个人主页杨利杰YJlio❄️个人专栏《Sysinternals实战教程》 《Windows PowerShell 实战》 《WINDOWS教程》 《IOS教程》《微信助手》 《锤子助手》 《Python》 《Kali Linux》《那些年未解决的Windows疑难杂症》让复杂的事情更简单让重复的工作自动化文章目录1. 写在前面为什么要理解 Windows 图形界面的“分层舞台”2. 会话 Session同一台机器上的多场登录环境2.1 会话到底是什么2.2 Session 0 为什么特殊2.3 在 Process Explorer 中怎么看 Session3. 窗口站 Window Station会话里的窗口容器3.1 窗口站是什么3.2 窗口站解决了什么问题3.3 窗口站与安全隔离的关系4. 桌面 Desktop真正展示给用户看的那块画布4.1 桌面不是壁纸而是安全对象4.2 为什么锁屏后窗口没有消失4.3 UAC 为什么普通脚本点不了5. 窗口消息 Window Messages窗口之间的“喊话协议”5.1 什么是窗口消息5.2 为什么窗口消息也涉及安全5.3 运维排障中怎么理解窗口消息问题6. Sysinternals 视角如何把这些概念用于排障6.1 用 Process Explorer 看 Session ID6.2 排查服务无法弹窗6.3 排查远程桌面多用户问题6.4 排查 UAC 自动化失败7. 我的理解这几个概念应该怎么记8. 总结图形界面不是一块屏幕而是一套分层安全结构1. 写在前面为什么要理解 Windows 图形界面的“分层舞台”在前面几节中我们已经学习了进程、线程、句柄、用户模式、内核模式、应用隔离、应用容器、受保护进程、调用栈和符号等 Windows 内部机制。这些内容更多是在回答一个问题程序是怎么运行的系统资源是怎么被访问的而这一节要继续往图形界面方向推进重点回答另一个更贴近桌面支持的问题同一台 Windows 电脑上为什么可以同时存在本地登录、远程桌面、锁屏界面、UAC 安全桌面、系统服务和用户桌面很多时候我们在排查问题时会遇到这些现象服务程序明明启动了但用户桌面上看不到窗口远程桌面用户 A 的程序和用户 B 的程序互相看不见UAC 弹窗出现时普通脚本无法自动点击锁屏后窗口没有消失但用户暂时无法操作Process Explorer 里看到多个explorer.exe但它们属于不同用户或不同 Session。这些现象背后不是 Windows “玄学”而是 Windows 图形子系统中的四个关键概念会话Session窗口站Window Station桌面Desktop窗口消息Window Messages一句话概括会话决定“谁登录在哪一场”窗口站决定“这一场有哪些窗口资源”桌面决定“当前展示哪块画布”窗口消息决定“窗口之间如何通信”。先用一张总览图建立整体框架这张图可以帮助我们先建立一个整体理解Windows 图形界面不是单层结构而是一套分层舞台。会话 Session窗口站 Window Station桌面 Desktop窗口 Window窗口消息 Window Messages本地登录 / 远程桌面 / 服务会话输入输出资源 / 剪贴板 / 菜单对象Default / Winlogon / Secure DesktopWM_CREATE / WM_PAINT / WM_KEYDOWN2. 会话 Session同一台机器上的多场登录环境2.1 会话到底是什么在 Windows 中每一次交互式登录都会对应一个Session ID。可以简单理解为一次登录就是一个会话。比如场景典型 Session系统服务Session 0本地登录用户Session 1第一个远程桌面用户Session 2第二个远程桌面用户Session 3所以当你在一台服务器上看到多个用户同时登录时本质上就是多个 Session 同时存在。这也是远程桌面服务能够实现“一台机器多人同时在线”的基础。从图中可以看出Session 0主要承载系统服务Session 1可能是本地登录用户Session 2 / 3可能是不同的远程桌面用户每个 Session 内都有自己的用户空间、桌面和进程。2.2 Session 0 为什么特殊在早期 Windows 中服务和用户程序之间的隔离没有现在严格服务有时可以直接和用户桌面交互。但这会带来严重安全风险如果高权限服务可以随便在用户桌面弹窗低权限程序也可能通过窗口消息反向攻击高权限服务。所以从 Windows Vista 之后Windows 引入了Session 0 Isolation。也就是说系统服务主要运行在Session 0用户桌面运行在Session 1、2、3……服务默认不再直接和用户桌面交互这就是为什么很多服务类程序“明明运行了”但用户界面却看不到。