Перейти к основному содержимому

Windows

Разработчику Архитектору Инженеру

Windows

Play ITЗагрузка интерактивного демо…

Внимание

Приготовьтесь! Страшные слова Сейчас будет много новых слов, связанных с ОС. Мы плавно изучим всё, не беспокойтесь. Важно сейчас выполнить краткий обзор этой ОС, её особенностей и компонентов. По такой же аналогии мы рассмотрим и другие ОС.


Понятие и версии

Что такое Windows? Вы наверняка хоть раз сталкивались с ней. Это самая популярная ОС. Многие люди даже не подозревают о существовании других ОС, настолько она "вжилась" в мир персональных компьютеров.

Windows – семейство проприетарных операционных систем от Microsoft, ориентированных на широкий спектр устройств: от персональных компьютеров до серверов, мобильных устройств и даже игровых приставок (Xbox).

Наиболее известны версии:

  • Windows 95
  • Windows XP
  • Windows 7
  • Windows Vista
  • Windows 8 (а также Windows 8.1)
  • Windows 10
  • Windows 11 — практика установки и интерфейса: Windows 11 — настройка и работа; архитектура и справочник: Справочник по Windows 11
  • Windows Server
  • а также вполне вероятно стоит ожидать Windows 12, 13 и так далее)))

Windows поставляется в различных вариациях и модификациях.

По назначению:

  • Windows 10/11 Home – домашнее использование;
  • Pro – дополнительные возможности (BitLocker, Remote Desktop);
  • Enterprise – корпоративные функции (MDM, AppLocker);
  • Образование – аналог Enterprise для образовательных учреждений;
  • IoT – специализированные версии для устройств IoT (интернет вещей);
  • S Mode – ограничения по безопасности и производительности.

По типу:

  • Windows Desktop – классические ПК;
  • Windows Server – серверные версии с ролями Active Directory, Hyper-V, DNS/DHCP и др.; обзор для администратора — 2.06 Windows Server — начало работы, документация — Microsoft Learn;
  • Xbox OS – модифицированная версия Windows NT для игровых консолей;
  • Windows Mobile / Windows Phone – устаревшие мобильные ОС.

По Xbox тема интересная. Microsoft политику свою всё же сменили, и если с 2001 до 2026 года Xbox представляла собой архитектурно совсем другое направление, со своей операционной системой, железом и прочими особенностями, то где-то с 2020-года их система PlayAnywhere получила развитие, окончательно окончив войну консолей - в 2026 году уже все ключевые эксклюзивы Microsoft - Gears of War, Halo, Forza Horizon - выходят на PlayStation, а следующий Xbox становится полноценным ПК с предустановленной модифицированной Windows на борту. Но исторически - Xbox является отдельной платформой.

Многие начали свой путь с этой ОС, научились щёлкать мышкой, запускать программы, сохранять файлы, создавать документы, играть, общаться. Если UNIX стала основой серверов, то Windows стала народной, породив целую культуру, расширив влияние с учёных и инженеров на школы, офисы и дома. Люди играли в сапёра, любовались рабочим столом, и проклинали синий экран смерти. Но как она устроена?

В рунет-дискурсе

В разговорах Windows и Microsoft часто подменяют друг друга, и можно встретить слова "винда", "майки", "синий экран". Мемы про принудительные обновления и "оптимизированные" сборки отражают опыт домашнего пользователя, а не админскую политику GPO. Для IT-практики полезнее настройка Windows, переустановка и .NET. Указатель — Неолурк (Microsoft).


Компоненты

Операционная система Windows включает в себя ряд компонентов. Прежде, чем приступим, сначала запомним несколько новых слов:

  • Подсистема — логически выделенный блок ОС (процессы, драйверы или API), который решает класс задач и связан с остальной системой через строго определённые интерфейсы. Примеры — подсистема Win32, подсистема печати, подсистема ввода-вывода.
  • Драйвер — программный модуль в режиме ядра (файлы .sys), принимающий запросы от ОС и переводящий их в команды конкретному устройству (диск, сеть, видеокарта, принтер). Приложения обращаются к железу через драйвер и Win32 API, без прямого доступа к порту или регистру.
  • Файловая система — правила и код, по которым ОС организует хранение данных на носителе — имена файлов и каталогов, выделение блоков, права доступа, журналирование. Форматы в Windows — NTFS, FAT32, exFAT, ReFS. Дерево каталогов (C:\Users\…) — логическое представление тома поверх файловой системы.
  • Рабочий стол (Desktop) — базовый уровень GUI: фон экрана и слой, на котором отображаются ярлыки и окна приложений. В Windows реализован процессом explorer.exe; файлы на рабочем столе хранятся в %USERPROFILE%\Desktop.
  • Контекстное меню — всплывающий список команд для выбранного объекта интерфейса (файл, папка, значок, пустая область). Открывается правым щелчком или Shift + F10; состав пунктов зависит от типа объекта и установленного ПО.
  • Корзина (Recycle Bin) — специальное хранилище "мягкого" удаления: при обычном удалении файл перемещается в скрытую папку $Recycle.Bin на томе и может быть восстановлен до очистки корзины. Shift + Delete удаляет объект сразу, минуя корзину.

1. Ядро

Ядро (Kernel) Windows — NT-ядро (Windows NT kernel), гибридная архитектура: монолитное Executive в режиме ядра плюс подсистемы окружения в пользовательском режиме. Общая теория ядер (монолитное, микро-, гибридное) — в главе "Ядро операционной системы"; подсистема ввода-вывода и драйверы — в Подсистема ввода-вывода в ОС.

image-1.png


User Mode и Kernel Mode

Windows NT делит выполнение на два кольца привилегий (на x64 — упрощённо два режима):

РежимКто работаетДоступПримеры
User Mode (Ring 3)Приложения, оболочка, большинство службОграниченный; обращение к железу через APIexplorer.exe, браузер, notepad.exe
Kernel Mode (Ring 0)Ядро NT, драйверыПолный доступ к памяти и устройствамntoskrnl.exe, *.sys в System32\drivers

Переход из User Mode в Kernel Mode — через системные вызовы (syscalls) — приложение вызывает Win32 API (ReadFile, CreateProcess), библиотека (kernel32.dll, ntdll.dll) передаёт запрос ядру. Механизмы LPC/ALPC (Local/Advanced Local Procedure Call) обеспечивают обмен между процессами и подсистемами.

