В операционной системе windows nt процесс winlogon является активным

Помогла ли Вам статья?

From Wikipedia, the free encyclopedia

(Redirected from Winlogon.exe)

In computing, Winlogon (Windows Logon) is the component of Microsoft Windows operating systems that is responsible for handling the secure attention sequence, loading the user profile on logon, and optionally locking the computer when a screensaver is running (requiring another authentication step). The actual obtainment and verification of user credentials is left to other components.
Winlogon is a common target for several threats that could modify its function and memory usage. Increased memory usage for this process might indicate that it has been «hijacked».
In Windows Vista and later operating systems, Winlogon’s roles and responsibilities have changed significantly.

Overview[edit]

Winlogon handles interface functions that are independent of authentication policy. It creates the desktops for the window station, implements time-out operations, and in versions of Windows prior to Windows Vista, provides a set of support functions for the GINA and takes responsibility for configuring machine and user Group Policy.

Winlogon also checks if the copy of Windows is a legitimate license starting in Windows XP and later.

Winlogon has the following responsibilities:

• Window station and desktop protection

Winlogon sets the protection of the window station and corresponding desktops to ensure that each is properly accessible. In general, this means that the local system will have full access to these objects and that an interactively logged-on user will have read access to the window station object and full access to the application desktop object.

• Standard SAS recognition

Winlogon has special hooks into the User32 server that allow it to monitor Control-Alt-Delete secure attention sequence (SAS) events. Winlogon makes this SAS event information available to GINAs to use as their SAS, or as part of their SAS. In general, GINAs should monitor SASs on their own; however, any GINA that has the standard Ctrl+Alt+Del SAS as one of the SASs it recognizes should use the Winlogon support provided for this purpose.

• SAS routine dispatching

When Winlogon encounters a SAS event or when a SAS is delivered to Winlogon by the GINA, Winlogon sets the state accordingly, changes to the Winlogon desktop, and calls one of the SAS processing functions of the GINA.

• User profile loading

When users log on, their user profiles are loaded into the registry. In this way, the processes of the user can use the special registry key HKEY_CURRENT_USER. Winlogon does this automatically after a successful logon but before activation of the shell for the newly logged-on user.

• Assignment of security to user shell

When a user logs on, the GINA is responsible for creating one or more initial processes for that user. Winlogon provides a support function for the GINA to apply the security of the newly logged-on user to these processes. However, the preferred way to do this is for the GINA to call the Windows function CreateProcessAsUser, and let the system provide the service.

• Screen saver control

Winlogon monitors keyboard and mouse activity to determine when to activate screen savers. After the screen saver is activated, Winlogon continues to monitor keyboard and mouse activity to determine when to terminate the screen saver. If the screen saver is marked as secure, Winlogon treats the workstation as locked. When there is mouse or keyboard activity, Winlogon invokes the WlxDisplayLockedNotice function of the GINA and locked workstation behavior resumes. If the screen saver is not secure, any keyboard or mouse activity terminates the screen saver without notification to the GINA.

• Multiple network provider support

Multiple networks installed on a Windows system can be included in the authentication process and in password-updating operations. This inclusion lets additional networks gather identification and authentication information all at once during normal logon, using the secure desktop of Winlogon. Some of the parameters required in the Winlogon services available to GINAs explicitly support these additional network providers.

See also[edit]

• List of Microsoft Windows components
• Architecture of the Windows NT operating system line
• Vundo, a trojan that attaches itself to winlogon.exe
• getty, a similar process in UNIX
• In the Windows XP Source code leak in September 2020, Winlogon was the only piece missing from the source code, rendering the leaked operating system incomplete.^[1]

References[edit]

External links[edit]

• Customizing GINA — Part 1, Developer tutorial for writing a custom GINA
• Customizing GINA — Part 2, Developer tutorial for writing a custom GINA
• MSKB:193361 MSGINA.DLL does not Reset WINLOGON Structure
• Windows Vista and Windows Server 2008: Understanding, Enhancing and Extending Security End-to-end — Microsoft PowerPoint presentation that includes information on changes to Winlogon in Windows Vista and Windows Server 2008

From Wikipedia, the free encyclopedia

(Redirected from Winlogon.exe)

In computing, Winlogon (Windows Logon) is the component of Microsoft Windows operating systems that is responsible for handling the secure attention sequence, loading the user profile on logon, and optionally locking the computer when a screensaver is running (requiring another authentication step). The actual obtainment and verification of user credentials is left to other components.
Winlogon is a common target for several threats that could modify its function and memory usage. Increased memory usage for this process might indicate that it has been «hijacked».
In Windows Vista and later operating systems, Winlogon’s roles and responsibilities have changed significantly.

