Windows error reporting queuereporting

Служба Windows Error Reporting (WER) служит для сбора и отправки отладочной информации о падении системных и сторонних приложений в Windows на сервера Microsoft. По задумке Microsoft, эта информация должна анализироваться и при наличии решения, вариант исправления проблемы должен отправляется пользователю через Windows Error Reporting Response. Но по факту мало кто пользуется этим функционалом, хотя Microsoft настойчиво оставляет службу сбора ошибок WER включенной по умолчанию во всех последних версиях Windows. В большинстве случае о службе WER вспоминают, когда каталог C:ProgramDataMicrosoftWindowsWERReportQueue начинает занимать много места на системном диске (вплоть до нескольких десятков Гб), даже не смотря на то что на этом каталоге по умолчанию включена NTFS компрессия.

Служба Windows Error Reporting

Служба Windows Error Reporting при появлении ошибки показывает диалоговое окно, предлагающее отправить отчет об ошибке в корпорацию Microsoft. Когда в Windows вы видите сообщение об ошибке
YourApp has stop working
, в это время в служба Windows Error Reporting запускает утилиту WerFault.exe для сбора отладочных данных (могут включать в себя дамп памяти).

Данные пользователя сохраняются в профиль пользователя:

%USERPROFILE%AppDataLocalMicrosoftWindowswer

Системные данные – в системный каталог:

%ALLUSERSPROFILE%MicrosoftWindowsWER

Служба Windows Error Reporting представляет собой отдельный сервис Windows. Вы можете проверить состояние службы командой PowerShell:

Get-Service WerSvc

Внутри каталога WERReportQueue содержится множество каталогов, с именами в формате:

• Critical_6.3.9600.18384_{ID}_00000000_cab_3222bf78
• Critical_powershell.exe_{ID}_cab_271e13c0
• Critical_sqlservr.exe__{ID}_cab_b3a19651
• NonCritical_7.9.9600.18235__{ID}_0bfcb07a
• AppCrash_cmd.exe_{ID}_bda769bf_37d3b403

Как вы видите, имя каталога содержит степень критичности события и имя конкретного exe файла, который завершился аварийно. Во всех каталогах обязательно имеется файл Report.wer, который содержит описание ошибок и несколько файлов с дополнительной информацией.

Очистка папки WERReportQueue в Windows

Как правило, размер каждой папки в WER незначителен, но в некоторых случаях для проблемного процесса генерируется дамп памяти, который занимает довольно много места. На скриншоте ниже видно, что размер файла дампа memory.hdmp составляет около 610 Мб. Парочка таким дампов – и на диске исчезло несколько свободных гигибайт.

Чтобы очистить все эти ошибки и журналы штатными средствами, откройте панель управления и перейдите в раздел ControlPanel -> System and Security -> Security and Maintenance -> Maintenance -> View reliability history -> View all problem reports (Control PanelSystem and SecuritySecurity and MaintenanceProblem Reports) и нажмите на кнопку Clear all problem reports.

Для быстрого освобождения места на диске от файлов отладки, сгенерированных службой WER, содержимое следующих каталогов можно безболезненно очистить вручную.

• C:ProgramDataMicrosoftWindowsWERReportArchive
• C:ProgramDataMicrosoftWindowsWERReportQueue

Следующие команды PowerShell удалят из каталога каталогов WER все файлы, старше 15 дней:

Get-ChildItem -Path  'C:ProgramDataMicrosoftWindowsWERReportArchive' -Recurse | Where-Object CreationTime -lt (Get-Date).AddDays(-15) | Remove-Item -force -Recurse
Get-ChildItem -Path  'C:ProgramDataMicrosoftWindowsWERReportQueue' -Recurse | Where-Object CreationTime -lt (Get-Date).AddDays(-15) | Remove-Item -force –Recurse

Для очистки каталогов WER в пользовательских профилях используйте такой скрипт:

$users = Get-ChildItem c:users|where{$_.name -notmatch 'Public|default'}
foreach ($user in $users){
Get-ChildItem "C:Users$UserAppDataLocalMicrosoftWindowsWER " –Recurse -ErrorAction SilentlyContinue | Remove-Item –force –Recurse
}

Отключение Window Error Reporting в Windows Server

В Windows Server 2019/2016/2012R2 вы можете управлять состоянием WER с помощью PowerShell. Вы можете отключить службу Windows Error Reporting:

Get-Service WerSvc| stop-service –passthru -force
Set-Service WerSvc –startuptype manual –passthru

Но есть более корректные способы отключения WER в Windows. В версии PowerShell 4.0 добавлен отдельный модуль WindowsErrorReporting из трех командлетов:

Get-Command -Module WindowsErrorReporting

Проверить состояние службы Windows Error Reporting можно командой:

Get-WindowsErrorReporting

Для отключения WER, выполните:

Disable-WindowsErrorReporting

В Windows Server 2012 R2 можно отключить запись информации об ошибках Windows Error Reporting через панель управления (Control Panel -> System and Security -> Action Center -> раздел Maintenance -> Settings -> выберите опцию I don’t want to participate, and don’t ask me again

Отключаем сбор и отправки отчетов об ошибках в Windows 10

В Windows 10 нельзя отключить Error Reporting через панель управления. В графическогм интерфейсе можно только проверить ее статус (Система и безопасность ->Центр безопасности и обслуживания -> секция Обслуживание). Как вы видите, по умолчанию параметр Поиск решения для указанных в отчетах проблем включен (Control Panel -> System and Security -> Security and Maintenance -> Maintenance -> Report problems = On).

HKLMSOFTWAREMicrosoftWindowsWindows Error Reporting нужно создать новый параметр типа DWORD (32 бита) с именем Disabled и значением 1.

Можно отключить сбор ошибок WER для конкретных пользователей:

reg add "HKCUSoftwareMicrosoftWindowsWindows Error Reporting" /v "Disabled" /t REG_DWORD /d "1" /f

Или отключить WER для всех:
reg add "HKLMSoftwareMicrosoftWindowsWindows Error Reporting" /v "Disabled" /t REG_DWORD /d "1" /f

Измените параметр реестра и проверьте статус параметра Поиск решения для указанных в отчетах проблем в панели управления. Его статус должен изменится на Отключено.