Изоляция User Mode защищает систему: сбой в блокноте обычно не роняет ОС. Сбой в драйвере или ядре — синий экран (BSOD), Blue Screen of Death.


User Mode — слои и подсистемы

Подсистема (см. ключевые термины) в архитектуре NT — слой user mode, который предоставляет приложениям совместимый API.

Архитектура Windows NT (сверху вниз):

  • Приложения Win32/x64 — пользовательские и системные программы;
  • Подсистемы окружения — Win32 (основная), устаревшие POSIX/OS/2;
  • Системные процессы поддержкиcsrss.exe (консоль и GUI-подсистема), conhost.exe (окна консоли);
  • Service Control Manager — запуск служб через services.exe.

Win32 API — главный интерфейс прикладных программ с Windows, появился в эпоху 32-битных процессоров (линейное адресное пространство до 4 ГБ, защита памяти, вытесняющая многозадачность). Название сохранилось и на 64-битных системах; цифра 32 отражает историческую разрядность API, а не текущую архитектуру процессора.

image-3.png

Папка System32 и перенаправление WoW64 связаны с Win32-совместимостью — подробно в разделе "Файловая система и структура каталогов Windows".


Kernel Mode — Executive и драйверы

В Kernel Mode все компоненты разделяют единое адресное пространство. Основные части:

КомпонентФайл / модульФункции
HALhal.dllАбстракция железа — APIC, ACPI, шины; перенос ядра между x86/x64
Microkernel / Schedulerчасть ntoskrnl.exeПланирование потоков, прерывания, синхронизация, таймеры
Executiventoskrnl.exeПроцессы, память, I/O, безопасность
Object ManagerExecutiveЕдиная модель объектов — процессы, потоки, файлы, мьютексы
Memory ManagerExecutiveВиртуальная память, страницы, файл подкачки, защита
Process ManagerExecutiveСоздание процессов и потоков, загрузка образов
I/O ManagerExecutiveЗапросы к дискам, сети, устройствам через драйверы
Security Reference MonitorExecutiveПроверка ACL, токены, права доступа
Win32k.sysдрайверГрафическая подсистема — окна, GDI, ввод с клавиатуры/мыши
Драйверы устройств*.sysWDM, KMDF, UMDF — работа с конкретным железом (см. драйвер)

Executive координирует подсистемы; Kernel (в узком смысле) — низкоуровневое планирование и обработка исключений. Драйверы загружаются при старте или по требованию; ошибка в драйвере видеокарты или антивируса может вызвать BSOD с кодом вроде DRIVER_IRQL_NOT_LESS_OR_EQUAL.


Ключевые системные процессы

Эти процессы запускаются при загрузке и держат систему в рабочем состоянии:

ПроцессРоль
smss.exeSession Manager — первый пользовательский процесс, создаёт сессии
csrss.exeClient/Server Runtime — консоль, часть Win32-подсистемы
wininit.exeИнициализация — запускает services.exe и lsass.exe
services.exeSCM — диспетчер служб Windows
lsass.exeLocal Security Authority — политики входа, Kerberos, кэш учётных данных
winlogon.exeЭкран входа, Ctrl+Alt+Del, блокировка сессии
svchost.exeХост для групп DLL-служб (несколько экземпляров — норма)
explorer.exeОболочка — рабочий стол и Проводник (может перезапускаться без перезагрузки)

svchost.exe -k netsvcs и другие группы (LocalService, NetworkService) объединяют связанные службы в одном процессе для экономии памяти.


Синий экран и диагностика ядра

BSOD — аварийная остановка при неустранимой ошибке в Kernel Mode. На экране — STOP-код (например, MEMORY_MANAGEMENT, SYSTEM_SERVICE_EXCEPTION) и ссылка на дамп памяти (C:\Windows\Minidump\).

Типичные причины — конфликт драйверов, ошибки RAM, повреждение системных файлов, перегрев. Инструменты: Event Viewer (eventvwr.msc) → "Журналы Windows → System", sfc /scannow, DISM /Online /Cleanup-Image /RestoreHealth, анализ дампа в WinDbg. Планирование CPU и память — Планирование процессора — классические алгоритмы, Механизмы распределения памяти в ОС.

Куда дальше

Архитектура ядра в целом — Ядро операционной системы. Жизненный цикл процессов — Жизненный цикл процесса в Linux. Драйверы и I/O — Подсистема ввода-вывода в ОС. Практика администрирования — 2.06 Windows Server.


2. Интерфейс

Интерфейс Windows бывает графическим (GUI — Graphical User Interface) и командным (CLI — Command Line Interface). Большинство пользователей работает через GUI; CLI нужен администраторам, разработчикам и автоматизации.

CLI (кратко):

  • Command Prompt (CMD) — классическая консоль, ограниченный набор команд;
  • PowerShell — оболочка с объектами .NET и скриптами;
  • Windows Terminal — современный терминал с вкладками и профилями для CMD, PowerShell и WSL;
  • Microsoft Coreutils (Preview) — нативные Unix-утилиты (ls, grep, find, cp, …) в CMD и PowerShell без Linux-подсистемы; winget install Microsoft.Coreutils. Подробнее — поиск текста в файлах.

Подробнее о PowerShell — в разделе 5-languages/5-26-powershell. Практика Win11 — в Windows 11 — настройка и работа.


