Как сделать снимок экрана входа Windows: 2 рабочих приёма

Быстрые ссылки

• Запуск программ на рабочем столе Winlogon
• Замена кнопки «Специальные возможности» (Utilman.exe)
• Использование виртуальной машины

Снимок экрана приветственного окна (logon screen) можно получить, запустив программу захвата экрана или любую другую утилиту на изолированном рабочем столе Winlogon. Windows не делает это тривиальным, но два рабочих приёма позволяют обойти ограничение. Это полезно, если вы хотите показать фон экрана входа, сохранить скриншот ошибки или подготовить иллюстрации для руководства.

Запуск программ на рабочем столе Winlogon

Идея: запустить процесс от имени системного аккаунта и повесить его на локальный рабочий стол Winlogon. Для этого удобно использовать команду PsExec из набора PSTools (Sysinternals).

1. Скачайте PSTools с сайта Microsoft (Sysinternals). Поместите PsExec.exe в папку, которая есть в PATH, например C:\Windows\System32.

2. Запустите Командную строку от имени администратора: правый клик по ярлыку и «Запустить от имени администратора».

3. В командной строке администратора выполните команду, чтобы открыть окно командной строки на рабочем столе Winlogon:

psexec -sx cmd.exe

Пояснение: ключ -s запускает процесс от системного аккаунта (SYSTEM), -x указывает PsExec разместить окно на локальном рабочем столе Winlogon.

4. Заблокируйте экран (Win+L). На экране входа нажмите Alt+Tab — вы увидите командную строку, запущенную на рабочем столе Winlogon. Также командная строка видна, если нажать Ctrl+Alt+Delete и затем Alt+Tab на экране Ctrl+Alt+Delete (этот экран тоже работает на рабочем столе Winlogon).

5. Через это окно можно запустить любую портативную программу для снятия скриншотов или другие утилиты — они будут работать в контексте защищённого рабочего стола.

Важно: процессы SYSTEM имеют расширенные права. Закрывайте доступные порты и не оставляйте постоянных сервисов, запущенных от SYSTEM без надзора.

Замена кнопки «Специальные возможности» (Utilman.exe)

Идея: Windows открывает %WINDIR%\System32\Utilman.exe при нажатии кнопки «Специальные возможности» на экране входа. Если заменить Utilman.exe на вашу переносимую утилиту для создания скриншотов, можно сделать снимок прямо с экрана входа.

1. Откройте проводник и перейдите в %WINDIR%\System32 (обычно C:\Windows\System32). Найдите Utilman.exe.

2. Чтобы переименовать или заменить файл, сначала нужно взять его в собственность. Правый клик → Свойства → Вкладка «Безопасность» → Дополнительно.

3. Перейдите на вкладку «Владелец» и нажмите «Изменить». По умолчанию владельцем является TrustedInstaller. Выберите вашу учётную запись администратора и подтвердите.

4. Переименуйте оригинальный файл, например в Utilman_backup.exe, чтобы сохранить резервную копию.

5. Скопируйте выбранную утилиту захвата экрана на место Utilman.exe и при необходимости назовите её Utilman.exe. Примеры утилит: портативные программы, специально созданные для логон-скринов. В статье тестировалась Win 7 Logon Screen Capture.

6. Заблокируйте экран (Win+L) и нажмите кнопку «Специальные возможности» в левом нижнем углу — теперь запустится ваша программа и предложит сохранить скриншот.

Важно: замена системных файлов повышает риск безопасности. Всегда сохраняйте резервную копию и восстанавливайте оригинал после выполнения задачи.

Использование виртуальной машины (VM)

Самый безопасный и удобный способ — сделать скриншот экрана входа гостевой ОС в виртуальной машине. Гипervisор отображает экран гостя в окне на хосте, поэтому обычная комбинация PrintScreen или инструмент захвата хоста сохраняет изображение.