Отключение Windows Error Reporting через GPO

Также вы можете управлять настройками службы Windows Error Reporting через групповые политики.

Запустите редактор локальной (
gpedit.msc
) или доменной GPO (
gpmc.msc
) и перейдите в ветку реестра Computer Configuration -> Administrative Templates -> Windows Components -> Windows Error Reporting (Компоненты Windows -> Отчеты об ошибках Windows). Для отключения сбора и отправки ошибок через WER включите политику Disable Windows Error Reporting (Отключить отчеты об ошибках Windows).

Аналогичная политика есть в пользовательском разделе политик (User Configuration).

Обновите GPO (перезагрузка не потребуется).

В результате в Windows перестанут формироваться сообщения об ошибках Windows и отправляться в Microsoft.

This post is also available in:
日本語 (Japanese)

In December 2018, a hacker who goes by the alias ‘SandboxEscaper’ publicly disclosed a zero-day vulnerability in the Windows Error Reporting (WER) component. Digging deeper into her submission, I discovered another zero-day vulnerability, which could be abused to elevate system privileges. According to the Microsoft advisory, attackers exploited this bug as a zero-day in the wild until the patch was released in May 2019.

So how did this bug work exactly?

Microsoft WER Under the Hood

The Windows Error Reporting tool is a flexible event-based feedback infrastructure designed to gather information about hardware and software problems that Windows can detect, report the information to Microsoft, and provide users with any available solutions.

For example, if Windows encounters a system crash or a failure, an error report is generated and stored under the WER report queue directory (C:ProgramDataMicrosoftWindowsWERReportQueue), where each report gets its own subdirectory and a unique Report.wer INI file with the relevant metadata. To enable all processes to report their failures, the ReportQueue directory is writable for all users, as you can see below:

Figure 1. Windows Error Reporting queue directory

After a report is generated, it has to be sent to Microsoft for further analysis. This interaction can be triggered in several ways, one of which is by using a scheduled task called Windows Error ReportingQueueReporting. This task is interesting from a security perspective because:

• It runs with System permissions, as defined in the ‘Security Options’ section of the task.
• It can be triggered on demand.
• It runs a dedicated binary code with a fixed command line argument – wermgr.exe -upload.

Figure 2. Windows Error Reporting Task Schedule

After it executes, wermgr.exe interacts with the pending report files and directories. It reads the files, parses them, copies them to other directories, and sometimes even deletes them. Point being, now we have a high privileged component accessing files that can be written by any user. If not implemented with caution, this could introduce some serious security vulnerabilities.

Abusing Filesystem Links

Windows supports different types of filesystem links, that can be used to point files and directories to other target files and directories. Quite simply, once the links are scanned and reparsed, they redirect the user to the target path(s). From a security perspective, the greatest threat comes from abusing hard links and mount points since users can link them to files or directories to which they have no writing permissions in the first place.

The example below depicts how a user with no writing permissions to kernel32.dll can create a link between c:tempDirx.dll and C:WindowsSystem32kernel32.dll. Being able to redirect to more privileged components is essentially all a hacker needs, enabling him to read, write and even delete sensitive, critical files.

Figure 3. Creating a hard link to a file that the user does not have privileges to writespa

Explaining the Bug

In short, the hacker exploits the ability of WER to change file permissions in order to assign himself read, write, edit and delete permissions to any other file he wants, by linking files in the report directory to different target files on the computer, using the above-mentioned filesystem linking.

In more detail, this is the full bug scenario:

• Step 1: wermger.exe parses all files in the report directories, one by one, and submits them to Microsoft.
• Step 2: When wermger.exe detects a corrupt Report.wer INI file, it will eventually delete it, however first it changes the file’s DACL properties by adding the process executer permission to delete this file.
• Exploit: The hacker exploits the short window of opportunity that occurs between the time wermger.exe reads the file’s DACL, and the time it takes for it to add the delete permission to the file. If the attacker creates a link between such a file to any other file on the system, after the DACL is read, wermgr.exe will incorrectly modify the security descriptor of the other file. We can all agree this is a very, very bad scenario.

Step 1:

The first thing wermgr.exe -upload does is call the wermgr!DoCoreUpload function, which lists all the subdirectories under ReportQueue. It reads the error reports and submits them to Microsoft:

Step 2:

When wermgr.exe encounters a corrupt Report.wer INI file, it changes its DACL in order to later on delete it. More specifically,

1. First, wermgr!DeleteCorruptedReportFromStore lists all the files under the report’s subdirectory;
2. Then, wermgr!PreparePathForDeletion modifies the permissions for each file. This is where the core bug resides, since this function reads the file’s security descriptor using kernel32!GetFileSecurity and calls kernel32!SetFileSecurity to apply the delete descriptor to the file.

Creating the link at the exact right time is extremely difficult, yet a persistent hacker will try again and again until he succeeds. Attackers are likely to target executable files (DLLs, EXEs or scripts) and override them with malicious payload, knowing they will later on be executed with System permissions.

Traps Provides Behavior-based Protection

Palo Alto Networks Traps for endpoint protection and response stops threats on endpoints and coordinates enforcement with network and cloud security to prevent successful cyberattacks. Traps stops malware, exploits and ransomware by observing attack techniques and behaviors, incorporating Machine Learning (ML) and Artificial Intelligence (AI) to automatically detect and respond to sophisticated attacks. To prevent this bug, the Behavioral Threat Protection (BTP) feature in Traps would monitor malicious behaviors across a sequence of events, and immediately terminate the attack when it was detected. In addition, Traps Local Analysis via ML prevents malicious payloads from executing.

To learn more about Traps, visit us at ttps://www.paloaltonetworks.com/products/secure-the-endpoint/traps.

Мой Компьютер, №08 (512), 07.07.2008

Хранение заданий

Например, можно вкратце рассмотреть способ хранения всех назначенных заданий. Для этого используется как реестр, так и файловая система компьютера.