Как устроен графический интерфейс

GUI Windows — это оболочка (Shell) и набор подсистем, которые рисуют рабочий стол, окна и элементы управления.

СлойКомпонентРоль
Оболочкаexplorer.exeРабочий стол, панель задач, меню "Пуск", Проводник
КомпозиторDWM (Desktop Window Manager)Отрисовка окон, прозрачность, эффекты Aero/Mica, композиция слоёв
Оконная модельWin32 HWNDКаждое окно — дескриптор (HWND); система управляет размером, положением и Z-порядком
ГрафикаDirectX, GDI/GDI+Ускорение отрисовки, игры, шрифты
UI приложенийWinUI, UWP, WPF, WinFormsФреймворки, на которых пишут окна и элементы управления (кнопки, списки, поля ввода)

Пользователь видит иконки, панели и меню. Под капотом каждое окно — объект ОС с строкой заголовка (заголовок, кнопки свернуть/развернуть/закрыть) и клиентской областью, где приложение рисует содержимое. DWM объединяет окна на экране и применяет визуальные эффекты. Разработчики описывают интерфейс через элементы управления (controls) — кнопки, текстовые поля, списки — и реагируют на события (клик, ввод текста). Справочник по модели окон WinUI — Microsoft Learn — обзор окон, по элементам управления — введение в controls и события.

Пошаговые скриншоты для новичка — Основы компьютерной грамотности.

Вход в систему

logon.png — экран входа Windows

Учётные записи различаются по правам — гость, обычный пользователь, администратор:

user.png — типы пользователей в Windows


Рабочий стол

Рабочий стол — см. определение в ключевых терминах. На практике это фоновый слой explorer.exe, на котором лежат ярлыки, файлы и окна поверх обоев.

desktop.png — рабочий стол после входа

Основные элементы:

  • Обои — фоновое изображение или сплошной цвет;
  • Иконки — ярлыки программ и файлов;
  • Виджеты (Windows 11) — панель с погодой, календарём и лентой (кнопка на панели задач или Win + W);
  • Контекстное меню рабочего стола — правый клик по пустому месту — "Обновить", "Вид", "Сортировка", "Персонализация", "Параметры экрана".

Горячие клавиши: Win + D — свернуть все окна и показать рабочий стол; повторное нажатие восстанавливает окна.


Панель задач

Панель задач (Taskbar) — горизонтальная полоса (по умолчанию внизу экрана), через которую запускают программы и переключаются между ними.

taskbar.avif

ЗонаНазначение
Кнопка "Пуск"Открывает меню "Пуск"
Закреплённые значкиБыстрый запуск часто используемых приложений
Область запущенныхКнопки открытых окон; щелчок — переключение, Shift + щелчок — новый экземпляр
Область уведомлений (system tray)Часы, сеть, звук, язык, фоновые программы
Центр уведомленийПлитки быстрых действий (Wi‑Fi, Bluetooth, режим "Не беспокоить")

tray.jpg — область уведомлений и фоновые программы

Windows 11 по умолчанию выравнивает значки по центру; в Параметры → Персонализация → Панель задач → Поведение панели задач можно вернуть выравнивание влево. Панель можно автоматически скрывать, закреплять на нескольких мониторах и настраивать размер значков.


Меню "Пуск"

Меню "Пуск" — главная точка входа в систему — поиск, список программ, выключение и настройки.

pusk.avif

shutdown.png — завершение работы и перезагрузка

  • Закреплённые приложения — плитки или значки часто используемых программ;
  • "Все приложения" — полный алфавитный список установленного ПО;
  • Рекомендации (Win11) — недавние файлы и предложения Microsoft;
  • Профиль и питание — учётная запись, блокировка, перезагрузка, выключение;
  • Поиск — ввод имени программы, файла или настройки; в Win11 строка поиска часто объединена с меню.

Запуск: кнопка "Пуск", клавиша Win или Ctrl + Esc. Контекстное меню по программе в списке — закрепить на панели задач, открепить, удалить, "Запуск от имени администратора".


Проводник

Проводник (File Explorer, процесс explorer.exe) — файловый менеджер Windows. Раньше на рабочем столе был значок "Мой компьютер"; сейчас — "Этот компьютер" (Win + E).

explorer.avif

win-elements.jpg — рабочий стол, панель задач и проводник

Структура окна Проводника:

  • Панель навигации (слева) — "Быстрый доступ", "Этот компьютер", диски, сеть;
  • Адресная строка — текущий путь; можно вводить путь вручную (C:\Users\…);
  • Лента (Ribbon) — команды "Главная", "Поделиться", "Вид" (Windows 10/11);
  • Область файлов — список папок и файлов (значки, таблица, список, содержимое);
  • Область сведений (справа, опционально) — метаданные выбранного объекта;
  • Вкладки (Win11, 22H2+) — несколько папок в одном окне.

Проводник — "лицо" файловой системы NTFS — копирование, переименование, свойства, права доступа. Под капотом он вызывает Win32 API и shell-расширения. Системные каталоги (System32, Windows) описаны выше.


Окна приложений

Каждая программа с GUI открывает одно или несколько окон. Общие части окна:

  • Строка заголовка — название приложения, кнопки свернуть (_), развернуть () и закрыть (×);
  • Клиентская область — содержимое приложения (текст, кнопки, таблицы);
  • Границы — перетаскивание за строку заголовка перемещает окно; за края и углы — изменение размера.

window.png — кнопки свернуть, развернуть и закрыть

Переключение между окнами: Alt + Tab (обзор), Win + Tab (Task View с виртуальными рабочими столами). В Windows 11 Snap Layouts — наведение на кнопку "Развернуть" предлагает сетку расположения (половина экрана, четверть и т.д.); Snap Groups запоминает набор соседних окон.

