Ошибки winlogon.exe и способы восстановления системы

Winlogon.exe безопасный или это вирус или вредоносная программа?

Первое, что поможет вам определить, является ли тот или иной файл законным процессом Windows или вирусом, это местоположение самого исполняемого файла. Например, для winlogon.exe его путь будет примерно таким: C: \ Program Files \ Microsoft Corporation \ Microsoft Windows \ winlogon.exe

Если статус процесса «Проверенная подписывающая сторона» указан как «Невозможно проверить», вам следует взглянуть на процесс. Не все хорошие процессы Windows имеют метку проверенной подписи, но ни один из плохих.

Наиболее важные факты о winlogon.exe:

Если у вас возникли какие-либо трудности с этим исполняемым файлом, перед удалением winlogon.exe вы должны определить, заслуживает ли он доверия. Для этого найдите этот процесс в диспетчере задач.

Найти его местоположение и сравнить размер и т. Д. С приведенными выше фактами

Если вы подозреваете, что можете быть заражены вирусом, вы должны немедленно попытаться это исправить

Чтобы удалить вирус winlogon.exe, необходимо скачайте и установите приложение полной безопасности, как это, Обратите внимание, что не все инструменты могут обнаружить все типы вредоносных программ, поэтому вам может потребоваться попробовать несколько вариантов, прежде чем вы добьетесь успеха

Внутренности

СутьСуть²

Операционные системы семейства Windows, уже давно являющиеся многопользовательскими, IRL очень часто работают как однопользовательские. Сей парадокс объясняется тем, что 95% домашних юзеров исторически всегда сидят с правами учётной записи администратора, не догадываясь о разграничении прав доступа. Собственно, отсюда и выползает масса проблем Винды, таких как возможность несанкционированно проникнуть через удалённый доступ, обилие вирусов, например. Значительная часть программ даже сейчас, по умолчанию, пишется как для однопользовательской ОС, то есть требуют права администратора. Однако MS внезапно сделать Windows системой с обязательным разграничением прав пользователей и поддержкой единовременного многопользовательского режима не может, ибо тогда потеряется совместимость со множеством программ, написанных с обязательными требованиями учётной записи администратора.

Также Винда известна своим невероятным количеством артефактов, оставшихся с древних времён, которые были оправданы как средства оптимизации в те времена, но не могут быть так просто выпилены сейчас.

Рассмотрим канонiческiй пример: графическую систему Винды. Давным-давно, когда компьютеры были медленными, а на Винду блевали, но фапали на DOS, Винда имела отдельно ядро, и отдельно графическую подсистему. Но в NT4.0 разработчики решили выебнуться и запихали графическую систему в ядро. Таким образом получается ускорение графики из-за удаления промежуточного слоя, что являлось хорошим подспорьем для продвижения WinNT на десктопы пользователей. Но это обернулось некоторыми проблемами: например, теперь можно было найдя баг в графической подсистеме получить доступ ко всему компу в целом, а при падении графики падает вся ОС целиком.
После того, как обработка графических процессов по сложности значительно возросла, по сравнению с временами NT4.0 и NT5.0, выяснилась уёбищность подобного построения, выражающегося в падении надёжности. Поэтому с NT6.0 архитектуру перестроили вновь: переместив основные драйверы и основу графической подсистемы в пространство пользователя (User space). Результаты следующие: повышение надёжности при падении производительности на треть, что выразилось в дополнительной тормознутости Висты. Следует отметить появившуюся возможность горячей переустановки драйверов (для новых User-Mode драйверов) и возможность горячей перезагрузки драйвера при крахе драйвера. Открутить графическую оболочку теперь можно в серверных версиях Windows Server 2008 (Server Core) и Windows Server 2008 R2, падение графики не является критическим сбоем для серверной версии.

Железо

Сабжевые системы работают на платформах x86, x86-64, IA-64, ARM. Когда-то существовали также версии для DEC Alpha, MIPS и PowerPC, которые убрали за ненадобностью. Однако, основная версия — х86ая, откладывающая х86-капец очень надолго, чему способствует наличие множества программ, работающих лишь в Windows и лишь под x86. Это тебе не open source, где можно тупо пересобрать программу под практически любую другую архитектуру. Ну в крайнем случае, наложить патч и пересобрать.