Все задания хранятся в виде файлов формата XML в подкаталогах каталога %systemroot%System32TasksMicrosoftWindows. Эти файлы представляют собой подобие тех файлов, которые создаются при экспортировании задания. То есть вместо экспортирования задания можно просто взять копию задания из данного раздела, переименовать ее и импортировать либо на локальный диск, либо на любой другой компьютер. Кроме того, вы можете даже вручную отредактировать отдельные теги XML-файла задания, после чего импортировать его в Планировщик задания.

Однако даже пытаться не стоит редактировать отдельные теги уже существующего XML-файла задания (то есть, не создавать на их основе новые задания путем импорта, а вручную редактировать отдельные параметры существующих заданий). Из этого ничего кроме испорченного задания не выйдет.

Помимо раздела файловой системы, для хранения всех заданий используются подразделы ветви реестра HKLMSOFTWAREMicrosoftWindows NTCurrentVersionScheduleTaskCacheTreeMicrosoftWindows.

Настройки назначенных заданий

Большинство настроек нового механизма назначенных заданий хранится в параметрах DWORD-типа, расположенных в ветви реестра HKLMSOFTWAREMicrosoftWindows NTCurrent

VersionSchedule. Среди них следует отметить следующие недокументированные параметры:

• MissedTasksStartupDelay — определяет задержку при неудачной попытке запуска задания;

• TasksInMemoryQueue — определяет количество назначенных заданий, которые разрешено помещать в очередь, хранящуюся в оперативной памяти.

Помимо параметров данной ветви реестра также существует набор параметров ветви реестра HKLMSOFTWAREMicrosoftSchedulingAgent. Эти параметры влияют на работу заданий, созданных при помощи программы командной строки at.exe. Также они влияют на сам устаревший механизм запуска заданий при помощи at.exe:

• LogPath — данный параметр строкового типа определяет путь к лог-файлу co сведениями о запуске устаревших заданий. По умолчанию значение данного параметра равно %SystemRoot%TasksSCHEDLGU.TXT;

• MaxLogSizeKB — данный параметр DWORD-типа определяет максимальный размер лог-файла (в Кб), содержащего сведения о запускаемых назначенных заданиях;

• TasksFolder — данный параметр строкового типа определяет путь к каталогу, содержащему устаревшие назначенные задания. По умолчанию значение данного параметра равно %SystemRoot%Tasks;

• NotifyOnTaskMiss — данный параметр DWORD-типа определяет, будет ли отображаться сообщение при неудачной попытке запуска назначенного задания;

• ViewHiddenTasks — данный параметр DWORD-типа определяет, будут ли в оснастке Планировщик заданий отображаться скрытые задания.

Стандартные задания

И наконец, можно рассмотреть назначение стандартных заданий операционной системы Windows Vista — таковых почему-то очень много. Ниже мы рассмотрим некоторые из них, действия, которые они выполняют, а также определимся, нужны ли нам эти задания.

Большинство заданий хранится в подразделах раздела Библиотека планировщика заданий > Microsoft > Windows оснастки Планировщик заданий. Поэтому при описании задания мы будет опускать данный раздел оснастки, подразумевая, что задание хранится именно внутри него.

Единственным заданием, которое хранится в другом разделе, является MP Scheduled Scan, предназначенное для периодического запуска сканирования содержимого компьютера на предмет вредоносных программ (при помощи программы Защитник Windows). Это задание является скрытым и расположено в разделе Библиотека планировщика заданий > Microsoft > Windows Defender. Его основные характеристики представлены ниже:

• учетная запись: с правами системы;

• условия запуска: ежедневно в 2 часа ночи 22 минуты;

• действие: %programfiles%windows defenderMpCmdRun.exe Scan -RestrictPrivileges.

Кстати, давайте вспомним, что отобразить скрытые задания можно при помощи флажка Отобразить скрытые задачи, расположенного в меню Вид оснастки Планировщик заданий.

Раздел Bluetooth

Раздел предназначен для хранения заданий, связанных с обнаружением и работой устройств Bluetooth. По умолчанию в нем присутствует только одно задание — UninstallDeviceTask. Это задание предназначено для обработки событий отключения устройства Bluetooth:

• учетная запись: с правами системы;

• условия запуска: отключение устройства;

• действие: BthUdTask.exe $(Arg0).

Для нас данное задание не представляет никакого интереса, так как условие запуска у него специфическое, а значит, на производительность системы оно совершенно не влияет.

Раздел Customer Experience Improvement Program

Данный раздел содержит в себе два задания: Consolidator и OptinNotification.

Задание Consolidator, в случае если пользователь согласился участвовать в программе по улучшению качества программного обеспечения Microsoft, выполняет сбор и отправку данных об использовании стандартных программ операционной системы Microsoft:

• учетная запись: с правами системы;

• условия запуска: каждые 19 часов;

• действие: %SystemRoot%System32wsqmcons.exe.

Как можно заметить, данное задание запускается даже в том случае, если пользователь отказался участвовать в программе по улучшению качества программного обеспечения Microsoft. Поэтому в этом случае лучше самостоятельно отключить данное задание.

Второе задание (OptinNotification) предназначено для уведомления о включении Microsoft Windows Software Quality Metrics (SQM). То есть, если вы отказались от участия в программе по улучшению качества программного обеспечения Microsoft, тогда это задание также можно отключить:

• учетная запись: с правами текущего пользователя;

• условия запуска: через 10 минут после входа в систему;

• действие: %SystemRoot%System32wsqmcons.exe -n 0x1C577FA2B69CAD0.

Раздел Defrag

Задание данного раздела предназначено для периодического выполнения дефрагментации диска. Если учесть, что вручную запустить процесс дефрагментации в Windows Vista больше нельзя, тогда это задание лучше не отключать:

• учетная запись: с правами системы;

• условия запуска: каждую среду в час ночи, а также при простое в течение 3 минут;

• действие: %windir%system32defrag.exe -c –i.

Раздел MobilePC

Данный раздел содержит в себе два задания: HotStart (запускает приложения, настроенные для Windows HotStart) и TMM (диспетчер временной мультимониторной конфигурации). Оба эти задания запускаются при входе любого пользователя в систему.

