Winlogon, LSASS și Userinit
Autentificarea și autentificarea autentificării sunt implementate într-un DLL înlocuibil numit GINA (Graphical Identification and Authentication). Standard Windows GINA, Msgina.dll, implementează interfața pentru conectarea la sistem în mod implicit. Cu toate acestea, dezvoltatorii pot include DLL-urile GINA care implementează alte mecanisme de autentificare și autentificare în locul metodei standard Windows bazată pe verificarea numelui și parolei utilizatorului - de exemplu, prin recunoașterea eșantioanelor de voce. În plus, Winlogon poate descărca DLL-uri suplimentare pentru componentele de acces la rețea pentru autentificare ulterioară. Această funcție permite mai multor componente ale accesului la rețea să colecteze toate datele necesare de înregistrare în același timp în timpul procesului normal de conectare.
După introducerea numelui de utilizator și parola sunt trimise pentru a testa autentificare (procesul de autentificare locale server de securitate, LSASS) proces server local (\ Windows \ System32 \ Lsass.exe, descris în capitolul 8). LSASS solicită funcționalitatea corespunzătoare (implementat ca un DLL) pentru a verifica conformitatea cu parola introdusă cu cea stocată în directorul activ sau de SAM (registru parte cuprinzând determinarea utilizatori și grupuri).
După succesul LSASS de autentificare provoca orice funcție de protecție în starea de monitorizare (de exemplu, NtCreateToken), pentru a genera obiectul „jeton» (acces obiect jeton), care conține profilul de securitate al utilizatorului. Ulterior, Winlogon o folosește pentru a crea procesul inițial al shell-ului. Informații despre procesul inițial (sau procese) este stocată într-un parametru în Userinit registru cheie HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon. (În mod implicit, procesul inițial este Userinit.exe, însă pot exista mai multe imagini din listă.)
Userinit efectuează unele mediu de utilizator etapele de inițializare (de exemplu, începe script-ul și activează grupul de politici de înregistrare), și apoi caută parametrul registru Shell (în Winlogon secțiunea de mai sus), și creează un proces pentru a rula un mediu sistem specific (implicit - Explorer.exe) . După aceasta, procesul Userinit este finalizat. De aceea, Explorer.exe nu arată procesul părinte - este deja finalizat. Cu alte cuvinte, Explorer este procesul "mare" Winlogon. (Numele proceselor ale căror procese părinte sunt deja completate sunt aliniate la stânga din lista Tlist.)
Winlogon este activ nu numai la intrarea și ieșirea utilizatorului, dar, de asemenea, la SAS de intrare tastatură intercepteze. De exemplu, când apăsați pe Ctrl + Alt + DEI după logare, The winlogon deschide caseta de dialog pentru Windows Security (Securitate Windows), oferă posibilitatea de a alege o cale de ieșire din sistem, lansați Task Manager, stație de lucru de blocare, completarea sistemului de lucrări, și așa mai departe. D.