امیرحسین کریم پور
مدیر ارشد توسینسو و متخصص سرویس های مایکروسافت

WinLogon چیست ؟

Process یا پروسه های مختلفی در پس زمینه سیستم عامل ویندوز مشغول به فعالیت هستند و هر یک وظیفه خاص خود را دارد و ما امروز میخواهیم درباره پراسس winlogon.exe یا Windows Logon Application صحبت کنیم. پراسس winlogon.exe یکی از مهم ترین پراسس های سیستم عامل ویندوز است و بدون این پراسس میتوان گفت ویندوز غیر قابل استفاده است. این پراسس همیشه در Background یا پس زمینه سیستم عامل ویندوز فعالیت می کند و مسئول کار های مهمی در سیستم میباشد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

همانطور که از اسم این پراسس هم بر می آید این پراسس وظایف حیاتی در رابطه با پروسه Sign-in در ویندوز را بر عهده دارد. به عنوان مثال وقتی شما به سیستم Sign-in یا همان Login می کنید پراسس winlogon.exe مسئول بارگزاری پروفایل کاربری شما درون Registry میباشد. این کار به برنامه ها این امکان را میدهد که از کلید های رجیستری زیر قسمت HKEY-CURRENT-USER استفاده کنند که کلید های رجیستری هر کاربر از دیگری متفاوت است.

Process یا پروسه های مختلفی در پس زمینه سیستم عامل ویندوز مشغول به فعالیت هستند و هر یک وظیفه خاص خود را دارد و ما امروز میخواهیم درباره پراسس winlogon.exe یا Windows Logon Application صحبت کنیم. پراسس winlogon.exe یکی از مهم ترین پراسس های سیستم عامل ویندوز است و بدون این پراسس میتوان گفت ویندوز غیر قابل استفاده است. این پراسس همیشه در Background یا پس زمینه سیستم عامل ویندوز فعالیت می کند و مسئول کار های مهمی در سیستم میباشد. 

همانطور که از اسم این پراسس هم بر می آید این پراسس وظایف حیاتی در رابطه با پروسه Sign-in در ویندوز را بر عهده دارد. به عنوان مثال وقتی شما به سیستم Sign-in یا همان Login می کنید پراسس winlogon.exe مسئول بارگزاری پروفایل کاربری شما درون Registry میباشد. این کار به برنامه ها این امکان را میدهد که از کلید های رجیستری زیر قسمت HKEY-CURRENT-USER استفاده کنند که کلید های رجیستری هر کاربر از دیگری متفاوت است. 

||https://tosinso.com/files/get/28c2f7b9-457a-4b5d-865c-f97b0fe7f1b5||

هنگامی که شما کلید های Ctrl+Alt+Delete را فشار میدهید تا با صفحه لاگین ویندوز روبرو شوید و به سیستم لاگین کنید پراسس winlogon.exe برا این فرآیند نظارت می کند به این فرآیند امنیتی Secure Attention Sequence میگویند که میتواند جلوی حملاتی نظیر Brute Force را بگیرد. با فشردن Ctrl+Alt+Delete شما وارد یک دسکتاپ امن در ویندوز میشوید و نام کاربری و رمزعبوری که برای لاگین به سیستم وارد می کنید غیر قابل شنود میشود و مهاجم به سختی می تواند   این اطلاعات را شنود کند.

پراسس Windows Logon Application یا همان winlogon.exe کیبورد و ماوس شما را هم مانیتور می کند و مسئولیت Lock کردن سیستم تان را بعد از طی مدت زمان مشخص در حالت Idle قرار گرفتن سیستم و نمایش صفحه Screen Saver را بر عهده دارد. به طور خلاصه پراسس winlogon.exe یکی از مهم ترین و جزئی جدایی ناپذیر از سیستم عامل ویندوز می باشد و برای استفاده کردن از سیستم در پس زمینه یا Background به عنوان پراسس باید در حال اجرا باشد.

از آنجا که پراسس winlogon.exe یکی از مهم ترین پراسس های ویندوز می باشد از این رو آنرا نمی توان غیر فعال کرد در حقیقت دلیل منطقی هم برای انجام این کار وجود ندارد زیرا به عنوان یک پراسس در Background از منابع سیستمی خیلی کمی استفاده می کند و در عوض مهمترین وظایف ویندوز را بر عهده دارد.

اگر شما سعی بر غیرفعال کردن این پراسس کنید ویندوز به شما اجازه انجام این کار را نمی دهد و در نهایت شما از سیستم Logoff میشوید و یا اینکه سیستم Shutdown میشود. سیستم عامل ویندوز پراسس winlogon.exe را همزمان با Load شدن کرنل ویندوز و سرویس های مهمش اجرا می کند اگر ویندوز نتواند این پراسس را اجرا کند شما با خطای BSOD یا بلواسکرین با کد 0xC000021A مواجه خواهید شد.