Если вы никогда не используете несколько мониторов, тогда задание TMM можно отключить.

Задание HotStart можно отключить в том случае, если на крышке вашего ноутбука нет внешних кнопок HotStart (для работы с музыкальным проигрывателем, получения почты и т.д.). Также данное задание можно отключить в том случае, если возможности HotStart были запрещены при помощи групповой политики Отключить Windows HotStart, расположенной в разделе Административные шаблоны > Система > Windows HotStart оснастки Редактор объектов групповой политики (gpedit.msc).

Раздел Multimedia

Задание данного раздела (SystemSoundsService) является агентом пользовательского режима системных звуков. Оно запускается при входе пользователей в систему. И лучше не надоедать ему своим вниманием.

Раздел RAC

Данный раздел содержит в себе назначенное задание (RACAgent), предназначенное для анализа данных надежности системы. То есть данных, на основе которых строится график окна Монитор стабильности системы, отобразить которое можно при помощи оснастки Монитор надежности и производительности (консоль perfmon.msc), выбрав в ней раздел Средства наблюдения > Монитор стабильности системы:

• учетная запись: с правами локальной службы;

• условия запуска: через 15 минут после запуска, повторять каждый час;

• действие: %windir%system32RacAgent.exe.

Вы можете отключить данное задание. Однако в этом случае вы больше не сможете воспользоваться графиком окна Монитор стабильности системы.

Раздел RemoteAssistance

Задание данного раздела (RemoteAssistanceTask) следит за изменениями в групповых политиках, относящихся к работе мастера Удаленный помощник Windows (программа msra.exe):

• учетная запись: с правами системы;

• условия запуска: через 15 секунд после возникновения события 1502 в журнале Система;

• действие: %windir%system32RAServer.exe /offerraupdate.

Судя по условиям запуска данного задания, особого смысла в его отключении нет.

Раздел Shell

Данный раздел содержит в себе задание CrawlStartPages, предназначенное для индексирования начальных адресов типов обхода. Запускается оно при простое компьютера (с правами локальной службы) и управляет возможностью работы механизма индексирования, который мы уже рассмотрели вкратце в прошлых статьях.

Раздел SideShow

В данном разделе по умолчанию присутствует четыре задания, реализующие возможности устройств SideShow: AutoWake, GadgetManager, SessionAgent и SystemDataProviders. Естественно, если ваш ноутбук не обладает устройством SideShow, и у вас нет внешнего устройства для настольного компьютера, тогда все эти задания можно отключить.

Задание AutoWake выполняет автоматическое пробуждение и перевод в спящий режим компьютера, если подключенному к нему устройству SideShow необходимо получить данные от основного компьютера:

• учетная запись: с правами локальной службы;

• условия запуска: через минуту после входа в систему.

Задание GadgetManager позволяет управлять и синхронизировать гаджеты устройства SideShow:

• учетная запись: с правами группы пользователей;

• условия запуска: при входе в систему.

Задание SessionAgent управляет сеансом, если для устройства SideShow создано несколько учетных записей пользователей:

• учетная запись: с правами группы пользователей;

• условия запуска: через 15 секунд после входа в систему.

Задание же SystemDataProviders предоставляет устройству SideShow такую информацию, как текущее время, заряд батареи, мощность сигнала беспроводной сети, уровень громкости:

• учетная запись: с правами локальной службы;

• условия запуска: через 30 секунд после входа в систему.

Раздел TextServicesFramework

Данный раздел содержит в себе скрытое задание MsCtfMonitor, которое запускается при входе пользователя в систему с правами группы пользователя.

Раздел Windows Error Reporting

Задание данного раздела (QueueReporting) предназначено для обработки очереди отчетов мастера Отчеты о проблемах и их решениях. Естественно, что данное задание можно отключить в том случае, если вы отключили сам механизм отчетов о проблемах и их решениях:

• учетная запись: с правами группы пользователей;

• условия запуска: через 13 минут после входа в систему;

• действие: %windir%system32wermgr.exe –queuereporting.

Заключение

Не знаю, как посчитали вы, но на своем компьютере я отключил множество заданий, которые мне совершенно не нужны и которые бессмысленно загружали процессор и память моего компьютера. Если и вы так считаете, тогда предлагаю сейчас же запустить оснастку taskschd.msc и начать охоту на задания.

Возможно, некоторые захотят большего. А именно: полностью отключить службу Планировщик заданий. Ну что ж, как вы знаете из предыдущих статей данной серии, это тоже возможно. Но стоит еще раз напомнить, что отключение Планировщика задач пагубно повлияет на функциональность Windows Vista. В частности, благодаря этой прихоти вы лишите себя возможностей автоматической архивации данных (подробно об этой функции мы поговорим в следующих статьях), а также возможности запускать сборщики данных (для мониторинга производительности системы, но об этом мы также разговор продолжим в будущем).

Если я вас еще не испугал, тогда давайте вспомним, как можно отключить службу Планировщика заданий. Для этого нужно вручную присвоить параметру Start (типа DWORD), расположенному в ветви реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSchedule, значение 4.

Parad0x

Читайте також

Служба WER (Windows Error Reporting) служит для сбора и отправки отладочной информации о падении системных и сторонних приложений в Windows на сервера Microsoft. По задумке Microsoft, эта информация должна анализироваться и при наличии решения, вариант исправления проблемы должен отправляется пользователю через Windows Error Reporting Response. Но по факту мало кто пользуется этим функционалом, хотя Microsoft настойчиво оставляет службу сбора ошибок WER включенной по умолчанию во всех последних версиях Windows. В большинстве случае о службе WER вспоминают, когда каталог C:ProgramDataMicrosoftWindowsWERReportQueue
или
c:UsersAll UsersMicrosoftWindowsWERReportQueue
начинает занимать на системном диске довольно много места (вплоть до нескольких десятков Гб), даже не смотря на то что на этом каталоге по умолчанию включена NTFS компрессия.

