硬件笔记之win11关机自动重启
0x00 概述
本文主要记录win11遭遇关机自动重启的排查过程,为解决问题提供部分思路,仅供参考。
本文时间为2022.09.04,win11版本21H2,后续因win版本或者环境变更,本文不再记录。
0x01 常规解决方案
取消“勾选自动重启”,无法解决本机问题。
0x02 win启动日志 事件10016
方法1无法解决,通过排查windows启动日志,发现有“警告”级别的日志,事件ID 10016,日志样例如下,不同主机上日志可能会有差异:
/* 应用程序-特定 权限设置并未向在应用程序容器 MicrosoftWindows.Client.WebExperience_421.20070.625.0_x64__cw5n1h2txyewy SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户用户名12\用户名12SID (S-1-5-21-1203994595-3663059103-3984373302-1001)授予针对 CLSID 为 {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} 、APPID 为 {15C20B67-12E7-4BB6-92BB-7AFF07997402} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 */ /* 应用程序-特定 权限设置并未向在应用程序容器 不可用 SID (不可用)中运行的地址 LocalHost (使用 LRPC) 中的用户 用户名123 SID (S-1-5-21-1203994595-3663059103-3984373302-1001)授予针对 CLSID 为 {2593F8B9-4EAF-457C-B68A-50F6B8EA6B54} 、APPID 为 {15C20B67-12E7-4BB6-92BB-7AFF07997402} 的 COM 服务器应用程序的 本地 激活 权限。此安全权限可以使用组件服务管理工具进行修改。 */
通过搜素,发现 事件ID 10016是win的一种设计机制,不算故障类型,详细解释,参考这些答案;
事件ID 10016还涉及到amd和win兼容性的一些问题,主要表现也是关机自动重启,打游戏也会重启等,详细可自行搜索了解。
另外,通过搜索发现解决此类方法,需要动用更改权限,这样不会解决问题,反而会更加混乱。不推荐。
0x03 win11 window defender问题
由于安装了卡巴斯基,虽然bios开启了硬件虚拟化,但是卡巴还是提示无法使用硬件虚拟化功能;
同样,360的晶核防护,也是提示未开启硬件虚拟化,需要开启bios的硬件虚拟化;
根据以上故障,问题是出在这个硬件虚拟化上,根据卡饭论坛这个问题,推测是windows sandbox问题;
win11 window defender在主页-设备安全性-内核隔离-内核隔离详细信息-内存完整性,使用了windows sandbox;
如果在此处开启了“内存完整性”,则会出现卡巴无法使用硬件虚拟化,360晶核服务无法开启问题;
关闭此处的“内存完整性”,关机后不再出现自动重启问题。
0x04 总结和关键字
问题可以使用排除法逐一排查,不要在一个问题点花费太多精力,灵根据报错或者故障点,灵活使用搜素引擎解决问题即可。
关机自动重启,win启动日志事件,ID10016,360晶核,卡巴斯基,BIOS,硬件虚拟化,windows沙盒,win10,win11,window defender,内核隔离,内核完整性。