩溃并产生内存转储时。

它应该是这样的：

1. 保护这个内存区域
2. 调用需要明文密码的安全函数
3. 消除内存区域保护
4. 清理内存区

使用LOGON32_LOGON_NETWORK_CLEARTEXT有多安全？

我们有以下场景：

Web 服务器 A 正在使用 Win32 LogonUser。然后它需要在服务器 B 上调用 asmx 方法。

如果使用的登录类型是 LOGON32_LOGON_INTERACTIVE，则效果很好。然而，客户拒绝这样做，因为它需要交互式访问。

如果我们使用 LOGON32_LOGON_NETWORK 这不允许令牌委托给远程服务器，我们会得到 401（正如预期的那样，根据 MSDN）。

尝试使用 DuplicateToken 将令牌“升级”为交互式失败。此尝试基于本文，其中指出：

“当您请求交互式登录时，LogonUser 返回一个主令牌，允许您在模拟时创建进程。当您请求网络登录时，LogonUser 返回一个模拟令牌，可用于访问本地资源，但不能用于创建进程。如果需要，您可以通过调用 Win32 DuplicateToken 函数将模拟令牌转换为主令牌。”

但似乎如果我们使用这个旧线程中所述的 LOGON32_LOGON_NETWORK_CLEARTEXT ，委托就可以工作。但它的使用安全性如何？根据 MSDN：

“这种登录类型保留了身份验证包中的名称和密码，允许服务器在模拟客户端的同时与其他网络服务器建立连接。服务器可以接受来自客户端的明文凭据，调用 LogonUser，验证用户是否可以访问系统跨网络，并且仍然与其他服务器通信。”

以这种格式使用的凭据是否对嗅探器可见（我们使用的是 Windows 集成安全性，有时使用 SSL，但并非总是如此）。

请指教。

我有一个应用程序需要检查用户的 Windows 会话密码。

为此，我使用了Windows API 中的LogonUser函数。用户可以连接到域。

当用户连接到域时，该函数运行良好，但是当用户关闭wifi，或者拔掉网线使他离线时，该函数总是返回错误代码1311，这意味着“目前没有可用于服务登录请求的登录服务器”。

LogonUser 函数的第四个参数是要执行的登录操作的类型。文档说，如果此参数的值为“LOGON32_LOGON_INTERACTIVE”，则登录类型具有为断开连接的操作缓存登录信息的额外费用，那么在用户在现场的情况下，这不应该起作用吗？

在此先感谢您的帮助。

是否可以在登录脚本中运行 secedit？
我编写了一个脚本来添加一些 COM 和 DCOM 设置。通过双击或通过 cmd.exe 运行它可以正常工作。
但它不能用作登录脚本。
MsgBox 在登录时也不起作用......
是因为 secedit 在开始时不起作用还是因为我通过域控制器运行它？


编辑：

secedit 不是问题。我添加了一些 MsgBoxes 来控制登录时的脚本，它正在启动。
但是我在域控制器中添加到 GPO 的参数不存在。
我做的 ：

On Error Resume Next Err.Clear MsgBox WScript.Arguments(0) If Err.Number <> 0 Then MsgBox Err.Description End If On Error Resume Next Err.Clear MsgBox WScript.Arguments(1) If Err.Number <> 0 Then MsgBox Err.Description End If

并且输出两次“超出范围”。
那么为什么我不能像这样在 GPO 中设置这两个参数呢？

当我启动我的 Windows 8.1 笔记本电脑时，我想在 Windows 登录屏幕上显示一条消息，以便我知道所有服务和启动过程何时启动。除了等待几分钟之外，假设所有可以启动的服务都已经这样做了，我如何编写一个流程来查询“启动完成”条件，然后更新 UI？

使用组策略启动脚本或在某些“服务已启动”条件下触发的任务计划程序例程是否可以检测到启动完成？我应该在事件日志中查找特定消息吗？

要向登录屏幕发送消息，我猜我需要编写一个 Windows 凭据提供程序，作为 C# 开发人员，我相信我应该看看 PGina？

在我从头开始编写代码之前，是否已经有一个固定的解决方案可以解决这个问题？

我目前正在寻找将消息添加到登录屏幕 Windows 7，通过更新注册表项，我应该能够警告登录是否安全......一旦我知道如何确定这种情况。

[编辑] 删除了大量不相关的文本，并说明我为什么要这样做。希望回答一个简洁而有针对性的问题。

我正在尝试在 Windows（win xp 或 win 7 及更高版本）上创建一个可以打开表单的按钮。

我可以通过拥有Utilman.exe并用我重命名为 Utilman.exe 的自定义 exe 替换它来覆盖 Utilman.exe 来做到这一点，但这将抑制操作系统提供的现有功能。

我已经考虑过创建自定义GINA，但不确定我是否可以用它实现相同的效果。

如果有任何可用的样本或指针，请提供。

问题： 在 Windows 登录屏幕上，我需要提供一个可以调用表单的按钮（机器仍处于锁定状态），如下图所示：

我正在寻求帮助。
我希望在我的桌面上的本地 GPO 上创建一个本地登录脚本。
我需要做的是，当任何用户登录时，此脚本将触发并检查当前登录的用户，如果它不是我的帐户，那么它将注销。

就像是：

也接受任何其他解决方案。