Служба Windows Error Reporting

Служба Windows Error Reporting представляет собой отдельный сервис Windows, который можно легко отключить командой:

  net stop WerSvc

Внутри каталога WERReportQueue содержится множество каталогов, с именами в формате:

• Critical_6.3.9600.18384_{ID}_00000000_cab_3222bf78
• Critical_powershell.exe_{ID}_cab_271e13c0
• Critical_sqlservr.exe__{ID}_cab_b3a19651
• NonCritical_7.9.9600.18235__{ID}_0bfcb07a
• AppCrash_cmd.exe_{ID}_bda769bf_37d3b403

Как вы видите, имя каталога содержит степень критичности события и имя конкретного exe файла, который завершился аварийно. Во всех каталогах обязательно имеется файл Report.wer, который содержит описание ошибок и несколько файлов с дополнительной информацией.

Очистка папки WERReportQueue в Windows

Как правило, размер каждой папки незначителен, но в некоторых случаях для проблемного процесса генерируется дамп памяти, который занимает довольно много места. На скриншоте ниже видно, что размер файла дампа memory.hdmp составляет около 610 Мб. Парочка таким дампов – и на диске исчезло несколько свободных гигибайт.

Чтобы очистить все эти ошибки и журналы штатными средствами, откройте панель управления и перейдите в раздел ControlPanel -> System and Security -> Action Center -> Maintenance -> View reliability history -> View all problem reports и нажмите на кнопку Clear all problem reports.

Для быстрого освобождения места на диске от файлов отладки, сгенерированных службой WER, содержимое следующих каталогов можно безболезненно удалить и руками.

• C:ProgramDataMicrosoftWindowsWERReportArchive
• C:ProgramDataMicrosoftWindowsWERReportQueue

Отключение Window Error Reporting в Windows Server 2012 R2 / 2008 R2

Отключить запись информации об ошибках Windows Error Reporting в серверных редакция Windows можно следующим образом:

Windows Server 2012 / R2 – Панель Управления -> System and Security -> Action Center -> раздел Maintenance -> Settings -> выберите опцию I don’t want to participate, and don’t ask me again

Windows Server 2008 R2 – откройте консоль Server Manager и промотайте список, перейдя в раздел Resources and Support. Нажмите на Turn Off Windows Error Reporting и выберите пункт I don’t want to participate, and don’t ask me again.

Отключение функции сбора и отправки отчетов в Windows 10

В Windows 10 возможность отключить Error Reporting через GUI отсутствует. Проверить статус компонента можно в панели управления Система и безопасность ->Центр безопасности и обслуживания -> секция Обслуживание. Как вы видите, по умолчанию параметр Поиск решения для указанных в отчетах проблем включен (Control Panel -> System and Security -> Security and Maintenance -> Maintenance -> Check for solutions to problem reports).

Отключить Windows Error Reporting в Windows 10 можно через реестр. Для этого в ветке HKLMSOFTWAREMicrosoftWindowsWindows Error Reporting нужно создать новый параметр типа DWORD (32 бита) с именем Disabled и значением 1.

Теперь еще раз проверим статус параметра Поиск решения для указанных в отчетах проблем в панели управления. Его статус должен изменится на Отключено.

Отключение Windows Error Reporting через групповые политики

Ведение журналов службой Windows Error Reporting можно отключить и через групповую политику. Она находится в разделе Computer Configuration/Administrative Templates/Windows Components/Windows Error Reporting (Компоненты Windows -> Отчеты об ошибках Windows). Для отключения сбора и отправки данных включите политику Disable Windows Error Reporting (Отключить отчеты об ошибках Windows).

В результате сообщения об ошибках приложений в Windows перестанут формироваться и автоматически отправляться в Microsoft.

The Windows Error Reporting service (WER) is used to collect the debug information about system and third-party app failures and send error reports to Microsoft servers. This information should be analyzed by MSFT and if there is a solution, it will be sent to a user through Windows Error Reporting Response. Actually, few people use this feature, although Microsoft always leaves WER service enabled by default in the latest Windows versions. In most cases, people remember about WER when they see that C:ProgramDataMicrosoftWindowsWERReportQueue occupies much space on the system drive (up to several dozens of GB) even though NTFS compression is enabled for this directory by default.

Windows Error Reporting Service

Windows Error Reporting displays a dialog box when an application error occurs, prompting you to submit an error report to Microsoft. When you see the “YourAppName.exe has stopped working, Windows is collecting more information about the problem” error message in Windows, the Windows Error Reporting service runs the WerFault.exe tool to collect debug data (may include a memory dump).

User data is saved to the user profile:

%USERPROFILE%AppDataLocalMicrosoftWindowsWER

And the system data goes to the ProgramData directory:

%ALLUSERSPROFILE%MicrosoftWindowsWER

The Windows Error Reporting service is a separate Windows service. You can check the status of the service using the PowerShell command:

Get-Service WerSvc

In the WERReportQueue directory there are a lot of folders with the names in the following format:

• Critical_6.3.9600.11285_{ID}_00000000_cab_3212dd23
• Critical_powershell.exe_{ID}_cab_332a45c5
• Critical_sqlservr.exe__{ID}_cab_b3a200181
• NonCritical_7.9.9600.11285__{ID}_0bfab19a
• AppCrash_cmd.exe_{ID}_dba332ad_12eb5425

As you can see, the directory name contains the severity level of an event and the name of the specific EXE file that has crashed. In all folders, there is a file called Report.wer, which contains the description of the errors and some files with the additional information.

How to Clear the WERReportQueue Folder on Windows?

Typically, the size of each folder is small, but in some cases a memory dump is generated for a problem process that occupies much space. The screenshot below shows that the size of memory.hdmp is about 610 MB. A couple of such dumps can occupy several gigabytes on the system drive.

To clear all these errors and logs using the built-in tools, open the Control Panel and go to System and Security -> Security and Maintenance -> Maintenance -> View reliability history -> View all problem reports, then click Clear all problem reports.