Что забавно, ситуация ТОП 500 ровно противоположна: Windows занимает ~1% в качестве OS для рынка High-Performance Computing, да и то весь этот ~1% был построен компанией Microsoft и её дочками. В этой среде экспертов и профессионалов почему-то упорно отказываются использовать виндовс, что как бы намекает на качество винды для вычислений посложнее, чем задачи персонального компьютера.

Несколько слов напоследок

Это очень кратко о процессе Winlogon. По понятным причинам четкие механизмы функционирования этой службы не рассматривались, поскольку их углубленное описание рядовому пользователю совершенно ничего не даст. Но самое главное, что следует четко усвоить, — завершать этот процесс в принудительном порядке с использованием «Диспетчера задач» нельзя ни при каких обстоятельствах, если только речь не идет о вирусах. Деактивация оригинального компонента приведет «всего лишь» к появлению синего экрана. Аналогичная ситуация может наблюдаться и в случае завершения не того процесса, если их несколько. Поэтому предварительно следует произвести определение месторасположения файлов.

Почему создаётся нагрузка

Ответ прост. В работе «Winlogon» просто не может создаваться подобная нагрузка, которая бы самым непосредственным образом влияла на качество работы операционной системы. Если такая нагрузка есть, то её виновника следует искать в возможном заражение компьютера вирусным программным обеспечением. Ни для кого не станет секретом, что различные вирусы очень любят притворяться системными компонентами, так как «подобная оболочка» создаёт хороший гарант их неприкосновенности. Это утверждение самым непосредственным образом относится и к рассматриваемому в настоящей статье компоненту. Скрываться вирус под видом «Winlogon» может очень уместно и без тщательного изучения выявить «подмену» крайне проблематично. Основываться в своих подозрениях следует на следующих моментах:

При нормальной работе компьютера в «Диспетчере задач» нет и быть не может двух вариаций «Winlogon.exe». Если вы наблюдаете два представителя, то один из них гарантированно является «шпионом».
Кликните правой кнопкой мышки по любому из «подозреваемых» и выберите его «Свойства», после чего перейдите на вкладку «Подробно»

Особое внимание следует обратить на указанного автора, версию и даты обновления. В обязательном порядке здесь должная быть указана компания Microsoft.
Снова кликните правой кнопкой мышки и выберите «Открыть расположения файла» для того, чтобы убедиться, что исполняемым файлом является «Winlogon.exe».

Этой информации достаточно для того, чтобы убедиться в наличие «пробелов» в безопасности вашей копии Windows.

Почему создаётся нагрузка

Ответ прост. В работе «Winlogon» просто не может создаваться подобная нагрузка, которая бы самым непосредственным образом влияла на качество работы операционной системы. Если такая нагрузка есть, то её виновника следует искать в возможном заражение компьютера вирусным программным обеспечением. Ни для кого не станет секретом, что различные вирусы очень любят притворяться системными компонентами, так как «подобная оболочка» создаёт хороший гарант их неприкосновенности. Это утверждение самым непосредственным образом относится и к рассматриваемому в настоящей статье компоненту. Скрываться вирус под видом «Winlogon» может очень уместно и без тщательного изучения выявить «подмену» крайне проблематично. Основываться в своих подозрениях следует на следующих моментах:

Этой информации достаточно для того, чтобы убедиться в наличие «пробелов» в безопасности вашей копии Windows.

Функции программы

«Win» обозначает принадлежность процесса к ОС, «logon» (log on) указывает, что программа связана с процедурой входа пользователя систему — аутентификацией.

После успешной проверки входа, winlogon.exe активирует реестр и выполняет набор стартовых команд, прописанных в одной из его веток. Далее активируется оболочка и запускается Explorer, который является основой интерфейса Windows.

Запускается процессом smss.exe при загрузке ОС, а затем сам включает lsass.exe и services.exe.

Основные функции программы:

• работоспособность и защита рабочего стола;
• работа компьютерной сети;
• контроль хранителя экрана (скринсейвера);
• загрузка пользовательских профилей;
• обеспечение безопасности пользовательских данных, работа со стандартом SAS;
• проведение верификации копий ОС Windows.
• поддержка входа и выхода пользователя из системы и другие.

По умолчанию, файл располагается в папке System32 или SysWoW64 в зависимости от разрядности системы.

Что произойдет, если я его отключу?