Оконная подсистема Win32 существует десятилетиями; современные приложения WinUI/UWP используют те же HWND, но рисуют интерфейс через XAML и эффективные пиксели (effective pixels) для адаптации к DPI. Анимации открытия, переходов и жестов описываются в руководстве по motion для разработчиков; пользователь видит их как плавные переходы в "Параметрах", меню "Пуск" и Snap.


Параметры и Панель управления

Настройки Windows разделены между двумя интерфейсами:

Параметры (Settings)Панель управления (Control Panel)
ЗапускWin + I, меню "Пуск"Поиск "Панель управления", control
СтильСовременное приложение WinUI/UWPКлассические оснастки (.cpl)
ОхватСистема, сеть, персонализация, учётные записи, обновленияУстройства, сеть, электропитание, программы, администрирование
СтатусОсновной интерфейс с Windows 8/10/11Сохраняется для совместимости; часть разделов дублируется

Параметры — первое место для смены обоев, темы, языка, Wi‑Fi, Bluetooth, обновлений и учётных записей.

Панель управления — "Программы и компоненты", "Электропитание", "Диспетчер устройств" (ссылка), "Система" (sysdm.cpl), "Управление учётными записями". Многие .cpl-файлы лежат в System32 (timedate.cpl, appwiz.cpl и др.).

Практическое задание
  1. Нажмите Win + I — откройте "Параметры" и пройдитесь по разделам "Система" и "Персонализация".
  2. В поиске введите "Панель управления" и сравните, какие настройки есть только там (например, "Программы и компоненты").

Персонализация — темы, фон, акцент

Раздел Параметры → Персонализация управляет внешним видом:

  • Фон — статичное изображение, слайд-шоу из папки или сплошной цвет; отдельно для каждого монитора;
  • Темы — набор обоев, цветов акцента, звуков и курсора; встроенные и из Microsoft Store;
  • Цвета — светлая/тёмная тема, акцентный цвет для меню "Пуск", панели задач и выделений;
  • Экран блокировки — картинка и виджеты до входа в учётную запись;
  • Шрифты, панель задач, меню "Пуск" — размер значков, группировка, отображение папок (Загрузки, Документы) в меню "Пуск".

DWM и тема Windows определяют, применяются ли эффекты прозрачности (Mica, Acrylic в Win11). На слабых ПК лишние эффекты отключают в sysdm.cplДополнительно → Быстродействие → Параметры (см. Windows 11 — настройка и работа).


Контекстное меню и базовые действия с файлами

Контекстное меню — см. ключевые термины. В Windows 11 по умолчанию показывается укороченное меню; полный набор — "Показать дополнительные параметры" (классическое меню Win10).

Корзина — см. ключевые термины. Значок на рабочем столе или в Проводнике открывает содержимое; "Очистить корзину" освобождает место на диске безвозвратно.

Выбор объектов
  • один щелчок — выделить;
  • Ctrl + щелчок — добавить к выделению или снять;
  • Shift + щелчок — выделить диапазон;
  • Ctrl + A — выделить всё в текущей папке;
  • перетаскивание мышью — рамка выделения.
Основные действия
ДействиеМышь / менюКлавиатура
Открытьдвойной щелчок, EnterEnter
КопироватьПКМ → "Копировать", перетащить с CtrlCtrl + C
ВырезатьПКМ → "Вырезать"Ctrl + X
ВставитьПКМ → "Вставить"Ctrl + V
ПереименоватьПКМ → "Переименовать"F2
УдалитьПКМ → "Удалить", перетащить в корзинуDelete
Удалить без корзиныShift + Delete
СвойстваПКМ → "Свойства"Alt + Enter
Создать ярлыкПКМ → "Создать ярлык"
ОтменитьCtrl + Z

Свойства (Properties) — окно с вкладками "Общие" (тип, размер, даты), "Безопасность" (ACL), "Подробно" (метаданные), "Предыдущие версии" (теневые копии при включённой защите системы). Для ярлыков отдельная вкладка "Ярлык" — путь к целевому файлу.

Буфер обмена хранит скопированные данные; Win + V (Win10 1809+) — история буфера. Перетаскивание (drag and drop) между папками без клавиш — перемещение внутри одного диска; с зажатым Ctrlкопирование; с Shiftперемещение принудительно.

Практическое задание
  1. Откройте Проводник (Win + E) и перейдите в "Документы".
  2. Создайте папку (ПКМ → "Создать" → "Папку"), скопируйте в неё любой файл (Ctrl + C, Ctrl + V).
  3. Откройте "Свойства" файла (Alt + Enter) и посмотрите путь, размер и дату изменения.
  4. Удалите тестовую папку — файл попадёт в корзину; восстановите из корзины или очистите её.
Куда дальше

Пошаговая работа с Win11 — Windows 11 — настройка и работа, реестр и GPO интерфейса — Справочник по Windows 11. Для разработчиков UI — обзор пользовательского интерфейса WinUI, панели макета, навигация.


3. Службы

Службы (Services) — фоновые процессы Windows, которые запускаются без интерактивного окна и работают независимо от того, вошёл ли пользователь в систему. Ими управляет Service Control Manager (SCM) — компонент services.exe.


Как устроены службы

ПонятиеОписание
СлужбаПрограмма, зарегистрированная в SCM; имеет имя (Dnscache, Spooler) и отображаемое название
Процесс-хостЧасто svchost.exe — один процесс обслуживает несколько DLL-служб в группе (-k LocalService, -k netsvcs)
ДрайверМодуль ядра (.sys); тоже регистрируется в SCM, но работает в Kernel Mode
ЗависимостиСлужба B может не стартовать, пока не запущена служба A (RpcSs нужен многим сетевым службам)

Служба отличается от обычного приложения — нет кнопки на панели задач, нет главного окна (хотя может писать в журнал событий), запуск по расписанию или триггеру, работа под системной или служебной учётной записью (LocalSystem, LocalService, NetworkService).