Overview[edit]

Winlogon handles interface functions that are independent of authentication policy. It creates the desktops for the window station, implements time-out operations, and in versions of Windows prior to Windows Vista, provides a set of support functions for the GINA and takes responsibility for configuring machine and user Group Policy.

Winlogon also checks if the copy of Windows is a legitimate license starting in Windows XP and later.

Winlogon has the following responsibilities:

• Window station and desktop protection

Winlogon sets the protection of the window station and corresponding desktops to ensure that each is properly accessible. In general, this means that the local system will have full access to these objects and that an interactively logged-on user will have read access to the window station object and full access to the application desktop object.

• Standard SAS recognition

Winlogon has special hooks into the User32 server that allow it to monitor Control-Alt-Delete secure attention sequence (SAS) events. Winlogon makes this SAS event information available to GINAs to use as their SAS, or as part of their SAS. In general, GINAs should monitor SASs on their own; however, any GINA that has the standard Ctrl+Alt+Del SAS as one of the SASs it recognizes should use the Winlogon support provided for this purpose.

• SAS routine dispatching

When Winlogon encounters a SAS event or when a SAS is delivered to Winlogon by the GINA, Winlogon sets the state accordingly, changes to the Winlogon desktop, and calls one of the SAS processing functions of the GINA.

• User profile loading

When users log on, their user profiles are loaded into the registry. In this way, the processes of the user can use the special registry key HKEY_CURRENT_USER. Winlogon does this automatically after a successful logon but before activation of the shell for the newly logged-on user.

• Assignment of security to user shell

When a user logs on, the GINA is responsible for creating one or more initial processes for that user. Winlogon provides a support function for the GINA to apply the security of the newly logged-on user to these processes. However, the preferred way to do this is for the GINA to call the Windows function CreateProcessAsUser, and let the system provide the service.

• Screen saver control

Winlogon monitors keyboard and mouse activity to determine when to activate screen savers. After the screen saver is activated, Winlogon continues to monitor keyboard and mouse activity to determine when to terminate the screen saver. If the screen saver is marked as secure, Winlogon treats the workstation as locked. When there is mouse or keyboard activity, Winlogon invokes the WlxDisplayLockedNotice function of the GINA and locked workstation behavior resumes. If the screen saver is not secure, any keyboard or mouse activity terminates the screen saver without notification to the GINA.

• Multiple network provider support

Multiple networks installed on a Windows system can be included in the authentication process and in password-updating operations. This inclusion lets additional networks gather identification and authentication information all at once during normal logon, using the secure desktop of Winlogon. Some of the parameters required in the Winlogon services available to GINAs explicitly support these additional network providers.

See also[edit]

• List of Microsoft Windows components
• Architecture of the Windows NT operating system line
• Vundo, a trojan that attaches itself to winlogon.exe
• getty, a similar process in UNIX
• In the Windows XP Source code leak in September 2020, Winlogon was the only piece missing from the source code, rendering the leaked operating system incomplete.^[1]

References[edit]

External links[edit]

• Customizing GINA — Part 1, Developer tutorial for writing a custom GINA
• Customizing GINA — Part 2, Developer tutorial for writing a custom GINA
• MSKB:193361 MSGINA.DLL does not Reset WINLOGON Structure
• Windows Vista and Windows Server 2008: Understanding, Enhancing and Extending Security End-to-end — Microsoft PowerPoint presentation that includes information on changes to Winlogon in Windows Vista and Windows Server 2008

Стабильная работа операционной системы Windows достигается за счёт функционирования множества процессов, некоторые из которых просто скрыты от глаз пользователей. Подобная «скрытность» характеризуется тем, что оператору компьютера незачем вмешиваться в работу данных системных процессов, что и объясняет нежелание пользователей обращать внимание на показатели активности в «Диспетчере задач». Но происходит это лишь до поры до времени, пока штатная работа Windows не будет нарушена, и тогда в поисках источников чрезмерной нагрузки каждый пользователь обращается к информации «Диспетчера задач» и видит, что некоторые процессы оказывают особое влияние на быстродействие компьютера. И об одном из таких «нарушителей спокойствия» и пойдёт речь в настоящей статье.

Что это

Итак, процесс «Winlogon.exe» или «Windows Logon Application» — это системный компонент, имеющий обширный функциональный набор для работы с учётной записью пользователей. Структура данного компонента и все его полномочия имеют достаточно сложную структуру, разбираться в дебрях которой просто не имеет смысла. Для понимания его важности можно максимально упростить список его дел и выделить из них следующие пункты:

• Отвечает за сохранность рабочего стола. Грубо говоря, каждый раз, когда пользователь видит сообщение о необходимости ввести пароль для входа в свою учётную запись, это как раз и свидетельствует об успешности работы «Winlogon».
• Контроль за целостностью и сохранностью пользовательских данных, «сотрудничая» со стандартом «SAS».
• Контроль за активностью сетевых подключений.
• Подтверждение правомерности использования версии операционной системы.
• Обеспечение должного функционирования скринсерверов (при активных режимах работы).