Если вы надеялись увидеть прямые инструкции о том, как завершить winlogon, извините за то, что разочаровали вас по понятным причинам

Если вы все-таки решите отбросить осторожность, проигнорировав предупреждения, и перейдете к завершению операции, мы ожидаем, что ваш экран погаснет или произойдет аналогичное событие в том же направлении

Теоретически, ваша ОС должна запускать Winlogon при загрузке вашего компьютера. Если Windows испытывает серьезные трудности или внезапно терпит неудачу в своих попытках выполнить такие операции, вы увидите синий экран ошибки смерти. Код ошибки, обычно связанный с такими событиями равен 0xC000021A.

Как исправить winlogon.exe

Аккуратный и опрятный компьютер — это один из лучших способов избежать проблем с winlogon.exe. Это означает выполнение сканирования на наличие вредоносных программ, очистку жесткого диска cleanmgr и ПФС / SCANNOWудаление ненужных программ, мониторинг любых автозапускаемых программ (с помощью msconfig) и включение автоматических обновлений Windows. Не забывайте всегда делать регулярные резервные копии или хотя бы определять точки восстановления.

Если у вас возникла более серьезная проблема, постарайтесь запомнить последнее, что вы сделали, или последнее, что вы установили перед проблемой. Использовать resmon Команда для определения процессов, вызывающих вашу проблему. Даже в случае серьезных проблем вместо переустановки Windows вы должны попытаться восстановить вашу установку или, в случае Windows 8, выполнив команду DISM.exe / Online / Очистка-изображение / Восстановить здоровье, Это позволяет восстановить операционную систему без потери данных.

Проверяем оперативную память

Как мы уже отмечали выше, причиной BSOD может быть оперативная память, не способная, например, работать на повышенных частотах. В таких случаях на синем экране возможен такой текст: «PAGE_FAULT_IN_NONPAGED_AREA».

Провести тест модулей ОЗУ позволяет бесплатное приложение Memtest86. Как и с MHDD, с Memtest86 можно работать с загрузочной флешки. Приложение не требует настройки и сразу после запуска начинает диагностику с применением целого ряда тестов. Пункт меню «Pass» отображает число завершенных циклов тестов, тогда как «Errors» — количество зафиксированных ошибок.

• Как переустановить Виндовс 10: четыре способа на любой вкус
• Компьютер включается и сразу выключается: что делать?

Защита от копирования

А чего стесняться…Или так..

• До Windows XP защита от нелицензионного использования была одна: ввод ключа продукта (ака cd-key’я), что «защитой» можно назвать с большой натяжкой.
• В Windows XP появилась собственно «Активация Windows». Она должна была помешать пользователям использовать пиратские версии Windows, однако в скором времени и эту защиту поломали. В наше время существуют уже активированные сборки Windows XP.
• Естественно, так продолжаться не могло, и Microsoft ввели защиту WGA, которая на этот раз была куда активнее. WGA проходила на компьютер через Windows Update, и без прохождения не давала скачивать некритические обновления (то есть такие, которые позволяют хакерам поломать комп абсолютно без вашего участия: если вы пользуетесь IE, WMP или хотя бы стандартным проводником, их, естественно, не хватит).

В Windows XP при провале WGA каждый час (замена на черный фон с напоминанием), при каждом входе и на экране входа появляется напоминание о том, что винды-то нелицензионные. Работать можно, но лучше такую защиту обойти. Способы есть и гуглятся.
В Windows Vista при провале WGA происходит то же самое, но вдобавок еще и ограничивается работоспособность: удаляется панель задач и все значки на рабочем столе, остается только выбранный по дефолту браузер. Больше 3 приложений запускать нельзя. Каждый час будет происходить принудительный выход из системы. Здесь без взлома не обойтись. В первом сервис-паке к висте всех этих ограничений уже нет, и они вернулись к XP’шным ограничениям.

В Windows 7 механизм схож с тем, что у Vista SP1 и XP — после истечения 30 дней при запуске виндов будет выводиться жалобное окошко, а в правом углу надпись «эта копия виндовс не является подлинной». К тому же каждые два часа обои будут сбиваться на чёрные; других ограничений нет. Чинится всё это или установкой ‘soft-mod’а (обманывает винду на стадии запуска, из-за чего она опознает фирменный биос), или перепрошивкой самого BIOSа (‘hardmod’, вариант для нердов, гиков, и просто желающих найти приключений на свой зад. Правда, при успешной интеграции хардмода винда никак не сможет опознать подмену, в отличие от софтмода; с этим же связан баттхёрт после выпуска SP2 для висты, который ставился только на хардмодные ПК).