Преимущества VM:

• Нет необходимости менять системные файлы на реальной машине.
• Легко восстановить снимок и протестировать разные версии Windows.
• Подходит для массовой подготовки скриншотов для документации.

Если вы ещё не работали с виртуальными машинами, начните с популярных решений: VirtualBox, VMware Workstation, Hyper-V.

Когда эти приёмы не сработают

• На контроллерах домена и защищённых окружениях групповые политики или системы защиты целостности (например, AppLocker, Device Guard) могут блокировать запуск сторонних программ на рабочем столе Winlogon.
• Если компьютер управляется корпоративной службой ИТ, замена Utilman.exe может быть запрещена и обнаружена централизованным мониторингом.
• Новые функции безопасности Windows (например, Windows Defender System Guard) могут ограничивать доступ к защищённому рабочему столу.

Альтернативные подходы

• Использовать удалённый доступ к машине и сделать снимок на стороне клиента (если политика разрешает).
• Подготовить тестовый аккаунт с минимальными правами и изменить фон логон-экрана для его демонстрации на обычном рабочем столе (для демонстраций это проще).
• Использовать аппаратные устройства захвата (карты захвата) при подключении экрана к внешнему оборудованию.

Мини‑методология: быстрая чек‑листа перед захватом

• Определить цель: демонстрация фона / сохранение ошибки / учебная демонстрация.
• Выбрать метод: PsExec, Utilman замена, VM.
• Создать резервную копию системных файлов (если заменяете Utilman.exe).
• Обеспечить соответствие политикам безопасности организации.
• Выполнить захват и проверить файл на конфиденциальные данные.
• Восстановить оригинальные файлы и права доступа.

Ролевые чек‑листы

Администратор:

• Подготовить PsExec и запустить тест в контролируемой среде.
• Сделать бэкап Utilman.exe перед заменой.
• Восстановить оригинал после завершения работы.

Контент‑создатель / автор документации:

• Использовать VM, если возможно.
• Проверить изображение на наличие учётных данных и личных данных.
• Обрезать/замаскировать чувствительную информацию.

Офис безопасности / GDPR‑ответственный:

• Убедиться, что скриншот не содержит персональных данных или согласия пользователя получено.
• Зафиксировать причины и места хранения снимков.

Безопасность и конфиденциальность

• Замена Utilman.exe или запуск процессов от имени SYSTEM могут дать злоумышленнику путь к эскалации привилегий. Делайте эти операции только в доверенной среде и снимайте все изменения после работы.
• Скриншоты экрана входа могут содержать персональные данные (имя пользователя, часть адреса электронной почты). Храните снимки в зашифрованном хранилище и минимизируйте время хранения.

Совместимость и миграция

• PsExec и подход с Utilman.exe работает на классических версиях Windows (7/8/10/11), но поведение может отличаться в корпоративных сборках и при включённых механизмах защиты.
• Тестируйте выбранный метод на образе той же версии OS, где нужно получить скриншот.

Критерии приёмки

• Скриншот чётко отображает требуемую информацию (фон, сообщение об ошибке и т.д.).
• После операции все системные файлы и права восстановлены.
• Нет утечек персональных или конфиденциальных данных.

Короткий глоссарий

• Winlogon: системный процесс, управляющий входом пользователей и безопасным рабочим столом.
• Winlogon desktop: изолированный рабочий стол, где отображается экран входа и экран Ctrl+Alt+Delete.
• PsExec: утилита Sysinternals для запуска процессов удалённо или локально с повышенными привилегиями.
• Utilman.exe: исполняемый файл «Специальные возможности», вызываемый с экрана входа.

Краткое резюме

• PsExec и замена Utilman.exe позволяют запускать утилиты на рабочем столе Winlogon и делать скриншоты экрана входа.
• Наиболее безопасный и простой путь для документации — использовать виртуальную машину.
• Всегда делайте резервные копии и следуйте политике безопасности при работе с системными файлами.