Типы запуска

ТипПоведение
АвоматическиСтартует при загрузке Windows
Автоматически (отложенный запуск)Стартует чуть позже, чтобы ускорить вход в систему
ВручнуюЗапускает администратор или другая служба
ОтключенаSCM не запускает службу
По триггеруЗапуск при событии (подключение USB, вход в домен и т.д.)

Подробная практическая классификация для администратора с критичными, стандартными и необязательными службами — в статье Управление службами в Windows.


Управление службами

ИнструментЗапускНазначение
СлужбыWin + Rservices.mscГрафический список, тип запуска, перезапуск
sc.exeCMD от администратораsc query, sc start, sc stop, sc config
PowerShellGet-Service, Start-Service, Stop-Service, Set-ServiceСкрипты и автоматизация
Диспетчер задачВкладка "Службы" → "Открыть службы"Быстрый переход

Примеры CMD:

sc query Spooler
sc stop Spooler
sc config Spooler start= demand
Практическое задание
  1. Откройте services.msc.
  2. Найдите Windows Update (wuauserv) — тип запуска, состояние, зависимости (двойной щелчок → вкладка "Зависимости").
  3. Найдите Print Spooler (Spooler) — служба очереди печати; без неё принтеры не работают.

Ключевые системные службы

СлужбаИмяЗачем нужна
Windows UpdatewuauservЗагрузка и установка обновлений ОС
DHCP ClientDhcpПолучение IP-адреса от роутера
DNS ClientDnscacheКэш DNS, разрешение имён
Print SpoolerSpoolerОчередь печати
BITSBITSФоновая загрузка файлов (Update, Store)
Windows Event LogEventLogЖурналы событий (eventvwr.msc)
Plug and PlayPlugPlayОбнаружение и установка устройств
Remote Desktop ServicesTermServiceУдалённый рабочий стол (RDP)
Windows DefenderWinDefend / MDCoreSvcАнтивирус и защита
WorkstationLanmanWorkstationДоступ к сетевым папкам (SMB)
ServerLanmanServerРаздача общих папок

Службы обеспечивают работу офиса и дома — сеть, печать, обновления, безопасность — всё это крутится в фоне до выключения ПК.

Осторожно с отключением

Случайное отключение RpcSs, PlugPlay, EventLog или сетевых служб ломает систему или сеть. Перед изменением типа запуска зафиксируйте исходное значение. В домене многие службы управляются GPO.


4. Утилиты

Утилиты — встроенные инструменты Windows для настройки, диагностики и обслуживания. Обычному пользователю часть из них не нужна; администратор и инженер используют их ежедневно.


Системные и административные

УтилитаЗапускНазначение
Диспетчер задачCtrl + Shift + Esc, taskmgrПроцессы, производительность, автозагрузка
Монитор ресурсовresmonДетальный CPU/RAM/диск/сеть по процессам
Просмотр событийeventvwr.mscЖурналы Application, System, Security
Монитор производительностиperfmon.mscСчётчики, Data Collector Sets
Управление дискамиdiskmgmt.mscРазделы, буквы томов, инициализация GPT/MBR
Управление компьютеромcompmgmt.mscКонсоль MMC — диски, службы, просмотр событий
Редактор реестраregeditИерархия HKEY_* — настройки ОС и программ
Редактор локальной групповой политикиgpedit.mscGPO (Pro/Enterprise)
Локальная политика безопасностиsecpol.mscПароли, аудит, права пользователей
Планировщик заданийtaskschd.mscCron-подобные задачи по расписанию и триггерам
Конфигурация системыmsconfigБезопасная загрузка, службы, автозагрузка (legacy)
Сведения о системеmsinfo32Железо, драйверы, конфликты ресурсов
Практическое задание
  1. Win + Rregedit — откройте редактор реестра и ничего не меняйте; просмотрите HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE.
  2. Win + Reventvwr.msc — откройте "Журналы Windows → System" и найдите события за последний час.

Восстановление и обслуживание дисков

УтилитаКомандаНазначение
CHKDSKchkdsk C: /f (из-под админа, часто после перезагрузки)Проверка файловой системы и bad sectors
SFCsfc /scannowПроверка целостности защищённых системных файлов
DISMDISM /Online /Cleanup-Image /RestoreHealthВосстановление хранилища компонентов WinSxS
Очистка дискаcleanmgrУдаление временных файлов, кэша обновлений
Defrag / Optimize"Оптимизация дисков"SSD — TRIM; HDD — дефрагментация
bcdboot / bootrecWinRE, установочная флешкаВосстановление загрузчика

Типичная цепочка при "сломанной" Windows: DISMSFCchkdsk. Подробнее — в сценарии "Windows тормозит" ниже.


Сетевые утилиты

УтилитаЗапускНазначение
Центр управления сетямиПараметры → СетьWi‑Fi, Ethernet, VPN, общий доступ
ncpa.cplWin + RСписок сетевых адаптеров
ipconfigCMD/PowerShellIP, маска, шлюз; ipconfig /all, /flushdns, /release, /renew
pingping 8.8.8.8, ping -t hostПроверка доступности хоста (ICMP)
tracert / pathpingtracert google.comМаршрут пакетов до узла
netstatnetstat -anoАктивные TCP/UDP-соединения и PID процесса
nslookupnslookup example.comЗапросы DNS вручную
netshnetsh wlan show profilesCLI для сети, firewall, WLAN
Брандмауэрwf.mscПравила входящих/исходящих подключений
RRASроль на ServerМаршрутизация и VPN-сервер

Пример диагностики "нет интернета":

  1. ipconfig — есть ли IP-адрес;
  2. ping 192.168.1.1 — доступен ли роутер;
  3. ping 8.8.8.8 — есть ли выход в интернет без DNS;
  4. nslookup google.com — работает ли DNS;
  5. netstat -ano — нет ли подозрительных исходящих соединений.