Почему процесс грузит систему?

Но на этом радужном фоне можно встретить и черные пятна. Иногда пользователи замечают, что данный компонент начинает потреблять неоправданно много ресурсов с неимоверным увеличением нагрузки на центральный процессор и оперативную память, да, и система, неизвестно почему выдает сообщения о том, что процесс Winlogon.exe инициировал выполнение какой-то процедуры (обычно самопроизвольное выключение компьютера или перезагрузка). Почему так происходит? Да только потому, что наряду с оригинальным процессом в системе обосновался вирус, маскирующийся под эту системную службу.

Winlogon.exe: что это за процесс и в чём причины его нагрузки на систему

Стабильная работа операционной системы Windows достигается за счёт функционирования множества процессов, некоторые из которых просто скрыты от глаз пользователей

Подобная «скрытность» характеризуется тем, что оператору компьютера незачем вмешиваться в работу данных системных процессов, что и объясняет нежелание пользователей обращать внимание на показатели активности в «Диспетчере задач». Но происходит это лишь до поры до времени, пока штатная работа Windows не будет нарушена, и тогда в поисках источников чрезмерной нагрузки каждый пользователь обращается к информации «Диспетчера задач» и видит, что некоторые процессы оказывают особое влияние на быстродействие компьютера

И об одном из таких «нарушителей спокойствия» и пойдёт речь в настоящей статье.

winlogon сканер

Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.

Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.

Инструмент ремонта ПК бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.

Другие процессы

wmiprvse.exe nvinit.dll dllhost.exe winlogon.exe wltrysvc.exe lsass.exe nvcontainer.exe browser.exe skypehost.exe dmiehlp.dll googlecrashhandler.exe

Winlogon exe что это за процесс

Winlogon.exe — это системный процесс, который выполняет процедуры выхода и входа на вашем компьютере. Он относится к классу важных или критических компонентов, которые работают в фоновом режиме.

Когда вы пытаетесь войти в Windows, процедура запускается, чтобы загрузить профиль пользователя в реестр. Благодаря этому программы получают доступ к ключам в записи HKEY_CURRENT_USER. Конечно, эти ключи различаются в зависимости от личности пользователя, который их контролирует.

Winlogon всегда определяет, когда пользователь нажимает комбинацию клавиш CTRL, ALT и Delete, и гарантирует, что ваш экран входа в систему подлинный. Благодаря этой настройке подмена невозможна, поскольку ядро ​​начинает обработку доверенного входа в систему после инициализации последовательности или использования назначенной кнопки.

Эта настройка по умолчанию неактивна на компьютерах под управлением клиентских версий Windows, поскольку Microsoft считает, что процедура требует от обычного пользователя слишком больших усилий, чем она того стоит. Независимо от этого, если безопасность является вашим главным приоритетом, вы всегда можете настроить свою ОС так, чтобы она требовала нажатия клавиш CTRL, ALT и Delete перед входом.

Так как процедура всегда активна, Microsoft настроила ее для наблюдения за работой мыши и клавиатуры. Когда она подтверждает, что вы были неактивны на вашем ПК в течение определенного периода, она заблокирует ваш компьютер для предотвращения несанкционированного доступа. Она также может загрузить заставки при необходимости и выполняет много других жизненно важных операций, которые необходимы для того, чтобы ваш ПК работал должным образом.

Что произойдет, если я его отключу?

Если вы надеялись увидеть прямые инструкции о том, как завершить winlogon, извините за то, что разочаровали вас по понятным причинам

Если вы все-таки решите отбросить осторожность, проигнорировав предупреждения, и перейдете к завершению операции, мы ожидаем, что ваш экран погаснет или произойдет аналогичное событие в том же направлении

Теоретически, ваша ОС должна запускать Winlogon при загрузке вашего компьютера. Если Windows испытывает серьезные трудности или внезапно терпит неудачу в своих попытках выполнить такие операции, вы увидите синий экран ошибки смерти. Код ошибки, обычно связанный с такими событиями равен 0xC000021A.

