Continuons la découverte des process de Windows, découvrons maintenant winlogon.exe ( Windows Logon Application ).
winlogon.exe est le process chargé d’initialiser la session utilisateur.
Ce fichier se trouve dans %windir%\System32\winlogon.exe est lancé en tant que tâche système ( owner: NT AUTHORITY\SYSTEM” (S-1-5-18) ).
Ce programme gère les interactions d’authentification graphiques : le process d’ouverture et de fermeture de session, le lancement de l’interface graphique LogonIU.Exe, et communique avec lsass.exe.
La phase d’initialisation (Ctrl + Alt + Del = SAS : Secure Attention Sequence) est interceptée par winlogon afin d’éviter qu’un autre programme se l’accapare.
WINLOGON.EXE crée trois bureaux :
- le bureau WinLogon desktop, pour présenter l’ouverture de session ou les demandes UAC
- le bureau DefaultDesktop ou Application Desktop, pour la session utilisateur
- le bureau ScreenSaverDesktop, réservé à l’écran de veille
WinLogon communique aussi avec la Graphical Identification and Authentication DLL. GINA est chargée par Winlogon qui implémente la stratégie d’authentification et d’ouverture de session et ses interactions graphiques.
Il y a 3 états de connexion (Winlogonstate) :
- Déconnecté (Logged-Off State)
- Connecté (Logged-OnState) qui est actif lorsque l’utilisateur à fourni les bons credentials et qu’il est autorisé a ouvrir la session
- Verrouillé (Workstation-Locked State) la session est ouverte mais est cachée par un bureau sécurisé, jusqu’à déverrouillage
Plus d’infos ici :
https://learn.microsoft.com/en-us/windows/win32/winstation/desktops
https://learn.microsoft.com/en-us/windows/win32/secauthn/initializing-winlogon
https://learn.microsoft.com/en-us/windows/win32/secauthn/winlogon-states