To free up some disk space quickly, you can manually delete debug and log files generated by the WER service in the following folders:

• C:ProgramDataMicrosoftWindowsWERReportArchive
• C:ProgramDataMicrosoftWindowsWERReportQueue

The following PowerShell commands will remove all files older than 30 days from the WER directories:

Get-ChildItem -Path  'C:ProgramDataMicrosoftWindowsWERReportArchive' -Recurse | Where-Object CreationTime -lt (Get-Date).AddDays(-30) | Remove-Item -Force -Recurse
Get-ChildItem -Path  'C:ProgramDataMicrosoftWindowsWERReportQueue' -Recurse | Where-Object CreationTime -lt (Get-Date).AddDays(-30) | Remove-Item -Force –Recurse

To clean up the WER directories in all user profiles, use the following PowerShell script:

$users = Get-ChildItem c:users|where{$_.name -notmatch 'Public|default'}
foreach ($user in $users){
Get-ChildItem "C:Users$UserAppDataLocalMicrosoftWindowsWER " –Recurse -ErrorAction SilentlyContinue | Remove-Item –force –Recurse
}

Disable Windows Error Reporting on Windows Server

On Windows Server 2019/2016/2012R2, you can manage WER service state using PowerShell. You can disable Windows Error Reporting service:

Get-Service WerSvc| stop-service –passthru -force
Set-Service WerSvc –startuptype manual –passthru

But there are better ways to disable WER on Windows. The PowerShell version 4.0 adds a separate WindowsErrorReporting module:

Get-Command -Module WindowsErrorReporting

You can check the status of the Windows Error Reporting service with the command:

Get-WindowsErrorReporting

To disable WER, run:

Disable-WindowsErrorReporting

On Windows Server 2012 R2 you can disable Windows Error Reporting via the control panel (Control Panel -> System and Security -> Action Center -> Maintenance -> Settings -> select I don’t want to participate, and don’t ask me again.

How to Disable or Enable Error Reporting on Windows 10?

In Windows 10 you cannot disable the Error Reporting through the Control Panel. You can check the component status in the Control Panel -> System & Security -> Security and Maintenance -> Maintenance. As you can see, the Report problems parameter is enabled.

You can disable Windows Error Reporting on Windows 10 via the registry. To do it, create a new DWORD (32-bit) parameter with the name Disabled and the value 1 under the registry key HKLMSOFTWAREMicrosoftWindowsWindows Error Reporting.

You can disable Windows error collection for specific users with the command:
reg add "HKCUSoftwareMicrosoftWindowsWindows Error Reporting" /v "Disabled" /t REG_DWORD /d "1" /f

Or disable WER for everyone:
reg add "HKLMSoftwareMicrosoftWindowsWindows Error Reporting" /v "Disabled" /t REG_DWORD /d "1" /f

Now let’s check the status of the Report problems parameter in the Control Panel again. It should be Off.

How to Disable Automatic Windows Error Reporting via GPO?

You can disable logging by the Windows Error Reporting service through Group Policy. Open the local (gpedit.msc) or domain GPO (gpmc.msc) editor and go to the following GPO section Computer Configuration -> Administrative Templates -> Windows Components -> Windows Error Reporting. Find the policy named Disable Windows Error Reporting and set it to Enabled. This will disable Windows data collection and error reporting.

There is a similar policy in the User Configuration section.

Update the GPO settings (no reboot required).

As a result, Windows will no longer generate application and system error messages and will no longer be sent to Microsoft.

� ������������ ������� Windows Vista ���� ����� �������� ������� ��������� ����������� ��������� � ������ ����������� ������������ ������� � �������� ���������� ���� ��������� ��� �������� ���������� � ��� �������� Microsoft. ��� ����� ���� ��� �������� ����������� �������� ������������ ������� Windows XP, ��� � ��������� ���������� ����� �����������.

������������: %systemroot%system32wercon.exe.

��������, ��� ����������� ������� �������� �������� ���������� ���������� Microsoft �� ������� � ������ ����������� �������� � ����� ������������ �������. ������ ��� ��������� ������� ��������� ����������� ������ PROBLEM REPORTS AND SOLUTION, �������� ������ � �������� ����� ��� ������ ������������ ������ ����� CONTROL PANEL.

���. 6.03. �������� ���� ������� Problem Reports and Solution

�������� ���� ������� PROBLEM REPORTS AND SOLUTION (���. 6.03) ������� �� ������ ������, � ������� ������� ����� ��������� ������� ����� ��������� �������. ��� ������� �� ������� � ��� ������������ �������� �� �������, ������� �������� �� ��������� �����. ��� ����� ������������ ��� ����: SOLUTIONS TO INSTALL � INFORMATION ABOUT OTHER PROBLEMS. ������ �� ��� ���������� ������, ��������� �� ������ ��������� ��� �������� ��������. ������ �� ���������� �������� � ������ �������.

������ ������ �������

������ ������ �������� � ���� ��������� ������.

Check for new solutions ������ ������ ��������� ��������� ����� ������ � �����������, ������� ������ �� ��������� ��������� ����� ������. ����� �� ������� ����������� ������ �������� ���������� �� �������, � �������� �������� �������� �� ������� ����� �������� � ��������� ���� sysdata.xml. ����� ����� ����� ���� ����������� ������ � �������� � ���, ������ �� �� �������� ���� sysdata.xml � �������������� ������ �� ������ ���������� Microsoft. ���� �� ������� �� ������ SEND INFORMATION, ����� ���������������
����� ����� ��������. ����� ����� ������� ������ VIEW A TEMPORARY COPY OF THESE FILES, ����� ����������� ������ ������, ������� ����� ��������, � ����� �� ����������.

����� ����, ��� �� ���������� �������� �� ������� ���������� Microsoft, ����� ������� ����� � ���, ��� ������� ����� �� ��������� � ������ ������� ���������� �����������.

See problems to check ����� ������ ������ ������ ����� ���� ����������� ������ ���� ��������� �������, ��������������� �� �������� ��������, � ������ �������� �������� ��������. ��� ���� ����� ���������� ����� �������� � ���������, ��� ������� �������� �������� � ���� �� �������������. ����� ����, � ������� ������ VIEW DETAILS… ����� ���������� ������ �������� � ���������� ��������. ����� ��� ����� ��������� ����� ��������� �������� ��������, ��� ������, ��� �������, inf-����, � ����� ������
������, ����������� ��������� ������ (��������, ��������� �����, ����� ������ � �.�.) � �.�.