Особенности программы входа в систему

Процесс winlogon.exe относится к категории «неубиваемых». Его невозможно вычеркнуть из списка исполняемых воспользовавшись, например, «Диспетчером задач». Было бы странно, если бы это у кого-то получилось. Зато это можно сделать при помощи специализированного программного обеспечения, например, — утилиты «Process Explorer». Для того чтобы «прихлопнуть» эту службу программным способом, недостаточно использования API верхнего уровня. Для этого потребуется получение привилегий уровня ядра, что значительно усложняет программирование такой задачи.

Если вам все-таки удастся уничтожить службу входа в систему во время сеанса работы в Windows, то ничего интересного, кроме «кракозябров» на экране, вы не увидите. Windows будет остановлен, и компьютер придется перезагружать нажатием кнопки на системном блоке.

Не смотря на то, что процесс winlogon.exe никак не проявляет себя внешне, он все же имеет собственное окно. Только это окно не отображается на экране и является невидимым. Однако именно в очередь сообщений этого окна попадают все коды нажатий клавиш на клавиатуре. И только потом они поступают к окнам пользователя. Некоторые из клавиатурных комбинаций это окно не пропускает дальше и резервирует за собой. Поэтому назначить какую-нибудь другую функцию, кроме функции переключения окон, — не удастся.

Назначение процесса и файла

Начнем с теоретических данных. Во-первых, разберем название данного процесса. Оно представляет собой составное слово из Windows (наименование операционной системы) и Logon (Log On). Судя по названию, можно сделать вывод, что данный процесс отвечает за авторизацию пользователя в системе и все сопутствующие операции.

Во-вторых, winlogon.exe постоянно работает в фоновом режиме. Убедиться в этом можно с помощью «Диспетчера задач». Запустите его с помощью комбинации Ctrl+Shift+Esc. Откройте вкладку «Процессы» и найдите строку с названием нужного файла.

Мнение эксперта
Дарья Ступникова
Специалист по WEB-программированию и компьютерным системам. Редактор PHP/HTML/CSS сайта os-helper.ru.

Если в списке нет winlogon.exe, то кликните по кнопке «Отображать процессы всех пользователей».

Обратите внимание на то, что в информации о процессе нет отметки с именем пользователя. Это значит, что служба запущена операционной системой

А при попытке закрыть winlogon.exe, появится ошибка.

Если у вас получится выключить данный процесс с помощью сторонних программ, то будьте готовы к постоянным сбоям до повторного включения ПК. При перезапуске система автоматически активирует данную службу.

Как исправить winlogon.exe

Поддержание компьютера в чистоте и порядке имеет решающее значение для предотвращения проблем с winlogon.exe. Это включает в себя проведение регулярное сканирование на наличие вредоносных программ, очистка жесткого диска с помощью таких инструментов, как cleanmgr и ПФС / SCANNOW, удаление ненужных программ, управление автозапуском программ через MSCONFIGи включение автоматического обновления Windows.

Также важно регулярно создавать резервные копии или устанавливать точки восстановления. Если вы столкнулись с серьезной проблемой, проверьте свои недавние действия и воспользуйтесь resmon Команда для выявления проблемных процессов

Вместо переустановки Windows рассмотрите возможность восстановления вашей установки или использования DISM.exe команда. Такие инструменты, как может помочь проанализировать процесс winlogon.exe, определив, является ли это шпионским, вредоносным ПО или троянским конем, а антивирусное программное обеспечение может помочь в устранение таких угроз.

Обновлено в апреле 2024 г.:

Мы рекомендуем вам попробовать этот новый инструмент. Он исправляет множество компьютерных ошибок, а также защищает от таких вещей, как потеря файлов, вредоносное ПО, сбои оборудования и оптимизирует ваш компьютер для максимальной производительности. Это исправило наш компьютер быстрее, чем делать это вручную:

• Шаг 1: (Windows 10, 8, 7, XP, Vista — Microsoft Gold Certified).
• Шаг 2: Нажмите «Начать сканирование”, Чтобы найти проблемы реестра Windows, которые могут вызывать проблемы с ПК.
• Шаг 3: Нажмите «Починить все», Чтобы исправить все проблемы.

Загрузите или переустановите winlogon.exe

Не загружайте заменяющие exe-файлы, такие как winlogon.exe, с сайтов загрузки из-за риска заражения вирусами. Вместо этого переустановите связанное с ним основное приложение, то есть Microsoft Windows, для более безопасного решения.