2.3 在 Process Explorer 中怎么看 Session在 Sysinternals 的 Process Explorer 中可以通过以下方式查看进程所属会话View → Select Columns → Process Image → 勾选 Session ID观察重点services.exe通常位于 Session 0用户自己的explorer.exe通常位于当前登录 Session远程桌面用户的程序会显示不同的 Session ID多个同名进程不一定属于同一个用户环境。排查远程桌面、服务弹窗、用户会话异常时Session ID 是非常关键的第一层坐标。3. 窗口站 Window Station会话里的窗口容器3.1 窗口站是什么理解完 Session 后再往下一层就是Window Station。可以这样理解窗口站是一个会话内部用于管理图形窗口、输入输出资源和部分共享对象的容器。它通常包含键盘输入鼠标输入剪贴板菜单对象一个或多个 Desktop。其中用户最常接触的是WinSta0它是典型的交互型窗口站。这张图中可以看到Session 里面包含 Window StationWindow Station 里包含共享的输入 / 输出资源Window Station 下面还可以继续包含多个 Desktop最常见的交互窗口站就是WinSta0。3.2 窗口站解决了什么问题窗口站主要解决的是同一会话中哪些进程可以共享图形输入输出环境。例如谁能接收键盘鼠标输入谁能访问剪贴板谁能创建可见窗口谁和谁处在同一个图形交互环境中。如果进程不在正确的窗口站里它就算启动了也未必能正常显示 GUI。3.3 窗口站与安全隔离的关系窗口站不是单纯的图形概念它也有安全意义。因为图形界面不仅仅是“显示窗口”还涉及输入信息剪贴板内容窗口消息用户交互权限。所以 Windows 不允许所有进程随便共享同一套窗口资源。窗口站是 Windows 图形界面安全边界的一部分尤其和窗口消息、UIPI、完整性级别等机制密切相关。4. 桌面 Desktop真正展示给用户看的那块画布4.1 桌面不是壁纸而是安全对象很多人一听到“桌面”第一反应是壁纸、图标、任务栏。但在 Windows Internals 的视角里Desktop 不是背景图片而是一个图形对象。可以这样理解Desktop 是 Window Station 下面真正承载窗口显示和用户交互的那块逻辑画布。一个 Window Station 可以包含多个 Desktop例如Desktop 类型作用Default Desktop用户日常看到的普通桌面Winlogon Desktop登录、锁屏、安全登录界面Secure DesktopUAC 提示等高安全交互界面这张图非常适合理解“桌面切换”平时看到的是Default Desktop锁屏或登录时切换到Winlogon DesktopUAC 提示可能切换到Secure Desktop同一时刻通常只有一个 Desktop 是当前活动界面。4.2 为什么锁屏后窗口没有消失当我们按下Win L系统并不是把当前所有窗口都关掉也不是把它们“最小化”。真正发生的是系统从当前用户的 Default Desktop 切换到了 Winlogon Desktop。所以原来的窗口仍然存在原来的程序仍然运行只是当前显示和输入焦点切换到了另一个 Desktop登录回来后原来的窗口还在。这也是为什么锁屏前打开的文档、浏览器、资源管理器窗口在解锁后还能继续显示。4.3 UAC 为什么普通脚本点不了很多自动化脚本会遇到一个问题UAC 提示出现后脚本无法自动点击“是”。这不是脚本写错了而是 Windows 有意这样设计。因为 UAC 提示通常运行在更高安全级别的桌面上普通用户进程所在的桌面无法随便控制它。如果低权限脚本可以随便点击 UAC 提示那就等于低权限程序可以自动完成高权限授权整个安全机制会被打穿。所以在排查“自动化脚本无法操作 UAC 窗口”时要先判断这是不是Desktop 隔离和权限隔离导致的正常现象。5. 窗口消息 Window Messages窗口之间的“喊话协议”5.1 什么是窗口消息在 Windows GUI 编程模型中窗口之间并不是随意通信的而是通过消息机制来驱动界面行为。常见窗口消息包括消息含义WM_CREATE窗口创建WM_DESTROY窗口销毁WM_PAINT请求窗口重绘WM_SIZE窗口大小变化WM_KEYDOWN键盘按键按下WM_LBUTTONDOWN鼠标左键按下简单说窗口消息就是 Windows 图形界面的事件通信机制。如果把 GUI 程序看成一个个窗口那么窗口消息就是这些窗口之间进行交互的“通信协议”。5.2 为什么窗口消息也涉及安全窗口消息看起来只是 GUI 行为但它背后有安全风险。典型风险就是历史上的Shatter Attack低权限进程向高权限窗口发送恶意窗口消息高权限窗口错误处理消息攻击者借此影响高权限进程行为。为了解决这类问题Windows 引入了多层保护完整性级别Integrity LevelUIPIUser Interface Privilege Isolation会话隔离桌面隔离权限边界。