����� �������� �������� �� ������ CHECK FOR SOLUTIONS. ���� ��� ������ ������ CHECK FOR NEW SOLUTIONS ����� ��������� ����� ����������� ��� ���� ��������� ������, �� � ������� ������ ������ ����� ��������� ����� ������ ��� ��������� ���� ������. ����� ������� ������, ���������� ���������� ������ �������� ���.

View problem history ����� ������ ������ ������ ����� ���� ����������� ������ ���� ��������� �������, ��������������� �� �������� ��������, � ������ �������� �������� ��������. ������ ������ ����� �� ���, ��� ������������ ��� ������ ������ SEE PROBLEMS TO CHECK. ������ ����� � ��� ������� ����� ����������, ���� �� ������� ����������� ��� ��������� ������.

Change settings ����� ������� �� ������ ������ ����� ���� ����������� ����, � ������� �������� ����� ����������, ����� �� ������������� ����������� ����� ����������� ��� ��������� ������, ��� �� ����� ���� ����� ����� ������ ������������. ������ ��� �� ��� �����, ������� ����� ��������� � ������� ������ CHANGE SETTINGS — �������� �������� �� ������ ADVANCED SETTINGS. ����� �� ������� ����� ���� ����������� �������������� ����, � ������� �������� ����� �������� ��������� ��������� ������ ���������
�������� ��������� �� �������.

• � ������� �������������� ON � OFF ����� �������� ��� ��������� �������� �������� ��������� �� �������. �������������, ���� � ��� ��� �������� ��� �� ������ �� ������ ������� � ���������� �������� � ��������� � ������ �������� �������, ����� ����� ����� ����� ��������� ������ ��������.
• � ������� ������ CHANGE SETTINGS ����� ������� ���� �� ��������������, �������� �� ������ ��������� �������� ���������.
  • ALLOW EACH USER TO CHOOSE REPORTING SETTINGS. ��������� ������� ������������ �������� ��� ����� ������� ������ �������� ��������� ������ ��������� �������� ��������� �� ��������� �������.
  • ASK EACH TIME A PROBLEM OCCURS. ���������� �� �������� ��������� � ������ ����������� ��� ������ ������������� ������.
  • AUTOMATICALLY CHECK FOR SOLUTIONS (RECOMMENDED). ������������� ���������� ��������� � ��������� ������� � ��������� ����� �����������, �� ��������� �� ���� ������������.
  • AUTOMATICALLY CHECK FOR SOLUTIONS AND SEND ADDITIONAL INFORMATION, IF NEEDED. ������������� ���������� ��������� � ��������� ������� � ��������� ����� �����������, �� ��������� �� ���� ������������. ��� ���� ��� �������� ��������� �� ������ ����� ����� ������������ �������������� �����, ������� ����� ������������ ������� Microsoft.
• ��� ������ ���� BLOCK LIST ����� ������� ���������, �������� �� ������� � ������� �� ����� ������������ �� ������ ���������� Microsoft.

Clear solution and problem history � ������� ������ ������ ����� ������� ���������� � ��������� �������, � ����� �������� � ��������� ������������ ������� � ������ ��� ������������� ������ ������. ������� ��������, ��� �������� ������ ���������� �������� ������������ ����� ���������� ����� �� �����.

Customer Experience Improvement Settings � ����� ���� ������ ������ ����������� ������, � ������� ������� ����� ���������� ������ CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM.

������ ������ �������� � ���� ��� �������������: JOIN THE WINDOWS CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM � I DON’T WANT TO JOIN THE PROGRAM AT THIS TIME. � �� ������� ����� �������� ��� ����� �� ��������� ��������� ������ ������������ ������� Windows Vista � ����������� ��������. �� ���� ��������� ���������� Microsoft ����� ������� �� ���������� ������������� ������������ ������� � ��������, � ����� ����������� ����������� ��������� � ����������.

�� ��������� � ������������ ������� ������������ ��� ����������� �������, ����������� � ��������� Customer Experience Improvement Program: Consolidator � OptinNotification. ��� ����������� � ������� Task Scheduler Library/Microsoft/Windows/Customer Experience Improvement Program.

������� Consolidator ���������� ������ (���� ��� ����), ����������� � ��������� ��������� ������ ������������ �������, � ���������� Microsoft. ������ ������� ����������� ����� ������ 19 ����� � ��������� ��������� wsqmcons.exe.

������� OptinNotification ����������� ��� ������ ����� ������ ������������ � ������� � ��������� ������� wsqmcons.exe -n 0x1C577FA2B69CAD0.

�������������� ����� ��������� Wercon.exe

����� ����, ��� ��������� Wercon.exe ���������� ������ PROBLEM REPORTS AND SOLUTION, ��� ����� �������������� �����, ��������� �� ������� ������� ����.

• -solutioncheck. ����� ����������� ������� �������� ����� ������� �������, ��������� ��� ������ � ������������ ��������.
• -signoff. ���������� ������ ���� CHECK FOR SOLUTIONS TO THESE PROBLEMS ������� PROBLEM REPORTS AND SOLUTION.
• -problemhistory. ���������� ������ ���� PROBLEMS REPORTS AND SOLUTIONS ������� PROBLEM REPORTS AND SOLUTION.
• -showweropts. ���������� ������ ���� CHOOSE HOW TO CHECK FOR SOLUTION TO COMPUTER PROBLEMS ������� PROBLEM REPORTS AND SOLUTION.
• -showsqmopts. ���������� ������ DO YOU WANT TO JOIN THE WINDOWS CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM?

��������� ��������� � ������� ��������� �������

� ������� ��������� ������� ����� �������� ������ ��������� ������ ������� PROBLEM REPORTS AND SOLUTION. ��� ����� ����������� ��������, ��������� � ����� ErrorReporting.admx, � ������������� � ���������� Computer Configuration/Administrative Templates/Windows Components/Windows Error Reporting � ��� �����������.

������ �������� �������� �������� ����������, ������������� � ����� ������� HKLMSOFTWAREPoliciesMicrosoftWindowsWindows Error Reporting � ������� ��� REG_DWORD.