Основные возможности 5 в Windows 10

1. Новое меню Пуск. Microsoft вернула меню «Пуск».
2. Интеграция с Кортаной. Windows 10 перенесет на настольные компьютеры цифрового помощника Microsoft Cortana с голосовым управлением, чтобы вам было проще взаимодействовать с устройством, не отрывая пальца.
3. Веб-браузер Microsoft Edge.
4. Виртуальные рабочие столы.
5. Универсальные приложения.

19 Апрель, 2017

Информация об операционной системе

Ошибки winlogon.exe могут появляться в любых из нижеперечисленных операционных систем Microsoft Windows:

• Windows 11
• Windows 10
• Windows 8.1
• Windows 7
• Windows Vista

РЕКОМЕНДУЕМЫЕ: Оптимизируйте свой компьютер и устраняйте ошибки с помощью этого простого исправления для Windows!

Инициализация Winlogon

Перед тем, как станет активным любое пользовательское приложение, процесс Winlogon выполняет следующие действия:

• создает и выполняет интерактивное окно, для предоставления клавиатуры, мыши и монитора. Ни один другой пользовательский процесс не сможет запуститься, пока Winlogon это не разрешит;
• создает и запускает два рабочих стола — интерактивный и защищенный. Интерактивный рабочий стол используется для работы пользователя, а защищенный при блокировке системы, или перед тем как кто-нибудь зайдет в систему. Нажатие Ctrl+Alt+Delete переключает защищенный рабочий стол на интерактивный и начинается процедура аутентификации, запускается LogonUI, загружается один из поставщиков учетных данных и так далее;
• устанавливает ALPC-подключение к LSASS для обмена информацией;
• регистрируется сервер rpc-сообщений, который прослушивает уведомления SAS, выхода из системы и блокировки рабочей станции. Безопасность SAS реализована таким образом, что ни одно другое приложение не может перехватить комбинацию Ctrl+Alt+Delete.

Настройка политик аудита

Очень часто можно услышать совет: «давайте включим все политики». Это, конечно, — «путь джедая», но, как показывает практика, не все джедаи добрались до финала.

Для большинства сценариев мониторинга нет острой необходимости включать всё. Это излишне. Включая все политики, вы можете получить гигантский поток событий, в котором очень легко «утонуть». В большой инфраструктуре с несколькими тысячами Windows-хостов поток событий может исчисляться десятками тысяч EPS (событий в секунду). Это порождает другую, не менее сложную задачу: как этим управлять, где это хранить, как обрабатывать.

Предлагаем рассмотреть оптимальный список политик, который может вам понадобиться

Также стоит обратить внимание на то, что фактически настроек две (и, соответственно, существуют две различные GPO). Первая — исключительно для контроллеров домена, так как часть событий (например, ID 4768: A Kerberos authentication ticket (TGT) was requested) фиксируется исключительно на них

Вторая — для рядовых серверов и АРМ пользователей.