پراسس winlogon.exe در مسیر C:\Windows\System32 قرار دارد برای پی بردن به صحت این موضوع میتوانید Task Manager را باز کنید و پراسس Windows Logon Application را پیدا کرده و روی آن راست کلیک کنید و با انتخاب گزینه Open file location میتوانید فایل پراسس winlogon.exe را در این مسیر مشاهده کنید.

توجه کنید که این فایل را هیچ کاربری حتی خود کاربر Administrator هم نمی تواند حذف کند زیرا مجوز چنین کاری را ندارد. اگر فایل پراسس winlogon.exe در مسیری غیر از مسیر C:\Windows\System32 مشاهده کردید شک نکنید که یک ویروس یا بدافزار است و به احتمال زیاد از منابع سیستمی زیادی استفاده می کند و شما بایستی با یک آنتی ویروس Live سیستم را قبل از بوت شدن بصورت کامل اسکن کنید و سیستم را ویروس زدائی کنید.

 
نویسنده : امیرحسین کریم پور 
منبع : |جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو::https://microsoft.tosinso.com|
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی میباشد

هنگامی که شما کلید های Ctrl+Alt+Delete را فشار میدهید تا با صفحه لاگین ویندوز روبرو شوید و به سیستم لاگین کنید پراسس winlogon.exe برا این فرآیند نظارت می کند به این فرآیند امنیتی Secure Attention Sequence میگویند که میتواند جلوی حملاتی نظیر Brute Force را بگیرد. با فشردن Ctrl+Alt+Delete شما وارد یک دسکتاپ امن در ویندوز میشوید و نام کاربری و رمزعبوری که برای لاگین به سیستم وارد می کنید غیر قابل شنود میشود و مهاجم به سختی می تواند این اطلاعات را شنود کند.

پراسس Windows Logon Application یا همان winlogon.exe کیبورد و ماوس شما را هم مانیتور می کند و مسئولیت Lock کردن سیستم تان را بعد از طی مدت زمان مشخص در حالت Idle قرار گرفتن سیستم و نمایش صفحه Screen Saver را بر عهده دارد. به طور خلاصه پراسس winlogon.exe یکی از مهم ترین و جزئی جدایی ناپذیر از سیستم عامل ویندوز می باشد و برای استفاده کردن از سیستم در پس زمینه یا Background به عنوان پراسس باید در حال اجرا باشد.

از آنجا که پراسس winlogon.exe یکی از مهم ترین پراسس های ویندوز می باشد از این رو آنرا نمی توان غیر فعال کرد در حقیقت دلیل منطقی هم برای انجام این کار وجود ندارد زیرا به عنوان یک پراسس در Background از منابع سیستمی خیلی کمی استفاده می کند و در عوض مهمترین وظایف ویندوز را بر عهده دارد.

اگر شما سعی بر غیرفعال کردن این پراسس کنید ویندوز به شما اجازه انجام این کار را نمی دهد و در نهایت شما از سیستم Logoff میشوید و یا اینکه سیستم Shutdown میشود. سیستم عامل ویندوز پراسس winlogon.exe را همزمان با Load شدن کرنل ویندوز و سرویس های مهمش اجرا می کند اگر ویندوز نتواند این پراسس را اجرا کند شما با خطای BSOD یا بلواسکرین با کد 0xC000021A مواجه خواهید شد.

پراسس winlogon.exe در مسیر C:\Windows\System32 قرار دارد برای پی بردن به صحت این موضوع میتوانید Task Manager را باز کنید و پراسس Windows Logon Application را پیدا کرده و روی آن راست کلیک کنید و با انتخاب گزینه Open file location میتوانید فایل پراسس winlogon.exe را در این مسیر مشاهده کنید.

توجه کنید که این فایل را هیچ کاربری حتی خود کاربر Administrator هم نمی تواند حذف کند زیرا مجوز چنین کاری را ندارد. اگر فایل پراسس winlogon.exe در مسیری غیر از مسیر C:\Windows\System32 مشاهده کردید شک نکنید که یک ویروس یا بدافزار است و به احتمال زیاد از منابع سیستمی زیادی استفاده می کند و شما بایستی با یک آنتی ویروس Live سیستم را قبل از بوت شدن بصورت کامل اسکن کنید و سیستم را ویروس زدائی کنید.

نویسنده : امیرحسین کریم پور

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی میباشد


امیرحسین کریم پور
امیرحسین کریم پور

مدیر ارشد توسینسو و متخصص سرویس های مایکروسافت

امیرحسین کریم پور ، مدیر ارشد توسینسو ، متخصص شبکه ، تخصص در حوزه سیستم عامل های کلاینت و سرور مایکروسافت و سرویس های مربوطه ، سیستم عامل لینوکس و... ، سابقه کار با سازمان ها و شرکت های مختلف در زمینه سرویس های مایکروسافت در قالب پروژه ، مشاوره و آموزش. علاقه مند به حوزه امنیت اطلاعات و تست نفوذ سنجی

نظرات