Учитывая важность подобного функционала следует отметить, а также принимая во внимание, что исполняемый файл рассматриваемого процесса находится в системном каталоге — C:WindowsSystem32, его несанкционированная деактивация может привести к кратковременным или длительным сбоям в работе операционной системы. Поэтому, если вы стали свидетелями, что в «Диспетчере задач» у «Winlogon.exe» или у «Программа входа в систему Windows» (именно таким может быть его название) показатели создаваемой нагрузки выделены красным, ни в коем случае нельзя собственноручно завершать его работу, пока не будут выяснены причины сей ситуации.

Почему создаётся нагрузка

Ответ прост. В работе «Winlogon» просто не может создаваться подобная нагрузка, которая бы самым непосредственным образом влияла на качество работы операционной системы. Если такая нагрузка есть, то её виновника следует искать в возможном заражение компьютера вирусным программным обеспечением. Ни для кого не станет секретом, что различные вирусы очень любят притворяться системными компонентами, так как «подобная оболочка» создаёт хороший гарант их неприкосновенности. Это утверждение самым непосредственным образом относится и к рассматриваемому в настоящей статье компоненту. Скрываться вирус под видом «Winlogon» может очень уместно и без тщательного изучения выявить «подмену» крайне проблематично. Основываться в своих подозрениях следует на следующих моментах:

Этой информации достаточно для того, чтобы убедиться в наличие «пробелов» в безопасности вашей копии Windows.

Заключение

После выявления нарушителя его требуется обезвредить специализированным антивирусным программным обеспечением. Желательно использовать сторонние утилиты, отличающиеся от представленного у вас на компьютере антивируса, так как данный защитник не справился со своей работой и проглядел «злодея». В качестве совета можно отметить такие утилиты как «Dr.Web CureIt!», «AdwCleaner» и «Malwarebytes». Последнее, в чём будет необходимо убедиться, – это то, насколько качественно работает установленный антивирус, возможно, ему требуется обновление или больше полномочий для функционирования.

Открыв «Диспетчер задач» на своём компьютере каждый из пользователей может увидеть во вкладке процессов активный процесс winlogon.exe. В этой статье я расскажу о том, что это за процесс winlogon.exe и функциях данного процесса, а также поясню, как отличить Винлогон от вируса, который часто маскируется под рассматриваемый мною процесс.

Опытные пользователи, прочитав название данного процесса, уже могут сделать вывод, что раз его название включает слово «win», то данный процесс относится к процессам ОС Windows, а раз в названии содержится лексема «logon» (log on), то процесс winlogon.exe обслуживает процедуру входа пользователя в систему.

При этом видно, что этот процесс winlogon может иметь лишь два статуса – системный и заслуживающий доверия процесс ОС Windows, или вирус, червь или шпионская программа с таким же именем. Поэтому очень важно идентифицировать процесс, и вопрос “что это winlogon.exe” очень актуален.

Процесс winlogon.exe начинает свою работу со стартом операционной системе, и присутствует во всех версиях ОС Виндовс – от XP до Windows 10. Он был создан Microsoft для улучшения работы операционной системы, и наделён обширным функционалом.

1. Винлогон ответственен за функционирование и защиту рабочего стола.
2. За работу компьютерной сети.
3. За контроль скринсейвера.
4. Загрузку пользовательских профилей.
5. Он обеспечивает безопасность пользовательских данных, работает со стандартом SAS.
6. Проводит верификацию копий ОС Виндовс.
7. Поддерживает вход и выход пользователя из системы, а также ряд других функций.

Исполняемый файл процесса winlogon.exe обычно находится в общей директории ОС Виндовс, в папке System32. Прекращение работы данного файла (а также удаление его) может иметь самые фатальные последствия для вашей операционной системы.

Данный процесс запускается процессом smss.exe при загрузке ОС, а затем он сам запускает процессы lsass.exe и services.exe.

Если у вас, как и у меня процесс Svchost.exe периодически грузит процессор, изучите простые рекомендации по исправлению тут.

Когда winlogon.exe становится угрозой

Очень часто различные вирусные программы проникают на компьютер пользователя и работают в нём под именем winlogon.exe (отмечены вирусы Trojan.Goldun, [email protected], W32.IRCBot, [email protected] и ряд других).