• Disabled. ���� �������� ������� ��������� ����� 1, ����� �������� ������� �� ������� ����� ��������.
• LoggingDisabled. ���� �������� ������� ��������� ����� 1, ����� ������� ���������� ������� ������ ����� ���������.
• DontSendAdditionalData. ���� �������� ������� ��������� ����� 1, ����� ��� �������� �������� � ��������� ������ ����� ��������� �������� ����� �������������� ������.
• MaxArchiveCount. �������� ������� ��������� ���������� ������������ ���������� ������� �� �������, ������� ����� ���������� � ��������� ������������ �������.
• ConfigureArchive. ���� �������� ������� ��������� ����� 1, ����� � ��������� ����� ���������� ������ ��������� ��������� ������. ���� �� �������� ������� ��������� ����� 2, ����� � ��������� ����� ���������� ��� ��������� ������ � ��������� ������.
• CorporateWerPortNumber. �������� ������� ��������� ���������� ����� �����, �� �������� ����� ������������ ������ �� ������ ��������� ������� �� �������.
• CorporateWerServer. ������ �������� ����� ��������� ���. ��� �������� ���������� ��� �������, �� ������� ����� ������������ ������ �� �������.
• CorporateWerUseSSL. ���� �������� ������� ��������� ����� 1, ����� �������� �� ������� ����� ������������ �� ������ ��� ������ ��������� SSL.
• ForceQueue. ���� �������� ������� ��������� ����� 2, ����� ��������� ����������� ��� ������� �� ������� ����� ������ �������������. ���� �� �������� ������� ��������� ����� 1, ����� ��� �������� ����� ��������� �� ������ �������������, �� � ������� ������������. � ���� �������� ������� ��������� ����� 0, ����� �������� ����������� ����� ����������� �������������.
• MaxQueueCount. �������� ������� ��������� ���������� ����������� ��������� ���������� ������� � �������.
• QueuePesterInterval. �������� ������� ��������� ���������� �������� (� ����) �������������� �������� ����������� ��� ������, ����������� � �������. �� ��������� ������� ��������� ����� ���� ����������� �������������� �������� ����������� (���� �������� ��������� ForceQueue ����� 0), ���� ������������ ����������� � ������������ ��������.
• DefaultConsent. ������ �������� ���������� � ���������� Consent ����� �������. � ��� ������� ����� ��������� ���������� �� �������� ������� �� ���������. ��������, ���� �������� ������� ��������� ����� 1, ����� ����� ��������� ����� ������ ������������ ������� ����� ����������� � ������������ �������������. ���� �������� ������� ��������� ����� 2, ����� �������� �������� �������� �� ������ ����� ����������� �������������, � ��� ���� ���� Microsoft �������� �������������� ������ �� ������, ����� �� ���������
  ������������ ������� �������� ������������� � ������������. ���� �� �������� ������� ��������� ����� 3, ����� ������������� ����� ������������ ��� ��������, ��� � �������������� ������, �� ���������� ������ ���������� � ������������. �� � ���� �������� ������� ��������� ����� 4, ����� ��� ������� ����� ������������ ����� ������.

�� ��������� ���������� ������� �������� � ������ ���� � �������� %userprofile%AppDataLocalMicrosoftWindowsWERReportQueue. �� ������ �������� ������������ �������� ��� ������ ��������� ���������� ���� StoreLocation, �������������� � ����� ������� HKLMSOFTWAREMicrosoftWindowsWindows Error ReportingDebug.

�� ��������� � ������������ ������� ������������ ������� QueueReporting, ������������� � ������� Task Scheduler Library/Microsoft/Windows/Windows Error Reporting. ������ ������� ����������� ��� ������ ����� ������������� � ������� � ����������� � 13 �����. ��� ����, ���� ������� ����� ���������, ��������� ������� ����� ��������� ������ ����� �����. ������ ������� ��������� ������� wermgr.exe –queuereporting.

��������� �������

� ����������, ������� ���������� ��������� ��������� �������, � ������� ������� ����� ��������� �������������� ����� ������ ��������� �������� �������� �� ��������� �������. ��� ��� ��������� ����������� � ����� ������� HKCUSoftwareMicrosoftWindowsWindows Error Reporting (��� � ����� ���������� HKEY_LOCAL_MACHINE, ���� ��������� ������������� ��������� �������� ��������� �������� ��������� �� ������� ��� ������� ������������) � ����� ��� REG_DWORD.

• DisableArchive. ��������� ��������� �������� �������� �� ��������� � ������ �������� �������.
• DisableQueue. ��������� ��������� ������������� �������� �������� �������� �� �������.
• DontShowUI. ���� �������� ������� ��������� ����� 1, ����� ��� ������������� ������ �� ����� ������������ ������ MICROSOFT WINDOWS, ���������� � ���� �������� ������ � ������ ���������� ���������, ��������� ������, ���� �������� ����� ���������� Microsoft ��� ������ ����������� ��������� ������.

  � ����� ������� HKCUSoftwareMicrosoftWindowsWindows Error ReportingConsent ����� ���������� �������� REG_DWORD ���� APPCRASH. ���� ��� �������� ����� 0, ����� ������ Microsoft Windows, ������������ ��� ������������� ������, �� ����� ��������� �������� ������ � ������ �������� ����� ���������� Microsoft ��� ������ ����������� ��������� ������.

  ����� ������ Microsoft Windows ����� ������������ �� �����. ��������, ���� �������� ������ �� ���������� REG_DWORD ���� WaitOnStart ��� WaitonExceptionRecord, ������������� � ����� ������� HKLMSOFTWAREMicrosoftWindowsWindows Error ReportingDebug, ����� 1, ����� ������ Microsoft Windows �� ����� ������������ �� ��� ���, ���� �������� ����� ��������� �� ������ ������ 0.

• MaxArchiveCount. ���������� ������������ ���������� ������������ �������� �� �������.
• MaxQueueCount. ���������� ������������ ������ �������.
• CorporateWerUseAuthentication. ���������� ������ �������������� ��� �������� ������ � ��������� ������ �� ������.
• SendEFSFiles. ����������, ��������� �� �������� �� ������ ������������� �����.

����������� �������