Оснастки Панели управления (.cpl)

Многие утилиты — отдельные модули в System32:

  • appwiz.cpl — программы и компоненты;
  • sysdm.cpl — свойства системы, защита, переменные среды;
  • timedate.cpl — дата, время, часовой пояс;
  • firewall.cpl — брандмауэр (legacy);
  • main.cpl — мышь;
  • desk.cpl — экран (legacy).

Win + R → имя файла .cpl открывает нужную оснастку напрямую.

Сторонние утилиты

Sysinternals Suite (Process Explorer, Autoruns, TCPView) — расширенная диагностика процессов и автозагрузки. См. раздел "Прочее" ниже.


5. Файловая система

Файловая система — см. ключевые термины. Проводник — графический клиент к файловой системе тома; под капотом работают драйверы, кэш и службы индексации.

Наиболее популярные форматы файловых систем:

  • NTFS – современная, поддерживает шифрование, ACL, жёсткие ссылки;
  • FAT32 – устаревшая, имеет ограничение – 4 ГБ на файл;
  • exFAT – для Flash-карт (флешек), нет ограничений FAT32;
  • ReFS – надёжная файловая система для серверов (Resilient File System);
  • APFS (через WSL2) – только в эмуляции.

Инструменты по работе с файловой системой:

  • CHKDSK – проверка диска;
  • DISM / SFC – восстановление системных файлов;
  • Defragmentation Tool – дефрагментация и оптимизация дисков.

6. Менеджеры

Менеджеры — графические инструменты для мониторинга и управления процессами, ресурсами и оборудованием. Они стоят между повседневным GUI и "сырыми" утилитами вроде sc.exe или regedit.


Диспетчер задач (Task Manager)

Диспетчер задач (taskmgr, Ctrl + Shift + Esc) — главный инструмент пользователя и администратора для контроля работающих программ.

ВкладкаСодержимое
ПроцессыПриложения и фоновые процессы; CPU, память, диск, сеть, GPU
ПроизводительностьГрафики CPU, RAM, дисков, сетевых адаптеров, GPU
Журнал приложенийИстория использования ресурсов (Win10+)
АвтозагрузкаПрограммы при входе в систему; включение/отключение
ПользователиАктивные сессии; отключение, переключение
ПодробностиПолный список процессов с PID, приоритетом, командной строкой
СлужбыСписок служб; кнопка "Открыть службы"

Завершение задачи (End Task) — принудительное закрытие процесса. В терминах Unix это kill. Используют, когда программа "зависла" и не закрывается штатно. Завершение системного процесса (csrss.exe, winlogon.exe) может привести к выходу из системы или BSOD.

Дополнительные действия (ПКМ по процессу) — "Открыть расположение файла", "Создать дамп файла", "Перейти к службе", изменение приоритета и совместимости.

Запуск: Ctrl + Shift + Esc; Ctrl + Alt + Delete → "Диспетчер задач"; ПКМ по панели задач.

Практическое задание
  1. Откройте "Блокнот", запустите диспетчер задач.
  2. На вкладке "Процессы" найдите Notepad.exe и посмотрите потребление памяти.
  3. Перейдите на "Производительность" → "ЦП" → "Открыть монитор ресурсов".

Монитор ресурсов (Resource Monitor)

Монитор ресурсов (resmon) — углублённая диагностика поверх диспетчера задач.

ВкладкаЧто показывает
ОбзорСводка CPU, диск, сеть, память с фильтрами
ЦППроцессы, потоки, модули; какой файл .dll грузит CPU
ПамятьHard faults, standby, использование по процессам
ДискКакой процесс читает/пишет какой файл
СетьTCP-соединения, порты, объём трафика по процессу

Полезен при "тормозах", подозрении на майнер, утечке памяти или блокировке файла другим процессом. Запуск: resmon, или "Производительность" → "Открыть монитор ресурсов".


Диспетчер устройств (Device Manager)

Диспетчер устройств (devmgmt.msc) — дерево всего PNP-оборудования и связанных драйверов (см. ключевые термины).

Категории — "Дисковые устройства", "Видеоадаптеры", "Сетевые адаптеры", "Клавиатуры", "USB" и др.

ДействиеКак
Обновить драйверПКМ → "Обновить драйвер" (авто или .inf вручную)
ОткатитьСвойства → "Драйвер" → "Откатить" (если есть предыдущая версия)
ОтключитьПКМ → "Отключить устройство"
УдалитьПКМ → "Удалить устройство" (с галочкой "удалить драйвер")
ID оборудованияСвойства → "Сведения" → "ИД оборудования" (VEN_, DEV_)

Жёлтый треугольник ⚠ — проблема с драйвером; красный крест — устройство отключено. Запуск: devmgmt.msc, "Параметры → Система → О системе → Диспетчер устройств".

Связь с ядром: диспетчер устройств показывает пользовательскую сторону; сами драйверы — модули .sys в Kernel Mode (раздел "Ядро").


Смежные инструменты

ИнструментЗапускОтличие от менеджеров выше
Process Explorer (Sysinternals)скачать с MicrosoftДерево процессов, DLL, handles, рейтинг по VirusTotal
Performance Monitorperfmon.mscСчётчики за дни/недели, baseline для серверов
Autoruns (Sysinternals)autoruns.exeПолная автозагрузка — реестр, планировщик, службы
Диспетчер памятивстроен в taskmgr → "Производительность"Commit charge, paging file

Менеджеры дают оперативную картину "что сейчас грузит систему"; perfmon и журналы событий — долгосрочную историю для расследования инцидентов.

Куда дальше

Сценарий "Windows тормозит" — ниже. Службы — раздел 3. Утилиты восстановления — раздел 4. Драйверы и I/O — Подсистема ввода-вывода в ОС.


Прочее

Среда и ключевое ПО, службы, инструменты.