• Для проверки наличия вируса с названием winlogon.exe запустите диспетчер задач, и посчитайте количество процессов под данным именем.
• Обычно запущен только один такой процесс, файл которого находится в директории WindowsSystem32 (иногда файл винлогон может также находится по адресу Windowsdllcache).
• Если у вас активны два или более процессов, и эти процессы находятся в другой, нежели System32 (dllcache), директории, то вы имеете дело со злокачественными программами, проникшими на ваш компьютер.

Для определения количества и местоположения файлов winlogon.exe зайдите в диспетчер задач, перейдите во вкладку «Процессы», нажмите галочку напротив опции отображения процессов всех пользователей (внизу), найдите все процессы winlogon.exe, и, нажав на каждом из них правую клавишу мыши, выберите «открытие места хранения файла».

Если вам откроет любую директорию, кроме упомянутых мной чуть выше, – у вас на компьютере вирус. Для избавления от него используйте надёжные антивирусные программы уровня Trojan Remover, Dr.Web CureIt! и других, также можно задействовать такой полезный инструмент как Security Task Manager, который проанализирует все запущенные на компьютере процессы, позволяя удалять ненужные и вредоносные их вариации.

Очень часто на присутствие вируса в системе указывают ошибки с упоминанием winlogon, которые появляются при загрузке и работе операционной системы. Если вы столкнулись с такой ошибкой – также проверьте вашу систему на наличие различных зловредов.

Заключение

Что это winlogon.exe? Рассматриваемый мной процесс winlogon.exe – это несомненный атрибут функционала ОС Виндовс. Он имеет очень важное значение в работе операционной системы, а его повреждение или удаление может иметь самые печальные последствия для работы вашего компьютера. При этом различный злокачественный софт часто маскируется под винлогон, затрудняя его идентификацию и удаление пользователем. По-чаще проверяйте ваш компьютер мощными антивирусными программами – это убережёт вас от вирусов под маркой «winlogon.exe».

Как вам статья?

Запуск операционной системы Windows начинается после прохождения компьютером POST-теста. Подсистема управления сеансами и клиент/сервер времени выполнения обращаются к программе входа в систему — winlogon.exe. Что это за процесс в Windows 7, рассказано в этой статье.

Функции программы

«Win» обозначает принадлежность процесса к ОС, «logon» (log on) указывает, что программа связана с процедурой входа пользователя систему — аутентификацией.

После успешной проверки входа, winlogon.exe активирует реестр и выполняет набор стартовых команд, прописанных в одной из его веток. Далее активируется оболочка и запускается Explorer, который является основой интерфейса Windows.

Запускается процессом smss.exe при загрузке ОС, а затем сам включает lsass.exe и services.exe.

Основные функции программы:

• работоспособность и защита рабочего стола;
• работа компьютерной сети;
• контроль хранителя экрана (скринсейвера);
• загрузка пользовательских профилей;
• обеспечение безопасности пользовательских данных, работа со стандартом SAS;
• проведение верификации копий ОС Windows.
• поддержка входа и выхода пользователя из системы и другие.

По умолчанию, файл располагается в папке System32 или SysWoW64 в зависимости от разрядности системы.

Особенности

Процесс winlogon.exe невозможно завершить на пользовательском уровне, так как он является системным. От его присутствия зависит работоспособность большинство модулей ОС.

Управление такими процессами осуществляется на уровне ядра со знаниями системного программирования. Однако, если вам все же удастся завершить winlogon.exe, то работа Windows будет нестабильной вплоть до полной остановки, ввиду чего придется перезапустить компьютер.

Также особенностью этого процесса является управление системными сочетаниями клавиш. В отличие от GNU/Linux, в Windows невозможно штатными средствами переназначать клавиши по типу «Alt + Tab» (смена активного окна) или «Ctrl + Alt + Delete»  (блокировка экрана).

Иногда возникает проблема в процессе установки какого-либо ПО. Такое возможно, если запущено приложение, связанное с winlogon.exe (например, FineReader OCR). В этом случае необходимо закрыть все лишние программы перед установкой, чтобы избежать конфликтов ОС.

Заражение вирусом

Изолированием winlogon.exe от действий пользователя эффективно пользуются разработчики вирусов. Наличие знаний в области прикладного и системного программирования позволяет им обходить это ограничение и создавать вирус с точно таким же названием, но другим расположением на диске. Свидетельствовать о заражении может сообщение, что winlogon.exe инициировал перезапуск.

1. Откройте «Диспетчер задач» комбинацией клавиш «Ctrl + Shift + Esc».
2. Перейдите на вкладку «Процессы».
3. Убедитесь, что в списке присутствует только один winlogon.exe. В противном случае, проверьте компьютер на наличие вирусов.

Выводы

Winlogon.exe является системной программой, отвечающей за начальную загрузку системы и аутентификацию пользователя. В списке запущенных процессов она должна быть в единственном экземпляре. В противном случае, необходимо проверить компьютер на вирусы.