现代 Windows 不允许低权限进程随便给高权限窗口发送危险消息这是安全设计不是系统异常。5.3 运维排障中怎么理解窗口消息问题在桌面支持场景中窗口消息机制经常体现在这些问题里自动化脚本无法控制管理员窗口普通程序无法操作 UAC 提示框服务程序无法弹出用户可见窗口不同远程桌面会话之间看不到彼此窗口某些程序只有在当前登录用户桌面中运行才正常。遇到这类问题时不要只从“软件有没有启动”判断还要问这个进程在哪个 Session在哪个 Desktop它的完整性级别是多少它有没有资格给目标窗口发送消息6. Sysinternals 视角如何把这些概念用于排障理解概念只是第一步真正有价值的是把它们用到排障中。在 Sysinternals 工具链里最常用的是Process ExplorerProcess MonitorAutorunsHandleProcDump对于本节内容最直接相关的是 Process Explorer。6.1 用 Process Explorer 看 Session ID建议在 Process Explorer 中启用以下列View → Select Columns → Process Image勾选Session IDUser NameIntegrity LevelCommand LineImage Path这样你就能快速判断进程属于哪个用户进程在哪个 Session是否运行在管理员权限是否属于服务进程是否是远程桌面用户启动的程序。6.2 排查服务无法弹窗如果用户反馈服务程序运行了但桌面没有弹窗。不要直接判断软件坏了可以按下面思路排查是否服务程序没有弹窗进程是否在 Session 0服务与用户桌面隔离检查用户会话和桌面状态改用托盘程序/客户端程序与服务通信检查权限、完整性级别、窗口站和桌面推荐做法是使用“服务 用户态客户端”的架构而不是让服务直接弹 GUI。6.3 排查远程桌面多用户问题在多用户 RDP 环境中如果发现用户 A 的程序无法影响用户 B多个explorer.exe同时存在某个进程只在某个远程用户中出现优先查看Session ID User Name判断它到底属于哪个登录环境。不要只看进程名同名进程可能属于完全不同的用户会话。6.4 排查 UAC 自动化失败如果自动化脚本无法点击 UAC检查脚本运行权限检查目标窗口完整性级别判断是否切换到了 Secure Desktop不建议通过绕过安全边界的方式处理。更规范的方式是使用管理员权限启动必要程序使用企业软件分发工具使用计划任务或服务端授权机制通过标准化脚本提升前置权限。7. 我的理解这几个概念应该怎么记如果只背定义很容易混乱。我建议用一个“剧场模型”来记Windows 概念类比理解作用Session一场登录演出区分不同用户登录环境Window Station这一场演出的舞台系统管理输入输出和窗口资源Desktop当前展示的具体舞台承载窗口和交互界面Window Messages舞台上角色之间的喊话驱动窗口事件与交互一句话记忆Session 是“谁在哪一场”Window Station 是“这一场的窗口空间”Desktop 是“当前看到的画布”Window Messages 是“窗口之间的通信”。再结合排障角度现象优先检查服务弹窗看不到Session 0 IsolationRDP 多用户混淆Session IDUAC 自动点击失败Secure Desktop / UIPI程序窗口不显示Window Station / Desktop跨进程 UI 操作失败Integrity Level / Window Messages8. 总结图形界面不是一块屏幕而是一套分层安全结构这一节看起来讲的是 Windows 图形界面其实本质上讲的是Windows 如何在同一台机器上隔离不同用户、不同权限、不同交互环境。可以用三句话总结第一会话 Session让一台机器可以同时承载多个登录环境本地用户、远程用户和系统服务可以各自运行在不同 Session 中。第二窗口站和桌面共同构成 Windows 图形界面的分层舞台锁屏、登录、UAC、安全桌面本质上都和 Desktop 切换有关。第三窗口消息是 GUI 程序之间的通信机制但它受到 Session、Desktop、完整性级别和 UIPI 的多重限制所以低权限程序不能随便控制高权限窗口。当我们用 Sysinternals 工具分析桌面问题时不应该只看“进程是否存在”还要看它属于哪个 Session、哪个用户、哪个完整性级别以及它是否处在正确的图形交互边界内。到这里第 2 章关于 Windows 系统内部结构的关键积木已经基本串起来了管理员权限进程、线程、作业用户模式和内核模式句柄应用程序隔离应用容器受保护进程调用栈和符号会话、窗口站、桌面和窗口消息这些概念不是孤立的术语而是我们后续使用 Sysinternals 排查复杂 Windows 问题时的底层地图。 返回顶部点击回到顶部