Таблица 2. Рекомендуемые настройки аудита Windows

Категория	Подкатегория	Включить	Хост (DC, сервер, АРМ)	Категория (успех / отказ)
Account Logon	Audit Credential Validation	+	DC, сервер, АРМ	Успех и отказ
Audit Kerberos Authentication Service	+	DC	Успех и отказ
Audit Kerberos Service Ticket Operations	+	DC	Успех и отказ
Audit Other Account Logon Events	—
Account Management	Audit Application Group Management	+	DC	Успех и отказ
Audit Computer Account Management	+	DC	Успех
Audit Distribution Group Management	+	DC	Успех
Audit Other Account Management Events	+	DC, сервер, АРМ	Успех
Audit Security Group Management	+	DC, сервер, АРМ	Успех
Audit User Account Management	+	DC, сервер, АРМ	Успех и отказ
Detailed Tracking	Audit DPAPI Activity	+	DC, сервер, АРМ	Успех и отказ
Audit PNP Activity	+	DC, сервер, АРМ	Успех и отказ
Audit Process Creation	+	DC, сервер, АРМ	Успех
Audit Process Termination	—
Audit RPC Events	—
Audit Token Right Adjusted	—
DS Access	Audit Detailed Directory Service Replication	+	DC	Успех и отказ
Audit Directory Service Access	+	DC	Успех и отказ
Audit Directory Services Changes	+	DC	Успех и отказ
Audit Directory Service Replication	+	DC	Успех и отказ
Logon/Logoff	Audit Account Lockout	+	DC, сервер, АРМ	Отказ
Audit User / Device Claims	—
Audit IPsec Extended Mode	—
Audit IPsec Main Mode	—
Audit IPsec Quick Mode	—
Audit Logoff	+	DC, сервер, АРМ	Успех
Audit Logon	+	DC, сервер, АРМ	Успех и отказ
Audit Network Policy Server	—
Audit Other Logon / Logoff Events	+	DC, сервер, АРМ	Успех и отказ
Audit Special Logon	+	DC, сервер, АРМ	Успех
Object Access	Audit Application Generated	—
Audit Certification Services	—
Audit Detailed File Share	—
Audit File Share	—
Audit File System	+	DC, сервер, АРМ	Успех и отказ
Audit Filtering Platform Connection	—
Audit Filtering Platform Packet Drop	—
Audit Handle Manipulation	—
Audit Kernel Object	—
Audit Other Object Access Events	+	DC, сервер, АРМ	Успех и отказ
Audit Registry	+	DC, сервер, АРМ	Успех и отказ
Audit Removable Storage	+	DC, сервер, АРМ	Успех и отказ
Audit SAM	—
Audit Central Access Policy Staging	—
Policy Change	Audit Policy Change	+	DC, сервер, АРМ	Успех
Audit Authentication Policy Change	+	DC, сервер, АРМ	Успех
Audit Authorization Policy Change	+	DC, сервер, АРМ	Успех
Audit Filtering Platform Policy Change	—
Audit MPSSVC Rule-Level Policy Change	+	DC, сервер, АРМ	Успех и отказ
Audit Other Policy Change Events	—
Privilege Use	Audit Non Sensitive Privilege Use	+	DC, сервер, АРМ	Успех и отказ
Audit Other Privilege Use Events	—
Audit Sensitive Privilege Use	+	DC, сервер, АРМ	Успех и отказ
System	Audit IPsec Driver	—
Audit Other System Events	+	DC, сервер, АРМ	Успех и отказ
Audit Security State Change	+	DC, сервер, АРМ	Успех
Audit Security System Extension	+	DC, сервер, АРМ	Успех
Audit System Integrity	—
Global Object Access Auditing	File system	—
Registry	—

После включения описанных политик у вас будут все необходимые события для мониторинга и расследования инцидентов.

Как выявить вирусный процесс?

Теперь остановимся на тех моментах, когда выдается предупреждение о том, что процесс Winlogon.exe инициировал выключение питания. В данном случае, как уже, наверное, понятно, речь идет о выявлении вирусных угроз.

Первым делом необходимо заглянуть в «Диспетчер задач». В нем может находиться только один (!) процесс Winlogon.exe с атрибутом «Система». Если вы наблюдаете два и более одинаковых процесса, это точно вирусы. Через меню ПКМ на выбранном процессе нужно перейти к пункту отображения расположения файла.

Оригинальный системный компонент может находиться только в двух местах: в каталоге System32 и иногда в папке dllcache (обе расположены в основной директории Windows).

Загрузите или переустановите winlogon.exe

Не загружайте заменяющие exe-файлы, такие как winlogon.exe, с сайтов загрузки из-за риска заражения вирусами. Вместо этого переустановите связанное с ним основное приложение, то есть Microsoft Windows, для более безопасного решения.

Основные возможности 5 в Windows 10

1. Новое меню Пуск. Microsoft вернула меню «Пуск».
2. Интеграция с Кортаной. Windows 10 перенесет на настольные компьютеры цифрового помощника Microsoft Cortana с голосовым управлением, чтобы вам было проще взаимодействовать с устройством, не отрывая пальца.
3. Веб-браузер Microsoft Edge.
4. Виртуальные рабочие столы.
5. Универсальные приложения.

19 Апрель, 2017

Информация об операционной системе

Ошибки winlogon.exe могут появляться в любых из нижеперечисленных операционных систем Microsoft Windows:

• Windows 11
• Windows 10
• Windows 8.1
• Windows 7
• Windows Vista

РЕКОМЕНДУЕМЫЕ: Оптимизируйте свой компьютер и устраняйте ошибки с помощью этого простого исправления для Windows!