Сетевые технологии:

  • SMB/CIFS – протокол для сетевых ресурсов;
  • Remote Desktop Protocol (RDP) – удалённый доступ;
  • NetBIOS/WINS – устаревший способ именования хостов;
  • IPSec – безопасные соединения;
  • VPM (PPTP, L2TP, SSTP, IKEv2).

Важные инструменты:

  • PowerShell – мощная оболочка и язык скриптования;
  • Microsoft Coreutils for Windows (Preview) – нативные ls, grep, find и др. на базе uutils; альтернатива WSL/Git Bash для отдельных Unix-команд;
  • WSL (Windows Subsystem for Linux) – запуск Linux внутри Windows;
  • Sysinternals Suite – диагностические утилиты (Process Explorer, TCPView и др.);
  • ProcMon / RegMon – мониторинг файловой и реестровой активности;
  • Windows Sandbox – легковесная среда для безопасного запуска приложений;
  • Task Sheduler – планировщик расписания выполнения задач;
  • Docker Desktop – контейнеризация;
  • Hyper-V, QEMU, VirtualBox, VMware – виртуальные машины;
  • Android Emulator – эмуляция Android;
  • Cygwin, MSYS2 – Unix-подобная среда.

Разумеется, операционная система позволяет работать по разному, и могут понадобиться дополнительные возможности для продвинутых пользователей. Вышеприведённые программы, на первый взгляд, кажутся простым перечислением каких-то наименований, но если присмотреться - это возможность запуска технологий, которые изначально и не рассчитаны для работы с Windows - к примеру, Docker, Android, Linux. А это означает, что можно развернуть Linux прямо внутри Windows.


Файловая система и структура каталогов Windows

Файловая система — см. ключевые термины. Ниже — как дерево каталогов Windows устроено поверх томов NTFS/FAT32 и чем оно отличается от FHS в Linux.

Windows опирается на NTFS (New Technology File System), также поддерживает FAT32 и exFAT. В отличие от Unix-подобных систем с единым корнем /, Windows использует буквенную адресацию дисков — C:, D:, E: — каждый том со своим деревом.

Структура каталогов в Windows тесно связана с моделью безопасности, изоляцией пользователей и совместимостью с предыдущими версиями ОС. Начиная с Windows Vista, Microsoft внедрила концепцию виртуализации файловой системы и реестра для обеспечения работы устаревших приложений без прав администратора.


C:\ — системный диск

В большинстве случаев операционная система Windows устанавливается на диск C:\. Именно здесь располагаются все ключевые системные компоненты, пользовательские профили и установленные программы.


\Windows — основной системный каталог

C:\Windows (переменная окружения %WINDIR%) — корневая папка установленной Windows. Здесь лежат ядро и его модули, драйверы, системные утилиты, шрифты, ресурсы интерфейса и служебные каталоги обновлений. Обычный пользователь может просматривать большинство файлов, но изменять их без прав администратора система блокирует. Критичные объекты дополнительно защищены Windows Resource Protection (WRP) — при повреждении помогают sfc /scannow и DISM.

На верхнем уровне \Windows часто встречаются:

  • explorer.exe — проводник и оболочка рабочего стола;
  • regedit.exe — редактор реестра;
  • System32\, SysWOW64\ — системные бинарники (см. ниже);
  • WinSxS\ — Side-by-Side-хранилище версий системных компонентов;
  • Fonts\ — системные шрифты;
  • INF\ — файлы установки драйверов;
  • Logs\ — журналы CBS, обновлений и служб;
  • assembly\ — глобальный кэш сборок .NET (GAC);
  • servicing\ — пакеты компонентов для CBS/DISM;
  • System\ — устаревшие и служебные компоненты совместимости.

Каталог \Windows — "скелет" ОС: без него Windows не загрузится, не применит обновления и не запустит стандартные программы. Отдельные подпапки (Temp, SoftwareDistribution, Prefetch) описаны ниже; самые критичные — System32 и SysWOW64.


\Windows\System32

System32 — главный системный каталог Windows. Путь по умолчанию: C:\Windows\System32 (%SystemRoot%\System32). Здесь сосредоточены исполняемые файлы (.exe), библиотеки (.dll), драйверы ядра (.sys) и служебные подкаталоги, без которых ОС не загрузится и не выполнит базовые задачи.

Почему в названии "32". Цифра 32 отражает эпоху Win32 API и 32-битных процессоров (архитектура x86 с 1980–1990‑х). Каталог появился в Windows NT и Windows 95 и с тех пор хранит системные модули. На современной 64‑битной Windows в System32 лежат 64‑битные файлы — имя сохранили ради обратной совместимости. Миллионы программ, установщиков и скриптов жёстко обращаются к пути %WINDIR%\System32; переименование или перенос каталога сломало бы их.

32-битные приложения на 64-битной системе получают 32-битные DLL из \Windows\SysWOW64 (Windows on Windows 64). Механизм File System Redirector перенаправляет 32-битный процесс, запрашивающий System32, в SysWOW64. Путь %SystemRoot%\Sysnative — исключение для 32-битного кода, которому нужен доступ к настоящему 64-битному System32.

Из чего состоит System32. Каталог включает тысячи файлов и несколько ключевых подпапок:

  • корень — сотни .exe, .dll, .sys, .mui, .cat, утилиты администрирования;
  • drivers\ — драйверы устройств (.sys, .inf);
  • config\ — файлы реестра (hive) — SYSTEM, SOFTWARE, SAM, SECURITY, DEFAULT, COMPONENTS;
  • spool\ — очередь печати;
  • catroot\ и catroot2\ — каталоги доверенной установки драйверов;
  • DriverStore\ — хранилище пакетов драйверов;
  • wbem\ — инструменты WMI;
  • WindowsPowerShell\ — модули PowerShell;
  • LogFiles\, winevt\ — журналы событий.

Что внутри важно (примеры).

  • ntdll.dll — низкоуровневый интерфейс к NT-ядру;
  • kernel32.dll, user32.dll, gdi32.dll, advapi32.dll — базовые Win32-библиотеки;
  • cmd.exe, powershell.exe — командные оболочки;
  • services.exe — диспетчер служб;
  • svchost.exe — хост для DLL-служб;
  • lsass.exe — локальная политика безопасности и доменная аутентификация;
  • winlogon.exe, csrss.exe, smss.exe — процессы сеанса и консоли;
  • taskmgr.exe, msconfig.exe — диагностика и конфигурация;
  • sfc.exe, dism.exe — восстановление системных файлов;
  • notepad.exe, calc.exe, mspaint.exe — стандартные приложения;
  • conhost.exe — хост окон консоли.

Многие из этих процессов и библиотек запускаются при каждой загрузке Windows. Удаление или подмена даже одного критичного файла может привести к синему экрану (BSOD), бесконечной перезагрузке или невозможности войти в систему.

Почему System32 удалять нельзя. Каталог содержит ядро пользовательского режима, диспетчер служб, подсистему безопасности, драйверы и hive'ы реестра. Windows блокирует удаление большинства объектов (владелец — TrustedInstaller, защита WRP). Попытка стереть папку целиком через Проводник или rd /s /q завершится отказом в доступе или, при принудительном удалении от имени администратора, полной неработоспособностью ОС.

Никогда не удаляйте System32

В сети иногда встречаются шутки и вредоносные советы "удалить System32, чтобы освободить место" или "ускорить компьютер". Это разрушит Windows. Для очистки диска используйте "Память устройства", %TEMP% и \Windows\Temp — но не системные каталоги.

На 64-битных системах рядом с System32 расположен \Windows\SysWOW64 — зеркальный каталог для 32-битных системных библиотек. Оба каталога критичны; удалять их так же опасно.


\Windows\Temp

Временные файлы, создаваемые системой и приложениями. Содержимое может очищаться автоматически или вручную.


\Windows\SoftwareDistribution

Хранилище обновлений Windows Update. Содержит загруженные пакеты и метаданные об установке.


\Windows\Prefetch

Кэш данных о запуске приложений, используемый для ускорения загрузки программ (технология SuperFetch / SysMain).


\Program Files и \Program Files (x86)

Каталоги для установки приложений:

  • \Program Files — 64-битные приложения;
  • \Program Files (x86) — 32-битные приложения на 64-битной системе.

Доступ к этим каталогам ограничен: обычные пользователи могут только читать файлы, но не модифицировать их без повышения привилегий.


\Users — пользовательские профили

Каждый пользователь системы имеет свой подкаталог в \Users. Имя каталога совпадает с именем учётной записи.


Структура профиля пользователя

  • \Desktop — содержимое рабочего стола;
  • \Documents — документы (аналог "Мои документы");
  • \Downloads — загруженные файлы из браузера;
  • \Pictures, \Music, \Videos — медиафайлы;
  • \AppData — данные приложений (скрытый каталог);
    • \Roaming — данные, синхронизируемые в домене;
    • \Local — локальные данные, не предназначенные для переноса;
    • \LocalLow — данные с пониженным уровнем целостности (например, для Internet Explorer в защищённом режиме).

Каталог \AppData является аналогом ~/.config, ~/.cache и ~/.local в Linux, но разделён по принципу изоляции и политик безопасности.


\ProgramData — общие данные приложений

Скрытый каталог, содержащий данные, общие для всех пользователей:

  • настройки программ;
  • кэши;
  • лицензионные файлы;
  • журналы (logs).

Используется приложениями, которым требуется хранить информацию вне пользовательского профиля.


\PerfLogs — журналы производительности

Системные логи, создаваемые средствами мониторинга производительности Windows (Performance Monitor).


\Recovery — компоненты восстановления

Содержит образы WinRE (Windows Recovery Environment) и скрипты для аварийного восстановления системы.


\Boot — компоненты загрузчика

Файлы, необходимые для начальной загрузки:

  • bootmgr — загрузчик Windows Boot Manager;
  • BCD — база данных конфигурации загрузки (Boot Configuration Данные).

Этот каталог обычно находится на отдельном скрытом разделе EFI или активном системном разделе.


Дополнительные особенности

Буквы дисков и точки монтирования

Windows позволяет монтировать тома не только как буквы (D:, E:), но и как подкаталоги другого тома (mount points). Например, можно подключить SSD как C:\Данные.


Символические ссылки и жёсткие ссылки

Начиная с Windows Vista, ОС поддерживает:

  • жёсткие ссылки (hard links) — несколько имён для одного файла на том же томе;
  • символические ссылки (symlinks) — указатели на файлы или каталоги, даже на других томах;
  • точки соединения (junction points) — аналог символических ссылок для каталогов (работают только локально).

Эти механизмы используются для обеспечения совместимости и гибкого управления пространством имён.


Реестр как расширение файловой системы

В Windows значительная часть конфигураций хранится не в текстовых файлах, а в иерархической базе данных — реестре (Registry). Он состоит из разделов (hives), таких как:

  • HKEY_LOCAL_MACHINE\SOFTWARE — глобальные настройки ПО;
  • HKEY_CURRENT_USER — настройки текущего пользователя.

Реестр интегрирован с файловой системой: например, при установке программы она может добавлять записи в реестр вместо создания .ini или .conf файлов.


Практический сценарий "Windows тормозит"

Быстрая схема диагностики, которую удобно использовать в учебной практике:

  1. Проверить загрузку CPU/RAM/диска в taskmgr и resmon.
  2. Оценить автозагрузку и фоновый набор служб.
  3. Проверить состояние диска и системных файлов (chkdsk, sfc, DISM).
  4. Сопоставить проблемы с последними обновлениями и драйверами.

Так теория про компоненты Windows сразу связывается с реальной эксплуатацией. Для продолжения полезно открыть устройство ФС Windows, сравнение с Linux, дерево каталогов Linux (FHS) и подсистему ввода-вывода.